[논문]금융회사 클라우드 활성화를 위한 비중요정보처리시스템 지정방안 연구

장명도; 김인석

doi:10.13089/jkiisc.2018.28.4.889

금융회사 클라우드 활성화를 위한 비중요정보처리시스템 지정방안 연구
Study on Designation of Non-Critical Information Processing System for Financial Company Cloud Computing Activation 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.4, 2018년, pp.889 - 903

장명도 (고려대학교 정보보호대학원) , 김인석 (고려대학교 정보보호대학원)

초록
AI-Helper

4차 산업혁명의 흐름과 IT자원의 효율적 사용이라는 요구가 맞물려 세계적으로 클라우드 컴퓨팅이 활성화 되고 있으며 국내도 관련 법 제정 및 각종 법안 등에 힘입어 그 사용이 증가하고 있다. 하지만 국내 금융회사는 보유정보의 중요도와 유출 등 사고 발생 시 파급효과로 인해 각종 규제를 받고 있어 상대적으로 활성화 되기 어려운 상황이다. 특히 중요하지 않은 정보를 취급하는 비중요 정보처리 시스템만 클라우드 컴퓨팅 사용이 가능하도록 하고 있는데 이를 구분하는 구체적 기준과 판단을 금융회사가 정하도록 하고 있다. 본 논문에서는 모호한 비중요 정보처리시스템 지정 기준을 구체화 하고 그 지정을 간편하게 할 수 있도록 하여 금융회사 클라우드 컴퓨팅을 보다 활성화 할 수 있는 방안을 제안하고자 한다.

Abstract ▼ AI-Helper

Cloud computing has been activated globally due to the demands of the 4th industrial revolution and the efficient use of IT resources, and domestic usage is also increasing due to legislation and related laws. However, domestic financial companies are subject to various regulations due to the importance of their information and the ripple effects of accidents such as outflows. Only non-critical information processing systems that handle non-critical information are allowed to use cloud computing. Financial companies are required to set specific criteria and judgment to distinguish them. In this paper, we propose a method to enable the financial company cloud computing to be more active by specifying the ambiguous non - essential information processing system designation standard and making it easier to designate.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 ‘비중요 정보처리시스템 지정’ 의 구체적인 방안에 대하여 제시해 보고자 한다.
본 논문에서는 국내 금융회사에서 클라우드 컴퓨팅 활용을 위한 비중요 정보처리시스템 지정의 구체적인 방법 및 기준을 고민해 보고자 하였다. 그 결과 클라우드 컴퓨팅을 적용하고자 하는 서비스 및 취급정보를 대상으로 크게 개인정보 영향도, 정보 중요도, 서비스 영향도의 3개 영역으로 구분한 뒤 각 영역 별 항목을 선정하여 개인정보 영향도와 정보처리시스템 중요도를 산출하고 그 결과에 따라 비중요 정보처리시스템을 지정할 수 있는 방안을 제시하였다.
이에 따라 클라우드 컴퓨팅을 활용하기 위해서는 이를 보호하기 위한 다양한 규제를 만족 시켜야만 하게 되었다. 본 연구에서는 클라우드 컴퓨팅에 대한 정보보호 동향과 금융권에서 클라우드 컴퓨팅이 활성화 되기 위한 고려사항들을 알아보고, 현재 구체적인 기준이 없는 금융권 클라우드 컴퓨팅 활용을 위한 비중요 정보처리시스템 지정에 대한 모델을 제시하여 보고자 한다.

제안 방법

개인식별정보(주민번호, 운전면허번호, 여권번호, 외국인등록번호 등)와 신용정보(계좌번호, 신용카드번호 등)에 대하여 클라우드 서비스를 사용하게 될 경우 정보유출 사고 가능성의 증가 등을 감안하여 해당 정보를 가진 시스템은 비중요 정보처리시스템 지정이 불가하도록 한정하였다.
개인정보 영향도의 각 측정항목 가중치의 합을 통해 개인정보 중요도를 산정한 뒤 그 범위에 따라 정보처리시스템 중요도 평가대상을 선정한다. 개인정보 가중치 합산 결과가 허용 불가능한 범위(7~9)인 경 우 중요 정보처리시스템으로 분류하여 클라우드 컴퓨팅 사용이 불가능하다.
변조 시 파급효과’, ‘대상 서비스가 장애 및 침해사고 등으로 인한 중단발생 시 조직에 미치는 영향도‘라는 3개의 구분으로 분류한 뒤 각 구분별로 측정 항목을 세분화 하여 총 11개 항목을 도출 하였다.
수집, 보관, 처리하는 정보 자체의 중요등급 및 그에 따른 중요도를 평가하여 해당 정보자산이 유출 되었을 경우 영향을 평가한다. 정보유출 영향도, 정보접근성, 정보특수성, 위변조 영향도 및 가능성 등의 특성에 대해 평가하고 등급을 분류하되 서비스와 연관이 있는 자산들에 대한 최대값을 가중치로 정한다.
수집, 보관, 처리하는 정보 중 개인정보에 대한 속성, 유형 및 보유건수 등을 고려하여 해당 정보유출 시 영향도를 평가한다. 정보의 속성, 유형, 건수, 위변조 발생 시 영향도의 4가지 특성을 기준으로 측정하여 가중치를 산정한다.
고유식별정보의 경우 전자금융감독규정에 의거하여 비중요 정보처리시스템 지정이 불가능 하므로 가중치 부여가 불가하되, 이를 비식별화 하였을 경우는 중요정보 가중치인 2를 적용한다. 식별정보가 아닌 민감정보의 경우에도 최고가중치 3을 부여하고 비식별화 하였을 경우 2를 부여하여 암호화, 마스킹 등 추가 대책을 통해 비중요 정보처리시스템으로 지정 및 클라우드 활용이 가능하도록 하였다. 또한 개인정보 보유건수의 경우 해당 시스템에서 최근 1년 간 보유하였던 건수의 최대값으로 한다.
수집, 보관, 처리하는 정보 중 개인정보에 대한 속성, 유형 및 보유건수 등을 고려하여 해당 정보유출 시 영향도를 평가한다. 정보의 속성, 유형, 건수, 위변조 발생 시 영향도의 4가지 특성을 기준으로 측정하여 가중치를 산정한다. 고유식별정보의 경우 전자금융감독규정에 의거하여 비중요 정보처리시스템 지정이 불가능 하므로 가중치 부여가 불가하되, 이를 비식별화 하였을 경우는 중요정보 가중치인 2를 적용한다.
정보 중요도의 항목 별 가중치의 경우 정보 자체가 조직에 미치는 중요도는 물론 고객에 대한 영향도를 주요 고려사항으로 감안 하였다. 취급정보가 대외비에 해당하거나 유출 시 조직의 존폐 위협 또는 중 대한 손실을 끼칠 우려가 있는 경우 가중치 최고점을 부여하여 비중요 정보처리시스템 지정이 어렵도록 하였고, 특히 위변조 관련 평가를 통해 가중치를 부여함으로써 정보 위변조 시 고객 서비스에 대한 영향과 무결성 검증 가능여부를 감안하도록 하여 고객의 2차 피해를 예방할 수 있도록 하였다.
클라우드 컴퓨팅 서비스를 활용하고자 하는 시스템에 대한 항목별 가중치를 평가한다. 평가를 위해서 는 취급정보 및 시스템에 대한 사전자료 검토는 물론 필요시 시스템에 대한 실사, 담당자 인터뷰 등의 다양한 방법을 통해 항목별 가중치를 산정하고 이를 각 구분별로 합산하여 산정한다.
클라우드 컴퓨팅 전환을 원하는 서비스에 대해 시스템 장애 또는 침해사고 등으로 인한 중단 발생 시 조직과 고객에게 미치는 영향도를 평가한다. 서비스 영향도, 서비스 속성, 서비스 복구 목표시간(RTO : Recovery Time Objectives) 등의 항목에 대한 등급을 산정하되 서비스와 연관이 있는 자산들에 대 한 최대값을 가중치로 정한다.
2.2 정보중요도 평가
평가하고자 하는 자산의 정보중요도 평가항목별 가중치를 합산하여 평가결과를 산정한다.

성능/효과

본 논문에서는 국내 금융회사에서 클라우드 컴퓨팅 활용을 위한 비중요 정보처리시스템 지정의 구체적인 방법 및 기준을 고민해 보고자 하였다. 그 결과 클라우드 컴퓨팅을 적용하고자 하는 서비스 및 취급정보를 대상으로 크게 개인정보 영향도, 정보 중요도, 서비스 영향도의 3개 영역으로 구분한 뒤 각 영역 별 항목을 선정하여 개인정보 영향도와 정보처리시스템 중요도를 산출하고 그 결과에 따라 비중요 정보처리시스템을 지정할 수 있는 방안을 제시하였다.
금융회사 또는 전자금융업자가 자체적으로 수립한 정보자산 중요도 평가기준에 따라 지정한 ’전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은‘ 정보처리시스템 즉 클라우드 사용을 원하는 금융회사가 자체적인 평가 기준을 마련하고, 그 기준에 따라 해당 시스템을 평가한 결과 ’시스템이 전자금융 거래에 미치는 영향이 극히 낮다’라는 결과가 나올 경우 비중요 정보처리시스템으로 지정이 가능하다.

후속연구

또한 공공 기관에 클라우드를 먼저 전환하고 낮은 등급 자원부터 단계적으로 민간 클라우드 이용을 확대하겠다는 취지로 공공부문의 원스탑 클라우드 조달체계를 마련하고, 파급효과가 큰 초중고 교육과 정부 R&D 등에서 선도 프로젝트를 추진하여 우수 사례를 도출할 예정이다.
하지만 본 모델은 국내 금융회사에 한정된 방법으로서 향후에는 해외에 본사를 둔 글로벌 금융회사나 해외에 지점을 둔 국내 금융회사 등 해외 현지법까지 고려 가능한 방안 또는 정책에 대한 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	비식별화에 대한 적정성 평가항목에는 무엇이 있는가?	이후 별도의 개인정보 영향평가 수행기관을 통하여 비식별화에 대한 적정성 평가를 수행해야 하는데, 주 로 K익명성(k-anonymity), l-다양성(l-diversity), t-근접성(t-closeness) 등을 사용하여 익명화 및 비식별화 수준과 재식별 가능성을 평가한다. 그 결과 비식별화 조치가 적정하다고 평가 된 경우 이를 클라 우드 컴퓨팅에 사용 가능하며 사후 관리 절차(재식별 화 되지 않도록 주기적인 평가 및 관리)를 진행한다 [21].
	전자금융감독규정 개정안에 따른 비중요 정보처리시스템의 정의는 무엇인가?	금융회사 또는 전자금융업자가 자체적으로 수립한 정보자산 중요도 평가기준에 따라 지정한 ’전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은‘ 정보처리시스템
	클라우드 컴퓨팅이란 무엇인가?	클라우드 컴퓨팅(Cloud Computing) 은 인터넷 기반 컴퓨팅의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술을 의미한다. 공유 컴퓨터 처리 자원과 데이터를 컴퓨터 와 다른 장치들에 요청 시 제공하여 언제 어디서나 접근이 가능한 주문형 접근을 가능하게 한다[1].

참고문헌 (21)

Wikipedia, https://ko.wikipedia.org/wiki/cloudcomputing
Choi J.R., Song Y.M., Kim C.H., Kim S.J., "Cloud Computing Industry Trends for Artificial Intelligence", Electronic Telecommunications Trend Analysis, 32(5), pp. 107-116, October 2017
Financial Supervisory Service, "Financial companies' use of cloud computing", pp.2-3, January 2018
Kang W.Y., "Recent Trends in Cloud Computing Services", Internet & Security Issues, pp. 19-24, October 2017
Kim D.H., Lee J.H., Park Y.P., "A Study of Factors Affecting the Adoption of Cloud Computing", The Jounal of Society for e-Business Studies, 17(1), pp. 111-136, February 2012

원문보기 상세보기
Kang S.B., "Cloud Computing Strategy Recommendations for Korean Public Organizations - Based on U.S. Federal Institutions' Cloud Computing Adoption Status and SDLC Initiative-", The Jounal of Society for e-Business Studies, 20(4), pp.103-126, December 2015

원문보기 상세보기
Min S.S., Seung J.M., "Cloud computing application model and security technology research in financial sector", Journal of the Korea Institute of Information Security & Cryptology, 21(8), pp. 40-45, December 2011
Kim S.J., "Information Security Plan on Cloud Computing - Information Security Management System", Korean Review of Corporation Management, 1(2), pp. 194-208, August 2010
Yu W.Y., Lim J.I., "A Study on the Privacy Security Management under the Cloud Computing Service Provide", Journal of the Korea Institute of Information Security & Cryptology, 22(2), pp. 337-346, April 2012
Jeong W.J., "Legal Issues for Activating Cloud Computing", Information and communication broadcasting policy ICT & media policy, 27(2), pp. 25-33, February 2015
Jeong J.H., "Current Status and Challenges of Cloud Computing", NARS issue report, 313, pp. 17-21, December 2017
Na Y.J., Oh S.J., Kwon H.J., "2017 Cloud Industry Survey Summary Report", pp. 11-12, December 2017
Future Creation Science Department, "Public sector cloud computing introduction demand survey result disclosure", pp. 1-2, January 2017
Future Creation Science Department, "2017 K-ICT cloud computing activation enforcement plan", pp. 1-3, January 2017
Baek S.I., Shin J.Y., Kim J.W., "Exploring the Korean Government Policies for Cloud Computing Service", Society for e-Business Studies, 18(3), pp. 1-15, August 2013
National Law Information Center, "Law Concerning Development of Cloud Computing and User Protection", July 2017
Lee J.K., Min D.H., Kwon H.Y., "Issues and Suggestions for "Act on the Development of Cloud Computing" and Protection of its Users", Journal of Information Technology Applications & Management, 24(1), pp.81-91, March 2017
Do H.J., Kim I.S., "A Study on Cloud Computing for Financial Sector limited to Processing System of Non-Critical Information : Policy Suggestion based on US and UK's approach", The Jounal of Society for e-Business Studies, 22(4), pp.39-51, November 2017

원문보기 상세보기
National Law Information Center, "Electronic Financial Supervision Regulations", 2016
Financial security officer, "Guide to Using Financial Services in the Cloud", pp. 1-15, October 2016
Future Creation Science Department, "Personal Information Non-Identificati on Action Guidelines", pp. 3-16, June 2016

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증