금융IT

'클라우드 격동' 시작된 금융권…IT혁신과 보안 과제, 어떻게 극복할까

박기록
* 본 기사는 올해 7월 <디지털데일리>가 출간한 2019년판 '디지털금융 혁신과 도전'의 내용중 Cover Story의 일부를 발췌, 요약한 것입니다. 편집 사정상 본문의 내용과 다소 다를 수 있습니다.

- 금융권, 클라우드 규제 풀리자 ‘클라우드 중심’ IT전략 급속 전환
- 은행권, ‘프라이빗’클라우드 출발…2020년, ‘하이브리드’로 진화

[디지털데일리 박기록기자] 금융권의 클라우드 도입 바람이 거세다. IT인프라 운영 전략을 설계하는데 있어 이제 클라우드(Cloud)는 상수다.

폭증하는 데이터를 안정적으로 처리하고, IT비용 절감과 IT운영의 효율성을 높이기 위한 전략적 수단으로서 클라우드는 이제 금융회사가 선택할 수 있는 매우 유용한 옵션이다.

그동안 금융산업은 디지털전환(Digital Transformation)이라는 거대한 흐름속에서 IT인프라 운영 전략의 방향성을 놓고 고민을 거듭해 해왔다. 방대해진 IT수요에 비해 기존 IT조직과 IT예산은 따라갈 수 없는 상황에 직면하고 있다. 전통적인 IT아웃소싱도 해답은 아니다. 이런 가운데 2019년부터 금융 규제의 빗장이 풀린 클라우드는 그런 금융권의 고민을 크게 덜어주었다. 금융권의 클라우드 도입 전략은 올해 다양한 모습으로 분출되기 시작했다.

앞서 2018년 7월, 금융위원회는 ‘금융 클라우드 이용 확대’방안을 통해 2019년1월부터 금융 클라우드 규제를 완화하겠다고 예고했었다. ‘비중요정보시스템’이외의 금융 정보도 외부(퍼블릭) 클라우드 환경에서 위탁, 관리가 가능하게됐다. 몇가지 제약이 있지만 이 정도면 사실상 예상을 뛰어넘는 수준이다. ‘완전한 클라우드 개방’에 가깝다. 미국, EU, 중국 등 글로벌 사례와 비교해도 ‘금융 클라우드’의 개방 정도는 높다는 평가다.

금융보안의 문제, 또 지난 수십년간 굳어진 금융감독 규제의 견고함을 고려했을 때 금융 클라우드가 완전히 풀리는 데는 최소한 3~4년이 더 필요할 것으로 예상됐었지만 상황은 예상보다 빠르게 전개됐다.

'금융 클라우드'를 허용할 수 밖에 없었던 이유

클라우드는 금융산업의 생태계 자체를 뒤바꿔놓을 만큼의 강력한 임팩트를 가졌다. IT인프라 운영전략 뿐만 아니라 핀테크 비즈니스의 분출, 금융서비스 시장의 생태계에도 영향을 미치고 있다. 또한 IT때문에 제약이 많았던 글로벌 뱅킹전략도 클라우드를 타고 더 크게 비상(飛上)할 수 있는 계기가 마련됐다.

클라우드가 전면적으로 허용된 배경에는 몇가지 주변 상황들이 시기적으로 절묘하게 맞물렸기 때문이다. 먼저, 신기술의 도입으로 금융권의 IT대응이 점차 한계를 드러내기 시작했다. AI․ 빅데이터·블록체인 등 신기술이 적용되기 시작하면서 기존의 금융 IT 및 보안규제로는 기술진화를 가둘 수 없는 상황에 직면했다.

예를들어 블록체인 기반 금융시스템의 경우‘데이터의 분산관리’문제가 금융권 실무자들에게는 큰 부담이다. 금융 데이터를 블록체인 참여자들이 분산관리(보관)했을 경우, 이를 전자금융감독규정상의 금융정보의 외부유출로 볼 것인지를 놓고 어느 누구도 속시원한 해석을 제시하지 못하는 상황이 속출했다. 기존 전자금융감독규정으로는 판단할 수 없는 상황들이 늘어나기 시작한 것이다.

또 다른 이유는 데이터경제에 기반한 핀테크 산업의 지원을 위한 정부의 강력한 정책적 배려가 작용했다. 정부는 양질의 일자리 창출을 위해 2000년대 초 벤처붐처럼 핀테크 산업을 육성시키고 있다. 핀테크는 금융회사와‘오픈 API’를 통해 비즈니스 저변을 확보해야하는데, 이를 위해서는 양질의 금융 데이터의 폭넓은 활용이 필수적이다. 데이터로써 경제적 가치가 떨어지는‘비중요 금융정보’가 아닌 금융정보(비식별화된 정보)의 활용이 필요하다. 그러나 기존 전자금융감독규정아래서는 불가능했다.
실제로 금융위원회는 “은행 ․ 카드, 핀테크기업 등 각 업권에서 클라우드 규제완화 요구가 있었으며 보안장치, 감독체계 강화를 전제로 금융회사 ․ 핀테크기업이 안정적으로 클라우드를 활용할 수 있도록 제도를 개선하게 됐다”고 클라우드 허용 배경을 밝히고 있다.

그러나 한편으론 이같은 클라우드의 전면 허용은 앞으로 금융 IT 보안분야의 감독정책이 강화되는 결과로 이어질 가능성이 높다. 지난 2015년 이후, 우리 금융당국은 ‘자율보안’기조를 유지해왔지만 클라우드 시대에선 이 기조가 수정될 가능성이 높아졌다. 클라우드 개방에 따른 보안위협의 상승이 불가피한 것은 사실이다.

클라우드 허용으로 보안위협 상승, 금융보안정책 강화 예고
실제로 금융 당국은 올해부터 클라우드를 확대하면서‘클라우드서비스사업자(CSP)’를 전자금융보조업자로 규정하고 이들에 대한 ▲금융당국의 직접 검사 ▲재무건전성 평가 ▲전산실의 금융회사 수준의 구축 ▲이중화 및 백업체계 구축 등 비교적 강도 높은 클라우드 보안조치를 새롭게 마련했다. 이와함께 클라우드서비스 사업자는 관리적 보호조치, 물리적 보호조치, 기술적 보호조치 등도 충족하도록 했다.

그러나 이에 대해 클라우드 및 관련 IT업계에서는 “금융 당국이 민간기업인 클라우드 사업자에 너무 과도한 감독권을 행사하려한다”며 반발하는 모습도 나타나고 있다. 이러한 반발은 아직 초기 시장인 만큼 현재로선 크게 부각되고 있지는 않지만 향후에 논란의 불씨가 될 가능성은 있다.

현재 주로 국내 클라우드 시장에서 영향력이 큰 글로벌 클라우드기업들은 AWS, IBM, MS 등 주로 미국계 기업이다. 실제로 미국 무역대표부(USTR)는 매년 3월‘연례 무역장벽 보고서’를 발표하는데, 여기에 지난 수년간 빠지지않고 등장하는 것이 자국 클라우드 서비스기업에 대한 해외 국가들의 차별 문제다.

아직까지는 구체적인 움직임이 없었으나 미국은 우리 정부가 클라우드 보안인증 등과 같은 제도적 수단으로 자국 클라우드 기업들을 압박할 경우, 보복조치에 나설 가능성도 배제할 수는 없다. 또한 외국계 클라우드 사업자가 한국 정부를 상대로 소송을 제기할 가능성도 있다.

또한‘금융 데이터’를 외국 소재의 클라우드에 올리는 것은 넓게는 ‘데이터 주권’문제와도 연결된다. 때문에 어떤식으로든 이 문제에 대한 대응전략을 정부가 마련해 놓을 필요가 있다는 게 전문가들의 지적이다.

다만 현재로선 이 문제에 너무 과민할 필요는 없어 보인다. 금융당국이 클라우드의 개방 수위를 높이는 만큼 그와 비례해 보안 및 관리 감독을 강화하는 것은 불가피하다. 우리보다 먼저 클라우드를 선도적으로 실행한 국가들에서도 금융을 국가 중요 인프라로 규정하고 있으며, 특히 금융 클라우드에 대해서는 엄격한 입장이다. 상황은 다르지만, 중국은 자국내에서 진행되는 클라우드 서비스는 자국 클라우드 기업이 맡도록 사실상 강제하고 있다.

금융 클라우드 확대, 예상되는 리스크는?

금융위원회는 금융회사가 클라우드를 도입할 경우, 대응해야할 리스크 요인으로 ▲IT인프라 클라우드서비스 제공자(CSP)의 파산 ▲기술적 오류 및 해킹 등에 의한 서비스 장애 ▲특정 업체 클라우드 편중 ▲국외 업무위탁시 해당 국가의 정치, 사회 및 법적환경 등에 따른 이슈 발생 가능성 등 크게 4가지를 꼽고 있다.

이 중 가장 주목되는 것은 ‘특정업체에 의한 클라우드 편중’이다. 만약 국내 다수의 금융 회사가 특정 클라우드 서비스를 편중되게 이용할 경우, 그 자체가 리스크가 될 수 있다고 보는 것이다.
실제로 국내 금융권에선 특정 클라우드 업체에 지나치게 편중될 경우 파산이나 시스템장애 등 금융산업 전체에 미치는 후폭풍이 커질 수 있다는 우려가 꾸준히 나오고 있다. 비록 금융권의 사례는 아니지만 지난해 11월, 국내에서 AWS 전산장애가 2시간 동안 발생했을 때, 고객사들이 어려움을 겪은 바 있는데 이는 금융권이 클라우드 보안을 새롭게 인식하는 계기가 됐다.

앞서 올해 2월, <디지털데일리> 주최로 열린‘클라우드 임팩트 2019 컨퍼런스’에서 금융보안원 김성웅 팀장은 “대상 사업 및 서비스 종류, 클라우드 이용에 따른 효율성과 안전성, 대내외 영향 요인을 파악해야 한다”며 클라우드 도입시 신중한 접근을 강조했다. 금융 당국은 올해 금융 클라우드 도입을 위한 가이드라인을 2018년 12월 발표했다. 이 가이드라인에선 클라우드의 실제 도입부터 적용, 심사, 출구전략이 담겨있다.

김 팀장은 “클라우드 사업자를 비롯한 전체 공급망에 대한 보호대책 수립 및 통제, 모니터링 등 관리 강화가 필요하다”며 “특히 출구전략 수립이 중요하다”고 강조했다. 특히 퍼블릭 클라우드 도입 후 서비스 종료 및 금융사 정책 변경 등으로 클라우드 이용을 중단할 경우, 발생할 수 있는 문제를 해결하기 위한 출구전략에 관심이 높다.

김 팀장은 “출구전략 이행을 쉽게하기위해서는 IssS는 컨테이너 방식이 유리하며, 클라우드 사업자에 대한 의존도를 낮추고, PaaS와 SaaS의 경우 클라우드사업자가 제3자의 Iaas 인프라를 이용해 서비스를 제공하도록 하는 것이 유리하다”고 조언했다.

금융권, U2L 전환 본격 타진…그룹‘클라우드 표준화’시동

금융권에서는 클라우드를 겨냥한 IT전략이 본격화되기 시작했다. 클라우드 환경전환을 위해 사전에 필수적인 U2L(Unix to Linux)사업이 늘어나고 있다. 지난해와 올해 발주된 차세대시스템 사업에 U2L전환이 대거 포함되고 있다. 다만 U2L 프로젝트는 이미 중대형 시스템을 사용하고 있는 대형 금융회사들 보다는 트랜잭션 부담이 상대적으로 적은 중견 금융회사에서 논의가 활발하다.

오는 2020년부터 차세대시스템 구축에 착수할 예정인 우체국금융은 이미 클라우드 도입을 감안한 x86기반으로 주전산시스템을 구현하겠다는 방침을 밝혔다.

x86 성능이 지금처럼 지속적으로 안정적인 진화를 보인다면, 3~4년 후인에는 하이브리드 또는 퍼블릭 클라우드를 염두에 둔 은행권의 계정계시스템 교체를 예상해 볼 수 있다.

그렇게 된다면 은행권은 1980년~90년대 종합온라인을 시작으로 메인프레임, 유닉스 시대를 거쳐 x86기반의 클라우드 시대로 넘어가는 역사적 변곡점을 맞게된다. 물론 의외의 변수가 돌출될 가능성도 있어 금융권의 클라우드로의 전환이 예상보다 늦어질 가능성도 있다. 여기서 말하는‘의외의 변수’란 치명적인 클라우드 보안 사고를 의미한다. 클라우드 전환 과정에서‘금융 데이터’해킹 등의 문제가 촉발된다면, 과거 경험상 이는 금융권의 IT전략에 악재로 작용할 수 밖에 없다.

한편 국내 주요 금융그룹들은 클라우드를‘그룹 계열사의 IT비용절감과 IT혁신’을 위한 혁신도구로 활용하려는 의지가 강하다. 특히 대규모 데이터센터를 운영중인 그룹들은 각 계열사의 원활한 클라우드 도입을 위한 표준 수립을 서두르고 있다. ‘그룹 공용 클라우드 플랫폼’을 통한 가시적인 IT비용절감과 효율성을 확보하겠다는 것이다.

국내 금융권이 아직은 폭넓은 퍼블릭 클라우드 도입에 나서지 않고 있는 것은 U2L과 같은 기술적 제약이 존재한 것도 이유지만 외부 전문 클라우드업체에 업무시스템을 섣불리 이관시키는 것이 일단은 조심스럽기 때문이다.‘특정 클라우드 업체에 종속되지 않겠다’는 락인 효과에 대한 경계심도 아직도 적지 않은 상황이다

이에 따라 금융권은 우선 자체‘프라이빗 클라우드(Private Cloud)’를 통해 클라우드에 대한 기술적 내재화를 달성하는 것이 더 시급하다고 보고 있다. 프라이빗 클라우드를 통해 그룹내 데이터센터 요율 등을 정립하고, 궁극적으로 퍼블릭 클라우드로 확대할 경우에 대비하겠다는 것이다. 이같은 금융권의 행보는 합리적으로 평가된다. .
하나금융그룹은 2018년 5월, 그룹 IT자회사인 하나금융티아를 통해‘하나 클라우디아(Hana Cloudia)로 명명된 그룹 공용 클라우드 플랫폼을 구축하고 운영에 들어갔다. 그룹 전 계열사가 이 플랫폼을 통해 IT산출물을 공유, 활용하고 있다. 그룹 전체적으로 IT비용의 절감과 함께 계열사의 IT수준을 상향 평준화시키는 효과를 얻었다. 또한 클라우드 운영 노하우를 축적하고, 클라우드 전문인력도 육성하겠다는 전략이다.

해외 금융권에서도 다양한 형태의 클라우드가 적용되고 있다. 금융감독원의 분석 자료에 따르면, 호주의 커먼웰스뱅크, 스페인의 BBVA, 독일의 도이치뱅크, 네덜란드의 ABN암로 등 우리에게 친숙한 글로벌 금융회사들도 다양한 형태로, 클라우드를 업무에 적용하고 있다. 아마존, IBM., MS. 구글 등 클라우드 서비스 제공자(CSP)는 다양하게 분포돼 있다.

다만, 해외 금융회사들도 우리가 보기에는 파격에 가까울 정도의 퍼블릭 클라우드의 사례가 현재까지는 많지 않은 것으로 파악된다. 다소 차이가 있지만 국가를 불문하고 클라우드 기반에서 운용되는 ‘금융 데이터’를 바라보는 입장은 아직까지는 조심스러워 보인다.
<박기록 기자>rock@ddaily.co.kr
<이상일 기자>2401@ddaily.co.kr
박기록
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널