기획
금융 클라우드 허용, 딜레마에 놓인 '물리적 망분리' 정책
디지털데일리
발행일 2018-08-24 10:04:26
[기획/ 클라우드 전면 허용과 금융IT 변화 ②] 기존 금융보안 정책의 형평성
- 금융 당국, 클라우드업체에겐 '논리적 망분리' 불가피성 인정
- 금융회사에겐 '물리적 망분리' 기존대로 준수 요구... 논란 불씨
[디지털데일리 박기록기자] 지난 7월15일, 금융위원회는 '금융 클라우드 확대 방안'을 발표하면서 그 성격을 핀테크 산업 활성화를 위한 사전 교통정리 정도로 규정했을지 모른다.
그러나 의도하지는 않았겠지만 결과적으로 이는 국내 금융권 IT 전반에 걸쳐 상당한 변화를 불러일으킬 엄청난 판도라의 상자가 돼버렸다. 논의해야 할 사안들이 적지않기 때문이다.
단적인 예로, '퍼블릭 클라우드'가 전면 허용되면 지난 수년간 강력하고 엄격하게 유지해왔던 국내 금융권의 '물리적 망분리' 정책의 유지 여부가 당장 도마에 오르게 된다.
물리적 망분리는 단순히 인프라의 보안 문제에 그치지 않고 금융지주형 금융그룹의 계열사 IT통합 운영 전략까지도 간접적으로 영향을 미치는 사안이기도 하다.
물리적 망분리는 지난 2011년 농협 전산사태 이후, 해킹 등 보안위협을 원천 봉쇄하기 위해 금융권에 적용한 의무 규정이다. 물리적 망분리로 인해 어쩔 수 없이 금융권의 IT 운용비용도 늘어났다.
◆클라우드 업체에겐 관대한 '금융 망분리' =그런데 클라우드는 기술 구조상 '물리적 망분리'를 통한 운영이 원천적으로 불가능하다.
대신 논리적 망분리, 즉 '서버 가상화' 기술을 통해 하나의 서버에서 여러 업무를 동시에 수행한다. 심지어 필요하면 클라우드 회사의 여러 전산센터(클라우드 센터)로 분산해 시스템을 운영하기도 한다.
따라서 만약 그동안 자체적으로 물리적 망분리를 적용해왔던 A 금융회사가 클라우드 방식으로 전환한다면 그 이후부터는 사실상 '논리적 망분리'로 전환되는 셈이다. 물론 A금융회사 입장에선, 클라우드 비용만 지불하면 그 뿐이다. 클라우드 서비스회사가 어떤 형태로 운영하는지 더 이상 상관할 바는 아니다.
클라우드 전문업체들에 대한 금융 당국의 관리 감독이 중요해질 수 밖에 없다. 금융위는 이에 “기존 금융회사 IT부문에 적용하던 수준만큼 클라우드 기업들에 대해서도 관리 감독을 수준을 강화하겠다”고 밝히고 있다.
금융 감독 당국이 기존 금융회사에 적용했던 보안 관리감독 수준이란 ▲해킹 및 개인정보 유출에 대비한 보안대책 수립 ▲시스템 장애 등 서비스 중단시 비상대책 수립, ▲업무지속성을 위한 중요 전산자료 백업대책 수립 ▲정보관리 보안유지를 위한 내부통제방안 수립및 운용 ▲전자금융보조업자(IT아웃소싱업체)의 재무건전성및 서비스 품질 수준을 연 1회 이상 평가하고 감독 당국에 보고 등이다.
하지만 직접 관리감독 대상이 되는 금융회사와 달리 AWS 등 외국계 클라우드 기업들을 대상으로 어느 정도로 관리 감독의 실효성을 확보할 수 있을지는 의문이다.
언뜻보면 외부 IT업체가 금융회사의 IT인프라를 이관받아 운영한다는 점에서 IT아웃소싱과 클라우드는 공통점을 갖지만 IT운영인프라의 물리적 독립성 여부, 비용 산정 등 다른 점이 훨씬 많기 때문에 금융 당국이 기존의 관리감독 수단을 클라우드 기업에 적용하기는 여의치 않을 것으로 보인다.
현재 국내 금융권에서 IT아웃소싱 방식으로 금융회사의 IT인프라를 위탁받아 운영하고 있는 경우, 금융 감독 당국이 IT아웃소싱 회사를 직접 관리감독하지 않고 있다. 금융회사가 IT아웃소싱 회사를 관리감독하도록 하는 '간접 감독 체제'를 택하고 있다.
금융감독 당국의 입장에서 관리감독의 효율성을 따진다면, 금융회사와 IT아웃소싱 계약을 1대1로 맺은 IT회사보다 AWS 등 클라우드업체에 대한 효율성을 확보가 더 까다로울 수 있다.
◆클라우드 선택하지 않는 금융회사는 '물리적 망분리' 준수 = 한편 또 하나 고려해야할 문제는 클라우드 전면 허용에 따른 금융 '물리적 망분리' 정책의 형평성 문제다.
클라우드서비스 기업들은 '논리적 망분리'를 통해 금융회사의 IT를 위탁받아 운영해도 무방하지만 자체적으로 IT운영을 하는 금융회사는 기존대로 '물리적 망분리'를 준수해야한다는 점이다.
단지 운영 주체만 다를뿐인데, 결과적으로 클라우드 서비스업체와 금융회사의 망분리 적용 규정이 차별화되는 문제가 발생하게 되는 것이다.
이에 금융위는 "클라우드 기술 특성상 불가피한 측면이 있다"는 입장이다.
하지만 정책을 집행하려면 모든 시장 참여자들이 수긍할 수 있는 보편성부터 확보해야한다. 독자적인 IT운영 방식을 택한 금융회사에게도 클라우드업체와 동일한 기준을 제시하고 선택을 하도록 하는게 공정한 것이다.
클라우드 업체가 '논리적 망분리' 적용한다면 금융회사에게도 최소한 동일하게 논리적 망분리를 적용하도록 완화해줘야한다는 지적이 나오는 이유다.
핀테크 활성화 정책을 서두르는 과정에서 '퍼블릭 클라우드' 허용 방안이 예상보다 빠르게 이뤄졌을 것으로 생각된다.
금융 당국은 올 연말까지 최종안을 마련하기위한 TF를 가동할 예정이다. 이 과정을 통해 금융IT 전반에 미치는 세세한 부분까지 차분하게 살펴봄으로써 예상되는 갈등 요소를 최소화할 필요가 있어보인다.
<박기록 기자>rock@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지