금융사 클라우드 도입, 비중요 정보만...국외 서버도 OK

인터넷입력 :2016/10/18 18:31

손경호 기자

금융사들이 적극적으로 클라우드 서비스를 도입할 수 있는 여건이 마련되고 있다.

물론 고유식별정보나 개인신용정보 같은 민감한 정보에 대해선 여전히 클라우드 사용에 제약이 있다. 하지만 민감하지 않은 정보를 처리하는 시스템의 경우 국내 사업자들은 물론 해외에 서버를 둔 아마존웹서비스(AWS)를 통해서도 클라우드 서비스를 활용할 수 있게 됐다.

이에 따라 금융사들이 시스템 구축 비용을 대폭 줄이면서도 트래픽에 따라 효율적으로 사용료를 내는 방식으로 전환할 수 있게 됐다.

최근 금융보안원이 공개한 '금융권 클라우드 서비스 이용 가이드'에 따르면 금융사들은 몇 가지 조건을 준수하면 클라우드 서비스를 활용할 수 있다.

금융사 클라우드 서비스 도입을 지원하는 구체적인 가이드가 마련됐다. 현재는 민감한 금융정보가 포함되지 않은 시스템에 대해 국내, 국외에 서버를 두는 것에 관계없이 클라우드 서비스가 허용된다.

먼저 현행 규정 상 당장은 주민등록번호, 여권번호, 면허번호, 외국인등록번호나 개인신용정보가 포함되지 않은 정보에 대해서만 클라우드 서비스를 통해 운영할 수 있다. 금융사는 자사 내부 시스템 중 이러한 비중요 정보처리 시스템에 포함될 대상을 선정한 뒤 정보보호위원회 검토를 거쳐 금융감독원에 보고서를 제출해 필요사항을 보완하면 된다.

이와 관련 금융보안원 관계자는 "금융사가 기존 전자금융감독규정을 준수할 경우 별도로 비중요 정보처리시스템을 지정해 검토를 받지 않고서도 클라우드 서비스를 도입할 수 있다"고 설명했다.

금보원 가이드에 따르면 인터넷뱅킹, 증권거래시스템(원장시스템), 자금세탁방지(ALM)시스템에 대해서는 비중요 정보처리시스템으로 지정할 수 없다.

두번째로는 클라우드 서비스를 활용하는 여러 금융사들이 서로 논리적인 망분리를 해야한다는 점이다. 클라우드 서비스는 특성상 한 개 서버를 여러 개 기업들이 나눠서 사용할 수 있다. 때문에 여러 금융사가 같은 서버를 쓰게 될 경우 서로 접근이 안 되도록 차단해야만 한다. 금보원 관계자는 "클라우드 서비스 제공 사업자가 클라우드 기반 인프라(IaaS) 형태로 서비스를 제공할 경우에는 금융사가, 그렇지 않을 경우 클라우드 사업자가 여러 금융사들 간 접근통제 방안에 대해 지원해줘야한다"고 말했다.

금융사가 클라우드 서비스를 활용하기 위해서는 기존 전자금융감독 규정상 안전성 확보의무, 개인정보보호법 상 안전성 확보조치, 정보통신망법 상 관리적 보안대책 등 법규를 준수해야만 한다. 그러나 "관련 법들이 중복되는 부분들이 많은 만큼 금융사들이 기존에 해오던 전자금융감독규정 상 안전성 확보 의무를 준수했다면 큰 어려움은 없을 것"이라고 금보원 관계자는 밝혔다.

금융사 본래 업무가 금융서비스인 만큼 이를 운영하는 과정에서 개인식별정보나 개인신용정보와 연계된 정보가 다른 정보에 비해 훨씬 많다. 금융사가 비용을 줄이면서도 탄력적으로 운영할 수 있는 클라우드 서비스의 장점을 살리려면 중요한 금융정보에 대해서도 클라우드를 활용할 수 있도록 해야할 것으로 전망된다.

관련기사

이와 관련 가이드는 중요한 금융정보라고 할지라도 개인정보 비식별 조치 가이드라인에 따라 암호화 등 방법으로 비식별화하거나 사내직원과 같은 전자금융거래와 직접 관련이 없는 고유식별정보, 개인신용정보는 클라우드 서비스를 통해 처리할 수 있도록 허용하는 중이다.

클라우드컴퓨팅발전법이 시행되고, 이와 관련해 준수해야하는 사항을 담은 가이드까지 등장했지만 아직까지도 금융사들은 보수적인 입장이다. 때문에 당장 클라우드 서비스가 도입된다고 하더라도 금융사 웹사이트, 실시간 주식 시세 데이터 제공 시스템, 인터넷메일시스템, 파일배포서버 등에 도입될 가능성이 높다. 업계에 따르면 현재는 은행보다는 증권사, 보험사에서 클라우드 서비스 도입을 보다 적극적으로 검토하는 중이다.