NAVER CLOUD PLATFORM

금융/핀테크 기업의
클라우드 고려사항

섣부른 퍼블릭 클라우드 전환 결정은 수 많은 리스크를 가져올 수 있습니다

금융 산업에서 클라우드 서비스 적용이 가능하도록 2019년 1월 전자 금융 규정에 대한 개정이 이루어졌습니다.
개정 시행되는 전자 금융 감독 규정에 따라 금융 및 핀테크 기업들의 클라우드 이용 범위가 확대되었으며,
주요 개정 내용은 다음과 같습니다.

그럼에도 불구하고 클라우드를 적용하기 위해서는 아직도 더 많은 고민과 고려해야할 사항들이 있습니다.
금융 분야에서 클라우드를 사용할 수 있도록 규정이 완화된 것은 사실이나, 섣불리 외산 퍼블릭 클라우드나 일반적인 퍼블릭 클라우드를 적용하게 되면
수 많은 리스크가 발생할 수 있고 이것은 온전히 클라우드 사용 기업의 책임으로 돌아갈 수 있습니다.

왜 금융 전용 클라우드를 사용해야 할까요?

전자 감독 기준상 관리용 단말기 및 내부망 정보 처리 시스템은 완벽히 인터넷과 분리된 망분리 요건을 요구하고 있습니다.
이는 클라우드 이용을 위한 규정 완화에도 불구하고 강력하게 요구되고 있는 매우 중요한 항목입니다.
금융 분야는 국가에서도 철저하게 관리되고 있으며, 시스템 장애나 서비스에 대해서도 그 어떤 분야보다 까다롭고 완벽함을 요구합니다.
특히, 금융 또는 핀테크 기업들이 관리하고 있는 데이터나 시스템은 강력한 보안을 요구하며,
외부 유출이나 접근에 대해서도 철저하게 막을 수 있는 구조를 갖춰야만 합니다.

아래는 전자 감독 규정에서 제시하는 시스템의 개념도 입니다.

상기 개념도를 만족할 수 있는 외산 및 국내 클라우드 업체는 존재하지 않습니다. 인터넷을 기반으로 모든 컨트롤이 가능한 클라우드 서비스의 특성상 인터넷을 차단하는 정책은 현재 그 어떤 퍼블릭 클라우드에서도 적용되고 있지 않습니다. 이를 무시하고 퍼블릭 클라우드를 도입한다면, 향후 보안 감사, 보안성 심의 등을 통과할 수 없고 이를 해결하기 위해 추가적인 많은 비용이 발생할 수 있습니다. 이 외에도 규정에 따른 고려사항, 그리고 지금껏 금융 및 핀테크 기업들이 진행해 온 필수적인 프로세스들이 클라우드에서도 적용 가능한지 함께 고려해야 합니다. 이것이 바로 금융 분야에 특화된 전용 클라우드가 필요한 이유입니다.

금융 기관 또는 미래를 위해 성장하는 핀테크 기업들이 각종 규제나 요건에 부합하기 위해 리소스를 사용하는 대신, 자유로이 클라우드를 사용하고 비즈니스와 서비스 개발에 집중할 수 있는 환경을 갖추기 위해서는 금융 전용 클라우드가 반드시 필요합니다.

네이버 클라우드 플랫폼의 Financial Cloud는 까다로운 보안 심사를 지원하고 복잡한 규제를 만족시키며 고객의 클라우드 적용 리스크를 최소화할 수 있도록 설계된 업계 최초의 금융 전용 클라우드 서비스입니다. 금융기업과 관련 기업들을 지원하기 위한 로드맵을 가지고 보다 쉽고 편리한 클라우드 환경을 제공할 수 있도록 끊임없이 발전하고 있습니다.

금융규제와 클라우드
서비스

정보기술과 금융서비스가 급속히 발전하는 흐름속에서 다양한 금융사고가 발생하여 전자금융서비스에 대한 불신감 또한 높아지고 있습니다.
이로써 IT 보안의 중요성이 더욱 부각되고 있는 한편, 금융 컴플라이언스 또한 강화되어 까다롭고 엄격한 법률과 규정들이 제정되어 있습니다.

전자금융 관련 법률 체계

따라서, 금융회사에서 제공하는 IT 서비스는 금융위원회, 금융감독원, 금융보안원 등에서 규정한 법률과 시행령, 가이드 등을 만족해야 하지만,
까다로운 심사와 인증과정으로 인하여 어려움을 겪고 있습니다.
클라우드 서비스 제공자는 이러한 기준을 충족하고 금융회사가 비즈니스에 집중할 수 있도록 지원해야 합니다.

인프라

  • 경제적으로 이용
  • 개발 기간 단축
  • 대외 I/F

보안

  • 정보보호 시스템
  • 보안인력 최소화
  • 보안성 심의 대응

데이터

  • 금융 데이터 집중
  • 데이터 분석 도구
  • 다양한 API 제공

    인프라

    • 경제적으로 이용
    • 개발 기간 단축
    • 대외 I/F

    보안

    • 정보보호 시스템
    • 보안인력 최소화
    • 보안성 심의 대응

    데이터

    • 금융 데이터 집중
    • 데이터 분석 도구
    • 다양한 API 제공

금융 클라우드 기반 핀테크 플랫폼 활용

자산관리, 간편 결제, 금융 데이터 분석 기반 제공

핀테크 창업 지원·보육 프로그램 활용

CSP(Cloud Service Provider)는 하기 기준을 "100%만족" 해야만
금융 회사에 클라우드 서비스를 제공할 수 있음

[금융회사가 전자금융 감독규정을 준수할 수 있는 환경]
[금융회사가 전자금융 감독규정을 준수할 수 있는 환경]
제3장
전자금융거래의 안정성 확보 및
이용자 보호
제3절
시설부문
제9조(건물에 관한 사항)
제10조(전원, 공조 등 설비에 관한 사항)
제11조(전산실 등에 관한 사항)
제4절
정보기술부문
제13조(전산자료 보호대책)
제14조(정보처리시스템 보호대책)
제14조의2(클라우드컴퓨팅서비스 이용절차 등)
제15조(해킹 등 방지 대책)
제16조(악성코드 감염 방지 대책)
제17조(홈페이지 등 공개용 웹서버 관리대책)
제18조(IP주소 관리대책)
제5절
정보기술부문 내부통제
제23조(비상대책 등의 수립·운용)
제24조(비상대응훈련 실시)
제25조(정보처리시스템의 성능관리)
제31조(암호프로그램 및 키 관리 통제)
제32조(내부사용자 비밀번호 관리)
제6절
전자금융업무
제36조(자체 보안성심의)
제37조의2(전자금융기반시설의 취약점 분석·평가 주기, 내용 등)
제37조의4(침해사고대응기관 지정 및 업무범위 등)
제4장
전자금융업의 허가와 등록 및 업무
제2절
허가 및 등록의 세부 요건
제50조(인력 및 물적 시설 세부 요건)
제5장
전자금융업무의 감독
제3절
전자금융업의 업무
제60조(외부주문등에 대한 기준)
제61조(전자금융보조업자 자료제출 기준)
[금융회사의 클라우드 서비스 평가 기준 만족]

기본 보호조치 항목 준수

클라우드 서비스 보안 인증제(CSAP) 통제 항목 준수 또는
국내외 클라우드 보안 인증 보유

금융부문 추가 보호조치 항목 준수

국내외 클라우드 보안 인증제를 취득하여 평가 생략이 가능한 기본 보호조치 항목과
별도로, 금융 회사가 법규 준수를 위해 반드시 CSP가 제공해야 하는 항목

    기본 보호조치 항목 준수

    클라우드 서비스 보안 인증제(CSAP) 통제 항목 준수 또는 국내외 클라우드 보안 인증 보유

    금융부문 추가 보호조치 항목 준수

    국내외 클라우드 보안 인증제를 취득하여 평가 생략이 가능한 기본 보호조치 항목과 별도로, 금융 회사가 법규 준수를 위해 반드시 CSP가 제공해야 하는 항목

네이버 클라우드 플랫폼의 Financial Cloud는 평가 기준을 완벽하게 준수하는
금융 전문 클라우드 서비스입니다.

국내 보안 인증 획득 현황

클라우드 서비스 보안 인증 [IaaS, SaaS]

공공기관에게 안정성 및 신뢰성이 검증된 클라우드 서비스 공급할 수
있는지 판단할 수 있는 기준이며, 국내 유일의 SaaS 인증 보유 사업자

국제 보안 인증 획득 현황

CSA STAR Certification

국제 클라우드 보안협회(CSA)의 클라우드 서비스 역량 수준을
정량적으로 측정하는 CSA Star 인증의 최고 등급(Star)을 획득한
국내 유일의 클라우드 사업자

    국내 보안 인증 획득 현황

    클라우드 서비스 보안 인증 [IaaS, SaaS]

    공공기관에게 안정성 및 신뢰성이 검증된 클라우드 서비스 공급할 수 있는지 판단할 수 있는 기준이며, 국내 유일의 SaaS 인증 보유 사업자

    국제 보안 인증 획득 현황

    CSA STAR Certification

    국제 클라우드 보안협회(CSA)의 클라우드 서비스 역량 수준을 정량적으로 측정하는 CSA Star 인증의 최고 등급(Star)을 획득한 국내 유일의 클라우드 사업자

기본 보호조치 평가 생략이 가능한 인증