이번 가이드라인에서 가장 주목할 부분은 금융회사가 클라우드 도입 시 자체적으로 중요도 평가 기준을 수립하고 클라우드 서비스 이용 대상 업무에 대해 중요도 평가를 실시해야 한다는 점이다.

즉, 클라우드 서비스 제공자 평가는 기본적으로 금융회사가 수행 주체이며, 클라우드 서비스 제공자의 고의·과실은 금융사의 책임으로 간주된다. 이때 클라우드 서비스 제공자는 ‘잔자금융 보조업자’로서 제한적인 감독을 받게 된다. 금융사 요청시 금융보안원이 안정성 평가를 지원할 수도 있다. 결국 클라우드 서비스 이용으로 인한 책임은 클라우드 서비스 업체가 아닌 금융사가 지게 되는 구조이기 때문에 안전한 클라우드 서비스를 선택하는 것이 관전 포인트다.

신용녀 한국마이크로소프트 국가최고기술임원(NTO, 이사)은 지난 21일 <디지털데일리>가 쉐라톤 서울 디큐브시티 호텔에서 개최한 ‘클라우드 임팩트 2019 컨퍼런스’ 컨퍼런스에서 ‘금융권 클라우드 가이드라인을 위한 애저(Azure) 보안 전략’을 주제로 자사 클라우드의 강점을 강조했다.

현재 금융권의 안정성 평가항목기준은 크게 클라우드 서비스 제공자가 준수해야 할 일반적인 보안기준을 제공하는 ▲기본보호조치, 금융분야 특화기준을 받은 ▲금융부문 추가 보호 조치 2가지로 나눠져 있다.

기본보호조치에는 정보보호 정책 및 조직, 인정보안, 자산관리, 서비스 공급망관리 등 서비스형 인프라(IaaS) 및 소프트웨어(SaaS)에 대한 관리적인 보호조치 내용이 담겨있다.

다만 과학기술정보통신부가 주관하는 클라우드 서비스 보안인증제(CSAP)나 미국의 페드람프, 싱가포르의 MTCS, 클라우드 시큐리티 얼라이언스(CSA)에서 주관하는 CSA STAR인증을 취득한 경우에는 ‘기본보호조치’ 평가를 생략할 수 있다.

신 이사는 “MS 애저 클라우드 데이터센터 서울 리전의 경우, CSA 스타 인증이 적용돼 있어, 기본보호조치는 생략할 수 있다”며 “금융부문 추가보호조치의 경우, 지난해 획득한 정보보호관리체계(ISMS) 인증으로 대응하고 있다”고 밝혔다. MS 애저는 지난해 11월 아마존웹서비스(AWS)에 이어 외국계 기업 가운데선 두 번째로 ISMS를 획득했다.

그는 “MS는 전세계 70여개 이상 데이터센터를 표준화된 환경으로 운영하고 있지만, 국내 인증이 없는 것에 대해선 계속해서 질타를 받아왔다”며 “본사에서 직접 ISMS를 획득하면서 이를 어느 정도 해소했다”고 말했다.

현재 금융보안원이 제시한 금융부문 추가보호조치를 살펴보면, 기본보호조치 항목과는 별도로 금융회사가 전자금융감독규정 등 법규 준수를 위해 꼭 필요한 사항을 지원·협조받을 수 있는지를 평가한다.

클라우드 서비스 제공업체의 재무건전성 평가를 비롯해 ▲사고 보고 및 분석 수행 절차 확보, ▲금융권 통합보안관제 수행 체계 지원, ▲취약점 분석평가 수행 체계 지원, ▲합동비상대응 훈련 지원, ▲건물·전원·전산실 금융회사 수준 구축, ▲전산자료 보호, ▲이중화 및 백업체계 구축, ▲해킹 등 방지대책 등이 주요 내용이다.

그는 이어 “금융부문 추가보호조치는 가짓수는 몇 개 안되지만 내용을 살펴보면 무척 구체적”이라며 “위험관리, 관리체계 점검 및 개선, 물리보안, 인증 및 권한관리, 접근통제, 암호화 적용, 사고예방 및 대응, 재해복구 등 고객 책임 영역의 보안인증을 받을 경우, MS 애저의 ISMS 보안통제 항목을 통해 면제받을 수 있다”고 설명했다.

예를 들어 물리 보안통제의 경우, 보호구역지정부터 출입통제, 정보시스템 보호, 보호설비 운영, 반출입 기기 통제, 업무보안 환경까지 ISMS 인증을 통해 입증할 수 있다. 신 이사는 “MS 미국 리전의 경우 자연재해에 대비해 보안설비적인 측면에서도 노하우를 갖고 있는데, 이를 한국리전에도 적용돼 있다”고 말했다.

이밖에 애저 포털을 이용한 정보자산 식별, 애저 폴리시(정책)를 통한 보안 위험관리, 애저 IAM(Identitiy & access management)을 활용한 인증 및 권한관리도 구현할 수 있다. 신 이사는 “특히 데브섹옵스(DevSecOps 측면에선 개발 환경에서 안전한 매커니즘을 보유했는지 애저 자체의 시큐어코딩 수검을 받을 수 있다”고 말했다.

애저 폴리시에서도 일관된 리소스 관리가 가능하다. 저스트인타임(JIT) 접근을 통한 호스트 보안, 애플리케이션 화이트리스팅을 통한 인터넷 접속 통제 구현도 가능하다. 애저 시큐리티 센터를 통한 시스템 및 서비스 운영, 보안관리 등의 통제도 가능하다.

애저를 활용한 재해복구(DR) 체계도 구축할 수 있다. 금융 클라우드 이용 가이드라인에는 금융회사가 위기대응행동매뉴얼과 비상대책을 마련하고 비상대응훈련 및 재해복구전환훈련을 연 1회 이상 실시할 때 대상 시스템이 클라우드 서비스 이용을 이유로 제외되어선 안된다는 규정이 명시돼 있다.

신 이사는 “MS는 서비스형 재해복구(DRaaS)의 기본제공과 함께 애저 사이트 리커버리를 통한 복제, 장애조치(페일오버) 및 복구 프로세스를 통해 서비스 연속성을 보장한다”고 강조했다.

<백지영 기자>jyp@ddaily.co.kr