현재 금융위위원회가 주관하는 금융 클라우드 워킹그룹에서 안내서 초안을 검토 중이다. 검토작업이 완료되면 오는 12월 중 배포할 예정이다.

금보원 이재익 팀장은 지난 7일 서울 여의도 콘래드호텔에서 열린 ‘금융정보보호 컨퍼런스’에서 “올해 1월 발표한 금융분야 클라우드컴퓨팅서비스 이용 가이드에 이어 연말에는 CSP 안정성 평가 안내서를 배포해 금융사의 클라우드 도입을 지원하겠다”고 밝혔다.

전자금융감독규정이 개정되면서 올해부터 금융사의 중요정보까지 퍼블릭 클라우드 도입이 가능해졌다. 다만 도입을 위해선 금융사가 자체적으로 민간 클라우드 서비스의 안정성을 평가해야 하는 프로세스가 필요하다. 현재 금보원에서 안정성 평가를 지원하고 있다.

평가항목은 크게 기본보호조치(109개)와 금융부문 추가 보호조치(32개)로 구성된다. 기본 보호조치의 경우 CSP가 취득한 국내외 클라우드 보안인증제를 취득, 유지하고 있는 경우에는 평가를 생략할 수 있다. KISA의 클라우드보안인증(CSAP)를 비롯해 싱가포르의 MTCS 등이 대표적이다.

하지만 국내 금융사는 비중요시스템에 클라우드를 도입하는 경우는 CSP가 보유한 보안인증으로 기본보호조치 항목을 대체하는 반면, 중요시스템의 경우 생략하지 않고 이를 꼼꼼하게 평가해 달라는 요구가 높다는 것이 이 팀장의 설명이다.

이 팀장은 “클라우드 보안인증을 보유하고 있을 경우 기본보호조치를 생략할 수 있음에도 불구하고, 국내 금융사들은 중요시스템의 클라우드 평가 시 이를 생략하지 않는 경향이 있다”며 “또 공공분야에서 필수적인 KISA CSAP 인증과는 달리, 금융 클라우드 안정성 평가는 평가 자체가 초점을 맞추고 있어 클라우드 도입 결정은 금융사에 달려있다”고 말했다.

이를테면 141개 평가항목 가운데, 이를 각 평가항목에 따라 ▲충족 ▲부분충족 ▲미충족 등으로 표기가 된다. 즉 평가항목의 몇 퍼센테이지(%) 이상을 충족을 해야 해당 클라우드 서비스를 쓸 수 있다, 없다의 판단 기준이 별도로 없다. 결국 이 판단은 금융사 내에 설치된 정보보호위원회의 심의/의결에 따른다. 이때 중요도가 높은 시스템의 경우, 관련 내용을 금융감독원에 제출해야 한다.

이 팀장은 “안정성 평가 결과를 보고 정보보호위원회에서 도입을 결정하게 되는데, 이게 위원회의 성격이나 회사 분위기에 따라 좌우된다”고 설명했다.

그는 또 클라우드 안정성 평가 시점을 넉넉히 잡을 것을 권고했다. 대부분의 금융사가 사업검토와 계획, 구매입찰 이후 사업자 선정 과정에서 금보원에 클라우드 안정성 평가를 요청한다.이 경우 금보원으로부터 평가 결과서를 받기까지 최소 1달~1달 반 정도 걸린다.

그는 “일반적인 IT시스템 구축처럼 계획을 잡다가는 사업자 선정에서 시간이 너무 많이 소요될 수 있다”며 “내달 ‘금융 분야 클라우드 서비스 제공자(CSP) 안정성 평가 안내서’가 나오면 평가에 걸리는 시간을 단축할 수 있을 것”이라고 조언했다.

<백지영 기자>jyp@ddaily.co.kr