[아이티데일리] 금융권에 클라우드가 확산되고 있다. 보수적인 시장이라는 점 때문에 클라우드 도입이 어려울 것이라는 일반적인 시각과는 달리 클라우드를 도입하기 시작한 것이다. 특히, 9월 마이데이터 서비스가 본격 개시됨에 따라 금융권의 클라우드 도입은 더욱 가속화 될 것으로 전망된다. 그동안 규제에 초점을 맞추어 왔던 금융당국도 국민들이 혁신 금융 서비스를 이용할 수 있도록 금융권 클라우드 이용 규제를 완화하고 있다. 금융권의 클라우드 도입 배경과 상황, 향후 전망에 대해 알아봤다.

마이데이터로 클라우드 확산 기대

9월 개시를 앞둔 마이데이터 서비스가 금융권의 클라우드 도입을 더욱 재촉할 것이라는 전망이 나오고 있다. 마이데이터는 정보의 주체가 본인의 데이터를 관리하고 활용하게 만든다는 의미로, 데이터 주권을 개인에게 부여하는 것이 핵심이다. 정보 주체인 개인이 본인의 정보를 관리 및 통제하고, 이를 신용관리나 자산관리, 건강관리 등에 활용할 수 있도록 한다는 의미다.

이렇게 되면 금융사는 개개인에 맞는 금융 서비스를 제공할 수 있게 된다. 금융사들은 현재 내달 시행될 예정인 마이데이터 서비스 검증 작업을 진행하고 있다. 검증 작업은 시험 시스템(테스트베드)과 기능 적합성 및 보안 취약점에 초점이 맞춰져있다. 테스트베드 검증 작업은 가상 API 서버에 API를 호출하는 것과 API 서버에 대한 테스트, 마이데이터 서비스와 API 서버 간 상호 연동 등이 포함된다. 기능 적합성 검증은 신용정보법령상 규칙을 준수했는지, 표준API 규격에 적합한지 등을 확인하고, 보안 취약점 점검은 마이데이터 서비스 시스템(웹‧앱 형태의 응용프로그램, DB, 웹서버, 정보보호시스템, 네트워크 구간) 등을 확인하게 된다.

마이데이터가 금융권의 클라우드 도입을 촉진시킬 것으로 보는 이유는 데이터 전송량 때문이다. 마이데이터 서비스가 본격적으로 시작되면, 금융사는 타사와 주고받는 개인 신용정보 데이터양이 폭증하게 된다. 기존 시스템으로는 데이터 전송량을 감당하기 어렵다는 것이다.

이러한 이유로 금융사들은 마이데이터 플랫폼을 클라우드로 구축하고 있다. 자체 인프라로 데이터를 처리하기보다, CSP로부터 제공받은 인프라와 신기술을 활용해 데이터 전산 관리에 소모되는 시간과 비용을 절감하는 것이 효율적이라는 판단에서다.

예컨대 마이데이터 서비스가 본격화될 경우 많은 사업자들은 국민들로부터 데이터 활용을 위임받기 위해 노력할 것이고, 그 방법 중 하나로 이벤트를 진행할 것이다. 이벤트로 인해 마이데이터 사업자와 금융사에게 사용자 트래픽이 몰릴 수 있고, 금융사에게 부하가 몰릴 수밖에 없다. 양측 모두 데이터 전송량을 예측할 수 없는 상황에서 가장 적합한 인프라는 결국 클라우드일 수밖에 없다는 것이다.

이 외에 마이데이터 사업자들은 데이터 수집은 물론 부가가치 창출을 위해 데이터 분석에도 많은 자원을 할애해야 할 것이다. 이런 여러 이유로 데이터 플랫폼을 클라우드 상에서 구축할 필요성을 느낄 것이고, 특히 분석을 통해 나온 결과값에 AI, 머신러닝 등을 접목하기 위해선 클라우드가 필수적일 것이라는 얘기다.

마이데이터 서비스 실행을 앞두고 많은 기업들이 마이테이터 사업에 참여했다. 현재 마이데이터 본허가를 획득한 업체만도 약 40개사이다. 구체적으로 살펴보면 은행(국민·농협·신한·우리·SC·하나·광주·전북), 보험(교보생명), 금융투자(미래에셋대우·하나금융투자), 카드(국민·우리·신한·현대·하나·BC), 캐피털(현대캐피탈), 상호금융(농협중앙회), 저축은행(웰컴저축은행), CB사(나이스평가정보·코리아크레딧뷰로), 핀테크·빅테크(네이버파이낸셜, NHN페이코 등 18개사) 등이다.

예비 허가 업체는 은행(대구·중소기업은행), 보험(신한생명·KB손해보험), 금융투자(키움·현대차·한국투자·교보증권), 여전(KB캐피탈·롯데카드), 핀테크(Fn가이드·유비벨록스), IT(LG CNS) 등 13개사다.

이들 기업들 중 상당수는 마이데이터 플랫폼으로 클라우드를 선택했다. 농협중앙회와 신한은행은 프라이빗 클라우드를 구축한 대표 사례로 꼽힌다. 퍼블릭 클라우드를 도입한 대표 사례는 KB국민카드와 국민은행을 들 수 있다. 베스핀글로벌의 한 관계자는 “향후 마이데이터 사업으로 금융권의 클라우드 도입은 더욱 빠르게 이뤄질 것이며, 2025년에는 퍼블릭 클라우드의 비율이 온프레미스를 능가할 것”이라고 전망했다.

대세는 ‘하이브리드 클라우드’

“금융권에서는 하이브리드 클라우드가 대세를 이룰 것으로 보인다. 기존 레거시 시스템을 모아둔 전산실이 아닌 소프트웨어 정의 데이터센터(SDDC)와 퍼블릭 클라우드를 연동해 사용하는 형태로 발전할 것이다.”

이병윤 클라우드그램 부사장의 주장이다. 이 부사장은 금융권의 클라우드 사용 형태는 총 5단계를 거쳐 최종적으로는 하이브리드 클라우드가 대세를 이룰 것으로 전망했다. 5단계 중 첫 단계는 프라이빗 클라우드의 사용이다. 금융사가 보유한 전산실 내 VM웨어, 시트릭스와 같은 기업들의 가상화 인프라 SW를 사용하면서 클라우드에 발을 들이게 되는 단계이다. 이 단계에서는 리눅스 및 윈도우 서버 기반의 대외계 및 백오피스 시스템을 사용하며, 가상화 인프라에서 제공하는 API, CLI(Command Line Interface) 등으로 자동화를 진행하기도 한다. 다만, IDC 내 대부분을 차지하는 HW의 내부 통제 프로세스와 네트워크 및 보안 설정으로 인해 인프라 현대화 수준은 퍼블릭 클라우드에 비해 낮다고 할 수 있다.

다음은 클라우드 도입 의사를 결정하는 단계다. 이 단계에서는 퍼블릭 클라우드를 사용하기 위한 정보화전략을 수립하거나, 별도의 클라우드 서비스 도입 계획을 수립하게 된다. 이때 금융사들은 전자금융감독규정시행세칙 제15조에 따라 매년 장단기 정보화계획을 세우고 CEO 및 금융감독원에 보고하게 된다. 퍼블릭 클라우드를 이용하기 위해서는 전자금융감독규정 제14조의2와 같은 절차를 준수해야 한다. CSP 안정성 평가에 대한 가이드도 이 단계에서 검토하게 된다.

다음은 비중요시스템을 클라우드로 전환하는 단계다. 직원을 대상으로 한 백오피스 및 비금융 대고객 채널의 단위 시스템별 전환이 이때 이뤄지게 된다. 이미 구축된 비중요시스템은 대부분 리눅스나 윈도우 서버 기반이며 가상화를 적용한 상황이기 때문에 클라우드 전환이 비교적 용이하다. 금융사들은 비중요시스템을 단계적으로 클라우드로 전환하며 경험을 쌓을 수 있다. 다만, 클라우드를 제대로 사용하기 위한 랜딩존, 출구전략 등을 명확하게 수립해야 한다.

업계 전문가들은 출구 전략의 중요성을 강조한다. 출구 전략은 CSP 파산, 서비스 중단, 서비스 품질 저하, 규제 환경의 변화 등에 대비해 클라우드 서비스 전환 및 종료할 때를 대비하는 것이다. 출구 전략의 핵심은 이행 지표를 명확하게 설계하는 것이다. 출구 전략을 이행하기 위한 기준인 ‘이행 지표’는 출구 전략을 이행해야 하는 상황을 사전에 정의하고, 판단할 수 있도록 해준다. 특히 출구 전략 이행에 대한 성공 기준을 사전에 미리 정의하는 것이 중요하다.

중요 시스템을 클라우드로 전환하는 것이 4번째 단계이다. 비중요시스템에 이어 중요시스템도 클라우드로 이전하게 되는 것이다. 이 단계에서는 정보계 및 금융 대고객 채널의 단위 시스템을 클라우드로 이전하게 된다. 이 단계에서는 특히 보고 관리, 모니터링 보안 관리, 장애관리, 리소스관리, 비용관리 등에 집중해야 한다. 이국희 클라우드그램 서비스개발 상무는 “대체적으로 중요시스템을 클라우드로 전환하게 되면 1분기에는 안정화, 2분기에는 효율화, 3분기에는 비용절감, 4분기에는 최적화에 집중하게 된다”고 설명했다.

현재 국내 금융사들은 대부분 ‘비중요시스템을 클라우드로 전환’하는 단계에 있다고 할 수 있다.

업계 전문가들은 “데이터3법이 국회를 통과한 이후 28개사가 마이데이터 본허가를 획득, 정보제공자 및 정보수신자 시스템 구축 시 클라우드 적용 사례가 급격히 확산될 것”이라며, “‘비중요시스템의 클라우드 전환’ 단계에서 ‘중요시스템 클라우드 전환’ 단계로 빠르게 넘어갈 수 있다”고 분석했다.

마지막 5단계에서는 하이브리드·멀티 클라우드 기반의 전사 통합 및 표준화가 이뤄질 것으로 보인다. 이국희 클라우드그램 서비스개발 상무는 “금융사들은 클라우드가 적용된 시스템이 늘어나게 될 경우, 전사 IT 관점에서 이를 통합하고, 표준화하고자 할 것”이라며, “중요시스템을 클라우드에서 운영하며 얻은 노하우를 기반으로 기존 IDC를 소프트웨어 정의 데이터센터(SDDC)로 고도화할 것”으로 예상했다.

이어 그는 “다만 SDDC를 기반으로 프라이빗 클라우드만 운영하는 것이 아닌 퍼블릭 클라우드와 함께 사용하는 하이브리드 클라우드 형태를 유지할 것이다. 이런 관점에서 통합 클라우드 관리 플랫폼과 하이브리드 클라우드 플랫폼의 중요성이 강조될 것”이라고 덧붙였다.

확산일로 있는 금융클라우드 시장을 두고 초기 시장을 선점하려는 클라우드 업체들의 경쟁도 심화되고 있다. 업계 관계자들의 말을 종합하면 현재 앞서가는 업체는 AWS와 네이버클라우드다. AWS는 다양한 서비스, 네이버클라우드는 신속한 기술지원과 24시간 365일 모니터링이 강점으로 꼽히고 있다.

하지만 그 어떤 업체도 확실하게 금융권 클라우드 시장을 주도하지는 못하고 있으며 현재의 시장 상황은 언제든 바뀔수 있을 것으로 보인다. 새로운 금융특화 혁신 서비스를 내세우며 금융시장을 휩쓸 CSP가 등장할 수도 있으며, 혹시나 모를 사고가 발생해 시장에서 사라질 위험에 처한 CSP가 생길 수도 있다. 금융권의 클라우드 도입을 위한 기반은 마련됐다. 이제부터 기업들의 본격적인 경쟁이 예상된다.

[인터뷰] “첫째는 보안, 둘째는 안정적인 서비스…고객지원 앞장서겠다”

Q. 네이버클라우드의 금융 고객 확보 전략은.
A. 높은 보안성과 안정적인 서비스를 강조하고 있다. 네이버클라우드는 금융권에서 중시하고 있는 보안에 특히 집중하고 있다. 사실 보안은 민간 기업들도 클라우드를 도입할 때 가장 우려하는 부분이다. 금융사는 보안정책, 보안 패치 관리 등을 지속적으로 업데이트해야 한다. 네이버클라우드는 국내 최다 인터넷 대역폭을 사용하는 네이버 서비스의 보안을 책임지고 있다. 다양한 악성코드의 탐지‧방어를 위해 국내외 보안 인텔리전스 단체들과 협력하고 있으며, 보안 업데이트와 보안 SaaS 서비스 제공 등 보안에 앞장서고 있다.

안정적인 서비스를 지속적으로 제공할 수 있다는 점도 우리의 강점이다. 금융분야에서 필요한 각종 툴, 오픈소스 등과 관련된 개발자들을 많이 확보하고 있으며 안정적인 서비스 제공을 위한 모니터링, 대시보드, 로그분석 등을 지원하고 있다. 한 예로 최근 리눅스OS의 대표적인 센트OS가 연말 개발종료를 앞두게 되자, 그 대안으로 오픈소스 프로젝트인 록키 리눅스와 긴밀하게 협력하며, 국내 커뮤니티 운영 및 관리를 지원하고 있다.

Q. 금융사들이 클라우드를 도입할 때 걸림돌은 무엇이라고 생각하는지.
A. 가장 큰 걸림돌은 망분리를 준수하는 것이다. 금융사들은 보안상의 이유로 업무망과 외부망이 분리돼있다. 이런 이유로 세계에 랜섬웨어가 유행해도 안정성을 확보할 수 있었다. 반면 업무의 연속성 확보나 외부와의 협업에 어려움이 따른다. 따라서 퍼블릭 클라우드와 같이 인터넷 기반의 서비스를 활용에도 제약이 따른다.

그런데 규제의 손길이 닿지 못하는 핀테크나 중소 금융회사에서는 인터넷 기반의 서비스를 이용하고 있어, 신속한 시장요구에의 대응이 필요한 경우 불공평하다는 얘기가 나오고 있다. 또한 재택이나 외부에서는 사내 업무망 접속이 용이하지 않기 때문에 요즘과 같은 모바일 환경에 맞도록 수정되어야 한다는 의견이 있다.

Q. 네이버클라우드의 금융사 고객 사례를 소개해달라.
A. 한화생명을 들 수 있다. 한화생명은 보험업계 최초로 기간계 업무 전체를 MSA 기반 컨테이너 환경으로 개발한 사례다. 기존 온프레미스로 구축돼 있던 보험코어시스템의 인프라를 네이버클라우드의 네이버 클라우드 플랫폼(NCP)과 연동한 하이브리드 클라우드 형태로 구축했다. 이를 위해 한화생명의 데이터센터 내에 하이브리드 클라우드 상품인 ‘CaaS(Cloud as a Service)’와 온프레미스 환경의 DB 이중화 무중단 서비스를 구축했다. 특히 중요 데이터와 핵심 서비스의 보안을 위해 IDC 내에 전용 HW를 구축하고, NCP를 설치해 운영했다. 이를 통해 퍼블릭 클라우드와 온프레미스의 장점을 모두 활용할 수 있게 돼다.

이로써 한화생명은 금융 클라우드 센터에서 운영 중인 검증된 표준 장비와 솔루션을 기반으로 IDC와 클라우드를 구성할 수 있었다. 또한 SW의 지속적인 업데이트 및 관리로 신기술 수용 및 국내 금융 규제에 신속하게 대응할 수 있게 됐다.