KB금융-AWS, 갈등설 확산…MTCS 인증서 ‘논란’

편집 : 2024.4.25 목 14:18

금융IT

KB금융-AWS, 갈등설 확산…MTCS 인증서 ‘논란’“금융당국 기본보호조치” 요구에 “생략 가능” 맞서고 있어

김동기 기자 | kdk@bikorea.net

승인 2019.10.07 02:35:25

결국, 현장의 혼란으로 되돌아 온 것인가.

아마존 웹서비스(이하 AWS)의 싱가폴 MTCS(Multi-Tier Cloud Security) 인증서 ‘진위’ 논란이 지속중인 가운데, KB금융그룹과 AWS 갈등설이 확산중이다.

7일 KB금융그룹 및 업계에 따르면, 최근 KB금융그룹이 KB카드, ‘마이데이터 기반 리브메이트 3.0’ 구축을 위해 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’에 따른 기본보호조치 안정성 평가를 AWS측이 거부하고 있는 것으로 알려졌다.<그림1 ‘KB카드 마이데이터 기반 리브메이트 3.0 시스템 구성’ 참조>


▲ 그림1 ‘KB카드 마이데이터 기반 리브메이트 30 시스템 구성’.(출처 : KB카드 배포 RFP 일부내용 발췌)

KB금융그룹은 자사 계열 금융회사의 단위 업무 등 ‘클라우드 운영 및 개발’을 위해 ‘클레온(CLAYON)’을 운영 중이다.

‘클레온’은 서비스 플랫폼으로 기능과 함께, 구축된 ‘클레온 포탈’을 통해 ‘업무시스템 퍼블릭 클라우드 구축’ 후 서비스 사업에게 주요 계열사 업무시스템을 분산, 배분하도록 지원한다.

AWS는 자신들이 싱가폴에서 MTCS 인증서를 보유하고 있으니, 109개에 달하는 기본 보호조치 평가’ 생략이 가능하다고 주장한 것으로 전해졌다.

이에 대해, KB금융그룹은 AWS가 제출한 MTCS 인증서를 인정하지 않겠다고 맞서고 있는 형국이다.

2019년 1월 1일 제정한 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’에 따르면, “국내외 클라우드 보안인증을 취득·유지하고 있는 클라우드 서비스 제공자의 해당 서비스에 대해 ‘기본 보호조치’ 항목 평가 생략이 가능하다”고 규정하고 있다.

AWS측은 즉, 공신력 있는 싱가폴 MTCS 인증서가 있기 때문에 AWS는 KB금융그룹의 109개 ‘기본보호조치’는 생략하고, 추가 보호조치 32개에 대한 평가만 받겠다는 것이다.

7일, 현재 금융보안원에 확인 결과, KB금융그룹이 KB카드 마이데이터 관련 기본보호조치에 대한 평가 요청은 없는 것으로 알려져, KB금융그룹과 AWS 사이 갈등설을 반증하고 있다.

이에 대해 KB금융그룹은 AWS 제출 인증서가 현재 논란이 되고 있고, 특히 인증서내 있어야 할 ‘IAF(International Accreditation Forum)’를 확인하지 못했기 때문에, 금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인을 준수하라고 촉구하고 있다.

AWS측이 BI코리아에 제출한 MTCS 인증서에는 AWS 싱가폴 인증서나 또는 다른 클라우드 서비스 사업자가 받은 인증서에는 있는 ‘IAF’ 로고가 ‘AWS 서울리전 인증서’에는 없다.<그림 ‘MTCS 관련 IBM 인증, AWS 싱가폴 인증, 서울 리전 인증서 비교’ 참조>