금융권 데이터의 암호화 근거(전자금융감독규정 발췌)
제1장 제6절 전자금융업무제34조(전자금융거래 시 준수사항)
금융회사 또는 전자금융업자는 전자금융거래와 관련하여 다음 각 호의 사항을 준수하여야 한다.
1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)
2. 전자금융사고를 예방하기 위하여 비대면 전자금융거래를 허용하지 않는 계좌 개설, 중요거래정보에 대한 문자메시지 및 이메일(e-mail) 통지 등의 서비스를 이용자가 요청하는 경우, 동 서비스를 제공할 수 있도록 시스템을 갖출 것
3. 전자금융거래에 사용되는 접근매체를 발급받기 위해서는 반드시 실명확인 후 교부할 것.
4. 거래인증수단 채택시 안전성, 보안성, 이용편의성 등을 충분히 고려할 것
5. 금융회사 또는 전자금융업자는 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위ㆍ변조 여부 등 무결성을 검증할 수 있는 방법을 제공할 것
제1장 제6절 전자금융업무제36조(자체 보안성심의)
① 금융회사 또는 전자금융업자는 다음 각 호의 행위를 하고자 하는 경우 금융감독원장이 정하는 기준과 절차에 따라 보안성심의를 실시하여야 한다. <개정 2016. 6. 30.>
1. 정보통신망을 이용하여 이용자를 대상으로 신규 전자금융업무를 수행
2. 복수의 금융회사 또는 전자금융업자가 공동으로 전자금융거래 관련 표준을 제정
② 금융회사 또는 전자금융업자는 제1항에 따른 심의(이하 "자체 보안성심의"라 한다)를 마친 후 제1항 각 호의 행위를 수행한 날로부터 7일 이내에 금융감독원장이 정하는 자체 보안성심의 결과보고서를 금융감독원에 제출하여야 한다. 다만, 제1항제1호에 따른 보안성심의의 경우 신규 전자금융업무가 제공 또는 시행된 날을 기준으로 과거 1년 이내에 전자금융사고가 발생하지 않은 기관으로서 금융감독원장이 정하는 기준에 해당하는 금융회사 또는 전자금융업자는 그러하지 아니하다.
③ 금융감독원장은 제2항에 따라 제출받은 자체 보안성심의 결과보고서를 검토한 결과, 보안수준이 충분하지 않다고 인정되는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다.
④ 제2항 및 제3항에도 불구하고 다음 각 호의 기관은 제1항제1호에 따른 자체 보안성심의 결과보고서의 제출을 하지 아니할 수 있다.
1. 「우체국예금ㆍ보험에 관한 법률」에 의한 체신관서
2. 「새마을금고법」에 의한 새마을금고 및 새마을금고중앙회
3. 「한국수출입은행법」에 따른 한국수출입은행
4. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
제1장 제6절 전자금융업무
제37조(인증방법 사용기준)
금융회사 또는 전자금융업자는 전자금융거래의 종류ㆍ성격ㆍ위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.<개정 2015. 3. 18.>
대외 기관 연결에서의 VPN 배치
위와 같이 전자금융감독규정에 따라 금융사 망의 데이터는 암호화되어야 한다.
데이터 암호화는 각 서버에서 암호회되는 전문 암호화와 VPN을 이용한 패킷 암호화로 구분할 수 있는데 서버가 늘어날 수록 키값이 늘어나고 관리가 어려운 전문 암호화보단 VPN을 이용하여 GW에서 암호화되도록 하는 방법을 선호한다.
전용선 연결이 힘들 경우(예산적 문제나 외부 센터의 문제 또는 API 통신의 경우) VPN을 이용하여 인터넷 통신으로 구성하는 방법이 있다.
가장 많이 구성하는 방식으로 전용선을 연결한 후 VPN을 연결하는 방식이다.
1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)
앞서 설명했던 전자금융감독규정 제 34조 1항에 의해서 전용선을 통한 연결도 모두 암호화가 되어야 한다.
또는 전용선 연결의 경우 VPN 없이 서버간 통신 시 종단간 암호화를 통해 연결 할 수 있다.
이때 VPN 없이 인터넷을 이용한 통신은 법령상 불가능한 것으로 알고있다.
이런 경우는 드물지만 상대 기관이 존재하는 IDC에 상면(통신, 서버 RACK이 들어가는 자리)이 부족할 수도 있고, 프로젝트 기간에 비해 VPN 도입 기간이 늦어지는 경우에 전용선 연결을 하고 SSL VPN이나 인증서 인증과 같은 종단간의 암호화 체계를 구축하여 구성할 수 있다.
※IDC들은 IDC의 상면을 타사들에 대여해줌으로서 수익구조를 생성한다.
암호화 구성이 어렵거나 종단간 암호화 방식을 사용할 시
VPN 구성이 어려워 전용선만 연결하거나, 앞서 말한 종단간 암호화를 이용할 땐 내부통제 부서에 의해 제1장 제6절 전자금융업무 제36조(자체 보안성심의) 의 조항에 따라 보안성심의를 거친 후 승인된다면 연계 구성이 가능하다.
끝.
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| Multicasting Deep Dive (0) | 2024.12.29 |
|---|---|
| 간단한 CISCO 장비 CONFIG 꿀팁 모음 (1) | 2024.12.10 |
| HSRP, VRRP 게이트웨이(Virtual IP)가 흔들린다의 의미 (4) | 2024.11.15 |
| 스위치의 프레임 처리 방식 (0) | 2024.09.16 |
| L3 스위치와 라우터의 차이, (Cisco)L3 Switch Config (0) | 2024.06.15 |
금융권 데이터의 암호화 근거(전자금융감독규정 발췌)
제1장 제6절 전자금융업무제34조(전자금융거래 시 준수사항)
금융회사 또는 전자금융업자는 전자금융거래와 관련하여 다음 각 호의 사항을 준수하여야 한다.
1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)
2. 전자금융사고를 예방하기 위하여 비대면 전자금융거래를 허용하지 않는 계좌 개설, 중요거래정보에 대한 문자메시지 및 이메일(e-mail) 통지 등의 서비스를 이용자가 요청하는 경우, 동 서비스를 제공할 수 있도록 시스템을 갖출 것
3. 전자금융거래에 사용되는 접근매체를 발급받기 위해서는 반드시 실명확인 후 교부할 것.
4. 거래인증수단 채택시 안전성, 보안성, 이용편의성 등을 충분히 고려할 것
5. 금융회사 또는 전자금융업자는 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위ㆍ변조 여부 등 무결성을 검증할 수 있는 방법을 제공할 것
제1장 제6절 전자금융업무제36조(자체 보안성심의)
① 금융회사 또는 전자금융업자는 다음 각 호의 행위를 하고자 하는 경우 금융감독원장이 정하는 기준과 절차에 따라 보안성심의를 실시하여야 한다. <개정 2016. 6. 30.>
1. 정보통신망을 이용하여 이용자를 대상으로 신규 전자금융업무를 수행
2. 복수의 금융회사 또는 전자금융업자가 공동으로 전자금융거래 관련 표준을 제정
② 금융회사 또는 전자금융업자는 제1항에 따른 심의(이하 "자체 보안성심의"라 한다)를 마친 후 제1항 각 호의 행위를 수행한 날로부터 7일 이내에 금융감독원장이 정하는 자체 보안성심의 결과보고서를 금융감독원에 제출하여야 한다. 다만, 제1항제1호에 따른 보안성심의의 경우 신규 전자금융업무가 제공 또는 시행된 날을 기준으로 과거 1년 이내에 전자금융사고가 발생하지 않은 기관으로서 금융감독원장이 정하는 기준에 해당하는 금융회사 또는 전자금융업자는 그러하지 아니하다.
③ 금융감독원장은 제2항에 따라 제출받은 자체 보안성심의 결과보고서를 검토한 결과, 보안수준이 충분하지 않다고 인정되는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다.
④ 제2항 및 제3항에도 불구하고 다음 각 호의 기관은 제1항제1호에 따른 자체 보안성심의 결과보고서의 제출을 하지 아니할 수 있다.
1. 「우체국예금ㆍ보험에 관한 법률」에 의한 체신관서
2. 「새마을금고법」에 의한 새마을금고 및 새마을금고중앙회
3. 「한국수출입은행법」에 따른 한국수출입은행
4. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
제1장 제6절 전자금융업무
제37조(인증방법 사용기준)
금융회사 또는 전자금융업자는 전자금융거래의 종류ㆍ성격ㆍ위험수준 등을 고려하여 안전한 인증방법을 사용하여야 한다.<개정 2015. 3. 18.>
대외 기관 연결에서의 VPN 배치
위와 같이 전자금융감독규정에 따라 금융사 망의 데이터는 암호화되어야 한다.
데이터 암호화는 각 서버에서 암호회되는 전문 암호화와 VPN을 이용한 패킷 암호화로 구분할 수 있는데 서버가 늘어날 수록 키값이 늘어나고 관리가 어려운 전문 암호화보단 VPN을 이용하여 GW에서 암호화되도록 하는 방법을 선호한다.
전용선 연결이 힘들 경우(예산적 문제나 외부 센터의 문제 또는 API 통신의 경우) VPN을 이용하여 인터넷 통신으로 구성하는 방법이 있다.
가장 많이 구성하는 방식으로 전용선을 연결한 후 VPN을 연결하는 방식이다.
1. 전화 등 거래수단 성격상 암호화가 불가능한 경우를 제외한 전자금융거래는 암호화 통신을 할 것(다만, 전용선을 사용하는 경우로서 제36조의 규정에 따라 자체 보안성심의를 실시한 경우에는 그러하지 아니하다)
앞서 설명했던 전자금융감독규정 제 34조 1항에 의해서 전용선을 통한 연결도 모두 암호화가 되어야 한다.
또는 전용선 연결의 경우 VPN 없이 서버간 통신 시 종단간 암호화를 통해 연결 할 수 있다.
이때 VPN 없이 인터넷을 이용한 통신은 법령상 불가능한 것으로 알고있다.
이런 경우는 드물지만 상대 기관이 존재하는 IDC에 상면(통신, 서버 RACK이 들어가는 자리)이 부족할 수도 있고, 프로젝트 기간에 비해 VPN 도입 기간이 늦어지는 경우에 전용선 연결을 하고 SSL VPN이나 인증서 인증과 같은 종단간의 암호화 체계를 구축하여 구성할 수 있다.
※IDC들은 IDC의 상면을 타사들에 대여해줌으로서 수익구조를 생성한다.
암호화 구성이 어렵거나 종단간 암호화 방식을 사용할 시
VPN 구성이 어려워 전용선만 연결하거나, 앞서 말한 종단간 암호화를 이용할 땐 내부통제 부서에 의해 제1장 제6절 전자금융업무 제36조(자체 보안성심의) 의 조항에 따라 보안성심의를 거친 후 승인된다면 연계 구성이 가능하다.
끝.
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| Multicasting Deep Dive (0) | 2024.12.29 |
|---|---|
| 간단한 CISCO 장비 CONFIG 꿀팁 모음 (1) | 2024.12.10 |
| HSRP, VRRP 게이트웨이(Virtual IP)가 흔들린다의 의미 (4) | 2024.11.15 |
| 스위치의 프레임 처리 방식 (0) | 2024.09.16 |
| L3 스위치와 라우터의 차이, (Cisco)L3 Switch Config (0) | 2024.06.15 |
