Recommanded Free YOUTUBE Lecture: <% selectedImage[1] %>

Contents

금융 서비스를 클라우드에 올리기 위해서 필요한 것들에 대해서 살펴봐야 겠다. 내용이 방대하다. 현재 정리 중이다.

클라우드 관련 법률 개정

2019년 1.1일 부터 시행된 개정 전자금융감독규정에 따라서 금융 산업에서의 클라우드 활용 범위를 확대할 수 있게됐다 .

전통적으로 금융산업은 클라우드의 활용에 매우 보수적이었다. 기존에 금융회사와 전자금융업자는 "비중요정보"의 처리에만 클라우드를 활용(비금융분야는 클라우드 이용제한이 없다.) 할 수 있었다. 예를들어 고유식별정보 또는 개인신용정보를 처리하는 시스템은 클라우드로 구축할 수 없었다. 고유식별정보 & 개인신용정보는 개인정보보호법 제 24조 및 시행령 제 19조에 정한 정보로서 주민등록번호, 여권번호, 면허번호, 외국인등록번호등이 해당된다. 개인정보 비식별 조치 가이드라인을 준수하여 비식별화해서 사용 할 수는 있다. 결과적으로 금융 산업에서의 클라우드는 보조적으로 사용 할 수 밖에없었다. 중요정보를 포함하지 않는 대량의 데이터를 처리하기 위한 빅데이터 분석을 위해서 사용하는게 대표적이다.

금융위원회는 2018년 7.13일 제도개선을 위한 금융분야 클라우드 이용 확대방안을 제시했다. 문서의 내용을 요약정리했다.

  1. 클라우드 이용범위의 확대 : 클라우드이용 제한으로 금융회사의 서비스 적용/개발이 제한되며, 핀테크기업등 새로운 산업의 진입장벽으로 작용하고 있다. 금융회사와 핀테크 기업의 비용 절감, 새로운 서비스의 개발 및 혁신을 위해서 클라우드의 이용범위를 확대할 필요가 있다.
  2. 개인정보보호에 대한 유연한 접근 : 개인정보를 외부에 저장해서는 안된다는 보수적인 시각이 있지만, 어차피 클라우드는 IT 자원을 빌려서 사용하며, 저장/활용만 할 뿐이지 제공/유통하지는 않는다. 게다가 개인정보보호 법령은 클라우드 활용을 금지하고 있지 않으며, 다른 분야는 제한없이 클라우드를 활용하고 있다.
  3. 관리.감독 측면 : 금융회사의 내부통제 절차를 강화하여 금융회사가 클라우드의 기술적/관리적 보호조치를 평가하여 안정성이 확보된 클라우드를 이용하도록 한다. 대부분의 퍼블릭 클라우드는 금융시장도 타겟으로 하고 있으며, 금융회사와 정부의 보안요구사항을 충족하기 하기 위한 장치들을 마련하고 있다. 국내외 클라우드 서비스 제공자를 막론하고 정부와 금융회사의 보안요구사항은 만족하고(국내에서 제시하는 보안인증 심사와 같은 절차적인 것들만 남았다고 보면 되겠다.) 있다.
2019.1.1일 부터 시행되는 개정된 전자금융감독 규정은 금융보안원에서 다운로드 할 수 있다.

금융 클라우드의 향후 전망

클라우드의 도입으로 산업 전반의 혁신의 속도가 빨라졌다. 혹자는 클라우드를 "비용"의 관점에서 접근을 하는데, 실제 클라우드의 파워는 유연성과 탄력성에 있다. 클라우드가 도입되면서 기업들은 빅 데이터, AI, 대규모의 자원이 필요한(그리고 위험한) 서비스와 새로운 기술들은 신속하게 탐색 할 수 있게 됐다.

다른 산업의 IT 대응 속도가 빨라지면서 보수적인 금융의 보안규제로는 빨라진 시장변화에 대응 할 수 없는 상황에 직면했다. 인터넷 전문 은행과 핀테크(인터넷 전문은행의 핀테크의 한 분야로 봐야 할 것이다.)의 성장과 정부의 정책적 배려 등도 클라우드 도입의 필요성에 영향을 준 주요한 원인들이다.

2018년을 기점으로 금융권에서의 클라우드를 겨냥한 IT 전략이 본격화되고 있는데, 클라우드 환경전환을 위해서 필수적이라 할 수 있는 Unix To Linux 사업이 늘어나고 있다. 2018년과 2019년 발주된 차세대 시스템 사업에는 U2L 전환이 대거 포함되고 있다. 아직은 대형 금융회사들 보다는 트랜잭션 부담이 상대적으로 적은 중견 금융회사에서 논의가 활발하긴 하지만 x86기반으로 점진적으로 넘어갈 것은 명확해 보인다. 예를들어 2020년부터 차세대시스템 구축에 착수할 예정인 우체국금융은 클라우드 도입을 감안한 x86 기반으로 주전산시스템을 구현하겠다는 방침을 밝혔다.

대략 2020년을 기점으로 금융권은 메인프레임과 유닉스 시대를 거쳐서 x86기반의 클라우드 시대로 넘어가는 변곡점을 맞이하게 될 것으로 보인다. 물론 치명적인 클라우드 보안사고가 발생 할 경우 금융권 클라우드 전환이 예상보다 늦어질 가능성도 있다. 아래 "클라우드에서 발생한 주요 보안 사고 사례와 대응 방안" 문서를 보면 아직까지는 클라우드 자체의 치명적인 보안사고는 없는 것 같다.

전자금융거래법 개정을 통한 금융 클라우드의 변화

출처 : "금융권 클라우드 이용 확대방안"

 금융 클라우드의 변화

확대전 그러니까 2019.1.1일 전에는 중요정보를 클라우드에서 저장/처리 할 수 없었기 때문에 실질적인 서비스 개발이 불가능 했다. 그러나 중요정보를 활용 할 수 있게 되면서 클라우드에서 거의 모든 서비스를 개발 할 수 있게 됐다.

클라우드서비스 관련 보안 위협

아래는 클라우드위에 금융 서비스를 구축할 경우 고려해야 할 위협요소들이다. "금융분야 클라우드 컴퓨팅서비스 이용 가이드"에 있는 내용을 참고 했다.

 클라우드 금융 보안

일반 보안 위험 : 금융회사를 대상으로 발생할 수 있는 일반적인 보안 위협 중 클라우드서비스 이용시 그 영향이 큰 위협이 있을 것이다. 클라우드 컴퓨팅 이용 가이드 문서에는 이렇게 정의하고 있다. 여기에 있는 접근, 취약점 공격 등의 위협이 굳이 클라우드 컴퓨팅을 이용한다고 해서 위협이 증가 한다고 볼 수 있을지에 대한 논의는 필요한 것 같다.

클라우드에서의 기술적 측면의 위험은 아래와 같다.
  • 가상화로 인한 보안 문제 : 가상화로 인해서 발생할 수 있는 보안 문제들이 발생할 수 있다. 기존 보안 문제가 가상화로 인하여 방어가 어려워지거나 파급효과가 커지는 문제들이다. 클라우드 서비스를 구성하기 위해서는 가상화 시스템이 필수적인데, 가상화 시스템 내 파이퍼바이저가 취약할 경우 이를 활용하는 여러 개의 가상머신이 동시에 피해를 입을 가능성이 있다.
  • 가상머신 공격 경로 : 사용자의 가상머신들이 상호 연결되면서 내부의 가상머신에서 다른 가상머신으로 패킷스니핑, 해킹, DDoS 공격, 악성코드 전파등의 공격경로가 존재 할 수 있다.
  • 공격자의 익명성 : 가상환경에서 공격자가 누군지를 파악하기 어려워 기존 네트워크 보안기술로는 가상화 내부 영역에 대한 침입탐지가 어려울 수 있다.
  • 가상머신 이동성으로 인한 문제 : 악성코드가 감연됨 가상머신, 보안패치가 안된 가상머신이 다른 물리적 플랫폼으로 쉽게 전파될 수 있다.
기술외적 측면의 위협은 아래와 같다.
  • 관리측면
    • 내부자 실수에 의한 데이터 손실/유칙이나 악의적인 의도를 가지고 데이터를 파괴 또는 탈취하는 보안 위협
    • 클라우드에 중요 정보들이 담겨 있고, 공격 범위를 쉽게 확대 가능하기 때문에 해커들이 고도화된 기법을 이용해서 클라우드 해킹을 시도할 가능성이 있다.
    • 클라우드에서는 파일(가상환경을 비롯한)을 다른 사용자와 공유 할 수 있기 때문에 취약점이 있는 파일들이 빠르게 확산될 수 있다.
  • 법/제도적 문제
    • 클라우드 사업자, 이용자, 제 3자등 다양한 주체들이 존재하여 서로 다른 다양한 계약과 정책에 의해 운영된다. 클라우드는 여러 국가를 거쳐 서비스를 제공할 수 있는데, 국가별 법률과 준법감시의 기준이 상이하기 때문에 법률의 적응속도가 클라우드 서비스 변화보다 느릴 수 있다.
    • 보안 문제가 발생했을 때, 해결과 비용에 대한 책임의 문제가 발생 할 수 있다.
클라우드 서비스 제공자와 관련 정부 기관들은 클라우드 환경에 맞는 인증 프로그램을 제 3자가 인증하는 방식으로 위의 보안 위협에 대해 충분히 대응하고 있음을 고객이 신뢰할 수 있도록 하고 있다.

클라우드 기반 금융 서비스 보안 제도

ISO 27xxx

  • ISO/IEC 27001은 국제표준화기구(ISO: International Organization for Standardization) 및 국제전기기술위원회(IEC: International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제표준이다. 정보보분야에서 가장 권위있는 국제인증으로 정보보호 정책, 물리적보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심팜원들의 심사와 검증을 통과해야 인증이 된다.
  • ISO/IEC 27017 클라우드 서비스 정보보호관리체계 국제표준으로 클라우드 서비스와 관련된 추가적인 가이드라인을 제공한다.
    • 클라우드 서비스 공급자와 클라우드 고객 간의 사안별 책임자
    • 계약 종료 시 자산 반출/반납
    • 고객의 가상 화경 보호 및 분리
    • 가상 머신 구성
    • 클라우드 환경과 관련된 관리 작업 및 절차
    • 클라우드 고객의 클라우드 내 활동 모니터링
    • 가상 및 클라우드 네트워크 환경 정렬
  • ISO/IEC 27018 클라우드 서비스 개인정보보호 국제표준으로 클라우드에서 개인 정보를 보호하는데 초점을 맞춘 실천 강력이다. ISO/IEC 정보보안 표준 27002를 기반으로 하며 퍼블릭 클라우드 개인 식별 정보(PII)에 적용되는 ISO/IEC 27002 제어를 구현하는 지침을 제공한다.
  • ISO/IEC 27799 개인의료정보보호 국제표준
  • ISO/IEC 22301 비지니스연속성경영 국제표준. 중단적(disruptive) 사고가 발생했을 때 조직이 이에 대한 방어, 발생가능성의 감축, 대비, 대응 및 복구를 하도록 돕기 위한 총체적 관리 프로세스

K-ISMS

한국 정보보호 관리체계(K-ISMS)는 한국 정부가 도입한 인증제도로 인증제도로 한국인터넷진흥원(KISA)한국 과학기술정보통신부(MSIT)에서 주관한다.

K-ISMS는 2002년 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조(ISMS 인증)에 의거하여 한국 내 법적 요건을 충족하고 ICT 환경을 지원하기 위해 도입되었다.

ISO 27001이 국제 표준화 기구인 ISO에서 시행하고 인증하는 국제 표준 인증제도라고 하면, ISMS는 KISA에서 수행하는 국내 인증제도라는 차이가 있다. 2013년에 의무 시행되도록 법이 개정됐다.

MTCS

MTCS(Multi-Tier Cloud Security)는 싱가포르의 현행 보안 관리 표준(SPRING SS 584:2013)으로 ISO 27001/27002 정보 보안 관리 시스템(ISMS) 표준을 기반으로 한다. CSP(Cloud Service Provider)를 위한 클라우드 보안사례와 규제 항목을 제공함으로써 클라우드 컴퓨팅을 위한 강력한 위험 관리 및 보안 사례의 도입을 장려하여 CSP가 클라우드 환경에서 보안 규제 항목을 강화하고 실현 할 수 있도록 한다.

MTCS의 목적은 아래와 같다.
  • 클라우드 데이터의 보안 및 기밀성에 대한 일반적인 고객 문제와 클라우드 서비스 사용이 비지니스에 미치는 영향을 해결하기 위해 CSP가 적용할 수 있는 공통표준의 제공
  • 고객이 클라우드 서비스 사용시 접할 수 있는 위험에 대한 가시성과 확인 할 수 있는 투명성 제공
MTCS는 3개 Tier를 가지고 있다. 1은 일반적인 지침을 담고 있으며 3은 가장 엄격한 지침을 담고 있다.
  • Tier 1 : 공개 정보를 호스팅하는 잠재적인 영향이 적은 정보 시스템의 보안 위험 및 위협을 해결하기 위한 기본 보안 제어 기능을 가지도록 설계되었다.
  • Tier 2 : 비지니스 및 개인 정보를 보호가 목적이다. 보다 엄격한 보안 제어를 통해서 비지니스의 중요 데이터 및 중요 시스템을 실행하는 대부분의 조직의 요구를 해결하도록 설계됐다. 중요 데이터는 (기밀이 요구되는) 비지니스 데이터, 이메일, CRM 등이다.
  • Tier 3 : 엄격한 보안 요구사항이 필요한 규제 비지니스와 조직을 위해 설계됐다. 엄격하게 관리해야 하는 핵심 비지니스 데이터, 재무 기록, 의료 기록 등 대내/대외 적으로 영향이 큰 정보 시스템의 보안 위험 및 위협을 보완하고 해결하는게 목적이다. 산업별 규정이 적용 될 수도 있다.

CSAP

클라우드 서비스 보안인증(CSAP)는 KISA에서 관리하는 인증서비스다. 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 23조 제 2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가/인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원한다.

  • 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
  • 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해서하고, 클라우드 서비스 경쟁력 확보
추진근거는
  1. "클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률" 제 5조에 의한 "제 1차 클라우드 컴퓨팅 기본계획(2015)"의 클라우드 보안인증제 시행
  2. "클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시" 제 7조에 따른 정보보호 기준의 준수여부 확인(과학기술정보 통신부 고시 제 2017-7호)
이다.

14개 통제분야에 대해서 IaaS 표준 117개, SaaS 표준 78개, SaaS 간편 30개 항목에 대한 평가를 수행한다. 자세한 내용은 KISA 정보보호 및 개인정보보호관리체계 인증 문서를 참고하자.

FedRAMP

FedRAMP는 미 연방 클라우드 서비스 보안인증 프로그램이다. 미국 연방정부 CIO, Vivek Kundra가 기존 IT 환경하에서 발생하는 예산 활용의 비효율성과 자원관리 시스템의 취약성, 조달 프로세스의 복잡성을 개선하고자 2009년 5월 연방 CIO 협의외에서 클라우드 컴퓨팅 추진 전략을 발표하고, 미연방 조달청(General Service Administration: GSA)이 SaaS/IaaS 조달에 관한 RFI를 발표하면서 시작되었다.

RedRAMP는 클라우드 제품 및 서비스를 위한 보안평가, 인증 및 지속적인 모니터링에 대한 표준화된 정부 프로그램이다. 기존에 기관별로 수행하던 보안평가 및 인증을 FedRAMP로 통합함으로써 비용, 시간 및 인력 절감이 가능하고, FedRAMP 보안인증을 받은 클라우드 서비스는 별도의 인증절차 없이 다른 기관에 일괄적으로 도입 할 수 있다.

RedRAMP 관리기관에는 미국 관리 예산처(OMB), 미국 총무처(GSA), 미국 국토안전부(DHS), 미국 국방부(DOD), 미국 국립표준기술연구서(NIST)및 연방 최고 정보 책임자 위원회가 참여한다.

FedRAMP의 통제 항목은 아래와 같다.
영향수준 NIST 기준 통제 항목 FedRAMP 추가 통제 항목 총 통제항목
Low 115 1 116
Moderate 252 45 297
소계 367 46 413

CSA STAR

CSA STAR는 CSA(Cloud Security Alliance)에서 수행하는 Security, Trust and Assurance Registry(STAR) 등록 프로그램이다.

CSA는 클라우드 컴퓨팅내에서 보안을 보장하기 위한 관장사항을 장려하여 다른 모든 형태의 컴포팅을 보호할 수 있도록 클라우드 컴퓨팅 사용에 관한 교육제공을 사명으로 하는 비영리 단체다. CSA의 보안, 신뢰, 보증 등록프로그램인 STAR은
  1. 자체평가
  2. CSA STAR 증명 및 인증(제3자 평가 기반 인증)
  3. 지속적 모니터링
의 3개 레벨로 이루어진다.

(2019년 12월)현재 "지속적 모니터링"에 대한 준수여부를 판단할 수 있는 인증은 없는 상태다. AWS와 GCP는 레벨 2인증을 획득한 상태다.

클라우드에서 발생한 주요 보안 사고 사례와 대응 방안

Capital One 개인정보 유출사고 : 2019년 7월 29일 미국의 대형 은행인 Capital One에서 1억 600만명이 넘는 고객 개인정보가 해킹당한 사실이 언론에 공개됐다. 유출된 고객 개인정보 데이터는 AWS에 저장된 것으로 AWS 보안 취약성에 대한 의문이 제기됐다. 수사결과에 따르면 Capital One의 방화벽 취약점을 악용해서 AWS 고객 데이터에 접근한 것으로 클라우드 보안 문제가 아닌 클라우드를 사용하는 기업이 보안설정을 잘못해서 발생한 것으로 조사됐다.

인도 혼다 자동차 민감 정보 유출사고 : 보안 업체 크롬텍 시큐리티 센터(Kormtech Security Center)가 S3버킷에 접근 고객정보가 저장돼있는 걸 확인했다. 이 S3 버킷은 최소 3개월 이상 노출됐으며, "해커가 S3 버킷을 찾아내기 전에 이 버킷의 권한을 제조정하라"라는 poc.txt 파일까지 발견했다고 한다. 혼다 자동차는 해당 버킷에 poc.txt 파일이 추가된 사실조차 알지 못했다. 이 문제는 권한설정과 감사를 소홀히한 사용자의 문제라고 볼 수 있겠으나 "데이터 공유가 쉬운 퍼블릭 클라우드의 특성"으로 인해 발생한 문제이기도 하다. 클라우드라는 새로운 환경의 도입에 따른 "새로운 관리적/기술적 보안정책과 조치"가 필요함을 알 수 있다.

AWS DNS 서버 설정 오류로 인한 접속 불가: 2018년 11월 22일 AWS 서울 리전에서 발생했던 꽤 핫했던 사건이다. AWS의 DNS 서버설정 오류로 인해 약 84분간 DNS가 기능할 수 없었다. AWS 엔지니어가 DNS 설정을 잘못 변경해서 발생한 문제로 밝혀졌는데, 쿠팡, 배달의민족, 이스타항공, 야놀자, 업비트등에서 2시간 가량 접속오류 현상이 발생했다.

위 사례뿐만 아니라 다양한 보안사고들이 클라우드 환경에서 발생하고 있는데, 가트너는 95% 이상의 클라우드보안사고가 사용자의 관리 책임이 원인이라고 보고하고 있다.

책임공유 모델

클라우드의 사용은 거스를 수 없는 시대의 흐름이다. 해커들은 클라우드 서비스 제공자와 클라우스 서비스 사용자 모두의 보안 홀을 노리고있다. 따라서 클라우드를 도입 할 때는 이 이 두 영역의 보안을 모두 생각해야 한다.

AWS는 보안과 규정준수를 위한 "공동 책임 모델"이라는 것을 내 놓았다. 이 공유 모델은 서비스 제공자(AWS)와 고객이 협력해서 주의를 기울일 것을 제안한다.
  • AWS 책임 : AWS는 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있다. 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성된다.
  • 고객 책임 : 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 따라서 달라진다. 예를 들어 Amazon EC2 같은 서비스는 IaaS로 분류되며 운영체제레벨 부터 고객이 필요한 보안 구성 관리 작업을 수행해야 한다. 즉 업데이트, 보안패치, 인스턴스에 설치한 애플리케이션, 유틸리티, Security Group(AWS에서 제공하는 방화벽)등을 책임져야 한다. S3, DynamoDB와 같은 (운영체제가 필요하지 않은)추상화된 서비스의 경우 AWS는 인프라계층, 운영체제, 플랫폼에 대한 운영책임을 지며, 고객은 데이터와 엑세스 권한제어, 암호화등에 대한 책임을 진다.
 AWS 책임공유모델

GCP는 "공유 보안 모델", Azure도 "보안 책임 공유"을 가지고 있다. 서비스 제공자와 사용자가 분리되는 클라우드 서비스의 특성상 보안 책임을 공유하는 이런 모델은 당연한 것으로 보인다.

클라우드서비스 이용 절차

금융보안원의 금융분야 클라우드컴퓨팅서비스 이용 가이드를 요약 정리한다.

 클라우드 서비스 이용 절차

금융서비스를 목적으로 클라우드를 사용하는 사용자는 사전준비, 계약체결, 보고 및 이용, 이용 종료각 단계에서 필요한 보안활동 및 조치를 취해야 한다.

사전준비

  1. 클라우드 서비스 이용 여부 결정 : 정보처리의 규모, 클라우드를 이용해서 얻을 수 있는 비용절감, 업무 효율성 증가등을 종합적으로 검토하여 클라우드를 사용할 건지를 결정한다.
  2. 이용 대상 정보처리 업무 중요도 평가 : 처리하는 정보의 중요도, 클라우드 서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향을 기준으로 업무 중요도를 평가한다.
  3. 사용자(금융회사)는 업무연속성 계획 및 안전성 확보조치 방안을 수립해야 한다. : 업무연속성 계획(Business Continuity Planning - BCP)는 재난 발생시 비지니스 연속성을 유지하기 위한 방법론으로 9.11 미국 테러사건 이후 급부상하고 있는 개념이다. 재내,재난을 대비한 데이터백업과 복구 뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무기능이 지속가능한 환경으로 만들어서 기업 가치를 보호하는 활동이다. 클라우드 사용자의 경우 클라우드 서비스의 이용 중단이나 종료시 데이터의 반환 및 파기절차, 위탁계약의 종료, 중단, 변경시 데이터 반환/파기에 관한 계획도 수립해야 한다.
  4. 계약준비 : 사용자는 계약전에 클라우드서비스 제공자의 건전성 및 안정성을 평가해야 한다.
  5. 정보보호위원회 심의/의결

계약체결

  1. 사용자는 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전/반환 등에 관한 사항이 누락되지 않도록 하고
  2. 금융당국의 조사와 접근(데이터센터 등 현장방문 포함)에 협조할 의무를 반드시 명시해야 한다.

보고 및 이용

  1. 관련 서류 구비 및 금융당국 보고
  2. 서류 최신성 유지 및 수시 보고
  3. 리스크 관리

이용 종료

  1. 금융회사는 클라우드 서비스 이용이 종료되는 경우 사전 수립된 출구 전략에 따라 적절한 조치를 취해야 한다. 이용 종료에는 업무 장애/지연 등으로 인한 일시적 서비스 이전도 포함된다.

정리

주요 CSP의 인증현황

2019년 12월 정리한 내용이다.
인증 AWS Azure NCP
ISO 27001,27017,27018 O O O
K-ISMS O O O
MTCS O O X
CSAP X O O
FedRAMP O O X
CSA STAR O O O
  • FedRAMP는 미 연방정부에서 요구하는 클라우드 서비스 보안인증제도로 미국 한정이다.
  • CSAP는 대한민국에서 요구하는 인증이다. 2019년 현재 발급된 인증서는 총 15건이며, 15건이 유지되고 있다. 인증서 발급 현황은 한국인터넷진흥원 인증서 발급현황을 참고하자. 모두 국내 CSP다.

금융 서비스를 위해서 어떤 클라우드 서비스를 사용해야 하나 ?

결국 2020년에는 국내 클라우드 서비스 뿐만 아니라 해외 클라우드 서비스를 이용하는데 문제가 없을 것으로 보인다.

금융산업과 망분리

금융산업 규제의 핵심은(그리고 가장 심각한 문제) 클라우드가 아닌 망 분리다. 망 분리는 금융 산업과 망분리문서에 정리했다.

참고

G