지난 2018년 12월 31일, 금융보안원에서 ‘금융분야 클라우드컴퓨팅 서비스 이용가이드’와, ‘금융권 오픈API 이용기관 자체 보안점검 가이드’를 발표하였다. 클라우드컴퓨팅 서비스 이용 가이드의 경우, 국내 금융 산업의 클라우드 규제완화에 대한 건의가 각 업계에서 제기되어 왔다. 2018년 7월에는 금융위원회가 비중요 정보뿐만 아닌, 개인 신용정보를 포함한 중요 금융 정보 또한 외부의 클라우드 환경에서도 운영이 가능하도록 허용하는 내용의 전자금융감독규정 개정안을 준비중임을 발표하였다.

이 개정안은 동년 12월 심의 및 의결이 완료되었고, 2019년 1월 1일부터 시행이기에 구체적으로 어떤 내용의 가이드가 준비 될지 금융권과 클라우드 기업 모두 관심있게 지켜보고 있었다.

금융보안원은 안전하고 신뢰할 수 있는 금융 환경을 조성하여 금융 산업 발전에 기여하기 위해 2015년 4월에 설립된 사단법인이다. 기존의 금융보안연구원과 금융결제원의 금융ISAC, 코스콤의 증권ISAC 부문이 통합하여 출범하였다.

이 기관의 전신인 금융보안연구원은 금융권 해킹사고 예방 및 대응을 위한 취약성 분석 및 점검이 주 업무였고, 나머지 두개 기관의 ISAC(Information Sharing & Analysis Center: 정보 공유 및 분석 센터)은 해킹 및 사이버테러 등 전자적 침해행위에 관한 정보를 분석하고 침해사고 발생 시 대응 요령 등을 담당하였다. 금융보안원은 전문 금융 보안 인력들이 금융 산업 실정에 맞게 금융보안서비스를 제공하고 있는 기관인 것이다.

클라우드 서비스 이용 가이드의 주요 내용

‘금융분야 클라우드컴퓨팅서비스 이용가이드’에는 금융사가 클라우드 서비스를 사전에 준비하고, 클라우드 제공자를 선정하고, 계약 체결 후 금융당국에 보고 및 서비스 종료에 이르기까지의 자체적으로 준비하고 실행해야 할 항목에 대해 자세히 명시하고 있다.

클라우드서비스 이용 절차도, 자료제공 = 금융보안원
클라우드서비스 이용 절차도, 자료제공 = 금융보안원

우선 눈에 띄는 부분은 금융권 및 핀테크 업체들이 기다려온 중요 정보에 대한 클라우드 사용 가능성에 대한 것이다. 금융분야 특수성을 반영한 안전성을 확보한다면, 클라우드서비스를 통해 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 계좌번호 등)와 개인신용정보 등이 제공될 수 있음이 포함되었다. 즉, 2018년까지는 금융권의 클라우드 사용이 금융 본연의 업무 보다는 내부 직원용 인트라넷 혹은 비금융 서비스에 제한적으로 사용되었던 족쇄가 드디어 풀린 것이다.

혹시라도 발생할 수 있는 문제에 대한 대비책으로 각 기관이 스스로 중요도를 평가하는 부분을 명확히 하고, 중요도가 높은 업무 위탁의 경우 업무위탁 운영기준 보완 사항에 대한 내용을 반영하고 준수하도록 명시하였다.

또한 클라우드서비스 이용은 정보를 제공하는 것이 아닌, 아웃소싱과 같은 형태의 위탁 처리하는 것이라고 명시하였다. 즉, 클라우드는 업무 위탁에 해당하며, 클라우드 서비스 제공자는 제한적 감독을 받는 전자금융보조업자에 해당한다. 위탁업무 이지만 예상치 못한 클라우드 이슈로 인해 발생하는 실제 금융 고객의 손해에 대해서는 금융사는 1차적 손해배상 책임의 주체이고, 클라우드 제공자는 연대배상책임을 부담하게 된다.

클라우드 서비스 이용 대상 선정

이번 가이드에서 금융보안원은 금융권의 클라우드 서비스로의 이전이 가능한 이용 대상 선정에 대해서 설명하고 있다.

① AI, 빅데이터 등의 신기술 활용으로 대량의 컴퓨팅 자원이 단기간 요구되는 경우
② 신규 또는 파일럿 서비스를 구축해야 하나, 시스템 사용량 규모에 대한 사전 예측이 어려운 경우
③ 시스템 사용량의 변동이 매우 큰 서비스의 경우
④ 짧은 시간 안에 구축이 필요하거나 기술 변화에 대한 민첩한 대응이 요구되는 경우
⑤ 사전 테스트 등 임시적으로 대용량의 시스템이 필요한 경우
⑥ 클라우드서비스 도입 또는 전환에 필요한 초기 투자비용보다 클라우드서비스 이용에 따른 운영 비용 절감이 더 크다고 판단되는 경우
⑦ 자체 시스템을 안전하게 보유, 운영할 역량이 부족하나, 내부 운영 인력 등이 클라우드서비스 이용에 필요한 역량을 충분히 갖추고 있는 경우
⑧ 기타 금융회사의 전략 이행을 위해 필요하다고 판단되는 경우

다만, 금융 회사의 핵심 업무 수행을 위한 정보처리에 대해서는 클라우드 사용을 통한 효율성이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려해야 한다고 권고하고 있다.

클라우드 서비스 이용 시 업무 연속성과 안전성의 확보

클라우드 서비스 계획 수립 시, 외부에 노출된 클라우드 서비스 특성에 맞게 관련 보안 위협에 대해 업무 연속성 계획 및 안전성 확보 조치 방안도 수립하도록 하였다.

보안 위협 예시 및 안전성과 업무 연속성 확보 방안, 자료제공 = 금융보안원
보안 위협 예시 및 안전성과 업무 연속성 확보 방안, 자료제공 = 금융보안원

업무 연속성 확보 부분에서는 출구 전략 수립에 포함되어 있다. 클라우드서비스 제공자의 서비스 중단, 서비스 품질 저하 혹은 금융사의 필요에 따른 클라우드 이용 중단 등을 대비한 서비스 전환 및 종료에 대한 전략을 사전 수립하고 문서화 하도록 한다. 출구 전략 수립이 업무 연속성 계획에서 포함되어 강조가 된 것은 클라우드 서비스 결함에 의한 국내 업체들의 피해에 대한 여론이 어느 정도 영향을 주었을 것이라 생각된다.

클라우드 서비스 제공자 평가 기준

국내외 많은 클라우드 서비스 제공사들이 궁금해 하는 업체 평가 방식 또한 공개되었다. 중요 업무를 처리하는 모든 시스템과 관리시스템은 국내에 설치돼야 한다는 내용도 담고 있다. 이는 사고 발생 시 법적 분쟁, 소비자 보호, 감독 관할 등이 고려된 것이다. 금융회사는 중요도 평가 결과와 자체 업무 위수탁 운영 기준 및 클라우드서비스 제공자 평가가 완료되면 그 결과를 정보보호위원회를 개최하여 심의 및 의결하도록 명시하였다.

구체적인 평가 항목으로는 클라우드 서비스 제공자가 준수해야 할 일반적 보안 기준인 “기본 보호조치"와 금융분야 특화 기준인 “금융부문 추가 보호조치"로 나뉜다. 기본 보호조치 항목은 과기정통부 주관 클라우드서비스 보안인증제(CSAP)의 일부 항목이 포함된다. 기본 보호조치 평가항목은 기존에 이미 CSAP 인증을 취득했거나, 이에 준하는 외국의 인증 - FedRAMP(미국), CSA STAR(글로벌 협회), MTCS(싱가포르) 등을 확보한 업체의 경우 생략 가능하다.

클라우드서비스 제공자, 무엇을 준비해야 하나?

가이드에 따라 클라우드서비스 제공자는 평가 항목에 준한 준비가 되어있어야 한다.
계약 준비 사항에 포함된 클라우드서비스 제공자 평가 항목 중, 고유식별정보 또는 개인신용정보를 처리하는 업무의 경우, 해당 정보를 처리하는 모든 시스템과 관리 시스템은 물리적으로 국내에 설치해야 한다는 조항이 있다. 즉, 금융사의 비즈니스 프로세스를 처리하고 데이터를 저장 및 백업하는 시스템은 모두 국내에 있어야 한다는 것이다.

이미 국내 센터를 마련한 AWS, 마이크로소프트, IBM 등이 대상이 될 수 있음을 명시한 것도 돋보이는 부분이다. 국내에 진출한 해외 클라우드사의 경우, 국내 리전을 준비중이거나, 국내 리전이 이미 존재하더라도 국내 서버들의 용량과 가용성에 문제가 생겼을 때 다른 국가의 서버로 서비스를 이전하는 이중화 방식 등이 업체마다 다양하다. 때문에 얼마나 빠르게 가이드라인에 맞게 국내 서비스만을 위해 조정할 수 있는지가 관건이다.

또한 감독당국 또는 내외부 감사인의 조사 및 현장 방문에 대한 접근 수용, 비상대응훈련 등의 협조, 출구 전략 이행을 위한 명시 사항 등에 대해 협조할 수 있도록 준비가 되어 있어야 한다.

참고자료로 포함된 Q&A란에서는 그 동안 논란이 돼왔던 클라우드 허용에 또한 보안성 저하 우려에 대한 방안, 최근 클라우드 장애 사고에 대한 대책안과 법적 책임의 범위 등이 명확이 정의가 되었다. 특히 외국계 클라우드 사업자가 준수해야 할 내용 등에 대해 상당히 구체적으로 예시돼 있다. 이는 공공기간에서 특정 해외 업체의 독과점을 우려한 내용을 반영한 것이다.

이번 가이드라인은 클라우드 도입을 준비하고 있는 금융사와 클라우드 서비스를 금융권에 제공하고자 하는 클라우드 서비스 제공사 모두에게 의미가 있다. 다만 몇가지 제한적 사항이 아직 포함되어 있는데, 최근 클라우드 장애 사례처럼 국내에만 문제가 생기는 경우를 대비해 해외 지역을 포함한 이중화를 계획할 때 중요 정보의 경우 불가능하다고 볼 수 있다. 멀티클라우드 전략 혹은 기존 레거시 시스템과 병행 운영해야 하는 등의 숙제는 여전히 남아 있다.

국내 클라우드 사업자가 국내 고객만을 위해 제공하는 별도의 존(zone)이 있다. 그러나 일반적인 퍼블릭 클라우드 서비스는 물리적 망분리 및 대체방안을 위한 변화가 어렵고 인프라 자체가 가상화 기술이 적용돼 있다. 때문에 이번 가이드에 명시된 물리적 위치 조항에 대해 클라우드서비스 제공사들가 어떻게 준비할 지 주목된다. 금융사의 경우 클라우드 도입 이후 IT 운영 조직과 인력, 자체 보안 규정에 대한 변화를 이번 가이드에 맞게 준비해야 할 것이다.

강상진 sangjinn@gmail.com 필자는 삼성SDS와 마이크로소프트를 거쳐, 현재는 CDN(Content Delivery Network)과 클라우드 보안 전문 기업인 아카마이 테크놀로지스(Akamai Technologies)에서 웹 성능 제품을 담당하고 있다. 다양한 IT 기술을 글과 컨퍼런스, 교육을 통해 많은 이들에게 전달하고 공유하며, 상호 작용하는 IT 엔지니어의 삶을 즐기고 있다.

(*이 칼럼은 Nextdaily의 편집방향과 다를 수 있습니다.)

저작권자 © 넥스트데일리 무단전재 및 재배포 금지