[디지털데일리 이종현기자] 전자금융감독규정 개정, 오픈뱅킹과 데이터3법 등, 금융권을 억죄던 규제 일부가 완화되고 데이터 활용을 기반으로 한 정부 정책이 시행됐다. 내년부터 금융 마이데이터가 본격화됨에 따라 이를 위해 클라우드를 도입하는 금융회사가 많아지면서 클라우드 보안은 금융회사의 새로운 과제로 떠오르게 됐다.
<디지털데일리> 주최로 6일부터 10일까지 5일간 개최되는 [2022년 전망, 금융IT Innovation 버추얼 컨퍼런스]에서 안랩은 7일 ‘퍼블릭 클라우드에서 안전한 마이데이터 플랫폼 구성을 위해 무엇을 고려해야 하는가’를 주제로 발표했다.
위수복 안랩 팀장은 “오늘날 금융 시장의 비즈니스는 디지털을 빼고 말하기 어려울 정도로 격변하는 중이다. 금융 상품과 서비스만으로 경쟁하던 시대는 이미 지났다”며 “대다수의 금융사는 고객 경험을 중심에 두고 차별화된 서비스 개발에 노력하고 있다. 디지털 중심의 금융 비즈니스로 수익 모델을 변화시키고 있는 상태”라고 말했다.
가장 큰 관심과 기대를 받고 있는 것은 마이데이터 사업이다. 마이데이터는 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송할 수 있도록 하는 ‘개인정보 전송요구권’을 골자로 한다. 신용정보법 개정에 따라 금융권을 중심으로 본격화되기 시작했다.
마이데이터 사업의 본격 시행을 앞두고 금융회사는 핀테크, 빅테크 등 정보기술(IT) 기업과 손잡고 각 산업군에 흩어져 있는 고객 데이터를 확보했다. 기존 제한된 데이터 환경에서 벗어나 다양한 데이터를 확보하면서 이를 활용하기 위해 클라우드를 도입하기 시작했다는 것이 위 팀장의 진단이다.
다만 이를 금융회사에서 마이데이터 플랫폼을 구현하기 위해서는 규정준수 및 보안 문제를 해소해야 한다. 금융보안원은 금융 분야 마이데이터 기술 가이드라인을 발간, 마이데이터 사업자에게 물리적·기술적 보호조치를 요구하고 있다.
이중 물리적 보안사항은 클라우드 서비스 사업자(CSP) 안전성 평가를 받은 클라우드를 사용하면 해결된다. 아마존웹서비스(AWS) 등 주요 CSP는 안전성 평가를 받은 상태다. 다만 고유식별정보, 개인신용벙보를 처리하기 위해서는 해당 정보를 국내 리전에 설치해야 한다는 제약이 있다.
위 팀장은 AWS 기준, 클라우드에 마이데이터 플랫폼 구성을 위해 고려해야 할 사항으로 ①데이터 자장 및 보호 ②자격 증명 및 권한 관리 ③외부 네트워크와의 안전한 데이터 송·수신 ④재난·재해 대응 대비 ⑤데이터 저장 및 통신간 암호화 ⑥마이데이터 인프라 보안성 강화 등을 꼽았다.
안랩은 마이데이터 시스템 구축을 위한 보안 프레임워크를 제시했다. 기술적 보호조치와 관리적 보호조치로 구분해 고려해야 할 각 항목을 도출했다.
기술적 보호조치는 ▲내·외부 위협 대응과 상시 보안 관리 업무를 위한 인증, 권한 통제 영역 ▲각 시스템에서 수집되는 로그 데이터에 대한 분석 및 모니터링을 통해 이상 징후를 탐지하는 마이데이터 관리 시스템 영역 ▲단말, 애플리케이션(앱), 연계 애플리케이션프로그래밍인터페이스(API)를 아우르는 네트워크 보안 영역 등으로 구성됐다.
관리적 보호조치는 내·외부 위협와 컴플라이언스에 대한 분석 및 대응부터 법적 준거성 확보, 보안 취약점 점검 등 각종 관리 및 대응 체계로 이뤄졌다. 마이데이터 사업을 시작하려는 기업에 필요한 서비스 전반을 통합해 제공하고 있다는 것이 안랩의 설명이다.
위 팀장은 “여행 인솔자(Tour Conductor)가 낯선 나라의 여행에서 길을 안내하고 여행을 즐겁게 해주는 것처럼, 안랩 클라우드는 기업들이 클라우드를 사용하며 겪는 어려움을 해소함으로써 더 편하고, 안전하게 클라우드를 사용할 수 있도록 돕는 안내자가 될 것”이라고 피력했다.