[디지털데일리 백지영기자] 아마존웹서비스(AWS)가 본격적인 국내 금융 클라우드 시장 공략에 나설 전망이다. 이를 위해 최근 서울 리전에 싱가포르 클라우드 보안인증인 MTCS 레벨3를 획득했다. 관련 인증을 받을 경우, 국내 금융사가 민간 클라우드 서비스를 이용 시 받아야 하는 안정성 평가 항목 가운데 109개 기본보호조치에 대해 생략이 가능하다.

17일 서울 코엑스에서 개최한 ‘AWS 서밋 2019’에서 AWS코리아는 “이달 8일 글로벌 클라우드 사업자 중에 최초로 MTCS(Multi-Tier Cloud Security)를 획득했다”며 “인증 범위는 서울 리전의 IaaS, PaaS, SaaS 모두에 해당한다”고 밝혔다. MTCS 인증 및 다양한 국내외 고객사례를 바탕으로 공격적인 행보에 나설 것으로 예상된다.

앞서 올 1월 금융당국은 전자금융감독규정 개정을 통해 클라우드 활용 범위를 개인 신용정보까지 확대하는 등 관련 시장을 대폭 개방했다. 후속조치로 금융보안원이 발표한 ‘금융 분야 클라우드 컴퓨팅 서비스 이용 가이드’에 따르면, 금융권은 클라우드 서비스 안정성에 대한 기준을 마련하고, 내부 통제 강화 및 이용 관련 보고의무 등 감독 강화, 국내 소재 클라우드 서비스를 활용해야 한다는 내용을 제시하고 있다.

이에 따라 가장 중요한 점이 클라우드 서비스의 안정성을 평가하는 것이다. 구체적인 평가 항목으로는 클라우드 서비스 제공자가 준수해야 할 일반적 보안 기준인 기본 보호조치(109개)와 금융분야 특화 기준인 금융부문 추가 보호조치(32개)로 나뉜다. 금융사는 이러한 항목를 평가하고 적합한 클라우드 서비스를 선택하고 이에 대한 책임도 져야 한다.

이때 기본 보호조치 항목의 경우 과학기술정보통신부가 주관하는 클라우드서비스 보안인증제(CSAP)의 일부 항목이 포함되며, 이에 준하는 해외 인증인 FedRAMP(미국), CSA STAR(글로벌 협회), MTCS(싱가포르) 인증 등을 받은 경우 생략이 가능하다.

현재 KT나 네이버 비즈니스 플랫폼(NBP) 등 국내 기업은 공공기관에 서비스를 제공하기 위한 필수조치로 CSAP를 받고 있다. AWS은 이번 MTCS 인증을 받게 됨으로써 관련 부담을 덜은 셈이다.

이대근 AWS 시큐리티 어슈어런스 매니저는 이날 ‘금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드’ 발표를 통해 “MTCS 인증과 함께 나머지 32개의 금융기관 추가 보호조치에 대해서도 한국 금융고객이 참고할 수 있도록 AWS 워크북을 제공한다”고 설명했다. 워크북을 통해 금융분야추가 보호조치 세부 평가항목과 AWS책임공유모델에 따른 AWS지원 세부사항 등을 확인할 수 있다.

그는 “예를 들어 가이드라인 2.6.1 항목에는 ‘사용자 계정과 비밀번호를 개인별로 부여, 관리하기 위한 기능을 제공하는가’라는 질문이 있는데, 이에 대한 자사의 서비스 및 다양한 모범사례, 정책 설정 등을 제공해 고객이 쉽게 활용할수록 돕는다”고 말했다.

이밖에도 AWS의 다양한 규정 준수 인증, 보고서 및 워크북에 접근할 수 있는 셀프서비스 포털 ‘AWS 아티팩트(Artifact)’를 비롯해 한국을 포함한 해외 클라우드 관련 규정을 확인할 수 있는 ‘AWS 컴플라이언스 센터’도 운영한다.

한편 현재 AWS 클라우드를 활용하는 금융 금융사로는 신한금융지주, KB국민은행, 현대카드, 카카오페이, NH농협캐피탈, SBI저축은행 등이 있다.

<백지영 기자>jyp@ddaily.co.kr