IT서비스 & 혁신

[S리포트/4부-금융①] 금융권, 왜 클라우드 도입에 주저하는가?

이상일

[디지털데일리 이상일기자] 신한은행은 2016년11월 ‘그룹 공통시스템 노후 장비’ 교체 사업에 나섰다. 업무지원시스템, 자산관리시스템 등 신한금융그룹 산하 계열사 공통시스템의 노후 x86 장비를 교체하기 위한 사업이다. 일반적으로, 금융권에선 흔하게 볼 수 있는 IT장비 도입 사업중 하나다.

그런데 이 사업은 특별한 주목을 받았다. 사업 발주 내용에 ▲클라우드 기반 가상화 환경으로 통합 구성 ▲향후 퍼블릭 클라우드 및 타 클라우드 플랫폼으로 확장이 가능한 구조 확보를 명시했기 때문이다.

다시 말해 내부 시스템을 가상화 환경으로 구성하고, 또 이를 퍼블릭 클라우드, 혹은 프라이빗 클라우드와 결합하는 것을 전제로 시스템을 구성하겠다는 것이다.

이처럼 금융 내부시스템 구축시 클라우드 전환 및 결합을 전제로 시스템 구축이 진행되는 것은 흔치않은 사례다. '클라우드 전환'이 이제 IT장비 도입을 위한 의사결정에 상당한 영향을 끼칠 수 있는 변수가 될 수 있음을 의미한다.

물론 금융IT 업계에선 금융권의 클라우드 도입 시 우선적으로 고려될 수 있는 분야가 금융그룹의 경영지원 및 공통분야다. 클라우드의 잠재적 폭팔성은 인정하지만 아직까지는 제도적인 제약때문에 '클라우드'가 큰 변수가 되지는 못하고 있다.

현재 금융회사의 비고객정보, 즉 클라우드로 처리가 가능한 분야는 재무 회계, 예산/감사, 기준 정보 등이다. 고객과 금융거래 정보가 존재하지 않는 분야다. 이런 업무는 특히 패키지 솔루션 기반으로 구축돼 있어 클라우드 전환이 용이한 것도 강점이다.

물론 금융보안원의 '비식별 가이드라인'에 따르면, 고객정보라 하더라도 기술적으로 비식별화 조치가 가능하다고 했기때문에 이를 클라우드 방식으로 처리할 수 있다는 적극적인 해석이 일각에서 나오고 있다. 하지만 여전히 이는 금융권에서는 '소수론'이다.

◆금융권 클라우드 도입 경험, 30%에 불과 = 앞서 IBK기업은행이 포스트 차세대시스템 구축을 통해 ‘IBK 클라우드 컴퓨팅 센터’을 통한 개발 및 테스트용 클라우드 구축으로 서버 및 스토리지 기능을 표준화된 서비스로 제공하고 표준 개발 환경을 클라우드 플랫폼으로 구성한다는 계획을 세운바 있다.

하지만 결과적으로 기업은행은 가상화 환경을 구성하는 것에서 더이상 발전하지는 못했다.

기업은행 뿐만 아니라 국민은행, 하나은행 등 대형 시중은행들은 클라우드 도입을 위한 파일럿이나 개념검증(PoC)은 진행한 상태다. 하지만 여기서 한 발짝 더 나아가지 못한 이유는 현실적으로 클라우드를 도입하기 어려운 법적, 제도적 규제 탓이었다.

금융감독원이 지난 6월, 국내 105개 금융사를 대상으로 클라우드 컴퓨팅 서비스 사용 빈도를 조사한 결과 조사대상 중 9%, 9개사가 17개 업무에 클라우드를 적용한 것으로 나타났다. 13%인 14개사는 17개 업무에 클라우드를 도입할 예정이다. 20% 언저리의 금융사가 클라우드 도입을 모색하고 있는 상황이다.

미래창조과학부 등 정부에서는 클라우드 활성화를 위해 다양한 규제들을 풀어왔지만 금융권의 경우 여러 가지 복잡한 규제 탓에 이처럼 클라우드의 도입이 가시화되지 못했다.

그동안 금융당국은 금융사가 클라우드 환경을 도입한다 하더라도 최소한 고객의 금융정보에 대해서는 통제가 가능해야 한다는 입장이었다. 고객의 금융정보 통제는 금융당국이 유사시 물리적으로 이를 관리 감독할 수 있어야 한다는 뜻이다.

전자금융감독규정 등에 따르면 전자상거래, 금융결제 등을 위한 클라우드 시스템의 업무망은 인터넷 등 외부통신망으로부터 물리적으로 분리할 것을 명시하고 있다. 또 방화벽, 침입탐지시스템(IPS), 웹방화벽 등 보안제품에 대한 원격접근도 금지하고 있다.

이처럼 현 전자금융감독규정상 금융회사 또는 전자금융업자는 정보처리시스템 운영 시 외부망과 내부망을 분리해야 해 사실상 클라우드 이용이 제한됐다. 하지만 금융위원회가 지난해 9월 금융 분야에서 민감한 정보를 제외하고는 각종 자료를 클라우드에 저장할 수 있도록 전자금융감독 규정 고시를 개정했다. 전자금융감독규정에서 민감하지 않은 정보는 '비중요 정보처리시스템'으로 표현했다.

◆클라우드 환경을 위한 규제 완화, 부족한 2% = 금융위원회는 지난해 9월 금융분야에서 민감한 정보를 제외하고는 각종 자료를 클라우드에 저장할 수 있도록 전자금융감독 규정고시를 개정했다.

고객정보 등 민감한 정보만 각 금융기관이 별도로 관리하도록 했다. 금융사 자체적으로 수립한 정보자산 중요도 평가기준에 따라 전자금융거래의 안정성 및 신뢰성이 미치는 영향이 현저히 낮은 정보처리시스템을 비중요 정보처리시스템으로 지정할 수 있게 했다. 비중요정보처리시스템의 경우 물리적 망분리 등 클라우드 활용 규제에 대해 예외적용이 가능해졌다.

다만 신용정보 처리시스템은 비중요정보처리시스템으로 지정할 수 없다는 단서를 달았다. 어어서 금융권 클라우드 도입을 위한 가이드라인인 금융보안원 ‘클라우드 서비스 이용 가이드’가 발표됐다.

먼저, 전자금융감독 규정 개정안의 관련 규정을 원문 그대로 살펴보자.

'제14조의2 (비중요 정보처리시스템 지정) ① 금융회사 또는 전자금융업자는 자체적으로 수립한 정보자산 중요도 평가기준에 따라 전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은 정보처리시스템을 비중요 정보처리시스템으로 지정할 수 있다.

다만, 개인의 고유식별정보 또는 「신용정보의 이용 및 보호에 관한 법률」에 따른 개인신용정보를 처리하는 정보처리시스템은 비중요 정보처리시스템으로 지정할 수 없다.'

전자금융감독규정 개정안에서는 이와함께 '비중요 정보처리시스템'에 대해 금융회사가 원활한 클라우드 전환이 가능하도록 몇가지 규정을 완화시켰다.

즉, 기존 의무사항이었던 ▲국내에 본점을 둔 금융회사의 전산실 및 재해복구센터는 국내에 설치할 것 ▲ 무선통신망을 설치하지 아니할 것 ▲전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리 가능할 것 등의 규정을 해제했다.

금융회사가 '비중요 정보처리시스템'을 클라우드 방식으로 전환할 경우에는, 해외에 있는 데이터센터나 구글, AWS와 같은 글로벌 클라우드 사업자의 클라우드 데이터센터를 활용해도 문제삼지 않겠다는 것이다. '비중요 정보처리시스템'은 민감하지 않기때문에 반드시 국내에서 서버를 두고 금융 감독 당국이 관리할만한 실익이 없다는 의미로 해석된다.

또 비중요 정보처리시스템의 경우, 전산실 내에서는 보안성이 상대적으로 취약할 수 있는 무선통신망 방식으로 처리해도 무방하다는 것이다.

금융당국의 규제완화는 겉으로 보면 금융사의 클라우드 활용을 저해하던 빗장을 열어 제친 듯 보인다. 하지만 실제 금융권에서 클라우드를 적용하는 단계에 들어서면 아직도 여러가지 장벽이 존재한다는 지적이 제기되고 있다.

일단 전자금융감독 규정과 금융보안원의 ‘클라우드 서비스 이용 가이드’가 충돌하고 있는데, 이 부분에서 금융감독 당국의 입장이 더 분명해질 필요가 있다.

즉, '비식별화 조치화된 신용정보 또는 개인정보'를 '비중요 정보처리시스템'으로 볼 수 있느냐가 핵심인데, 이 문제에 대해서 정부가 시원하게 답변해주지 못하고 있다.

이와함께 클라우드로 전환할 경우, 또 다른 장벽이 되는 것이 ‘비용’이다. 클라우드의 도입 이유 중 중요한 것은 기존 구축형 서비스의 단점인 유지보수, IT인프라의 감가상각에서 해방될 수 있다는 점이다.

즉, 사용한 만큼 비용을 내고 필요하면 확장하고 필요하지 않으면 인프라를 줄일 수 있다. 이는 바로 비용절감과 직결된다. 그러나 이는 결론적으로 말해 아직은 이론적으로만 가능하다. 실제 현장의 목소리는 다르다

'비중요 정보처리시스템'을 클라우드로 전환할 경우, 외부 클라우드 서비스업체에 적정가격 이상의 비용을 지불하게 된다는 지적이 금융사 IT 담당자들로 부터 제기되고 있는 것이다.

한 은행권 관계자는 “클라우드 시장에서 서비스 가격이 완전히 오픈되어 있지 않다. 계약에 따라 달라진다. 홈페이지에 오픈된 가격정보를 바탕으로 했을 때 운영상의 편의성은 있지만 비용 면에서 클라우드가 매력적이지 않다”고 지적했다.

대규모 자체 데이터센터를 운영하고 있는 은행들의 경우, 퍼블릭 클라우드 방식으로 외부 데이터센터에 '비중요 정보처리시스템'을 처리하는 것은 그 자체로 자원의 낭비라고 보고 있다.

또 다른 은행 관계자는 "이미 내부적으로 충분한 공간, 상면시설, 통신 등 IT인프라가 있는데 굳이 클라우드 방식으로 전환하도록 독려하는 것은 정책을 위한 정책이고, 그 자체로 또 다른 비효율을 강요하고 있는 셈"이라며 "그냥 시장에 맡겨 뒀으면 좋겠다"고 지적했다.

<이상일 기자>2401@ddaily.co.kr


이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널