클라우드뉴스

[2019 클라우드 임팩트] 금융 클라우드 도입, 리스크 관점 고려해야

이상일
금융보안원 김성웅 팀장
금융보안원 김성웅 팀장
[디지털데일리 이상일기자] “클라우드의 IT인프라 운영 및 경제적 효용성이 크지만 클라우드 컴퓨팅이 우리에게 좋은 점만 주는 것은 아니다. 리스크 발생 가능성도 염두에 둬야 한다.”

<디지털데일리>가 21일 신도림 쉐라톤 호텔 그랜드볼룸에서 개최한 ‘클라우드 임팩트 2019 컨퍼런스’에서 ‘금융권 클라우드 가이드라인을 통한 클라우드 보안 전략’을 주제로 발표한 금융보안원 김성웅 팀장은 금융권이 클라우드 도입에 앞서 “대상 사업 및 서비스 종류, 클라우드 이용에 따른 효율성과 안전성, 대내외 영향 요인을 파악해야 한다”고 조언했다.

김 팀장은 “전통적으로 구축 운영하던 IT환경와는 큰 차이가 있을 수 밖에 없다. 변화된 환경에 대해 금융사가 이해하고 있지 못하다면 치명적인 사고나 보안 위험에 노출될 수 밖에 없다”며 “향후 IT에 대한 이해력이 금융사의 큰 경쟁력이 될 것이다. 하지만 특정 IT, 클라우드 회사에 종속된다면 문제가 될 수 있다. 전략적인 고민이 필요한 시점”이라고 밝혔다.

금융당국은 1월 전자금융감독규정 개정을 통해 클라우드 활용 범위를 개인 신용정보까지 확대하는 등 금융권 클라우드 도입에 있어 장애물로 지적되던 사항 등을 대거 완화하는 조치를 취했다. 또 금융 클라우드 도입을 위한 가이드라인도 지난해 12월 발표했다. 올해부터 금융분야 클라우드 규제가 본격적으로 완화되는 가운데 구체적인 도입 방법 및 예시를 담은 가이드라인이 발표된 것이다.

대부분 금융사들이 클라우드 이용 가이드가 나온 후 구체적인 클라우드 도입 방향 및 전략을 수립할 것으로 예상되는 만큼 이번 가이드라인에 담긴 내용에 관심이 큰 상황이다. 본문만 114페이지에 달하는 이번 가이드라인에선 클라우드의 실제 도입부터 적용, 심사, 출구전략까지 상세한 내용을 담았다는 평가다.

하지만 아직도 금융권에선 가이드라인에 대한 문의가 빗발치고 있는 상황이다. 이에 대해 김성웅 팀장은 “이번 가이드라인의 목적은 전자금융감독규정 개정으로 규정에서 명시된 세부절차를 안내하는 부분과 금융사가 클라우드를 이용함에 있어 여러 가지 리스크를 최소화하는데 초점을 맞췄다”며 “가이드라인에 대부분의 내용이 담겨있지만 아직 금융사들이 생소한 분야가 있는 것 같다. 또 질의의 대부분이 새로운 규제 부분에 대한 이해”라면서 “6개월 정도면 대부분의 궁금증이 해결될 것으로 본다”고 밝혔다.
해외는 금융사의 핵심 시스템도 확장성이 우수한 퍼블릭 클라우드로 전환이 활발해질 것으로 예상되지만 국내의 경우 유닉스에서 리눅스로 전환(U2L) 이슈 등 기존 코어뱅킹시스템의 전면적인 클라우드 이전에 선결과제가 존재 한다.

김 팀장은 “초기비용이 많이 투입되고 보안 위협 등 우려가 높은 만큼 비핵심업무, 신규 업무를 중심으로 우선 추진하되 향후 핵심 업무 등으로 단계적 도입이 필요하다”고 말했다. 또 그는 “멀티 클라우드 환경에서 클라우드 사업자 간의 데이터 전송 및 공유 등의 프로세스 처리에 대한 고민도 필요하다”고 덧붙였다.

한편 금융권의 클라우드 도입이 성공하기 위해선 “경영진이 기업의 리스크 관리를 위한 전략 및 대응계획 등을 이해하고 확인하는 적극적 리더십이 필요하다”는 조언도 나왔다. 김 팀장은 “클라우드 사업자를 비롯한 전체 공급망에 대한 보호대책 수립 및 통제, 모니터링 등 관리 강화가 필요하다”며 “특히 출구전략 수립이 중요하다”고 강조했다.

이번 가이드라인에서는 퍼블릭 클라우드 도입 후 서비스 종료 및 금융사 정책 변경 등으로 클라우드 이용을 중단할 경우 발생할 수 있는 문제를 해결하기 위한 출구전략의 중요성이 강조됐다.

김성웅 팀장은 “클라우드 서비스 프로바이더의 파산, 서비스 제공중단, 서비스 품질 저하, 규제환경의 변화 또는 기타 금융회사의 필요에 따른 이용 중단 가능성이 존재하기 때문에 리스크 마이그레이션 전략이 필요하다”며 “중요도가 높은 정보처리시스템은 출구전략을 보다 정밀하게 수립하고 출구전략 이행이 용이한 구현방식을 고려해야 한다”고 강조했다.

그는 “출구전략 이행 용이를 위해서는 IssS는 컨테이너 방식이 유리하며 CSP에 대한 의존도를 낮추고 PaaS와 SaaS의 경우 CSP가 제3자의 Iaas 인프라를 이용해 서비스를 제공하는 것이 유리하다”고 조언했다.

<이상일 기자>2401@ddaily.co.kr
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널