KB금융그룹(회장 윤종규)이 금융보안원(이하 금보원) 보안성 평가에서 100% 적합성을 판정받았다고 밝힌 ‘클레온(CLAYON)’이 실제로는 ‘100% 적합성’이 아닐 것이라는 주장이 나와, 논란이 일고 있다. 

특히, 지주사가 일방적으로 ‘클레온’에 자회사 일부 업무시스템을 올리겠다고 나서면서, KB금융그룹 주요 자회사에서 볼멘소리가 나온다. 

실제로, KB금융그룹은 ‘클레온’ 사용에 필요한 포탈 등 구축을 위해 50억원 가량 비용을 각 계열사 매출에 따라 배분, 조달한 것으로 알려졌다. 

31일 업계에 따르면, KB금융그룹의 클라우드 플랫폼 ‘클레온’은 아직 그 활용이 미미한 상태에서 또 일부 장비는 설치되지 않았고 금보원 평가에 ‘서류’로 대체했다는 주장이 제기됐다, 

업계 한 관계자는 “평가기준 중 클라우드 관제를 위해 네트워크 태핑이 설치돼, 설치된 상태에서 금융보안원 검증을 거쳤어야 하는데, 이를 ‘설치하겠음’이라는 서류만 보고 적합성을 부여한 것으로 안다”며 “논란의 여지가 있다”고 밝혔다. 

클라우드 관제란, 국정원에서 금융보안원에 내린 지침으로 클라우드에 드나드는 네트워크 트래픽을 모니터링 할 수 있도록 국산 ‘태핑(Tapping)’ 장비 설치를 의미한다. 

‘태핑’ 장비를 설치하면 클라우드 시스템에 연결된 네트워크 이용 기록을 카피, 보관하면서 각종 분석 등에 활용할 수 있다. 

또 금보원은 ‘클레온’ 몇몇 기능에 대해 ‘서류 대체’ 형식으로 ‘적합성 통과’를 부여한 것으로 전해져, 논란이 확산이 중이다. 

금보원은 이와 관련, KB금융그룹이 절차상 빠른 의사결정을 통해 ‘서류’로 대체한 것으로 ‘네트워크 태핑’ 뿐만 아니라 일부 기능도 서류가 필요했다며, 절차상 하자는 없다는 입장이다. 

향후 금보원 클라우드 ‘보안 적합성 평가’와 관련된 ‘기능구현 또는 설치 평가’ 항목이 필요한 대목이다. 

◆‘클레온’, 어떤 시스템인가 = KB금융그룹 ‘클레온’은 KB금융그룹 각 계열사가 업무시스템을 개발하고, 개발된 업무시스템을 퍼블릭 클라우드에 이전하는데 필요한 플랫폼이다. 

업무시스템을 클라우드에서 운영하고자 할 때, 사전테스트, PoC, 운영 등을 지원한다. 

지난 2018년에 메가존 클라우드 인력이 참여, 구축한 것으로 전해졌다.   

KB금융그룹은 ‘클레온’ 운영 확대를 위해 현재 NHN엔터테인먼트(클레온 기반 클라우드 포탈), 피보탈, 국내외 클라우드 서비스(AWS, 애저, NBP) 등과 협의 중이다. <그림 ‘KB금융그룹 클레온 서비스(추정)’ 참조> 

▲ 그림 ‘KB금융그룹 클레온 서비스(추정)’(그래픽 : BI코리아)

그림에서 보듯, ‘클레온’은 서비스 플랫폼으로 기능과 함께 구축된 ‘클레온 포탈’을 통해 ‘업무시스템 퍼블릭 클라우드 구축’ 후 서비스 사업에게 주요 계열사 업무시스템을 분산, 배분하도록 지원한다. 

‘적합성 판정’ 논란에 덧붙여, KB금융그룹 계열사별, 업무시스템별 성격과 특성이 다른데 ‘클레온’으로 집중화한다는데 있다. 

KB금융그룹 계열사 한 관계자는 “지주사가 원펌(One-firm) 전략 차원에서 ‘클레온’ 플랫폼을 마련한 것으로 보이는데, 계열사별 퍼블릭 클라우드 대응전략도 다 마련되지 않은 상태에서 클레온을 전면에 내세울 경우 현업-IT부서 혼선만 초래할 것”이라고 지적했다. 

특히, 50억원 조달에 대해 지주 디지털전략본부가 주요 계열사와 충분히 협의하지도 않았고, 신규 개발 업무에 있어 ‘클레온’ 사용 의무화를 내세우고 있다는 주장도 나온다. 

이와 관련, KB금융그룹은 적극 반박했다.  

금보원 안정성 평가는 지난 5월부터 7월까지 진행됐고, 평가대상은 KB금융그룹이 아닌 클라우드 서비스 제공자였다는 것이다. 

아울러 평가 방식은 금보원이 정하고, 클라우드 서비스 제공자(CSP)에 대해 현장실사, 직접확인, 증적서류 확인 등 절차에 의해 진행되는 것이 일반적이며 모든 사업자에게 동일하게 적용되는 방식이라고 해명했다. 

금융IT 업계에서는 클레온과 CSP 사이 IT시스템 연계 운영에 대한 실사였기 때문에, 클라우드 수요기업 KB금융그룹에 ‘네트워크 태핑’이 구축됐어야 하는데, 이에 대한 해명은 없었다는데 더 큰 의구심을 보내고 있다. 

주요 계열사와 업무 협의가 부족했다는 지적에 대해서도 KB금융그룹 브랜드전략부는 “여러 차례 충분히 협의한 사항”이라고 해명했다. 

‘클레온(CLAYON)’은 일명 ‘크레용’으로도 불린다. KB금융그룹 각 계열사가 ‘크레용’을 들고 그림을 그리듯 클라우드 전략 실현을 그려보라는 취지의 해석이다. 

지주사 ‘디지털전략본부’ 역할론 관련, 전략만 수립하고 실행은 각 계열사 실무에서 맡는 ‘크레용’ 방안이 적절하다는 데 무게가 실리고 있다. 

연내 그룹 차원의 ‘클라우드 전담 컨트롤타워’ 신설 필요성도 설득력을 얻고 있다. 

금융위원회를 거친 오득룡 오앤파트너스 대표는 “100% 인증 통과라는 게 존재하겠는가. 그냥 우수하다 정도였으면 나았을 것”이라며 “KB금융그룹 특정 인사들이 공명심에 100%라고 발표한 것으로 보이는데, ‘보안 적합성 100%’라는 주장이 오히려 해커들에게 공격의 기회만 부여한 것”이라고 일갈했다. 

<김동기 기자>kdk@bikorea.net