현재 금융위원회는 금융감독원, 금융보안원, 금융회사 등으로 구성된 제도개선 태스크포스(TF) 검토를 거쳐 '금융권 클라우드 서비스 가이드라인'을 개정할 계획이다. 앞서 2016년 금융보안원은 '금융권 클라우드 서비스 이용 가이드'를 배포한 바 있다.
당시 가이드라인에는 ▲금융사가 자사 내부 시스템 중 비중요 정보처리 시스템에 포함될 대상을 선정한 뒤 정보보호위원회 검토를 거쳐 금융감독원에 보고서를 제출해 필요사항을 보완하되 ▲인터넷뱅킹, 증권거래시스템(원장시스템), 자금세탁방지(ALM)시스템에 대해서는 비중요 정보처리시스템으로 지정할 수 없다.
또 ▲중요한 금융정보도 개인정보 비식별 조치 가이드라인에 따라 암호화 등 방법으로 비식별화하거나 사내직원과 같은 전자금융거래와 직접 관련이 없는 고유식별정보, 개인신용정보는 클라우드 서비스를 통해 처리할 수 있도록 허용하는 내용이 담겼다.
이번에 개정될 가이드라인에는 비중요처리시스템 지정과 관련한 내용과 클라우드 이용 예외시스템 지정 등에 대한 내용은 없어질 것으로 보인다.
원칙적으로 신용정보 등 중요 개인정보에 대한 클라우드 활용에 대해 규제를 완화한 만큼 비중요처리시스템에 대한 체크리스트 등은 사라지는 셈이다.다만 신용정보 등 중요정보에 대한 비식별화는 여전히 유효한 차원에서 검토된다, 한 은행권 관계자는 '최소한의 안전장치 면에서 고객정보의 비식별화는 안고가야 하는 부분'이라고 전망했다.
실제 금융당국은 '중요정보'에 대해선 보다 강화된 보호조치 기준을 수립, 시행한다는 입장이다. 이에 따라 일각에서는 보다 강화된 보호조치의 수준에 따라 중요정보시스템에 대한 클라우드 활용폭이 달라질 수 있다는 시각이다. 중요정보가 담긴 시스템에 대한 암호화 등 현행 보안수준보다 강화된 기준이 적용될 경우 비용면에서 기존 시스템을 유지하는 것이 금융사로선 이득일 수 있다는 지적이다.
가이드라인에 담길 '금융 클라우드 인증제' 도입 여부에도 업계의 관심이 쏠려 있다. 금융위원회는 금융회사가 자율적으로 클라우드 이용을 결정하는 방식과 금융 클라우드 인증제를 도입하는 방안 두 가지를 검토하고 있다.
금융분야 클라우드 서비스 기준을 통한 자율 통제방식의 경우 관련기준 등을 가이드로 마련하고 해당 가이드에 대해 금융회사 등이 자율적으로 준수토록 통제하는 방안이다.
클라우드 사고발생시 보상, 사고대응체계 구축 등 금융권 클라우드 사용에 특화된 내용을 금융회사가 내부통제 절차에 따라 관리․감독하는 것으로 최근 금융당국의 자율보안 강화 정책기조와도 부합한다.
다만 클라우드 사업자에 대한 금융당국의 관리감독의 한계, 보안과 관련해 금융사의 별도 투자가 요구된다는 점이 단점으로 지적된다.
금융분야 특화 클라우드 서비스 인증 평가 방식은 보안 서비스 인증제를 도입하고, 보안성 평가를 통과한 클라우드컴퓨팅 사업자를 통해 서비스 제공하는 것으로 현재 과기정통부가 클라우드 보안 서비스 인증제를 통해 공공기관의 민간 클라우드 서비스 이용을 허용하고 있다.
하지만 이 방식은 제도 준비기간에만 1~2년이 소요될 것으로 보여 금융권의 빠른 클라우드 이용 확산에 문제가 될 것이란 지적이 있다. 또 글로벌 시장을 염두에 두고 아마존웹서비스(AWS)와 MS 애저 등 글로벌 클라우드를 이미 활용하고 있는 금융사에게도 인증평가 방식은 탐탁치 않다.
한 은행권 관계자는 '해외의 경우 오히려 AWS의 보안기준을 금융사가 그대로 따라 수립하는 경우가 있다'며 '글로벌 클라우드의 보안 수준은 이미 개별 기업이 따라가기 힘든 수준'이라고 지적하기도 했다. 다만 이 관계자는 '24*365, 그리고 실시간 이체 등의 서비스가 발달돼 있는 우리나라 상황을 고려하면 백업체계 및 복구 다운타임 등에 대해선 별도의 기준이 나와야 할 것'이라고 밝혔다.
<이상일 기자>2401@ddaily.co.kr
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
