"금융권 눈높이 맞춰라"…클라우드 보안 인증 획득 '속도전'

입력 2019.04.24 06:30

금융 분야 클라우드 도입 문턱이 낮아지면서 이 시장을 공략하기 위한 국내외 클라우드 서비스 사업자들이 잇달아 보안 인증을 획득하는 등 무한경쟁 체제에 돌입한다.

금융 분야는 시장 규모가 크고, 요구하는 보안 기준도 높다는 점에서 시장 선점이 갖는 상징성이 크다. 공공 분야의 경우 국내 클라우드 서비스 사업자가 다소 유리한 측면이 있었다면, 금융 분야는 글로벌 클라우드 서비스 사업자들도 금융당국이 요구하는 안정성 평가만 충족한다면 충분히 해볼만하다는 분위기다.

클라우드 이미지. / 마이크로소프트 제공
금융당국은 올해 1월 개인신용정보와 고유식별정보 등 기존에는 금융사 자체 데이터센터에서만 처리할 수 있었던 중요 신용 정보를 민간 클라우드 서비스에서 처리할 수 있도록 전자금융감독규정을 개정했다. 이에 따라 금융사는 클라우드 도입 시 자체적으로 중요도 평가 기준을 수립하고, 적용 대상 업무에 대한 중요도 평가를 실시함으로써 중요 업무에 클라우드를 도입할 수 있게 됐다.

금융 분야 클라우드 도입 가이드라인은 기존 공공 분야에서 요구했던 과학기술정보통신부 주관 클라우드 보안 인증(CSAP) 외에도 이에 준하는 해외 인증을 획득하면 클라우드 서비스의 안정성을 평가하는 항목 중 109개의 기본 보호조치 평가를 생략할 수 있도록 했다. 대표적인 게 미국의 FedRAMP, 싱가포르의 MTCS, 글로벌 보안 얼라이언스(CSA)의 STAR 등이다. 다만, 인증을 획득하더라도 금융 분야 특화 기준인 32개의 추가 보호조치에 대해서는 별도로 안정성 평가를 받아야 한다.

아마존 웹 서비스(AWS)는 최근 열린 AWS 서밋 서울 2019에서 서울 리전에 대해 MTCS 레벨3 인증을 획득했다고 밝혔다. 인증 범위는 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS) 전반을 아우른다. 32개 추가 보호조치에 대해서는 별도의 워크북을 마련해 세부 평가항목과 AWS의 지원 사항을 안내한다.

마이크로소프트는 애저 서울 리전에 대해 CSA STAR 인증을 획득한 상태다. 이와 함께 글로벌 클라우드 서비스 사업자로는 AWS에 이어 두 번째로 정보보호관리체계(ISMS) 인증도 획득했다.

이르면 상반기 중 서울 리전을 가동할 예정인 오라클도 내부적으로 인증 획득 작업에 분주한 모습이다. 반면, 업계에 따르면 내년 초 서울 리전 설립 계획을 밝힌 구글의 경우 아직 인증 획득 움직임이 포착되지 않고 있다.

국내 클라우드 서비스 사업자로는 네이버 비즈니스 플랫폼(NBP)이 날을 벼리는 중이다. 네이버는 최근 춘천에 위치한 데이터센터 ‘각’에서 기자간담회를 열고, NBP의 금융 분야 클라우드 시장 공략을 본격 선언했다.

네이버는 기존 공공 분야 대응을 위해 한국인터넷진흥원(KISA)의 클라우드 서비스 보안 인증을 비롯해 총 14개의 보안 인증을 획득한 바 있다. 나아가 금융 분야 수요 대응을 위해 CSA STAR 골드 인증도 획득하면서 안정성을 입증하는 데 주력하고 있다.

코스콤도 22일 국내 금융업계에서는 처음으로 IaaS 분야 KISA 인증을 획득했다고 밝혔다. 국내 클라우드 서비스 사업자 전체로 보면 KT, NBP, 가비아, LG CNS, NHN에 이어 6번째다. 1월 NBP와 공동 사업 계약을 체결한 코스콤은 8월 전자금융감독규정을 만족하는 금융 존을 오픈할 계획이다. 이를 통해 글로벌 클라우드 서비스 사업자와 경쟁할 수 있는 발판을 마련한다는 목표다.

이대근 AWS코리아 시큐리티 어슈어런스 매니저는 AWS 서밋 서울 2019에서 "금융권 클라우드 도입 가이드라인은 사용 주체가 스스로 책임을 분명히 식별하고, 보안 규정을 충족할 것을 명시하고 있다"며 "AWS는 ISO 27001, ISMS 등 50개가 넘는 규정 준수 프로그램을 운영하고 있으며, 모든 프로그램은 독립적인 감사를 받는다"고 말했다.


키워드