[아이티데일리] 지난해 중요 정보까지 퍼블릭 클라우드 상에서 처리할 수 있도록 하는 금융 관련 규제가 풀리며, 금융권의 클라우드 도입 속도가 빨라지고 있다. 하지만 한 번 ‘안전성 평가’를 받았던 클라우드 사업자(CSP, Cloud Service Provider)가 타 금융사의 클라우드 전환 프로젝트에 들어갈 때, 길게는 수개월이 소요되는 ‘안전성 평가’를 재차 받아야한다는 점이 금융사들의 클라우드 전환에 제동을 걸고 있다. 이에 업계에서는 현재 금융보안원이 검토 중인 ‘금융 클라우드 안전성 평가’에 ‘대표평가’라는 제도가 조속히 만들어져야 한다고 주장한다.

현재 금융사가 클라우드 서비스를 이용하기 위해서는 금융보안원이 제시한 ‘금융 클라우드 가이드라인’을 따라야 한다. ‘금융 클라우드 가이드라인’에 토대를 둔 ‘금융 클라우드 안전성 평가’는 ▲계정 관리 ▲접근 통제 ▲내부시스템/단말기 연계 ▲암호화 및 키 관리 ▲로깅 ▲가상환경 보안 ▲보안 모니터링 및 취약점 분석 평가 등 8개 영역에서 진행된다. 클라우드 서비스의 안전성에 대한 기본보호조치 109개, 추가보호조치 32개, 총 141개의 항목을 평가한다.

이러한 ‘안전성 평가’는 짧게는 1~2주, 길게는 수개월까지 진행된다. 업계에서는 “‘안전성 평가’에 대해 클라우드 서비스 안전성에 대한 평가가 자세할수록 길어지며, 이는 고객들의 수많은 데이터가 오가는 금융사에게는 당연한 절차”라고 말한다.

다만 문제가 되는 것은 이러한 ‘금융 클라우드 안전성 평가’가 중복되는 부분이 많으며, 금융사와 클라우드 사업자(CSP, Cloud Service Provider) 모두에게 비효율적이라는 것이다. CSP가 금융기관에 클라우드 서비스를 제공하기 위해 받았던 ‘안전성 평가’ 결과를 갖고 있을지라도, 다른 금융사에 클라우드 서비스를 제공하려면 새롭게 받아야만 한다. 더군다나 한 금융사 내에서도 업무별로 클라우드 서비스 적용 시스템이나 서비스에 따라 평가가 따로 진행되고 있는 상황이다.

이러한 ‘안전성 평가’ 제도의 비효율성을 인지, 금융보안원에서는 ‘대표평가’라는 방법을 검토 중이라는 소식이 들린다. ‘대표평가’ 제도가 도입되면 기존의 ‘금융 클라우드 안전성 평가’를 한 번 받았던 CSP는 다른 금융사의 클라우드 전환 프로젝트에서 ‘안전성 평가’를 간소화된 절차로 통과할 수 있을 것으로 기대된다.

예를 들면, KB금융그룹의 비대면 서비스를 아마존웹서비스(AWS)에 올리기 위해서는 금융 클라우드 안전성 평가를 받아야 한다. 수개월에 걸쳐 평가받은 결과를 다른 금융사에도 공유해 AWS가 KB국민은행의 비대면 서비스, 직원의 업무 시스템 등과 같은 다양한 클라우드 전환 프로젝트에 있어서 ‘안전성 평가’의 중복을 막을 수 있다는 것이다.

‘대표평가’가 이뤄지더라도 규제 산업에 속하는 금융이라는 특수성을 이해한 다양한 제도들이 그 아래에 생겨야 하는 것은 물론이다. 한 번 받았던 결과만으로 다른 금융사들의 데이터 안전을 완전히 보장하기는 어렵기 때문이다. 그렇기에 일정기간 주기를 두고 ‘금융 클라우드 안전성 평가’를 받아 그 결과를 바탕으로 금융사의 클라우드 전환 프로젝트 참여할 때 공유하는 형태로 이어져야 한다.

이러한 문제들을 적극 수렴해 ‘대표 평가’ 제도를 시행한다면 빠르게는 한 달 이내에 금융사의 클라우드 서비스 전환이 가능해지게 되며, 수개월이 걸리던 평가 기간이 단축된다. 또한, 금융사의 IT 시스템 운영 측면에서도 여러 퍼블릭 클라우드 서비스를 활용하는 ‘멀티 클라우드’와 기존 시스템과 퍼블릭 클라우드를 함께 사용하는 ‘하이브리드 클라우드’ 등 2가지 방법론을 혼용하는 글로벌 트렌드에도 발맞출 수 있을 것으로 보인다.

‘대표평가’가 시행되기 위해서는 ‘안전성 평가’ 하위에 CSP들과 금융사의 보안성, 효율성 등을 고려한 제도들이 반드시 생겨야 한다. 그렇기에 쉽지만은 않은 과제다. 그럼에도 금융사와 CSP들 사이에 비효율성을 줄여나갈 수 있으며, 국내 금융 산업군의 클라우드 전환을 가속화할 수 있다는 점을 고려했을 때 하루 빨리 시행돼야 하는 제도임에는 틀림없다.