핵심 업무의 정의와 비상계획

민감한 지급결제 정보의 저장, 감 시, 추적 및 접근통제 절차(g호)에 대해서는 서 비스를 제공하는 과정에서

민감한 지급결제 정 보의 흐름과 정보를 이용하는 대상 등을 정확 히 파악하고, 모니터링․접근통제․암호화

등 보호 수단을 보유하며, 정보의 유출을 탐지하 고 조치할 수 있는 방안을 확보하는 등 10개의 가이드를 제

시하고 있다. 다만, 지급결제지시 서비스만 제공하는 기관에 대해서는 동 요건 중 민감한 지급결제 정보의

저장 체계와 정보 의 내․외부 이용 대상에 대한 요건은 적용하 지 않도록 제시(가이드라인 10.1(e), (f))하고

있 는데, 이는 PSD2 제66조 제e호에서 지급결제지 시서비스 제공자는 민감한 지급결제 정보를 저 장하지

못하도록 규정하였기 때문이다. 세 번째로, 핵심 업무의 정의와 비상계획의 수립 및 비상계획에 대한 주기적

인 타당성․효 율성 평가(h호)에 대해서는 서비스 제공 중에 재난 등 비상 상황에서 업무 연속성을 확보하 는

것에 관한 5개의 가이드를 제시하고 있으며, 업무 영향 분석(business impact analysis)을 근거로 복구시간

등 목표 수준을 설정하고 필 요한 IT인프라를 확보하며, 핵심 시스템에 대 한 조치 계획을 수립하고, 재난 대

응 및 복구 계획 등의 지속적인 평가․개선 체계를 보유하 도록 요구하고 있다. 네 번째로, 상세한 위험평가

및 보안위험으 로부터 서비스와 중요 정보를 보호하기 위한 보안수단(j호)에 대해서는, 제공하려는 서비스

에 대한 위험평가를 실시하고, 이상금융거래 등 식별된 위험에 대한 보안통제 및 위험 완화 수단을 보유하

며, 정보시스템과 네트워크 등 IT인프라를 확보하고 물리적 보안체계를 구축 하며, 내․외부로부터의 접속에

대한 통제․보 안 체계 등을 보유하도록 요구하고 있다. 즉, 위험평가에 기반하여 금융서비스 제공 시 기관 이

직면할 수 있는 내․외부의 보안위험으로부 터 자산과 이용자를 보호할 수 있는 논리적․ 물리적․관리적 보안

체계를 보유하도록 요구 한 것이다. 유럽연합은 PSD2 제95조 제1항과 제2항에 서 지급결제지시서비스 제

공자와 계좌정보서 비스 제공자를 포함한 서비스 제공기관에 대하 여 제공하는 서비스와 관련한 보안위험

을 통제 하고 관련 사고에 대응할 수 있는 체계를 구축 할 의무를 부과하고 있으며, 연 1회 이상 종합적 인 위

험평가 결과와 식별된 위험에 대한 대응 체계를 금융당국에 보고하도록 하여, 보안위험 대응체계의 지속적

인 개선과 효율성 확보 등을 도모하고 있다 그리고 제95조 제3항에서는 EBA에 대하여 추가적인 가이드라

인을 제시하도록 규정하고 있는데, 이에 따라 EBA는 2017년 12월에 해당 가이드라인[6]을 발표하였다. 가

이드라인은

과 같이 전체 8개의 내용을 세 가지 로 분류하여 ① 보안위험관리프레임워크에 관 한 5개 내용, ② 보안위험

관리프레임워크의 평 가․개선에 대한 2개 내용, 그리고 ③ 이용자 관계 관리를 통한 보안위험의 완화에 관한

1개 내용을 제시하였고[4], 이는 금융시장에서 이용 자가 신뢰할 수 있는 서비스를 제공하는데 필 요한 보안

위험 대응체계와 업무 연속성을 확보 하고 조직 차원에서 이를 지속적으로 향상시킬 수 있는 절차를 보유하

도록 하기 위한 내용으 로 해석할 수 있다 특히 위험평가 요건을 보안위험관리프레임 워크에 별도 항목으로

포함하고 있으며, 이후 다른 항목에서 접근통제 대상의 중요도 판단, 업무 연속성 확보를 위한 핵심 대상 선

정, 보안 수단 시험을 위한 핵심 시스템 선정 등을 동 위험평가 항목에 근거하도록 명시적으로 제시 하고 있

는 등 대상 기관이 위험평가에 기반하 여 보안위험 대응체계를 구축하도록 하고 있다.

출처 : 사설토토 ( https://ptgem.io/ )

댓글 남기기