* 본 기사는 디지털데일리가 올해 7월 발간한 <디지털금융 혁신과 도전>2020년판에 게재된 내용을 요약할 것으로, 편집 사정상 책의 내용과 다를 수 있습니다.
<2020 금융 디지털 & IT전략-⑪> 클라우드 확산과 ‘물리적 망분리’
- “물리적 망분리, 클라우드 시대엔 맞지 않다”… 커지는 시장의 목소리
- 금융감독 당국, 기존 입장 고수하지만 '유연한 시장 대응' 변화 예고
[디지털데일리 박기록, 이상일기자] 금융권의 최대 IT화두로 떠오른 클라우드(Cloud)는 본질적으로 외부 IT기업에 자신의 IT인프라 운영을 위탁하는 IT아웃소싱이다.
클라우드의 도입 범위에 따라 정도의 차이가 있지만 금융권의 클라우드의 확산은 금융 데이터의 외부 관리, 그리고 거기에서 촉발되는 보안 위협에 노출될 수 밖에 없다.
농협전산사고 이후, 지난 10년간 금융 당국은 ‘물리적 망분리’를 통해 강력하게 보안 위협을 통제해왔다. 인테넛망과 물리적으로 분리된 전용망을 이용하도록 함으로써 원천적으로 보안위협을 차단한 것이다.
그러다 핀테크의 확산과 데이터경제에 대한 시장의 요구가 커지면서, 금융 당국은 지난 2019년부터 금융 클라우드가 사실상 전면 허용하게됐다. 외부 클라우드 기업에 자사의 금융 데이터를 맡기는 것은 이제는 금융회사의 자유의지에 달렸다.
그런데 문제는 클라우드 시대가 열리면서 그동안 엄격하게 유지돼왔던 ‘물리적 망분리’ 정책에는 아직 변화가 없다는 점이다. 물론 여기에는 그럴만한 이유가 있지만 다양한 형태로 논란이 제기되고 있다.
먼저, 금융데이터를 위탁 관리하는 외부 클라우드 사업자들에게는 ‘논리적 망분리’를 인정해주면서 자체적으로 IT시스템을 운용하고 있는 금융회사들에게는 여전히 엄격한 ‘물리적 망분리’가 적용되고 있다.
물리적 망분리는 단순히 네트워크의 문제를 넘어 전산자원의 효율적 이용에 대한 큰 제약으로도 작용한다는 점에서 형평성의 문제가 있다. 클라우드 기업들처럼 금융회사도 논리적 망분리로 완화시켜달라는 요구가 커지고 있다.
이와함께 올해는 코로나19로 금융권의 원격근무가 불가피해진 상황이어서 금융권에선 ‘물리적 망분리’의 예외를 요구하는 목소리가 더욱 커진 모습이다.
◆언택트 시대로 급속 전환, 기존 물리적 망분리 예외허용만으로 한계
실제로 금융위원회는 지난 2월초, 코로나19 사태가 심각해지면서, 물리적 망분리를 예외적으로 인정해주면서 금융회사가 재택근무 등을 통해 금융서비스를 중단없이 제공하도록 조치했다. 당시 금융위는 일반 금융회사 임직원도 원격접속을 통한 재택근무가 가능하다는 점을 금융투자협회, 씨티은행 등에 대한 ‘비조치 의견서’로 회신한 바 있다.
이후 코로나사태는 어느 정도 진정됐지만 언택트 대응에 대한 시장의 요구는 지속적으로 강화되고 있다. 이 때문에 금융권도 재택근무를 고려해야하는 상황이 이어지고 있고 ‘물리적 망분리’ 규제 완화에 대한 요구도 커지고 있다. 물리적 망분리에 대한 '비조치 의견'만으로 모든 언택트 상황을 통제하기에는 한계가 있다는 지적이다.
이러한 시장의 요구에 대해, 현재 금융감독 당국은 물리적 망분리에 대한 기존 입장을 계속 유지하고 있지만 시장 상황에 맞게 합리적으로 유연하게 대응하겠다는 입장이다.
올해 초 금융감독원은 2020년 금융IT감독 방향을 발표하면서, 클라우드 서비스 확대에 따른 망분리 규제의 발전적 개선방안을 모색할 계획이라고 밝힌 바 있다. 다만 구체적인 방법 등에 대해서는 추가적으로 논의가 필요하다고 언급했다.
금융감독 당국으로서는 금융권의 디지털전환(DT) 속도, 클라우드 전환 속도 등을 종합적으로 고려해야하는 상황이다. 즉 ‘디지털 리스크’(DigitaL Risk)가 커질 수 밖에 없는 상황이기 때문에 물리적 망분리를 대체할만한 효율적인 대체수단을 찾는 것이 중요하다. 아직은 이 과정이 오래걸리고 있는 것으로 분석된다.
결국 금융감독원은 금융권의 클라우드 혁신을 유도하되 이를 안정적으로 제어하는 방안을 강구하면서단계적으로 시장의 요구에 발을 맞추겠다는 입장이다.
◆디지털금융 확산, 물리적 망분리가 규제 전봇대로 존재
'금융 망분리' 규제는 금융사 전산센터에는 의무적으로 물리적 망분리를, 지점 및 본사 등 현업은 물리적 망분리와 논리적 망분리 중 선택해 적용하는 것이다. 망분리는 그동안 논란에도 불구하고 내부 정보유출 및 외부에서의 해킹을 원천 차단하는데 강력한 효과가 있다는 평가를 받아왔다. 일종의 ‘사회적 거리두기’와도 같아서, 금융 당국이 최종적으로 어떤 선택을 할 것인지 주목된다.
그러나 한편으론 금융 보안측면의 문제뿐만 아니라 디지털 금융 혁신의 측면에서 ‘물리적 망분리'는 걸림돌로 작용하고 있다는 지적도 나오고 있다.
특히 최근 금융권에 확산되고 있는 로봇프로세스자동화(RPA) 적용에 있어서도 망분리는 매우 중요한 장애요소로 꼽힌다.
예:를들면, 외부 문서 등을 끌어와 자동으로 연동해주는 서비스 개발 시 망분리에 따른 권한허용 문제가 종종 발생하기 때문이다. 대부분의 금융사 보안조직들은 RPA 적용시 망분리 예외 허용에 보수적인 입장이라서 금융회사 내부의 갈등 요인이 되기도 한다.
이런 상황에서 최근 오픈뱅킹 등 새로운 금융서비스에 나서는 전자금융업자를 중심으로 망분리 완화 요구가 꾸준히 제기되고 있다. 전자금융사업자들이 오픈뱅킹에 참여하기 위해서 일반 금융사 수준의 보안 조치를 금융당국은 요구하고 있고, 여기에는 망분리를 준수하라는 요구도 포함돼있는데 전산비용 등을 이유로 전자금융업자들이 큰 부담을 느끼고 있다는 지적이다.
클라우드 활용측면에서도 가장 큰 걸림돌로 지적되는 것이 역시 망분리 정책이다. 퍼블릭 클라우드를 사용할 경우에 망분리는 전산센터 물리적 공간분리 등 글로벌 클라우드 업체들이 따를 수 없는 많은 조치들을 내포한다는 게 현장의 목소리다.
업계에선 금융당국이 전산센터 특정 영역에서 망분리 외에 보안 솔루션 및 시스템적 조치를 통해 망분리에 준하는 조치를 한 것으로 하는 등의 내용을 검토하고 있는 것으로 알려졌다. 이밖에도 현재 퍼블릭 클라우드 서비스 이용 시 금융보안원에 받아야 하는 보안 적정성 등의 심의를 한번 받았을 경우 6개월 내에 동일 퍼블릭 서비스를 이용할 경우 유예하는 등의 내용을 검토하고 있다.
◆까다로운 ‘금융 클라우드 안정성평가’는 ‘대표평가제’ 로 완화 검토
그동안 금융권에서 퍼블릭 클라우드 서비스를 이용하기 위해 개별적으로 받아야만 했던 금융 클라우드 안정성 평가에 ‘대표평가’ 제도 도입을 검토하면서 관련 클라우드 업계가 반기고 있다.
‘대표평가 제도’가 도입될 경우 금융사마다 비슷한 업무에 각각 개별적으로 받아야 했던 금융 안정성 평가없이도 퍼블릭 클라우드 이용이 가능해질 수 있다. 금융사로선 클라우드 도입에 들어가는 비용과 시간을 줄일 수 있고 금융당국으로서도 중복검사를 줄이는데 효율적일 것으로 전망된다.
이같은 내용은 지난 5월28일 개최된 ‘제2회 코리아 핀테크 위크 2020’에서 ‘금융분야 클라우드 컴퓨팅 서비스 제공자 안전성 평가 동향’을 발표한 장기헌 금융보안원 DT평가실 과장이 최근의 클라우드 안정성 평가에 대한 향후 계획을 밝히면서 공개됐다.
장기헌 과장은 “현실적으로 개별 금융사의 평가결과를 전체 금융사가 공유하는 것이 어려워 중복 평가가 다수 발생하고 있다”며 “실제 2020년도 금융 안정성 평가 수요조사 결과 다수의 중복평가 발생이 예상돼 워킹그룹에서 방지 방안을 지속적으로 제안해 왔다”고 밝혔다.