올초부터 ‘금융 클라우드’ 시장이 열렸지만, 금융위원회(이하 금융위) 등이 금융보안원(이하 금보원)을 통해 시행중인 ‘금융클라우드 가이드’를 놓고 논란이 확산중이다. 

논란의 핵심은 ‘지나친 간섭과 불합리한 요인’을 적용하고 있다는 게 금융회사 및 클라우드 서비스 사업자(이하 CSP)의 볼멘소리다. 

<BI코리아>는 최근 논란이 된 ‘금융클라우드 가이드’ 내용을 살펴보고 현장에서 어떤 목소리가 나오는지 담아봤다. 

◆ ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’ 핵심 내용은 = ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드(이하 가이드)’는 금융회사 또는 전자금융업자가 ‘전자금융감독규정’ 제14조의 2에 따라 클라우드 컴퓨팅 서비스 이용하고자 할 경우 요구되는 세부절차를 안내하고 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 보안사항 권고를 주요 내용으로 하고 있다. <그림 ‘클라우드서비스 이용 절차도’ 참조>

▲ 그림 ‘클라우드서비스 이용 절차도’(출처 : 금융보안원 사이트 참조)

금보원은 이 가이드에서 정하고 있는 총 141개 요건이 충족돼야 만 금융회사의 클라우드 이전을 승인할 수 있다는 게 주요 골자다. 

주요 항목으로는 관리적 보호조치(정보보호 정책 및 조직, 인적보안, 자산관리, 서비스 공급망 관리, 침해사고 관리, 서비스 연속성 관리, 준거성 등), 물리적 보호조치(물리적 보안 등), 기술적 보호조치(가상화 보안, 접근 통제, 네트워크 보안, 데이터 보호 및 암호화, 시스템 개발 및 도입 보안) 등이다. 

덧붙여 추가적 보호 조치는 클라우드 서비스 제공자를 전자금융보조업자로 규정하면서, 재무건전성 평가, 사고 보고 및 분석 수행절차 확보, 취약점 분석･평가수행 체계 지원, 합동 비상대응훈련 지원, 건물･전원･전산실 금융회사 수준 구축, 전산자료 보호, 이중화 및 백업체계 구축, 해킹 등 방지대책, 기타로 구성된다. 

◆“사전준비부터 ‘불가’를 전제로 실사를 하는 듯” = 논란은, 금보원이 실무자들을 파견해 최근 몇몇 금융회사 및 CSP 사업자들의 실사를 진행하는 과정에서 불거졌다. 

우선, 클라우드 도입을 준비하는 모든 금융회사가 CSP를 선정할 때마다 일일이 안정성 평가를 받아야 한다는 점이다. 

예를 들어 A은행, B은행, C은행이 클라우드로 이전하려고 D CSP 사업자를 선정했다고 가정할 때, A은행-D CSP, B은행-D CSP, C은행-D CSP 등 일일이 안정성 평가를 받아야 한다는 것이다. 

실제로 금융보안원 가이드에 따르면, “모든 CSP는 금융회사마다 요구시 평가를 받아서 평가서가 제출돼야 하는” 상황. 

이에 대해 금융위 관계자는 “안정성 평가 항목은 한번 받으면 다음 인증에 활용이 가능한 부분이 있다”며 “금보원 가이드가 일일이 요구하는 사항이 아니라, 각 금융회사별로 각각 자신들의 여건에 맞는 추가요건을 제출하도록 하는 것으로 보면 된다”고 해명했다. 

다음으로 논란이 되는 점은 ‘안정성 평가’. 

가이드의 ‘안정성 평가’는 ‘관리적 보호조치’와 ‘추가 보호조치’로 나눠져 평가하고 있다. 

현재 가이드에는 관리적 보호조치 관련, 국내·국외 인증으로 갈음해도 된다고 규정하고 있으나, 실무 현장에서 평가진행시 이를 적용하지 않고 다시 평가해 제출하도록 요구하고 있다는 게 업계 주장이다. 

데이터센터 비상훈련, 모의 해킹 테스트 등도 논란이다. 

클라우드 서비스의 특성상, 데이터센터를 여러 기업이 공유해 사용하는 만큼 특정 금융회사 만을 위한 하드웨어, 센터 테스트, 전원차단 테스트 등은 현실성이 떨어진다는 주장이다. 

또 금융회사의 통합보안관제 시스템 구축시 ‘가상화’ 장비 사용을 금지하고 있는 국가정보원 규정과 충돌도 논란거리다. 

금융회사 한 관계자는 “이 가이드는 금융 클라우드를 촉진하기보다, 부담을 주는 정책”이라고 지적했다. 

◆금융위, 금감원 등 전향적 대응책 마련 추진 = 업계의 이같은 목소리는 지난 3월 15일 가진 ‘금융 클라우드 현장 간담회’에서 더 분명히 나타났다. 

이 자리에는 금융위원회, 금융감독원, 금융보안원 등 감독기관과 국민, 신한, KEB하나은행, 삼성, 현대, 신한카드, 에이스 손해보험, KT, 네이버비즈니스 플랫폼, 더존비즈온, 마이크로소프트, 아아존웹서비스, IBM, 오라클 등이 참석했다. 

우선, 이 자리에서 신한은행 등 금융회사들은 비중요정보시스템과 중요정보시스템에 똑같은 기준을 적용하는 것은 클라우드 활성화에 역행하는 것 아니냐는 불만을 토로했다. 

금융위는 이와 관련, “비중요정보시스템은 예전 절차와 같이 (비교적 쉽게) 진행해 주겠다”고 답변, 전향적인 모습을 보였다는 게 업계 전언이다. 

이어 마이크로소프트는 이미 국제 보안인증을 여러 개 획득한 사업자에 대해서는 현재와 같은 복잡하고 장시간이 소요되는 평가절차를 대폭 간소화해야 한다고 주장했다.  

전길수 금융감독원 IT·핀테크전략국 선임국장은 이에 대해, “해외 인증은 최소한의 기준만 충족했다는 것일 뿐 국내 필요요건을 갖추지 못했다”며, 인증 요건 간소화에 유보적 입장을 보였다. 

아마존웹서비스(AWS)는 “금융회사가 직접 CSP의 데이터센터를 감사(audit)할 수 있도록 의무조항을 둔 것은 비합리적”이라고 주장하기도 했다. 

권대영 금융위 금융혁신기획단장은 “정부가 사적계약 영역까지 관여하는 건 문제 있다”고 밝혀, 개선의 여지를 뒀으나, “해외에서도 그렇게 하고 있다”는 사무관의 설명이 이어지면서 결론을 내리지 못한 것으로 알려졌다. 

덧붙여 가이드가 내세우는 요건들이 불확실성과 모호함이 많고 현장에서 갖가지 불만과 고통이 뒤따르고 있다는 문제제기에 대해, 금융위측에서 워킹그룹을 신설해 현장의 목소리를 담겠다고 밝혀 논의가 일단락 됐다. 

김영진 금융위 사무관은 “현재 워킹그룹 신설을 준비 중이다. Q&A 사이트 개설과 함께 TF를 구성, 발표할 예정”이라고 전했다. 

3월 15일 간담회에서는 이 밖에도 “금융당국이 현장의 목소리를 적극 청취해야 할 필요성이 있다”는 업계 공통 요구사항에 대해 금융위가 “▲금보원에 업계의 문의 및 불만을 접수하는 Q&A 사이트를 개설해 일괄적으로 접수 받겠다 ▲모든 질의에 신속히 답변 드리도록 하겠다 ▲금보원이 답변하지 못하면, 금감원, 금융위에서 답변 드리겠다 ▲외부의 중립적인 전문가들이나 학계의 의견을 받아서 답변을 드리겠다는 입장을 보인 것으로 전해졌다. 

업계 한 관계자는 “금융감독원 인가·심사 담당자들의 경우도 정책들과 관계없이 클라우드 사용에 대해서 의구심을 가지고 있으며, 사용하는 것은 금융회사의 선택이고, 감사 때 필요한 자료를 통해 잘 제출해야 할 것이라는 의견을 계속 주고 있다”며 “감독당국조차 확신이 없는 정책을 수행하면서, 금융회사-CSP만 골탕먹이는 가이드는 대폭 수정돼야 할 것”이라고 강조했다. 

‘금융클라우드’ 확대 적용 및 제도 개선은 그동안 비탄력적으로 또 유연하지 못하게 운영되던 금융회사 IT부문의 유연성 확보를 위해 추진되는 사업이다. 

업계 요구에 의해 개선되는 정책인 만큼 ‘규제속 규제’ 논란은 적극 피해야할 것으로 보인다. 

<김동기 기자>kdk@bikorea.net