2.전자금융업자가 개인신용정보를 처리하는 경우에도 국내에 전산센터를 둔 해외클라우드 사업자의 서비스를 이용할 수 있는지?

3.전자금융업자와 클라우드제공자 간에VPN을 사용하여 접속하는 것이 가능한지 여부

4.클라우드서비스제공자 선정 시 정보보호위원회에서 심의해야 하는 평가항목은?

5.전자금융업자의 시스템과 분리된 별도의 망에 구성된 시스템 간에 데이터/보안 암호키를 공유할 수 있는지?

6.클라우드의 경우 논리적 망분리가 허용되는 것인지?

*다만,개인신용정보는 국내(전산센터)에서 처리되어야 함

ㅇ 또한,고유식별정보,개인신용정보를 제외한 비중요정보를 클라우드를 통해 처리하는 경우에는 해외 소재 클라우드도 이용할 수 있습니다(질의1, 2에 대한 답변).

□전자금융업자가 클라우드 서비스에 연결해야 할 경우VPN을 이용하는 것이 가능합니다(질의3에 대한 답변).

□전자금융업자는 클라우드서비스를 이용할 경우중요도 평가 결과,자체 업무 위수탁운영기준,클라우드서비스제공자 건전성 및 안전성 평가 결과에 대해 정보보호위원회를개최하여 심의·의결하여야 합니다(질의4에 대한 답변).

□전자금융업자의 시스템과 타 시스템간 정보 공유가 필요할 경우 해당 정보와 관련한암호키를 공유할 수 있으나,이 경우에도 해당 암호키는 접근통제 정책을 통해 안전하게관리할 필요가 있습니다(질의5에 대한 답변).

□전자금융업자가 클라우드컴퓨팅서비스 이용절차에 따라 클라우드서비스를 이용하는경우에는 물리적 망분리의 예외가 인정됩니다(전자금융감독규정 제14조의2제8항).

ㅇ동 규정은 개인신용정보 보호,감독가능성 확보를 위해 정보시스템의 위치를 국내로제한한 것이므로,전자금융업자는 국내에 이미 전산센터를 갖춘 해외 클라우드의사업자의 서비스도 이용할 수 있음

ㅇ한편,고유식별정보,개인신용정보를 포함하지 않은 비중요정보 시스템에 한정된 클라우드 서비스를 이용할 경우에는 해외 소재 클라우드도 이용할 수 있음

□전자금융업자의 업무용 단말기,내부망 정보처리시스템을 클라우드서비스 제공자구간에 위치한 내부망 정보처리시스템에 연결하거나,관리용 단말기를 클라우드 서비스에 연결해야 하는 경우VPN을 이용하는 것이 가능함(전자금융감독규정 제14조의2제8항)

□전자금융업자는 중요도 평가 결과,자체 업무 위수탁 운영기준,클라우드서비스 제공자 건전성 및 안전성 평가 결과에 대해 정보보호위원회를 개최하여 심의·의결하여야 함(전자금융감독규정 제14조의2제2항)

□ 현행 규정은 전자금융업자로 하여금 암호 및 인증시스템에 적용되는 키에 대하여 주입·운용·갱신·폐기에 대한 절차 및 방법을 마련하여 안전하게 관리토록 하고 있음 (전자금융감독규정 제31조)

ㅇ암호키에 대해 비인가접근을 방지하기위해 암호키에 대한 접근제어 정책을 수립하여야 함

ㅇ즉,암호화 키는 접근이 통제된 보안네트워크에 저장하고,클라우드서비스 제공자의직원이나 동일 클라우드서비스를 이용하는 외부 기관이 접근할 수 없도록 조치가 필요

ㅇ전자금융업자의 시스템과 타 시스템간 정보 공유가 필요할 경우 해당 정보와 관련한암호키를 공유할 수 있으나,이 경우에도 해당 암호키는 접근통제 정책을 통해 안전하게관리할 필요

□전자금융업자가 클라우드컴퓨팅서비스 이용절차(전자금융감독규정 제14조의2)에 따라 클라우드서비스를 이용하는 경우에는 물리적 망분리의 예외가 인정됨(전자금융감독규정 제14조의2제8항)

*망분리 예외와 관련한 구체적 사항은 전자금융감독규정 시행세칙상 망분리 대체 정보보호통제 수칙(전자금융감독규정 시행세칙 제2조의2),금융분야 클라우드 이용가이드라인을 참조