 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
-자율 이용 vs 금융 클라우드 인증제 도입이 관건
[디지털데일리 백지영기자] 지난 15일 금융위원회가 개인신용정보 등에도 클라우드를 활용할 수 있도록 전면 개방 의지를 밝히면서 향후 가이드라인 개정 등에 관심이 쏠리고 있다.
그동안 금융권의 '퍼블릭' 클라우드 서비스 활용은 비중요정보처리시스템에 국한함으로써 반쪽짜리라는 평가를 받아왔다.
금융위가 금융 분야 클라우드 이용 확대를 위해 관련 제도 개선을 추진한다고 밝히면서 내년 1월부터는 개인신용정보 등이 포함된 인터넷뱅킹이나 빅데이터 분석 등 다양한 금융업무에 클라우드 활용이 가능할 전망이다.
이제 관건은 지난 2016년 10월 발표된 '금융권 클라우드 서비스 가이드라인'과 '전자금융감독규정' 개정이다.
금융위는 이달 중 금융감독원, 금융보안원, 금융사, 핀테크업체 등이 참석하는 태스크포스(TF)를 구성해 관련 작업을 진행할 예정이다. 개인신용정보 등 중요 정보를 외부 인프라에 위탁하는 만큼 보안 및 사고 발생 시 법적 분쟁, 감독 관할에 초점을 맞출 것으로 예상된다.
일단 금융위는 "국내에 서버를 두고 있는 클라우드 회사에 한해서만 규제를 완화하겠다"고 밝혔다. 이에 따라KT나 네이버와 같은 국내 기업은 물론 국내에 리전(상호백업이 가능한 복수의 데이터센터)을 갖춘 아마존웹서비스(AWS)나 마이크로소프트(MS) 등 해외기업들의 서비스까지 이용 가능할 전망이다. 이밖에 오라클, 구글 등도 국내에 클라우드 서비스 제공을 위한 데이터센터 구축을 추진 중이다.
하지만 금융사가 중요정보 클라우드 이용시 안전성 관리를 강화할 수 있도록 가이드라인을 제시한 이후, 이를 토대로 국내 공공분야 클라우드에 적용되는 별도의 인증제를 도입할 가능성도 있다.
실제 금융위는 가이드라인 마련 이후 금융사가 자율적으로 클라우드 이용 여부를 결정하는 해외방식 혹은 별도의금융 클라우드 인증제 도입 등을 검토하겠다고 밝힌 만큼 향방에 관심이 쏠리고 있다. 결국 공공분야의 적용 방식의 클라우드 인증제가 금융권에 적용될 경우, 해외기업의 서비스 제공에 제약이 생길 여지도 다분하다.
현재 국내 공공기관의 경우, 한국인터넷진흥원(KISA)의 클라우드 보안 인증을 받은 업체의 인프라(IaaS)만 사용할 수 있도록 명시돼 있다. IaaS에 적용되는 클라우드 보안 인증제에는 일반 서비스와의 네트워크 회선 분리 및 공공기관을 위한 별도의 물리적 인프라 마련과 같은 조항이 포함돼 있어 사실상 외국계 클라우드 서비스 기업이 인증을 받기는 한계가 있다. 현재 클라우드 보안인증을 받은 기업은 KT와 네이버비즈니스플랫폼(NBP), 가비아, NHN엔터테인먼트, LG CNS 등 국내기업 5곳 뿐이다.
물론 금융권에서 공공분야와동일한 기준을 적용할지는 미지수다. 이미 많은 금융권에서 AWS 등 해외 기업의 클라우드 서비스를 고성능컴퓨팅(HPC) 등 제한한 분야나 해외법인 등에 적용한 경험이 있는 만큼, 금융위의 감독 관할 요건 등을 잘 충족한다면 굳이 클라우드 보안인증과 같은 제도를 활용한 필요는 없기 때문이다.
실제 금융위는 금융권 특화 보안기준과 관련,▲클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정, ▲금융회사 및 위임된 제3자에게 관련 접근권 및 현장감사권 부여, ▲클라우드 서비스 중단 및 데이터 소실에 대비한 금융권 백업체계 마련, ▲취약점 분석・평가, 비상대응훈련, 통합보안관제에 필요한 제반환경 지원, ▲침해사고 및 장애 발생에 따른 보고절차 준수 및 조사・대응, ▲건물, 전원・공조, 전산실 등에 대해 금융회사 수준의 구축 및 운영 등의 예시를 제시했다.
이와 관련해선,7월 중 출범하는 금융권 클라우드 서비스 이용 활성화를 위한 제도개선 TF를 통해 도출될 예정이다.
이와 함께 금융위는클라우드 사용시 금융회사를 통한 간접 감독을 강화하는 한편, 법령개정을 통해 전자금융보조업자에 대한 감독․조사 근거를 마련할 방침이라고 밝혔다. 일례로 금융회사 클라우드 이용시 주요내용 보고를 의무화한다.
'중요정보' 클라우드 이용의 경우클라우드 서비스 제공자, 데이터 저장위치, 정보처리 현황(정보 유형,정보량) 등 주요사항을 감독당국에 보고하게 된다. '비중요정보'라도 감독당국 요청시 보고해야 할 의무가 생긴다. 여기에는 클라우드 서비스 제공자의 재무건전성, 계약의 변경사항, 비상계획 및 테스트결과 등에 대한 보고내용이 포함된다.
전자 금융보조업자에 대한 감독당국의 직접 감독,조사 근거를 마련하는 방안도 검토할 예정이다. 침해사고,장애 발생시 정확한 원인분석을 위해 자료수집 및 현장검사 등 직접 감독,조사업무 근거가 필요하기 때문이다. 현행 규정상 클라우드 서비스 제공자(보조업자)에 대한 '조사권'에 현장출입권 등을 부여(법 제40조제5항, 감독규정 제61조 개정)할 예정이다.
한편 내년부터국내 소재 클라우드에 한해서만 중요정보 활용을 우선 허용하지만, 국외 소재 클라우드 활용도중장기 과제로 검토할 계획이다.
또,망분리의 경우 클라우드 적용으로 대상 인프라가 확대되는 만큼 망분리 예외조치에 해당하도록 가이드라인을 만들 계획이다. 서비스 제공자와 사용자 입장에서 망분리 예외조치가 가능하도록 이번 하반기에 마련될 가이드내용에 관련 내용을 담는다.
<백지영 기자>jyp@ddaily.co.kr
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
