안녕하세요.
당사는 전자금융거래법 및 전자금융감독규정을 준수해야 하는 PG사입니다.
외부망/내부망 물리적망분리 되어 있는 상황인데요,
이때, 그룹웨어을 반드시 인터넷으로 부터 분리된 "내부망" 에서만 운영해야 하나요?
※ 전자금융감독규정
|
제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립ㆍ운용하여야 한다. 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지. 다만, 다음 각 목의 경우에는 그러하지 아니하다. 가. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구ㆍ개발 목적의 경우(단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한 경우에 한한다) 나. 업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우 |
저 빨간 글씨대로라면, 그룹웨어가 내부시스템(서버,DB 등)과 연결되어 있지 않다면 외부망에서 운영해도 상관없는 것 아닌가요??
2023-01-16(월) 14:55:09에 작성 되었습니다. 2023-01-25(수) 10:39:00에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
11개의 답변이 있습니다.
내부망이 안전하지 않을까요
폐쇄망에서 사용가능한 그룹웨어 제품이 있습니다.
그룹웨어 업무용 시스템이 아니라면 외부망에 연결되어 있어도 되겠지만
DMZ 구간에 연결되어 있어야죠
즉 정리하자면 DMZ 구간에 비업무용 시스템들이 있는 거고 업무용 시스템들은 내부망 네트워크에
연결되어 있어야 겠죠
CISO/CIO/CSO 등 개인정보보호 최고책임자/최고정보책임자/최고보안책임자 이신가요?
그게 아니라면 CISO/CIO/CSO 이사를 통해 질의하시면 더 법률해석 하기 편하실텐데요
모 대기업 그룹의 경우, 인터넷이 원천 차단되어 있습니다.
업무상 필요로 인터넷을 사용하고자 한다면, 다음과같은 절차를 수행해야 합니다.
1.VDI or VMware 등의 가상머신을 통한 외부인터넷 접속
2.금융감독원의 인가를 받아 개인정보 업무를 취급하지만 예외적으로 인가받는 경우 (이 경우 '15조 나' 항에 해당)
VDI or VMware를 구축하려면 SW 라이선스 비용 등이 추가로 들기때문에 CFO/CISO/CIO/CSO 등 과 업무협조등의 형태로 조율하여 인트라넷/인터넷 네트워크 구축을 꾀하셔야 합니다.
질문하신 내용은 실무자선에서 책임을 감당할 수 없습니다.
개인이나 금융정보가 유통되기때문에 아무래도
오픈된 제품은 부적합하다고 합니다
그래서 패쇄망을 이용한다고 합니다
저 빨간 글씨대로라면, 그룹웨어가 내부시스템(서버,DB 등)과 연결되어 있지 않다면 외부망에서 운영해도 상관없는 것 아닌가요??
그룹웨어에 정말 개인정보 및 중요정보가 없나요? 없다면 외부망에서 운영해도 상관없을듯합니다. 하지만 조금이라도 있고 구분할 여력이 안된다면 속편하게 내부망으로 운영하는 편이 좋을듯합니다. 그리고 전자금융감독규정에 의해서 금융사는 망분리를 준수해야 하는것으로 알고 있습니다.
그룹웨어가 외부에서 접속이 되면 업무적으로 편한 부분이 많죠.
하지만 시스템이 내부에 있는 것과 외부에 있는 것은 관리할 포인트가 엄청 차이납니다.
시스템을 관리(보안포함), 감사 대비, 전자금융감독규정 준수사항 등
그리고 게시하거나 메일 전송하면 안되는 문서 등을 관리하시기는 현실적으로 어렵습니다.
이런 부분을 감안한다면 외부에서는 vpn을 통해서 접속하는 방법이 가능 안전하고
관리하기 좋지 않을까 생각됩니다.
대부분의 그룹웨어를 통해 내부 문서 및 자료등을 주고 받고, 게시를 하기 때문에
외부망에 있으면 안되는 자료들이 너무 많을꺼에요.
그래서 내부망에 구축해야 해야 되지 않나 싶네요.
망분리가 되어져야 하는걸로 알고있습니다. 폐쇄망이지 않나 싶구요
연계된거 하나도 없고, 외부로 노출되면 안되는 정보만 사용된다면 단독으로 돌린다면 불가할 것은 아닐것 같습니다만, 그룹웨어를 반드시 외부망에서 돌려야 할 이유가 없다면 내부망에서 돌리는 것이 좋겠지요.
결재문서나 첨부에 관리자의 의도와는 다르게 유출되면 안될 정보가 포함될 수 있습니다. 이럴경우 어떻게 대응하실지도 고민해보세요
금융, 의료 등의 산업에 있어서 정보 보호를 위해 법적으로 정보 시스템에 대한 제한이 있는 걸로 알고 있네요.
클라우드 활성화를 위해 클라우드 법을을 통해 그 규제를 벗어 날 수 있기 위한 법 개정이 있지만, 법 준수를 하면서 정보 시스템을 클라우드로 옮겼을 경우에 얻을 수 있는 이익과 보안 조치로 인해 소요되는 비용 및 각종 규제들을 비교해 보았을 경우에 얻을 수 있는 장점이 있는 것도 아닐거라 보여지고요.
얻을 수 있는 큰 장점도 없이 위험 부담을 떠 안기보다는 그냥 기존대로 하자는 분위기가 아직은 더 강하지 않을까 싶어 보이네요.
금융권 클라우드 이용 확대 관련 Q&A 참고 자료와 금융분야 클라우드 및 망분리 규제 완화 관련 자료를 참고해 보면 도움이 되지 않을까 싶어 보이네요.