금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드 - 이대근 시큐리티 어슈어런스 매니저, AWS :: AWS Summit Seoul 2019

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
금융권 고객을 위한 클라우드 보안
및 규정 준수 가이드
이대근
Security Assurance Manager | AWS

• AWS 책임 공유 모델 및 규정준수 프로그램
• 한국 전자금융감독규정 개요
• 금융권 클라우드 서비스 사용의 예
• 클라우드 서비스 제공자 평가
• AWS 보안 및 규정준수 리소스
개요

AWS 책임공유모델 및 규정준수 프로그램

규정준수는 AWS 책임공유모델로 시작
규정준수는 프로그램과 데이터를 관리하는 고객과의 공동 노력
금융사
클라우드에서의
보안 책임
AWS
클라우드의
보안 책임
고객 데이터
플랫폼, 애플리케이션, 계정 및 접근권한 관리
운영체제, 네트워크, 방화벽 설정
데이터 암호화 및
데이터 무결성 인증
서버-사이드 암호
(파일 시스템 및 데이터)
네트워크 트래픽 보호
(암호화/무결성/신원증명)
컴퓨팅 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라스트럭처
리전 가용영역 엣지 로케이션

AWS 규정준수 프로그램

AWS는 Payment Card Industry (PCI) Data Security Standard (DSS) 레벨 1을 준수하고
있습니다. 고객은 클라우드에서 신용카드 정보를 저장, 처리 및 전송하기 위한 PCI 인증 AWS
인프라에서 애플리케이션을 운영할 수 있습니다.
AWS System and Organization Controls (SOC) 보고서는 AWS가 핵심 규정준수
통제항목(controls)과 목표(objectives)를 만족하는 방법을 보여주는 독립적인 제3자 기관에
의한 감사 보고서입니다.
AWS 규정준수 프로그램 (계속)
AWS는 국제 표준 기구 (International Organization for Standardization, ISO) 27001 표준에
따라 ISO 27001 인증을 취득하였습니다. ISO 27001은 널리 채택한 글로벌 정보보호
표준으로서 정보보호 관리체계의 요구사항을 기술하고 있습니다.
AWS는 Information Security Management System (ISMS)를 취득한 최초의 글로벌 클라우드
서비스 제공업체로, ISMS는 기업이 정보보호 관리체계를 일관성 있고 안전하게 운영하고
관리하는지 여부를 평가하는 표준 역할을 합니다.
☞서울 리전이 인증 대상에 포함되어 있음

목표 포함 통제항목
Security
Organization
• Appropriately assigned roles and responsibilities
• Information security policies
• Formal Risk Management Program to identify, assess, mitigate,
report and monitor risks
• Employee training and awareness
Employee User
Access
• Access (including administrator accounts) follow principle of least
privileged
• Access is reviewed on a periodic basis
• Timely revocation of access for leavers
Logical Security • Network devices (i.e. firewalls, routers, etc.) are configured correctly
to prevent unauthorized access
• Vulnerability assessments are conducted regularly
Secure Data
Handling
• Key Management Service (KMS) – all requests are logged, keys are
rotated on a regular basis, logical security to ensure no single AWS
employee can gain access to the keys.
Change
Management
• AWS applies a systematic approach to managing change to ensure
changes to customer-impacting aspects of a service are reviewed,
tested and approved.
• AWS maintains processes to detect unauthorized changes to its
environment and tracks identified issues to resolution.
• Customer content is not used in test and development environments
SOC2 감사 범위

SOC2 감사 범위 (계속)
목표 포함 통제항목
Physical Security
and Environmental
Protection
• Physical access is reviewed regularly
• Physical access points are monitored by CCTV
• Electronic intrusion detection systems are installed within data server
locations to monitor, detect, and automatically alert appropriate
personnel of security incidents.
• Server locations are secured by dual authentication electronic access
controls
• Fire detection and suppression systems
• Systems to monitor air temperature and humidity levels
• Uninterruptible Power Supply (UPS) to provide back up power in the
event of a power failure
• Production media is securely decommissioned and physically
destroyed prior to leaving secure zones.
Data Integrity,
Availability and
Redundancy
• Continuous integrity checks of data at rest
• Automated data restoration and object storage redundancy
• AWS provides customers the ability to delete their content. Once
successfully removed the data is rendered unreadable.
Incident Handling • Monitoring and alarming are configured by Service Owners to
identify and notify operational and management personnel of
incidents when early warning thresholds are crossed on key
operational metrics.
• Incidents are logged and tracked to resolution

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
한국 전자금융감독규정 개요

전자금융감독규정 개정 및 시행 (2019.1.1)
개정 배경
• 금융분야 클라우드 이용 증가
• 클라우드에 대한 금융권 보안수준 및
관리∙감독체계 강화

전자금융감독규정 주요내용
주요 내용
• 금융권 클라우드 이용범위 확대
• 금융권 클라우드 서비스 안전성 기준 제시
• 클라우드에 대한 내부통제 강화
• 클라우드 이용 관련 보고의무 등 감독 강화
• 국내 소재 클라우드 운영

금융분야 클라우드 서비스 이용 절차
사전 준비
이용대상 선정 및
중요도 평가
업무 연속성 계획
및 안전성확보조치
방안 수립
업무 위수탁
운영기준 보완
제공자 후보 선정
및 평가
정보보호위원회
심의 및 의결
계약 체결
클라우드서비스
이용 계약 체결
보고 및 이용
서류 구비 및 사전
보고
서류 최신성 유지
및 수시 보고
이용 종료
출구 전략 이행
금융사 책임 영역
금융사와 클라우드
서비스 제공자의
공동 책임 영역
책임 공유 모델 (참고)

금일 발표에서 다루는 부분(붉은색 표기)
사전 준비
중요도 평가
방안 수립
업무 위수탁
운영기준 보완
및 평가
심의 및 의결
계약 체결
보고 및 이용
보고
및 수시 보고
이용 종료

사전 준비
중요도 평가
방안 수립
업무 위수탁
운영기준 보완
심의 및 의결
계약 체결
보고 및 이용
보고
및 수시 보고
이용 종료
및 평가

데이터 백업
관련 절차: 사전 준비 > 업무 연속성 계획 > 데이터 백업
AWS 서비스 특징데이터 손실 사고 대비
데이터 이중화 또는 소산
데이터 복원 테스트 및 데이터
무결성 테스트를 정기적으로
안전하게 수행
백업 데이터에 대한 접근통제
백업 데이터 암호화
Amazon Elastic
Block Store (EBS)
• 데이터 이중화 write
• 암호화 볼륨 제공
• S3로 증분 백업 제공, 백업 life cycle 자동화
• 백업으로부터 EBS 생성 가능
Amazon S3
• 3개의 가용영역에 데이터 복제
• 99.999999999%의 내구성
• 데이터 전송 간, 보관 시 암호화
• 버킷/리소스 단위 접근제어
Amazon Elastic
File System
• 여러 가용 영역에 데이터 중복 저장
• 데이터 전송 간, 보관 시 암호화
• AWS EFS-EFS 백업 구성 가능
Amazon RDS
• 독립된 가용 영역에 Stand by 구성
• 간단한 설정을 통한 암호화
• 자동백업을 통한 트랜젝션 로그 및
DB instance 전체 백업
• 백업 데이터를 이용한 DB 복구

데이터 백업
관련 절차: 사전 준비 > 업무 연속성 계획 > 데이터 백업
AWS 서비스
Amazon Elastic
File System
Amazon Elastic
Block Store (EBS)
Snapshot
Amazon S3 Glacier Amazon S3
Amazon RDS Amazon
DynamoDB
Table backup
archiving
data center
AWS DataSync NFS
Network
Attached
Storage
DataSync Agent
암호화/접근통제
전송간 암호화,
무결성 체크
필요 시
Bucket
Object Lock
제어 가능
필요 시 Vault
Lock 제어
가능
데이터 손실 사고 대비
데이터 이중화 또는 소산
데이터 복원 테스트 및 데이터
무결성 테스트를 정기적으로
안전하게 수행
백업 데이터에 대한 접근통제
백업 데이터 암호화

취약점 분석 및 평가
관련 절차: 사전 준비 > 안전성 확보조치 방안 > 취약점 분석 및 평가
AWS 고객 지원 정책에 따른 고객 AWS 인프라에
대한 취약점 점검 및 침투 테스트 수행 가능
상세 지원내용은 AWS 웹사이트 참고
문의: aws-security-simulated-event@amazon.com
https://aws.amazon.com/ko/security/penetration-testing/

사전 준비
중요도 평가
방안 수립
업무 위수탁
운영기준 보완
및 평가
심의 및 의결
계약 체결
보고 및 이용
보고
및 수시 보고
이용 종료

데이터 이전 및 삭제
관련 절차: 이용 종료 > 출구 전략 이행
1. AWS가 host에서 스토리지 재사용 전에 안전하게 데이터 Wiping 수행
2. AWS에서 DoD 및 NIST 기준에 따라 폐기 대상인 스토리지에 대한
Decommissioning 작업 수행 및 외부기관 감사
3. 필요 시 고객이 직접 데이터 삭제 및 Garbage 화 가능
고객 Master
key로 암호화
데이터 & 고객
Master key 삭제
아래 서비스를 이용하여 AWS 내 데이터를 고객이 원하는 시점에 이전 가능
Amazon Elastic
File System
AWS Storage
Gateway
AWS Database
Migration
Service
Amazon Simple
Storage Service
(S3)
Amazon S3
Glacier
AWS DataSync
출구 전략 세부 이행 절차
필수 포함 사항
출구 전략 방법(이전, 대체, 재개발
등)
대체 사업자 또는 솔루션
데이터를 복구할 수 없도록
파기하는 절차 및 방법
기존 업무 및 데이터를 대체
시스템에 이전하는 절차 및 방법
이전 시점 및 소요시간, 인력 및
비용
AWS 서비스

클라우드 서비스 제공자 평가항목 일부 적용 예외
국내외 클라우드 보안 인증 취득시, 기본 보호조치 평가 생략 가능
(참조) 금융보안원 금융분야
클라우드컴퓨팅서비스 이용 가이드
“국내∙외 클라우드 보안인증을 취득∙유지하고
있는 클라우드 서비스 제공자의 해당 서비스에
대해서는 ＇기본 보호조치’ 항목 평가 생략 가능”

AWS, 서울 리전 MTCS Level 3 인증
4월 8일, 서울 리전에 대한 MTCS인증을 취득하여 기본 보호조치 평가 생략 가능
• 인증 서비스: IaaS, PaaS, SaaS
• 범위: 서울 리전 (South Korea)
MTCS (Multi-Tier Cloud Security)

한국 금융고객을 위한 AWS 워크북
금융분야 클라우드 컴퓨팅 서비스 제공자 평가항목에 대한 AWS 워크북 제공
• 기본 보호조치 및 금융분야 추가
보호조치 세부 평가항목
• AWS 책임공유모델에 따른 AWS 지원
세부 사항
클라우드 서비스 제공자 평가 시 활용 가능
AWS Artifact 서비스에서 제공

한국 금융고객을 위한 AWS 워크북 (예)

클라우드 서비스 제공자 평가
금융고객의 클라우드 서비스 제공자 평가 절차에 대한 다방면의 지원
기본 보호조치 (109)
1. 정보보호 정책 및 조직
2. 인적보안
3. 자산관리
4. 서비스 공급망 관리
5. 침해사고 관리
6. 서비스 연속성 관리
7. 준거성
8. 물리적 보안
9. 가상화 보안
10. 접근통제
11. 네트워크 보안
12. 데이터 보호 및 암호화
13. 시스템 개발 및 도입 보안
• 서울 리전 MTCS 인증을 통하여 기본 보호조치 평가 생략 가능
• 금융분야 추가 보호조치 평가항목에 대한 AWS 워크북 제공
금융부문 추가 보호조치 (32)
2.1 사고 보고 및 분석 수행 절차 확보
2.2 금융권 통합보안관제 수행 체계 지
원
2.3 취약점 분석 및 평가 수행 체계 지원
2.4 합동비상대응훈련 지원
2.5 건물/전원/전산실 금융회사 수준 구
축
2.6 전산자료 보호
2.7 이중화 및 백업체계 구축
2.8 해킹 등 방지대책
2.9 기타

AWS Artifact
https://aws.amazon.com/ko/artifact/getting-started/
AWS의 다양한 규정 준수 인증, 보고서 및
워크북에 온디맨드 방식으로 액세스할 수 있도록
무료로 제공되는 셀프서비스 포털
• PCI-DSS, SOC, ISO, ISMS, AWS Workbook 등
https://aws.amazon.com/ko/artifact/
AWS Artifact 시작하기 웹페이지를 통해
상세 가이드 제공

AWS 규정 준수 리소스
AWS의 다양한 규정 준수 리소스 제공
• AWS 보안 블로그
• AWS 감사자 학습 과정
• 필수 및 모범 사례
• 안내서 및 워크북
• 개인 정보 보호 관련 백서
• 정보보호 관련 교육 과정https://aws.amazon.com/ko/artifact/

AWS Compliance Center
한국을 포함한 세계의 클라우드 관련 규정,
도움이 되는 AWS 리소스, AWS 규정 준수
프로그램 목록과 링크 제공
• 규정준수 관련 FAQ
• 관련 AWS 가이드 및 백서
• 관련 AWS 규정준수 프로그램
https://www.atlas.aws/

AWS Identity & Access
Management (IAM)
AWS Organizations
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS Control Tower
AWS Resource Access Manager
AWS CloudTrail
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
AWS Security Hub
Amazon Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
AWS Firewall Manager
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
AWS Certificate Manager
AWS Certificate Manager
Private CA
Server Side Encryption
AWS Config Rules
AWS Lambda
사용자 관리 탐지 통제 인프라 보안 침해 대응데이터 보호
고객이 선택할 수 있는 보안관련 AWS 서비스

해외 유수 금융사들은 AWS를 도입하고 있음
BANKING & PAYMENTS INSURANCECAPITAL MARKETS
Capital One
*다수 글로벌 Top 금융사가 AWS를 적용하고 있으나, 고객 미동의로 공개하지 못함

아시아 유수 금융사들은 AWS를 도입하고 있음

*위 고객사 리스트는 고객의 동의를 받은 경우로 한정되어 있으며, 실제 다수 국내 금융사가 AWS를 고려/적용하고 있음
국내 유수 금융사들 역시 AWS를 도입하고 있음

1. AWS 규정 준수 리소스에서 Compliance Resource 확인
2. AWS Artifact에서 AWS가 제공하는 다양한 인증, 보고서 및 워크북 확인
3. AWS 어카운트 매니저 혹은 AWS 파트너에게 연락하여 추가 지원사항 확인
(aws-finance-korea@amazon.com, 카카오 플러스친구 ‘금융클라우드’에 문의)
Next steps

금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드 - 이대근 시큐리티 어슈어런스 매니저, AWS :: AWS Summit Seoul 2019

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a 금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드 - 이대근 시큐리티 어슈어런스 매니저, AWS :: AWS Summit Seoul 2019

Semelhante a 금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드 - 이대근 시큐리티 어슈어런스 매니저, AWS :: AWS Summit Seoul 2019 (20)

Mais de Amazon Web Services Korea

Mais de Amazon Web Services Korea (20)

금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드 - 이대근 시큐리티 어슈어런스 매니저, AWS :: AWS Summit Seoul 2019