[디지털데일리 이상일기자] 금융권에서 퍼블릭 클라우드 서비스를 이용하기 위해 개별적으로 받아야 했던 '금융 클라우드 안정성 평가 제도'도입을 놓고 관련 CSP(클라우드서비스)업계에 혼선이 일고 있다.
금융 클라우드 안정성 평가 전단기관인 금융보안원이 당초 도입키로 했던 ‘대표평가’ 제도를 백지화하고, 최근 ‘합동평가’ 제도 도입을 새롭게 검토하고 나서 부터다.
정부는 전자금융업자(금융회사)가 상용 클라우드컴퓨팅서비스를 도입할 경우 클라우드 서비스 제공자(CSP)에 대한 건전성·안정성을 평가하도록 규정하고 있다. 금융보안원은 침해사고대응기관으로서 안정성 평가의 평가 지원 역할을 수행한다.
'대표평가' 제도는 그동안 금융사가 '퍼블릭(Public) 클라우드' 환경을 도입할 때 비슷한 업무에 각각 개별적으로 받아야 했던 금융 안정성 평가의 단점을 해소하고 중복검사를 줄이기 위한 방법으로 추진돼왔다. 금융보안원은 복수의 금융회사가 신청한 CSP를 대상으로, 대표로 안정성 평가를 실시하고 평가 결과를 금융회사에 공유하는 방향을 추진해 왔다. '퍼블릭 클라우드'란 금융회사가 완전히 외부 클라우드 전문업체에 IT를 위탁하는 방식이다.
쉽게 말해 그동안 국내 금융권에 도입이 논의돼왔던 '대표평가'란 A금융사가 특정 업무시스템을 퍼블릭 클라우드 방식으로 운영하기 위해 CSP 안정성 평가를 받았다면, 이와 유사한 업무시스템을 동일한 CSP를 통해 퍼블릭 클라우드로 운영하고자하는 B금융사는 별도의 안정성 평가를 생략하고 기존 평가를 준용할 수 있도록 한다는 것이었다. 이는 불필요한 안정성 평가의 중복을 피할 수 있고, 클라우드 도입을 빠르게 장점이 높게 평가받았다.
예를들어 KB국민은행이 특정 정보계시스템 업무를 MS에 퍼블릭 클라우드 방식으로 위탁운용하기위해 안정성 평가를 받았다면, 신한은행이 MS에게 동일한 업무를 위탁할 경우에는 공통부문에 대한 MS의 안정성 평가가 생략되는 것이 업계가 인지해왔던 '대표평가' 방식의 구상이었다. 클라우드 서비스를 제공하는 AWS, MS애저, 네이버클라우드 등 사업자들이 이같은 '대표평가' 준비를 해 왔다.
이같은 '대표평가'방식이 백지화됨에 따라 당분간은 기존 방식대로 안정성 평가가 진행될 수 밖에 없은 상황이다. 금융사가 퍼블릭 클라우드를 도입하기 위해선 전자금융감독규정에 따라 금융사와 클라우드 서비스 사업자가 안정성 평가를 완료해야 한다. 각 금융사가 상용 클라우드 이용 시 클라우드 제공자(CSP)에 대한 안정성 평가가 이뤄지고 있다. 여기서 수행된 평가는 각 금융사가 공유할 수 있도록 가이드라인에 명시돼 있다.
그러나 최근 안정성 평가 주무기관인 금융보안원은 각 클라우드 서비스 제공업체들에게 구두로 대표평가를 '통합평가'로 전환키로 했다며 관련 대응을 주문한 것으로 알려졌다.
이와 별개로 금융보안원은 이미 '합동평가' 지원을 위한 시스템 구축을 추진 중이다. 금융보안원은 ‘DT평가 통합지원시스템 도입’ 사업공고를 내고 4월 중 시스템 구축 사업자를 선정할 계획이다.
업계 관계자들의 말을 종합해보면 금융보안원이 그리는 통합평가의 방법은 비슷한 시기에 특정 퍼블릭 클라우드 기업의 서비스 도입을 원하는 금융사들을 하나로 묶어 그 중 대표자인 ‘점검반장’을 선정해 평가하는 방식이다.
예를 들어 A금융사가 AWS(예) 퍼블릭 클라우드 서비스 이용을 희망할 경우 서비스 도입 시점에 AWS의 클라우드를 이용하게 되는 금융기관을 AWS가 모두 다 모으고 그 중 대표 금융사를 ‘점검반장’으로 선정해 금보원과 AWS, 점검반장으로 선정된 금융사 3자가 참여하는 클라우드 안정성 평가에 나서겠다는 것이다.
금융보안원이 발주한 DT평가 통합지원시스템 도입 제안요청서를 통해 대략의 방향을 유추해보면 합동평가를 위한 점검은 일정한 차수(연 단위 등)로 진행하며 ‘사전준비 -> 자체 평가 -> 서면 검토 -> 현장점검 -> 이행점검 -> 결과 확인’의 순으로 이행된다.
또, 합동점검 진행 시 금융회사 및 보조업자의 계약 관계가 매년 달라질 수 있으므로 ‘사전 준비과정’을 통해 참여 회사를 확정할 수 있도록 했다. 한편 사전준비 과정에 필요한 절차로는 ‘금융회사 수요조사 요청 -> 보조업자(클라우드 서비스 제공자) 계약관계 확인 요청 -> 금융회사 수요조사 확정 -> 보조업자 합동점검 대상 확인 -> 합동점검 참여기관 확정 -> 합동점검 점검반장 지정’ 등의 순이다.
결국 금보원은 특정 시점에 클라우드를 도입하는 금융사들을 한데로 모아 그 중 대표를 지정해 클라우드 서비스 제공업체와 클라우드 안정성에 대한 점검을 진행한다는 계획이다. 다만 대표평가에 비해 클라우드를 사용하려는 금융사를 한데 모아야 한다는 클라우드 서비스업체의 부담과 클라우드 도입 시점이 저마다 다른 금융사들을 어떻게 한 묶음으로 볼지 여부에 대해 아직 구체적인 안이 나와있지는 않은 것으로 보인다.
특히 업계에서는 점검반장으로 선정된 금융사의 부담이 커진다는 점에서 현장에서의 적용이 쉽지 않을 것으로 보고 있다. 한 클라우드 서비스 업체 관계자는 “공식적으로 공문을 받지 못해 내용을 정확히 파악하진 못했지만 대학 PPT 발표의 경우도 발표자에게 부담이 가는 것이 사실인데 클라우드 안정성 평가에 점검반장을 세울 경우 평가에 대한 부담이 한 곳으로 밖에 쏠릴 수 밖에 없다”고 지적했다.