[분석③] 금융 클라우드 전면 개방…가이드라인 개정 어떻게?
-자율 이용 vs 금융 클라우드 인증제 도입이 관건
[디지털데일리 백지영기자] 지난 15일 금융위원회가 개인신용정보 등에도 클라우드를 활용할 수 있도록 전면 개방 의지를 밝히면서 향후 가이드라인 개정 등에 관심이 쏠리고 있다.
그동안 금융권의 '퍼블릭' 클라우드 서비스 활용은 비중요정보처리시스템에 국한함으로써 반쪽짜리라는 평가를 받아왔다.
금융위가 금융 분야 클라우드 이용 확대를 위해 관련 제도 개선을 추진한다고 밝히면서 내년 1월부터는 개인신용정보 등이 포함된 인터넷뱅킹이나 빅데이터 분석 등 다양한 금융업무에 클라우드 활용이 가능할 전망이다.
이제 관건은 지난 2016년 10월 발표된 '금융권 클라우드 서비스 가이드라인'과 '전자금융감독규정' 개정이다.
금융위는 이달 중 금융감독원, 금융보안원, 금융사, 핀테크업체 등이 참석하는 태스크포스(TF)를 구성해 관련 작업을 진행할 예정이다. 개인신용정보 등 중요 정보를 외부 인프라에 위탁하는 만큼 보안 및 사고 발생 시 법적 분쟁, 감독 관할에 초점을 맞출 것으로 예상된다.
일단 금융위는 "국내에 서버를 두고 있는 클라우드 회사에 한해서만 규제를 완화하겠다"고 밝혔다. 이에 따라 KT나 네이버와 같은 국내 기업은 물론 국내에 리전(상호백업이 가능한 복수의 데이터센터)을 갖춘 아마존웹서비스(AWS)나 마이크로소프트(MS) 등 해외기업들의 서비스까지 이용 가능할 전망이다. 이밖에 오라클, 구글 등도 국내에 클라우드 서비스 제공을 위한 데이터센터 구축을 추진 중이다.
하지만 금융사가 중요정보 클라우드 이용시 안전성 관리를 강화할 수 있도록 가이드라인을 제시한 이후, 이를 토대로 국내 공공분야 클라우드에 적용되는 별도의 인증제를 도입할 가능성도 있다.
실제 금융위는 가이드라인 마련 이후 금융사가 자율적으로 클라우드 이용 여부를 결정하는 해외방식 혹은 별도의 금융 클라우드 인증제 도입 등을 검토하겠다고 밝힌 만큼 향방에 관심이 쏠리고 있다. 결국 공공분야의 적용 방식의 클라우드 인증제가 금융권에 적용될 경우, 해외기업의 서비스 제공에 제약이 생길 여지도 다분하다.
현재 국내 공공기관의 경우, 한국인터넷진흥원(KISA)의 클라우드 보안 인증을 받은 업체의 인프라(IaaS)만 사용할 수 있도록 명시돼 있다. IaaS에 적용되는 클라우드 보안 인증제에는 일반 서비스와의 네트워크 회선 분리 및 공공기관을 위한 별도의 물리적 인프라 마련과 같은 조항이 포함돼 있어 사실상 외국계 클라우드 서비스 기업이 인증을 받기는 한계가 있다. 현재 클라우드 보안인증을 받은 기업은 KT와 네이버비즈니스플랫폼(NBP), 가비아, NHN엔터테인먼트, LG CNS 등 국내기업 5곳 뿐이다.
물론 금융권에서 공공분야와 동일한 기준을 적용할지는 미지수다. 이미 많은 금융권에서 AWS 등 해외 기업의 클라우드 서비스를 고성능컴퓨팅(HPC) 등 제한한 분야나 해외법인 등에 적용한 경험이 있는 만큼, 금융위의 감독 관할 요건 등을 잘 충족한다면 굳이 클라우드 보안인증과 같은 제도를 활용한 필요는 없기 때문이다.
실제 금융위는 금융권 특화 보안기준과 관련, ▲클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정, ▲금융회사 및 위임된 제3자에게 관련 접근권 및 현장감사권 부여, ▲클라우드 서비스 중단 및 데이터 소실에 대비한 금융권 백업체계 마련, ▲취약점 분석・평가, 비상대응훈련, 통합보안관제에 필요한 제반환경 지원, ▲침해사고 및 장애 발생에 따른 보고절차 준수 및 조사・대응, ▲건물, 전원・공조, 전산실 등에 대해 금융회사 수준의 구축 및 운영 등의 예시를 제시했다.
이와 관련해선, 7월 중 출범하는 금융권 클라우드 서비스 이용 활성화를 위한 제도개선 TF를 통해 도출될 예정이다.
이와 함께 금융위는 클라우드 사용시 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해 전자금융보조업자에 대한 감독․조사 근거를 마련할 방침이라고 밝혔다. 일례로 금융회사 클라우드 이용시 주요내용 보고를 의무화한다.
‘중요정보’ 클라우드 이용의 경우 클라우드 서비스 제공자, 데이터 저장위치, 정보처리 현황(정보 유형·정보량) 등 주요사항을 감독당국에 보고하게 된다. ‘비중요정보’라도 감독당국 요청시 보고해야 할 의무가 생긴다. 여기에는 클라우드 서비스 제공자의 재무건전성, 계약의 변경사항, 비상계획 및 테스트결과 등에 대한 보고내용이 포함된다.
전자 금융보조업자에 대한 감독당국의 직접 감독·조사 근거를 마련하는 방안도 검토할 예정이다. 침해사고·장애 발생시 정확한 원인분석을 위해 자료수집 및 현장검사 등 직접 감독·조사업무 근거가 필요하기 때문이다. 현행 규정상 클라우드 서비스 제공자(보조업자)에 대한 ‘조사권’에 현장출입권 등을 부여(법 제40조제5항, 감독규정 제61조 개정)할 예정이다.
한편 내년부터 국내 소재 클라우드에 한해서만 중요정보 활용을 우선 허용하지만, 국외 소재 클라우드 활용도 중장기 과제로 검토할 계획이다.
또, 망분리의 경우 클라우드 적용으로 대상 인프라가 확대되는 만큼 망분리 예외조치에 해당하도록 가이드라인을 만들 계획이다. 서비스 제공자와 사용자 입장에서 망분리 예외조치가 가능하도록 이번 하반기에 마련될 가이드내용에 관련 내용을 담는다.
<백지영 기자>jyp@ddaily.co.kr
북한동향 자료 첨부하고 "의견 주세요"…교묘하게 속이는 공격 수법
2024-11-10 08:26:00[기로, 삼성] ① 삼성 혁신 DNA 어디로…의사결정 책임 누가?
2024-11-10 07:00:00“모르는데 어떻게 써”…현대판 ‘AI 계몽운동’이 필요해
2024-11-09 15:03:24[스마트엔터프라이즈] AI 시대 ‘데이터센터’ 국가적 과제로…활용전략에 주목
2024-11-09 11:04:17