이번 포스트에서는 금융권 클라우드/Cloud 도입을 위한 필수절차인 금융보안원 CSP 안전성평가에 대하여 알아보겠습니다.
최근 대형 금융기관들 위주로 클라우드 도입이 가속화되고 있습니다. 하지만 높은 보안 기준을 요구하는 금융업계에서 클라우드를 도입하기 위해서는 반드시 거쳐야 할 중요한 절차가 있습니다. 바로 ‘금융보안원 CSP(Cloud Service Provider) 안전성 평가‘입니다. 최근 카카오엔터프라이즈, AWS, 데이터브릭스, SAP, 아카마이 등 주요 클라우드 서비스 제공업체들이 잇따라 금융보안원의 CSP 안전성 평가를 완료했다는 소식이 전해지고 있습니다. 이는 단순한 인증 취득을 넘어, 국내 금융 클라우드 시장의 새로운 전환점을 의미합니다.
1. CSP 안전성평가란 무엇인가?
CSP 안전성 평가란 무엇인가?
CSP 안전성 평가는 금융보안원이 전자금융감독규정에 따라 국내 금융 관련 업체들이 상용 클라우드 컴퓨팅 서비스 이용 시 요구되는 평가 수행을 위임받아 진행하는 제도입니다. 이는 금융기관이 클라우드 서비스를 안전하게 도입할 수 있도록 지원하는 핵심적인 보안 검증 절차라 할 수 있습니다.
평가의 법적 근거와 배경
이 평가 제도는 개정된 전자금융감독규정(2023년 1월 1일 시행) 제14조의2에 따라 시행되고 있습니다. 금융위원회는 2022년 4월 ‘금융분야 클라우드 및 망분리 규제 개선방안’을 발표하며, 금융혁신을 지원하면서도 보안성을 확보하는 방향으로 제도를 개선했습니다.
주요 관련 기관:
2. 평가 항목 및 기준의 대폭 간소화
기존 시스템의 문제점과 개선사항
기존에는 평가항목이 총 141개(‘기본 보호조치 항목’ 109개, ‘금융부문 추가보호조치’ 32개)로 평가항목이 많고 항목간 중복이 존재하여 현 절차 중 가장 큰 부담으로 작용했습니다. 이러한 문제를 해결하기 위해 총 141개 CSP 평가항목을 54개(필수 16개+대체 38개)로 간소화했습니다.
평가항목 개정 전 후
| 구분 | 기존 | 개정 후 | 개선 효과 |
|---|---|---|---|
| 평가항목 수 | 141개 | 54개 | 61.7% 감소 |
| 기본보호조치 | 109개 | 통합 | 중복 제거 |
| 추가보호조치 | 32개 | 통합 | 일원화 |
| 비중요업무 | 전체 적용 | 필수 16개만 | 70.4% 경감 |
| 통제분야 | 14개 | 11개 | 체계화 |
11개 분야 54개 항목 체계
현재 CSP 안전성 평가는 11개 분야, 54개 항목, 200여개 세부항목으로 구성되어 있습니다. 기존의 기본 보호조치와 추가 보호조치가 통합되어 더욱 체계적인 평가가 가능해졌습니다.
평가 항목체계
| 평가 분야 | 주요 평가 내용 | 항목 수 |
|---|---|---|
| 정보보호 정책 및 조직 | 보안정책 수립, 조직 체계, 역할 및 책임 | 5개 |
| 인적 보안 | 인사보안, 보안교육, 접근권한 관리 | 4개 |
| 자산관리 | 자산 분류, 라벨링, 취급절차 | 5개 |
| 서비스 공급망 관리 | 공급업체 관리, 서비스 계약 관리 | 6개 |
| 침해사고 관리 | 사고 대응체계, 복구 절차 | 5개 |
| 접근통제 | 사용자 접근제어, 권한 관리 | 7개 |
| 암호화 및 키 관리 | 데이터 암호화, 키 생명주기 관리 | 6개 |
| 보안모니터링 | 로그 관리, 취약점 분석, 모니터링 | 5개 |
| 물리적 보안 | 데이터센터 보안, 물리적 접근통제 | 4개 |
| 비즈니스 연속성 | 재해복구, 백업, 연속성 계획 | 4개 |
| 사고 보고 및 분석 | 금융권 통합보안관제 지원체계 | 3개 |
| 전체 | 54개 |
업무 중요도에 따른 차등 평가
가장 큰 변화 중 하나는 업무 중요도에 따른 차등 평가 도입입니다. 비중요업무의 경우에는 그 중 필수항목(16개)만 평가하도록 평가항목을 대폭 간소화했습니다. 이를 통해 금융기관들이 업무 특성에 맞는 적절한 수준의 평가를 받을 수 있게 되었습니다.
차등평가
| 구분 | 중요업무 | 비중요업무 |
|---|---|---|
| 업무중요도 평가 | 필수 | 필수 |
| CSP 안전성 평가 | 54개 항목 전체 | 필수 16개 항목만 |
| 업무연속성 계획 | 전체 요구사항 | 필수사항만 |
| 안전성 확보조치 | 전체 요구사항 | 필수사항만 |
| 정보보호위원회 심의 | 필수 | 필수 |
| 감독원 보고 | 사후보고 (3개월) | 사후보고 (3개월) |
3. CSP 안전성평가 프로세스 세부 절차
1단계: 업무 중요도 평가
업무 중요도 평가 단계는 퍼블릭 클라우드에 올릴 정보처리시스템이 얼마나 중요한 업무를 다루는 시스템인지 평가하는 절차입니다. 평가 기준은 다음과 같습니다:
- 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성
- 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향
- 전자적 침해행위 발생 시 고객에게 미치는 영향
- 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 제공자에 대한 종속 위험
- 클라우드컴퓨팅서비스 이용에 대한 금융회사의 내부통제 및 법규 준수 역량
2단계: CSP 안전성 평가 수행
과거에는 금융기관 담당자는 퍼블릭 클라우드에 추가 시스템을 올릴 때마다 내부 문서, 증빙서류에 대한 현상 실사를 매번 수행해야 했습니다. CSP 또한 금융기관마다 개별 평가를 받아야 했기 때문에 금융기관, CSP 모두 불편한 점이 많았습니다.
하지만 현재는 금융보안원이 CSP를 대신 평가하고, 그 결과를 금융기관 담당자에게 제공해 클라우드 이용보고 시 활용할 수 있게 되어 절차가 크게 개선되었습니다.
3단계: 안전성 확보조치 및 업무 연속성 계획 수립
안전성 확보조치 방안은 클라우드 서비스 이용 시 일어날 수 있는 보안 위협에 대한 대책을 세우고, 보안사고 예방안을 수립하는 과정입니다.
업무 연속성 계획은 예상치 못한 재해 또는 사고 발생 시 업무 연속성에 미칠 수 있는 영향을 파악하고, 데이터 백업, 재해복구, 침해 사고 대응 훈련, 출구 전략 등을 포함한 업무 연속성 계획을 수립하는 과정입니다.
4단계: 정보보호위원회 심의 및 보고
모든 평가와 계획 수립이 완료되면 금융회사는 정보보호위원회의 심의·의결을 거쳐 클라우드 이용계약을 체결하고 금융감독원에 보고해야 합니다.
4. 평가 방법론 및 실시 체계
자가 점검과 현장 평가의 조합
CSP 안전성 평가는 크게 두 가지 방식으로 진행됩니다:
- 자가 점검: CSP가 스스로 평가 기준에 따라 점검을 실시하고 결과를 제출
- 현장 평가: 금융보안원이 직접 CSP의 시설과 시스템을 방문하여 실시하는 평가
카카오엔터프라이즈는 규정에 따라 금융보안원으로부터 카카오클라우드에 대한 자가 점검과 현장 평가 등을 진행했다는 사례에서 볼 수 있듯이, 두 방식이 모두 활용됩니다.
금융보안원 통합지원시스템 활용
금융보안원은 ‘CSP 안전성 평가 통합지원 시스템‘을 통해 간단히 평가 자료를 수신하고 보안성 검토를 빠르게 진행할 수 있도록 지원하고 있습니다. 이 시스템을 통해 금융기관들은 효율적으로 CSP 평가 결과를 확인하고 활용할 수 있습니다.
시스템 특징:
- 평가 결과 통합 관리
- 금융기관별 맞춤형 정보 제공
- 실시간 평가 현황 확인
- 관련 문서 및 가이드 제공
5. 보고 절차의 최근 변화
사전보고에서 사후보고로의 전환
가장 주목할 만한 변화는 보고 방식의 전환입니다. 과거에는 금융회사가 퍼블릭 클라우드를 이용하는 경우, 서비스 실제 이용 7일 전에 금융감독원에 사전보고를 해야 했는데요. 금융감독원의 검토가 길어질 경우 서비스 오픈에 차질을 빚는 등 어려움이 있었습니다. 이번 개정을 통해 사후 보고로 변경됨에 따라 서비스 오픈 준비에 큰 도움이 될 것으로 예상됩니다.
예외적 보고 의무
다만, 전자금융감독 규정 제14조2에 해당하는 사유가 발생할 경우, 3개월 이내에 발생 사유와 관련 자료 및 대응 계획을 첨부해 금융감독원에 보고해야 합니다. 특정 상황에서는 여전히 신속한 보고가 필요함을 유의해야 합니다.
6. 주요 CSP들의 평가 완료 사례
주요 CSP 평가 완료 현황
| CSP | 평가 완료 시기 | 특징 | 관련 링크 |
|---|---|---|---|
| 카카오엔터프라이즈 | 2023년 11월 | 클라우드 전영역 평가 완료 | 보도자료 |
| AWS | 2023년 | 59개 고객 참여 감사 완료 | 공식 블로그 |
| 아카마이 | 2024년 12월 | 금융기관 보안 기준 충족 | ZDNet 기사 |
| SAP 코리아 | 2024년 10월 | 엔터프라이즈 솔루션 특화 | – |
| 데이터브릭스 | 2024년 | AI/ML 플랫폼 인증 | – |
| NHN 토스트 | 2019년 7월 | 국내 첫 100% 적합 판정 | – |
카카오엔터프라이즈 사례
카카오엔터프라이즈는 ‘금융존’에 국한하지 않고 클라우드 서비스를 제공하는 카카오클라우드 전영역에 대해 CSP 안전성 평가를 완료했습니다. 이는 매우 혁신적인 접근으로, 모든 고객에게 금융기관 수준의 높은 보안 서비스를 제공하겠다는 의지를 보여줍니다.
AWS의 지속적인 규정 준수 노력
AWS는 2023년에 FSI와 다시 협력하여 59명의 고객이 참여하는 연례 RSEFT 1차 감사를 완료했습니다. 이는 AWS가 한국 금융시장에서 지속적으로 규정 준수를 위해 노력하고 있음을 보여주는 사례입니다.
기타 주요 사업자들의 평가 완료
최근 데이터브릭스, SAP 코리아, 아카마이 등 다양한 클라우드 서비스 제공업체들이 금융보안원의 CSP 안전성 평가를 완료했다고 발표했습니다. 이는 국내 금융 클라우드 시장의 경쟁이 치열해지고 있음을 보여줍니다.
7. 금융기관 입장에서의 실무적 고려사항
평가 결과 활용 시 주의사항
평가결과에는 유효기간이 존재하기 때문에 반드시 최신 결과를 요청해 활용해야 합니다. 금융기관들은 이 점을 유의하여 주기적으로 최신 평가 결과를 확인하는 것이 중요합니다.
자체 보안정책과의 조화
금융담당자는 가이드에 명시된 안전성 확보조치와 업무 연속성 계획에 대한 방안수립에 그치는 것이 아니라, 기업의 보안정책과 자체 보안성 검토사항 등을 모두 반영해 대책을 수립해야 합니다.
책임 공유 모델의 이해
퍼블릭 클라우드 특성상 CSP와의 책임공유 모델에 따라 해당 기업과 CSP간의 R&R은 달라질 수 있습니다. 따라서 각 클라우드 서비스 유형별 책임 분담을 명확히 이해하고 적용하는 것이 중요합니다.
기업과 CSP간의 R&R
| 보안 영역 | IaaS | PaaS | SaaS |
|---|---|---|---|
| 고객 책임 | |||
| 데이터 | 고객 | 고객 | 고객 |
| 애플리케이션 | 고객 | 고객 | CSP |
| 런타임 | 고객 | CSP | CSP |
| 미들웨어 | 고객 | CSP | CSP |
| OS | 고객 | CSP | CSP |
| CSP 책임 | |||
| 가상화 | CSP | CSP | CSP |
| 서버 | CSP | CSP | CSP |
| 스토리지 | CSP | CSP | CSP |
| 네트워킹 | CSP | CSP | CSP |
| 물리적 보안 | CSP | CSP | CSP |
※ 각 서비스 유형에 따라 보안 책임이 다르므로 계약 시 명확한 구분이 필요합니다.
8. CSP 입장에서의 평가 준비 전략
컨설팅 서비스 활용
CSP들은 CSP 안전성 평가 신청 전에 그 평가 요구사항(11개 분야, 54개 항목, 200여개 세부항목)을 기업이 만족하는데 필요한 자문을 받을 수 있습니다. 전문 컨설팅을 통해 평가 준비 기간을 단축하고 성공률을 높일 수 있습니다.
평가 준비 기간과 절차
컨설팅 기간은 기업의 평가 범위(예: IaaS, PaaS, SaaS) 그리고 기업과 계약하는 컨설팅 범위에 따라 5개월에서 9개월이 소요될 수 있습니다. 충분한 준비 기간을 확보하여 체계적으로 접근하는 것이 필요합니다.
준비기간 예시
| 평가 단계 | 소요 기간 | 주요 활동 | 비고 |
|---|---|---|---|
| 사전 준비 | 2-3개월 | 갭 분석, 문서화, 정책 수립 | 컨설팅 권장 |
| 자가 점검 | 1-2개월 | 54개 항목 자체 평가 실시 | CSP 자체 수행 |
| 문서 제출 | 2-4주 | 평가서 및 증빙자료 제출 | 금융보안원 접수 |
| 현장 평가 | 1-2주 | 실사 및 시연, 인터뷰 | 금융보안원 실시 |
| 결과 검토 | 2-4주 | 평가 결과 확인 및 보완 | 필요시 추가 자료 |
| 전체 기간 | 5-9개월 | 복잡도에 따라 차이 |
관련 시스템: CSP 안전성 평가 통합지원시스템
9. 성공적인 CSP 안전성평가를 위해서는…
철저한 사전 준비
평가 성공의 핵심은 철저한 사전 준비입니다. 11개 분야 54개 항목에 대한 체계적인 준비와 문서화가 필요하며, 특히 200여개의 세부항목에 대한 상세한 대응 방안을 마련해야 합니다.
지속적인 보안 체계 운영
일회성 평가가 아닌 지속적인 보안 체계 운영이 중요합니다. 평가 완료 후에도 보안 수준을 유지하고 개선해 나가는 것이 금융기관들의 신뢰를 얻는 핵심입니다.
전문가와의 협업
복잡한 평가 과정에서는 해당 분야 전문가들과의 협업이 필수적입니다. 법무, 보안, 기술 등 다양한 영역의 전문성을 결합하여 종합적인 접근이 필요합니다.
금융보안원 CSP 안전성 평가는 단순한 인증 절차를 넘어 국내 금융 클라우드 생태계의 안전한 발전을 위한 핵심 제도입니다. 최근의 제도 개선으로 절차는 간소화되었지만, 여전히 높은 수준의 보안 기준을 요구하고 있습니다. 금융기관과 CSP 모두에게 이 제도에 대한 정확한 이해와 체계적인 준비가 필요한 시점입니다.
추가 참고 자료
공식 기관 및 시스템
주요 CSP 평가 완료 사례
관련 가이드 및 컨설팅