SLA(Service Level Agreement)

문제6) 금융 클라우드 서비스를 받는 금융회사의 데이터는 가장 중요한 자산이며 민감정보를 다룬다. 금융 클라우드 SLA(Service Level Agreement)에 대하여 설명하시오

가. SLA 개념

나. 클라우드 SLA 가이드

다. 금융 클라우드 SLA 가이드

 

답)

 

1. SLA(Service Level Agreement) 의 개념

가. SLA 정의

• 정보시스템 사용자와 공급자 사이의 상호 동의에 의하여 서비스 수준을 명시적으로 정의하고 이를 문서화한 약정서

 

나. SLA 의 구성요소

구분	구성요소	설명
업무 목표	서비스 정의, 목적, 범위	공급자가 제공하는 서비스 상세 내용 정의
	기본계약서	공급자와 서비스 사용자 간의 상호 계약서
	서비스 카탈로그	제공하는 서비스의 내역과 특성을 기술한 문서
성과 지표	SOW(Statement Of Work)	SLA 의 상세 항목 업무 기술
	SLO(Service Level Object)	SLA 관리 지표 별 목표
	SLM(Service Level Measurement)	SLA 정량적 측정 방법
	SLR(Service Level Report)	SLA 보고 형식 및 방법
조정 절치	약정의 변경 절차	SLA 계약 수준 변경 절차
	서비스 유효 기간	SLA 계약의 수행 기간 갱신

 

다. SLA 의 주요지표

구분	주요지표	설명
하드웨어	서비스 가동율	서비스 시간 동안 제공 가용성 목표 비율 서비스 가동률(%) = (1- 장애시간/서비스 시간)*100
	동일 장애 발생률	기존 발생률 하드웨어 장애가 재발생된 비율 동일 장애 발생률(%) = (동일장애발생건수/총장애발생건수)*100
소프트웨어	오류 건수	소프트웨어 버그, 오작동 등 오류 발생 건수
	SR 적기 처리율	SR(Service Request)의 요청한 완료일 이내 서비스 제공 비율 SR 적기 처리율(%)=(적기 처리된 SR건 수/전체 SR건수)* 100
네트워크	네트워크 가동률	서비스 시간 동안 제공 네트워크 가용성 목표 비율 네트워크 가동률(%) = (1-장애시간/네트워크 가동시간)*100
	네트워크 장애 건 수	스위치, 라우터 등의 문제로 발생된 장애건수
고객 만족도	고객 만족도 점수	정보시스템 사용자(고객) 만족도 점수(100점 만점)
SLA 관리 성과를 높이기 위한 Penalty/Incentive, SIP, Annual Reset 관리체계 존재

 

2. 클라우드 SLA 가이드

가. 클라우드 SLA 가이드 개요

• SLA 작성 시 제공자와 이용자가 고려해야 할 서비스 항목(가용성, 백업고객 지원 등)과 목표 수준을 제시한 지침서
• 클라우드 SLA 가이드를 통해 서비스의 수준이 명확히 제시되면, 이용자의 경우 클라우드에 대한 막연한 불안감을 해소하고, 서비스 업체의 경우 품질에 기반한 경쟁을 유도할 수 있을 것으로 기대

 

나. 클라우드 SLA 가이드 개요

항목	설명
서비스 가용성	갑작스런 클라우드 서비스 장애로 인해 서비스가 중단되는 우려를 최소화하기 위해 서비스 가용성 기준(99.5% 이상)을 제시 서비스 제공자가 통제하기 어려운 외부 N/W 로 인한 장애는 제외하며 천재지변, 전쟁사변 그 밖의 불가 항력이나 이용자의 고의 도는 과실로 인하여 발생한 장애는 면첵 가용성(%) = (클라우드 서비스에 접속이 가능한 시간 실제(가동시간)/정해진 서비스 운영 시간(예정 가동시간))*100 장애허용시간 월 3.6시간 이내 = 가용성 99.5% 이상
데이터 백업·복구 및 보안	이용자의 데이터를 외부의 데이터 센터에 저장하는 만큼 데이터가 손상되거나 유실될 경우에 대비하여, 백업이 99%(계획대비)이상이 되도록 백업 준수율을 제시 실제 데이터가 손실될 경우 일정 시간 이내에 복구할 수 있도록 필요한 측정 항목들을 제시 백업준수율(%)=(실시된 백업건수 /계획된 총 백업 건수)*100 해킹악성 코드 감염 등 클라우드에서의 보안 위협에 대한 우려가 증가하고 있는 만큼 서비스, 제공업체가 계약 시 보안 지침이나 인증 내역 예(ISMS) 등을 사전에 제시하도록 하여 이용자의 신뢰를 높이도록 가이드
고객 지원	고객 지원에 대해서는 클라우드 서비스가 하드웨어소프트웨어 등 IT 자원을 빌려 쓰는 서비스이므로 상시적인 고객 지원이 중요한 만큼 서비스와 관련하여 고객 요청이 있는 경우 최대한 모든 요청을 조속히 처리하도록 제시 고객 요청 처리율(99%이상), 서비스 요청 적기 처리율(=99% 이상) 등을 규정하여 고객 불만 등에 대한 처리 기준 제시 고객요청처리율(%) = (고객요청 처리 건수/고객요청 접수 건수)*100(99%이상) 서비스 요청 적기처리율(%) = (완료예정일 이내 처리한 서비스 요청 건수/측정기간 동안 완료예정인 서비스 요청 건수)*100(99%이상)
위약금	SLA 에서 정한 서비스 목표 수준에 미달하는 경우 서비스 제공자가 고객에게 위약금을 지불하도록 명시 가용성의 경우 위약금에 대한 해외 클라우드 기업(구글, 아마존, MS 등)의 일반적 기준을 제시하여 글로벌 수준으로 유도
서비스 계약의 해지	원칙적으로 클라우드 이용자가 자유로이 계약을 해지할 수 있도록 하고 해지 후 데이터 처리(일정기간 보관, 파기, 반환 등)에 대해 협의를 통해 규정하도록 함 계약 당사자가 계약상의 의무를 중대하게 위반하거나 반복적으로 불이행하는 경우, 위약금 없이 클라우드 서비스 계약을 해지 가능
많은 기업들이 클라우드 SLA 가이드에 따라 SLA 를 마련하여 서비스를 제공할 수 있도록 이용 확산 추진 중

 

3. 금융 클라우드 SLA 가이드

가. 금융 클라우드 SLA 가이드 개요 및 절차도

개요	금융회사 또는 전자금융업자(이하 '금융회사')가 전자금융감독 규정(이하 '감독규정') 제 14조의2에 따라 클라우드 컴퓨팅서비스(이하 ' 클라우드 서비스')를 이용하고자 할 경우 요구되는 세부절차를 안내하고 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 보안사항을 권고하는 것을 목적으로 하는 지침서, 본 가이드는 금융회사가 클라우드 서비스를 이용함에 있어 적절한 보안 대책을 수립· 운영하기 위해 활용할 수 있다
절차도	<클라우드서비스 이용 절차도>
금융회사는 클라우드서비스 이용 시 절차에 따라 필요한 조치를 수행함으로써 감독규정 제14조의2(클라우드 서비스 이용 절차)를 준수하고 적절한 보안수준을 확보하여야 한다

나. 금융 클라우드 SLA 가이드 구성

단계		필요조치	설명
사전준비	업무 선정 및 평가	이용 대상 정보처리업무 선정	금융회사는 정보처리 업무 중 정보처리의 규모, 클라우드 서비스 이용에 따른 비용절감, 업무 효율성 증가 등을 종합적으로 검토하여 클라우드 서비스 이용 여부를 결정하여야 한다.
		이용 대상 정보처리업무 중요도 평가	금융회사는 해당 업무가 취급하는 정보의 중요도, 클라우드 서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향 등을 바탕으로 중요도 평가를 수행하여야 한다
	계획 수립	업무 연속성 계획 및 안전성 확보조치 방안 수립	금융회사는 클라우드서비스 이용에 따른 업무연속성 계획, 안전성 확보 조치 방안 등을 수립하여야 한다 특히, 업무 연속성 계획에는 금융회사의 클라우드 서비스 이용 중단 또는 종료 시 데이터의 반환 및 파기 절차, 위탁계약의 종료, 중단, 변경 시 데이터 반환·파기에 관한 사항 등(이하 출구전략)이 반영되어야 한다
		업무 위수탁 기준보완(클라우드 서비스 이용관련)	금융회사는 중요도가 높은 업무의 위탁을 추진하는 경우 감독규정 별표 2의 3(업무 위탁 운영기준 보완사항)의 내용을 내부 업무 위수탁 기준에 반영하고 준수하여야 한다
	계약준비	클라우드 서비스 제공자의 건전성·안전성 등 평가	금융회사는 계약 준비단계에서 클라우드서비스 제공자의 건전성과 안전성을 평가하여야 하며, 평가결과에 따라 보완조치를 요구하거나 다른 클라우드서비스 제공자를 대상으로 신규 평가 실시 등을 추진할 수 있다.
		정보보호위원화 심의·의결	금융회사는 업무추진 과정의 객관성·공정성 제고, 책임인식 강화를 위해 다음 사항을 정보보호위원회에서 심의·의결하여야 한다 자사 정보처리업무의 중요도 평가결과 클라우드서비스 제공자의 건전성·안전성 등 평가결과 자체 업무 위수탁 운영기준
계약 체결		클라우드 서비스 이용 계약 체결	금융회사는 클라우드서비스 이용 계약 체결 시 감독규정 별표 2의 3중 위수탁 계약서 주요 기재사항을 반영하여야 한다 특히 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무 이전·반환 등에 관한 사항이 누락되지 않도록 하고 금융 회사의 클라우드 서비스 이용 관련 금융당국 검사·감독이 원활하게 수행될 수 있도록 금융당국의 조사·접근(데이터 센터 등 현장방문 포함)에 협조할 의무를 반드시 명시하여야 한다
보고 및 이용		관련 서류 구비 및 금융당국 보고	클라우드 서비스를 이용하고자 하는 모든 금융회사는 클라우드 서비스 이용과 관련하여 다음의 서류를 구비하여야 한다 금융회사의 정보처리 업무의 중요도 평가 기준 및 결과 클라우드서비스 이용 관련 업무연속성 계획 및 안전성 확보 조치 클라우드 서비스 이용 관련 정보보호위원회 심의·의결 결과 이용 대상 정보처리업무 중요도 평가 결과 중요도가 높은 업무에 대해서는 클라우드 서비스를 실제 이용하려는 날의 7일 영업일 이전에 금융 감독원장에게 상기 서류를 보고하여야 한다
		서류 최신성 유지 및 수시보고	금융회사는 클라우드서비스 이용 관련 서류를 최신 상태로 유지하고, 금융감독원장 요청 시 지체 없이 제공하여야 한다 금융회사는 다음의 변경사항이 발생하는 경우, 발생일로부터 7일 영업일 이내에 발생 사유, 관련 자료 및 대응 계획을 포함하여 금융감독원장에게 보고하여야 한다 클라우드서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드서비스 이용 계약에 중대한 변경사항이 발생한 경우 클라우드서비스 제공자가 서비스 품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우 이용 대상 정보처리업무의 중요도 평가 기준·결과, 업무 연속성계획 및 안전성 확보조치에 관한 중대한 변경사항이 발생한 경우
		리스크 관리	금융회사는 클라우드서비스 이용 시 사전에 수립한 업무연속성 계획 및 안전성 확보조치 등을 준수하여 리스크를 관리하고, 필요 시 클라우드 서비스 제공자에게 협조를 요청하여야 한다
이용종료		출구 전략 이행	금융회사는 클라우드서비스 이용이 종료(업무 장애·지연 등으로 인한 일시적 서비스 이전 등 포함)되는 경우 사전 수립된 출구 전략에 따라 적절한 조치를 취해야 한다
금융 클라우드 서비스 사용 사 본 가이드 활용 시 가이드 활용하여 진행 필요

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥