지난해 말 금융당국은 금융 클라우드 이용 확대를 위한 각종 규제 등의 완화를 발표했다. 이로써 1월 1일부터 전자금융감독 규정 개정에 따라 금융권의 클라우드 이용 확대가 예상된다. 또 공공부문 역시 정부의 클라우드 인프라 적용 확대 방침에 따라 전방위적인 클라우드 도입을 예고하고 있다. <디지털데일리>에서는 올해 클라우드 인프라 도입 향방과 업계의 대응 방향에 대해 알아본다.<편집자주>
[디지털데일리 이상일기자] 금융보안원이 12월 31일 ‘금융 분야 클라우드 컴퓨팅 서비스 이용 가이드’를 발표했다. 올해부터 금융분야 클라우드 규제가 본격적으로 완화되는 가운데 구체적인 도입 방법 및 예시를 담은 가이드라인이 발표된 것이다.
대부분 금융사들이 클라우드 이용 가이드가 나온 후 구체적인 클라우드 도입 방향 및 전략을 수립할 것으로 예상되는 만큼 이번 가이드라인에 담긴 내용에 관심이 큰 상황이다.
본문만 114페이지에 달하는 이번 가이드라인에선 클라우드의 실제 도입부터 적용, 심사, 출구전략까지 상세한 내용을 담았다는 평가다. 클라우드 도입 영업일 7일 전 금융당국에 심의를 거치는 과정까지 포함하면 금융사가 클라우드 도입을 하기 위해 실행해야 할 사항 등이 구체적으로 나와 있다.
우선 금융회사가 자체 구축 및 운영하거나 상용이 아닌 클라우드 서비스 제공자는 이번 가이드라인 적용대상에 해당되지 않는다. 다만 이 경우 망분리 등 클라우드 서비스 활용에 필요한 일부 규제 예외를 인정받지 못해 금융기관은 클라우드 도입 추진 시 고려될 필요가 있다.
금융회사는 클라우드 도입 시 자체적으로 중요도 평가 기준을 수립하고 클라우드 서비스 이용 대상 업무에 대해 중요도 평가를 실시해야 한다. 전자금융거래 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급한다. 고유식별정보와 개인신용정보를 직접 처리하지 않는 경우라도 전자금융거래 안정성과 신뢰성에 중요한 영향을 미칠 경우 중요 업무로 취급토록 했다.
한편 가이드라인에선 고유식별정보 또는 개인신용정보를 처리하는 경우 해당 정보를 처리하는 모든 시스템을 국내에 설치하도록 하고 있다. 서비스 위탁 계약서 작성시에 금융당국은 클라우드 서비스를 이용하는 업무, 처리 데이터, 데이터가 처리되는 물리적 위치를 시, 군단위까지 기재하고 금융당국 요청 시 세부 위치를 별도로 제출토록 했다.
통상 글로벌 클라우드 업체의 경우 공식적으로 국내 데이터센터 위치를 밝히지 않고 있다는 점을 고려하면 이를 명확하게 한 것으로 풀이된다. 이는 또, 금융당국이 클라우드 데이터센터에 대한 접근권 및 감사권을 행사하기 위한 필요 조치이기도 하다.
한편 클라우드 서비스 제공자의 관리시스템도 고유식별정보 또는 개인신용정보가 일시적으로라도 처리된다면 국내에 설치돼야 한다고 밝혔다. 특히 중요정보를 클라우드로 처리할 경우 장애, 보안사고 등 유사시 신속한 대응을 위해 필요한 시스템 운영 상주 인력을 국내에 확보하고 사고 대응을 위해 해당 인력의 관리시스템 접근 권한을 확보할 것을 권고했다.
금융기관에 의무화된 망분리와 관련된 사항에 대해서 개발망과 SaaS 구축의 경우 내부망 시스템 및 단말기 연결은 기존 내부망에 구축하던 업무용 시스템은 클라우드서비스 제공자 구간 내에서 인터넷과 논리적으로 분리된 내부망에 위치해야 한다. 기존 개발망에 구축하던 개발용 시스템은 클라우드 서비스 제공자 구간 내에서 논리적으로 구분된 개발망에 위치해야 한다.
클라우드의 한 분야인 SaaS를 이용할 경우 추가적인 보완조치도 필요하다. 금융보안원은 SaaS 사업자가 인증받은 IaaS를 기반으로 하고 있더라도 SaaS가 해당 IaaS와 동일 수준의 보안조치를 했다고 보기 어려워 별도 인증 또는 평가가 필요하다고 밝혔다.
다만 지주사 클라우드 이용의 경우 지주사가 비 상용 프라이빗 클라우드르 구축해 그 계열사가 이용하는 경우 의무 적용 대상이 아니라고 밝혔다.
한편 금융회사가 관련 규정에 따라 위기대응행동매뉴얼 및 비상대책을 마련하고 비상대응훈련 및 재해복구전환훈련을 연 1회 이상 실시할 때 대상 시스템이 클라우드 서비스 이용을 이유로 제외되어선 안된다.
또, 필요시 클라우드 서비스 제공자와 협조해 합동으로 훈련을 진행해야 하며 클라우드 서비스 제공자의 자체 재해복구 훈련 계획 및 주기적 훈련 실시 여부를 금융사가 확인해야 한다. 침해사고대응훈련에도 클라우드시스템이 포함된다. 특히 중요도가 높은 시스템의 경우 필요시 해당 클라우드서비스 제공자와 핌해사고대응기관 간 핫라인을 구축할 것을 권고했다.
지난해 벌어진 아마존웹서비스(AWS) 접속 장애를 고려해 특정 클라우드 사업자에 서비스가 집중되지 않도록 권고하기도 했다. 가이드라인에선 “중요도가 높은 정보처리시스템에 대해선 클라우드 서비스 제공자에 대한 의존도가 과다하지 않도록 관리할 것”이라고 밝혔다.