CrowdStrike Falcon 도입 검토서

위험도 스코어카드

데이터 전송10

한국 서버에서 처리. 명시 없음. 한국 리전 유무 명시 없음

개인정보40

모델 학습 미사용 또는 Opt-out 가능. 삭제 정책 미명시

지적재산75

입력 데이터 소유권 미명시. 생성물 권리 미명시

보안60

암호화 적용

컴플라이언스80

한국법 관련 조항 없음. 금융권(은행) 추가 규제 적용

허용 전제조건

입력 데이터/생성물 권리 관련 별도 계약 체결
SOC2/ISO27001 인증 확인. SSO+감사로그 활성화
개인정보보호법 제28조의8 국외 이전 동의 절차 마련

금지 조건

감사로그 미지원 시 규제 대상 업무에 사용 금지

PoC 가능 범위

현재 조건에서는 PoC도 권장하지 않음

본운영 전 필수 조치

없음

데이터 분류별 판정

일반정보금지

개인정보금지

신용정보금지

영업비밀금지

소스코드금지

배치 환경

SaaS가능 (기본)

VPC미지원

On-Premise미지원

폐쇄망미지원

관리자 통제 항목

SSO미확인

RBAC미확인

감사로그미확인

관리자승인미확인

데이터보존정책지원

암호화지원

SOC2미확인

ISO27001미확인

계약 검토 항목

책임제한명시 없음

손해배상명시 없음

데이터삭제명시 없음

하위처리자명시 없음

준거법명시 없음

학습활용명시 없음. Opt-out 가능 여부 명시 없음

Opt-out가능

이용약관 분석 [원문]

데이터 활용명시 없음. AI 모델 학습 포함 여부 명시 없음

서버 위치명시 없음. 한국 리전 유무 명시 없음

학습 활용명시 없음. Opt-out 가능 여부 명시 없음

GDPR아니오

개인정보처리방침 분석 [원문]

데이터 수집비즈니스 연락처 정보 (성명, 직책, 회사명, 근무 주소, 이메일, 전화번호), 기술 및 디바이스 정보 (IP 주소, 브라우저, 디바이스 ID, 로그인 자격 증명), 금융 및 구독 정보 (신용카드 번호 등), 오디오 및 시각 데이터 (이벤트 녹음, 사진, 전문 바이오그래피), 쿠키 및 분석 데이터, 피드백 데이터, 캘리포니아 소비자 관련 정보 (상업 정보,

데이터 활용웹사이트 및 소셜 미디어 플랫폼 기능 개선, 사용자 경험 커스터마이징, 타겟 광고 제공, 사용자 식별, 집계 메트릭 모니터링, 위협 탐지 및 자동 보호 제공, 기술 지원, 교육, 인시던트 대응 및 조사 서비스 제공. AI 모델 학습에 대한 명시적 언급은 없음.

보관 기간원문에 명시된 구체적인 보관 기간 없음.

삭제 정책개인정보 처리 선호도 관리를 통해 선호도를 관리할 수 있다고 명시되어 있으나, 구체적인 삭제 요청 절차나 권한에 대한 명시적 내용은 제한적임.

서버 위치원문에 명시된 서버 위치 및 한국 리전 유무 없음. EU 대표 기관 (CrowdStrike GmbH) 정보 제공.

제3자 제공제3자 서비스 제공자, CrowdStrike 파트너사 (예: 마켓플레이스 판매자) 와 공유 가능. 타사 웹사이트로의 링크 시 해당 사이트의 정책이 적용됨.

학습 활용AI 모델을 통한 서비스 제공 언급은 있으나, 개인 정보를 AI 모델 학습에 활용하는지에 대한 명시적 내용 및 opt-out 가능 여부는 명시되지 않음.

입력 소유권원문에 명시된 사항 없음.

생성물 권리원문에 명시된 사항 없음.

암호화원문에 명시된 암호화 방식 없음.

사고 통보원문에 명시된 침해 사고 통보 의무 사항 없음.

GDPR예

한국법 조항한국법 관련 조항 유무 및 내용은 명시 없음.

적용 법령 (은행 권역)

법률

- 은행법

- 금융실명거래 및 비밀보장에 관한 법률

- 전자금융거래법

- 개인정보 보호법

- 신용정보의 이용 및 보호에 관한 법률

- 특정 금융거래정보의 보고 및 이용 등에 관한 법률

시행령

- 은행법 시행령

- 전자금융거래법 시행령

- 신용정보법 시행령

감독규정

- 은행업감독규정

- 전자금융감독규정

- 금융회사의 정보처리 및 전산설비 위탁에 관한 규정

가이드라인

- 금융분야 클라우드 및 AI 이용 가이드라인

- 금융분야 개인정보보호 가이드라인

- 금융분야 마이데이터 기술 가이드라인

조직 유형별 판정

스타트업도입 가능

중견기업도입 가능

대기업조건부 가능

공공기관조건부 가능

금융기관-은행도입 불가

금융기관-증권도입 불가

금융기관-보험도입 불가

금융기관-핀테크조건부 가능

검토 체크리스트 (은행 권역)

검토 항목	요구 수준	판정	비고
정보보호
개인정보 국외 이전 적정성	개인정보보호법 제28조의8 준수	충족	한국 서버/리전 가용
데이터 암호화 (전송 중/저장 시)	TLS 1.2+ 및 AES-256 이상	미확인
접근 통제 및 인증	SSO/MFA 지원 또는 별도 통제 방안	미확인	SSO 지원 여부 확인 필요
감사 로그 제공	사용자 활동 로그 90일 이상 보관	미확인
침해 사고 통보 체계	사고 인지 후 72시간 내 통보	미확인
개인정보
개인정보 수집/이용 동의	목적 명시, 최소 수집 원칙	미확인
AI 학습 데이터 활용 여부	Opt-out 가능 여부 확인	충족	Opt-out 가능
데이터 삭제 요청 대응	사용자 요청 시 삭제 가능	미확인
제3자 제공/위탁 현황	서브프로세서 목록 확인	미확인
법무
입력 데이터 소유권	사용자 귀속 명시	미확인
AI 생성물 저작권/권리	사용자 귀속 또는 명확한 조건	미확인
책임 제한 조항	손해배상 범위 검토	미확인
준거법 및 관할	분쟁 시 관할권 검토	미확인
아키텍처
서버 위치/데이터 상주	한국 리전 가용 여부	미확인
배치 환경 적합성	SaaS/VPC/온프레 지원 여부	미확인
기존 시스템 연동	API/SSO/LDAP 연동 가능 여부	미확인
금융규제
전자금융감독규정 제14조의2 클라우드 이용 기준	금감원 사전 보고 또는 준수 확인	미확인
금융분야 클라우드 이용 가이드라인 충족	비중요 업무 / 중요 업무 구분	미확인	수동 확인 필요
고객 신용정보 처리 여부	신용정보법 제17조 동의 절차	조건부	해당 데이터 입력 시 별도 검토 필요
금융실명법 적용 데이터 여부	실명 확인 정보 외부 전송 금지	조건부	해당 데이터 입력 시 별도 검토 필요
특금법 적용 여부 (AML/KYC)	자금세탁방지 데이터 외부 처리 금지	미확인	수동 확인 필요
망분리/VDI 환경 적합성	내부망에서 사용 가능 여부	미충족	SaaS 전용, 내부망 사용 불가
IT 아웃소싱 위탁 규정 준수	정보처리 위탁 계약 체결	미확인	수동 확인 필요