<초점>‘금융회사 클라우드 도입’ 주요 요건을 살펴보니…

편집 : 2024.4.19 금 16:17

금융IT

<초점>‘금융회사 클라우드 도입’ 주요 요건을 살펴보니…‘확장·가용-안정-보안성-개발·관리’ 부문별 검토해야

김동기 기자 | kdk@bikorea.net

승인 2019.03.03 10:08:10

‘전자금융감독규정’ 개정 이후, 2019년 클라우드에 대한 금융회사 관심이 보다 고조되는 가운데, 업계 움직임도 빨라지고 있다.

클라우드 서비스 사업자들의 움직임은 빨라지고 있지만, 정작 금융회사는 어떤 방식으로 클라우드 서비스를 도입해야 할지 기준을 잡지 못하고 있다.

한 금융회사 관계자는 “과거 IT아웃소싱 방식이나, 호스팅 서비스 등 몇몇 요건을 검토해 봤지만, 클라우드 서비스 사업자 선정에 필요한 명쾌한 기술적인 요건을 만들어 내지는 못했다”며 “특히, 오토스케일 등 아직 기술적인 논란이 남아, 혼선이 적지 않다”고 전했다.

예를 들어, 클라우드 서비스 사업자들이 내세우는 ‘리소스 사용량에 따라 서버의 자동 증감(Auto-Scaling)’은 주요 시스템 SW 사업자들과 라이센싱 충돌이 발생하는 지점으로, 논란이 지속중이다.

서버의 감소는 몰라도, 늘어날 경우 추가 라이센스를 어떻게 과금할 것인가라는 숙제가 남는다.

실제로, 몇몇 클라우드 서비스 사업자들은 이 문제로 종종 업체들간 갈등을 빚고 있는 것으로 알려졌다.

<BI코리아>는 금융회사의 계정계, 정보계, 전자금융, 승인계, 인공지능 등 광범위한 시스템을 클라우드 서비스로 구축하거나, 이전하기 위한 주요 기술요건에 대해 살펴봤다.

이번 설문은 ▲확장성·가용성 ▲안정성 ▲보안성 ▲개발 및 관리 부문 등 항목에 걸쳐 조사했고, 삼성SDS, LG CNS, SK(주) C&C, 한국 마이크로소프트, 아마존웹서비스 등이 참여했다.

◆확장성·가용성 = 확장성·가용성 부문에 있어 클라우드 서비스 사업자들은 기본 인프라 (컴퓨팅, 스토리지, 네트워크) 및 확장 가능한 다양한 서비스 제공을 최우선으로 제시했다.

이어 ▲리소스 사용량에 따라 서버의 자동 증감(Auto-Scaling) 지원 ▲서비스의 안정성을 위한 HA(High Availability) 제공 ▲부하 분산 서비스를 위한 다양한 기능 제공(라우팅 메커니즘, 자동확장 기능 등) ▲새로운 기능 혹은 기능 업데이트 요구 사항 발생 시 대응 등을 고려사항으로 검토해야 한다.

삼성SDS는 프라이빗, 퍼블릭, 매니지드 서비스 등 고객 요구사항에 맞춤형 클라우드 서비스 제공, 자원 요청시 15분내 자원 제공(VM 기준), 물리서버 1주 내 제공 등을 클라우드 도입의 확장성·가용성 항목으로 산정했다.

LG CNS 역시 한 지역 내 복수의 가용영역(데이터 센터 등) 및 가용 영역간 고속 전용 네트워킹 글로벌 커버리지를 꼽았고, SK(주) C&C는 ‘오토 스케일링’에 덧붙여 AI, 빅데이터를 쉽게 적용할 수 있는 플랫폼 확보 여부를 따져야 한다고 밝혔다.

◆안정성 = 클라우드 시스템의 안정성 관련, 삼성SDS는 99.99% 이상을 보장하는 클라우드 아키텍처 제공(삼성관계사 적용 아키텍처) ▲고품질 운영서비스 제공 : 전담운영인력, 장애지원 전담 기술조직(CI-TEC 등) 보유도 들여다봐야 대상으로 꼽았다.

LG CNS도 데이터 센터 부문 즉, 서비스에 대해 복수 가용영역(데이터센터)을 이용한 아키텍처 구성 지원을 꼽았고, ‘오토 스케일’을 안정성 영역에서 검토해야 한다고 전했다.

안정성 요건을 보는 SK(주) C&C의 시각은 ▲장애가 발생할 경우 다른 서버로 자동 이전시키는 오토(Auto) HA(High Availability) 기능 ▲다른 고객과 물리서버를 공유하지 않는 ‘디디케이티드 클라우드(베어메탈) 서비스 제공 ▲백업 기능 ▲DR(재해복구시스템) 구축 ▲안정적인 네트워크 서비스(전용선, 망분리 등) 제공 ▲안정적인 운영 서비스를 위한 기술지원 체계 필요 ▲신속한 장애 대응을 위한 모니터링 체계 필요 등을 선정했다.

클라우드 서비스 사업자들이 금융 클라우드 도입의 안정성 주요 요건으로 ▲데이터센터의 물적 설비 시설 부문의 적합여부(전자금융감독규정 준수) ▲재해복구시스템(DR) 구성 방안 (실시간 데이터 복제 포함) ▲OS 및 데이터에 대한 백업, 복구 ▲시스템 하드웨어 손상 시 시스템 자가복구(Auto Recovery)기능 구현 ▲클라우드 가상머신 부팅 오류 확인 및 패스워드 분실에 따른 대처를 요건으로 검토해야 한다고 전했다.

◆보안성 = 클라우드 서비스 선정 및 이전에 있어 ‘보안성’ 영역은 금융회사의 가장 큰 고민 중에 하나이다.

글로벌 클라우드 서비스 사업자들은 ▲클라우드 환경에서 논리적으로 격리된 네트워크 환경 ▲클라우드 인프라에 대한 접근 통제를 위한 보안 정책 적용(사용자별, Role별, 시간별 등) ▲클라우드 자산의 허가 없는 변경을 탐지하고, 자산 및 변경 이력 기록/보관 ▲클라우드 서비스 리소스에 대한 변경(추가, 수정, 삭제 등) 사항에 대한 추적 및 감사를 위한 로그 지원 등이 필요하다고 밝혔다.

이어 ▲접속기록(감사로그)를 식별할 수 있는 형태로 기록 및 모니터링 ▲다양한 보안 위협 사례(DDoS, 비인가 접속, 악성코드 등)에 기반한 보안 위협 요소 사전 파악 및 경고 ▲클라우드 인프라 보안 및 네트워크 현황을 모니터링하고, 확인할 수 있는 통합 대시보드 기능 ▲클라우드에서 권장되는 보안 항목의 선택적 관리 기능 ▲암호화 표준을 준수한 키 관리(암호키 생성, 이용, 보관, 배포, 파기) 제공 ▲클라우드 인프라 계정의 보안 강화를 위해 MFA(Multi-Factor Authentication) 지원 ▲본지점 사업장 및 지역센터, 상담센터 등과 안전한 통신을 위한 VPN 및 전용선 연결 지원 ▲내/외부 네트워크 통신 보호를 위한 적절한 정보보호 서비스(3rd Party 포함)▲외부 통신간 암호화 통신(Protocol) 지원 ▲중요 데이터가 보관된 스토리지에 대한 암호화 지원 ▲침해사고 발생 시 신고절차, 사고 처리절차 등 침해사고 대응 절차/방식 등을 보안성 영역에 놓고 금융회사가 검토해야 할 것이라고 조언했다.

좀더 기능이 강화된 부문에서 삼성SDS는 티어(Tier)3+ 수준 센터, 전용망 구성, 1인1출입, 출입문 이중 시건장치, CCTV, 케이지 또는 전용층 제공 등을 금융 클라우드 보안성 영역에 뒀다.

LG CNS는 가상사설망(VPN)부터 스토리지까지 인프라 전영역에 대한 보안 기능 제공을, SK(주) C&C는 ▲‘퍼블릭 클라우드(Public Cloud)’와 ‘프라이빗 클라우드(Private Cloud)’를 연계한 하이브리드 클라우드 구성 ▲금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인 충족(기본보호조치, 추가 보호 조치) ▲다양한 보안 서비스 제공 여부 등을 검토해야 한다고 밝혔다.

◆개발 및 관리 = 유연한 개발 및 관리에 있어 삼성SDS는 클라우드 ‘통합관리 플랫폼(GOV)’ 제공으로 고객사 자원 효율화 가능(저사용 자원 추천 등)을 꼽았고, LG CNS는 개발자가 API로 이용할 수 있는 인프라 생성 및 관리(Infrastructure as Code) 및 버전관리·복구 자동화·현황 모니터링 등 기능을 요건을 봤다.

SK(주) C&C도 여타 글로벌 서비스 사업자와 유시하게 ▲x86기반 리눅스 개발/운영, 오픈소스 SW에 대한 노하우 선제적 습득 필요 ▲독립적인 단위로 수정·확장이 가능한 ‘클라우드 네이티브(Cloud Native)’ 아키텍처 도입 필요 ▲PaaS 서비스 제공 여부 ▲자원관리 기능 및 자원 사용률에 대한 모니터링 대시보드(Dashboard) 제공 ▲표준화된 ‘데브옵스(DevOps)’ 체계와 자동화된 배포 관리 기능을 클라우드 서비스 이용시 필요한 ‘개발 및 관리’ 포인트라고 전했다.

글로벌 클라우드 서비스 사업자의 경우, 금융회사의 다양한 단위업무 개발요구 충족을 위해서는 ▲개발에 필요한 다양한 SDK(자바, Node.JS, PHP, 닷넷, Ruby 등)및 모바일 SDK(iOS, Android, web, Xamarin) 지원 ▲개발과 서비스 집중을 위한 완전 관리형 서비스 제공 여부, 범위 ▲빠른 시간에 개발·배포·테스트를 할 수 있는 개발 플랫폼(배포 관리, 코드 관리 방안, MSA 구현 서비스 제공 등) ▲신기술 관련 다양한 서비스 적용 및 확장(빅데이터, ML/AI, 챗봇, 블록체인, IoT) ▲데잍 레이크(Data Lake) 서비스 제공(스토어, 분석, 유틸라이즈, 매니지먼트 등) ▲전자결재, 메일, 메신저 시스템에 대한 클라우드 서비스 사용 ▲클라우드 인프라에 대한 모니터링 및 관리 툴 제공 등이 금융회사가 클라우드 서비스 사업자 선정의 주요 요건으로 검토해야 할 것으로 보인다.

아마존웹서비스 관계자는 “금융회사가 전면적인 클라우드 서비스를 이용하려면, 인적 및 물적 구성에 있어 치밀한 접근 계획이 필요하다”며 “금융회사는 다양한 서비스 사업자들의 의견을 물어보다 세분화된 체크리스트를 작성, 클라우드 서비스 사업자를 선정해야 한다”고 조언했다.

<김동기 기자>kdk@bikorea.net