[디지털데일리 이종현기자] 2018년 금융위원회가 금융분야 클라우드 이용 확대를 위해 전자금융감독규정을 개정함에 따라 금융권의 클라우드 활용이 가능해졌다. 2019년부터 시행된 개정 규정에 의해 클라우드 활용 범위가 확대되고 클라우드 이용과 관련한 관리·감독체계가 강화됐다.

금융분야는 특히 보안이 중요한 산업군인 만큼 엄격한 관리감독이 요구된다. 때문에 정부는 전자금융업자(이하 금융회사)가 상용 클라우드컴퓨팅서비스를 도입할 경우 CSP에 대한 건전성·안정성을 평가하도록 규정하고 있다. 금융보안원은 침해사고대응기관으로서 안정성 평가의 평가 지원 역할을 수행한다.

정기헌 금융보안원 과장은 11일 디지털데일리가 클라우드 혁신을 주제로 개최한 온라인 컨퍼런스 ‘클라우드 임팩트 2020’에서 CSP 안정성 평가 현황과 2021년도 방향을 소개했다.

CSP에 대한 평가는 금융회사가 도입 및 이용 예정인 CSP의 상용 클라우드서비스와 관련한 자산을 대상으로 진행된다.

처음 클라우드를 도입할 때 종합평가를, 도입 이후 매 1년마다 정기평가를 수행한다. 종합평가 후 3년이 지날 경우 다시 종합평가를 해야 한다. 종합평가나 정기평가 결과 미충족 사항이 발견된 경우 재확인하는 평가다.

정 과장은 “CSP 평가는 총 14개 분야 141개 평가항목, 313개 평가방법으로 구성돼 있다. 13개 분야 109개 평가항목인 기본 보호조치와 9개 분야 32개 평가항목인 금융부문 추가 보호조치로 구분된다”고 말했다.

기본 보호조치는 CSP가 준수해야 할 일반적인 보안 기준이다. ▲정보보호정책 ▲조직 ▲인적보안 ▲서비스 연속성 ▲물리적 보안 ▲가상화 보안 ▲데이터 보호 ▲네트워크 보안 등 관리적·물리적·기술적 보호조치에 대한 평가가 이뤄진다.

금융부문 추가 보호조치는 금융회사가 전자금융감독규정 등 법규를 준수하기 위해 평가하게 된다. ▲사고 보고 및 분석수행 절차 확보 ▲건물·전산실 금융회사 수준 구축 ▲전산자료 보호 ▲이중화 및 백업 체계 구축 등이다.

이처럼 다소 엄격한 안전성 평가에도 불구, 금융회사의 클라우드서비스에 대한 수요는 급증하고 있다. 금융보안원의 2021년 CSP 안전성 평가 수요조사에 따르면 금융회사의 2021년도 CSP 안전성 평가 수요는 전년대비 2배가량 증가했다. 응답기관 중 63%는 클라우드컴퓨팅서비스 이용 및 도입을 검토 중이라고 답했다.

다만 클라우드 전문인력 부족, 타 금융회사로부터 안전성 평가 결과 공유 과정의 어려움 등이 애로사항으로 꼽혔다. 이에 금융보안원은 금융회사의 안전성 평가 지원을 위해 2021년도부터 ‘대표평가’를 추가 도입하도록 검토하고 있다.

정 과장은 “금융회사가 수행한 CSP 안정성 평가 결과를 공유할 수 있도록 이용 가이드·안전성 평가 안내서로 명시하고 있다. 다만 금융회사 내부 사정에 따라 공유가 어렵거나 타 금융회사를 통한 안전성 평가 결과 공유를 받는 것이 어렵게 느껴져서 동일 CSP에 대한 안전성 평가 중복이 발생하고 있다”고 전했다.

이어서 그는 “금융보안원은 복수의 금융회사가 신청한 CSP를 대상으로, 대표로 안정성 평가를 실시하고 평가 결과를 금융회사에 공유하고자 한다”며 “매년 시행하는 CSP 안전성 평가 수요 결과를 참고해 대표평가 대상을 선정할 계획”이라고 밝혔다.

한편 금융보안원은 2021년 CSP 안전성 평가 수요조사 결과에 따라 8개 CSP를 가선정했고 대상 CSP와 협의 후 확정할 방침이다. 금융회사 수요 및 클라우드 보안 이슈를 조사·분석해 기술점검을 위한 신규 평가항목을 개발해 2021년도 1분기에 도입할 예정이다.

<이종현 기자>bell@ddaily.co.kr