금융업무의 디지털 전환이 가속화되면서 클라우드, 빅데이터, AI 등 디지털 신기술에 대한 금융권 수요가 증가하고 있습니다. 한편, 클라우드, 망분리 등 엄격한 금융 보안 규제로 인해 신기술을 활용한 금융혁신이 저해된다는 의견이 지속적으로 제기돼 왔는데요.
이에 금융위원회는 2022년 4월, ‘금융분야 클라우드 및 망분리 규제 개선방안’을 발표하고, 제도 개선방안이 금융현장에 원활하게 안착할 수 있도록 2023년에 전자금융감독규정을 개정했습니다.
이번 글에선 개정된 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’를 바탕으로, 달라진 금융 클라우드 이용보고(금융회사 등이 퍼블릭 클라우드를 이용하려는 경우 금융감독원에 보고해야 하는 절차)와 각 단계별 고려사항을 알아보겠습니다.
금융분야 클라우드컴퓨팅서비스 이용 가이드
개정된 금융분야 클라우드컴퓨팅서비스 이용 가이드에는 금융담당자들이 어려워했던 내용에 대한 구체적인 예시와 가이드가 반영돼 있습니다. 우선 기존과 달라진 부분은 [표 1]과 같이 요약할 수 있습니다.
[표 2]는 금융 클라우드 이용보고 절차를 정리한 표입니다. 해당 표를 참고해 클라우드 이용보고 시, 변화된 사항을 따르기 위해 무엇을 중점적으로 준비해야 하는지 확인해 보겠습니다.
1. 업무 중요도 평가
업무 중요도 평가 단계는 퍼블릭 클라우드(Public Cloud, 서버, 네트워킹, 스토리지 리소스와 같은 IT 인프라가 인터넷을 통해 액세스할 수 있는 가상 리소스로 제공되는 클라우드 컴퓨팅 모델)에 올릴 정보처리시스템이 얼마나 중요한 업무를 다루는 시스템인지 평가하는 절차입니다. 기존의 2022년 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’는 세부 평가모델 없이 중요도를 평가할 때 고려해야 하는 항목만 가이드하고 있었는데요. 때문에 금융기관 담당자는 중요도를 수치로 평가하기 위해 직접 평가 모델을 만들어야 하는 어려움이 있었습니다.
개정된 가이드에선 구체적으로 참고가능한 업무 중요도 평가 방법 예시를 제공하고 있어 금융사별 업무 중요도 평가 모델을 수립할 수 있습니다.
2. 클라우드 서비스 제공자(CSP) 안전성 평가
다음으로 CSP(Cloud Service Provider, 클라우드 서비스 제공자) 안전성 평가에 대해 알아보겠습니다. 기존 CSP 평가항목은 총 141개였습니다. 항목이 많다 보니 중복, 유사 항목이 다수 존재했는데요. 이번 평가항목 정비를 통해 54개로 대폭 줄어들었습니다.
기존 CSP 평가항목은 ‘기본 보호조치 사항’과 금융 부분에 특화된 ‘추가 보호조치 사항’으로 구분돼 있었으며, laaS(Infrastructure as a Service, 인프라형 클라우드)/PaaS(Platform as a Service, 플랫폼형 클라우드) 각각의 평가항목이 존재했는데요. 이번 개정을 통해 기본 보호조치와 추가 보호조치가 통합됐습니다. 또한 CSP 보안 인증(ISMS(Information Security Management System, 정보보호관리체계), CSAP(Cloud Security Assurance Program, 클라우드보안인증)) 보유 시 평가를 생략할 수 있는 대체항목과 SaaS(Software as a Service, 서비스형 소프트웨어), MSP(Managed Service Provider, 관리형 서비스 제공자)에 대한 평가항목도 추가됐습니다.
CSP 안전성 평가의 주체인 금융기관 담당자는 퍼블릭 클라우드에 추가 시스템을 올릴 때마다 내부 문서, 증빙서류에 대한 현상 실사를 매번 수행해야 했습니다. CSP 또한 금융기관마다 개별 평가를 받아야 했기 때문에 금융기관, CSP 모두 불편한 점이 많았는데요. 이번 개정을 통해 금융보안원이 CSP를 대신 평가하고, 그 결과를 금융기관 담당자에게 제공해 클라우드 이용보고 시 활용할 수 있게 됐습니다. 다만 평가결과에는 유효기간이 존재하기 때문에 반드시 최신 결과를 요청해 활용해야 합니다.
3. 안전성 확보조치와 업무 연속성 계획
• 안전성 확보조치 방안
안전성 확보조치 방안은 클라우드 서비스 이용 시 일어날 수 있는 보안 위협에 대한 대책을 세우고, 보안사고 예방안을 수립하는 과정입니다. 기존에는 계정관리, 접근통제, 내부시스템 단말기와의 연계, 암호화 및 키 관리, 가상환경 보안, 보안모니터링 및 취약점 분석 평가, 인적보안 등 요구항목별 보안방안을 수립해 설계 및 구축 시 반영해야 했는데요. 이번 개정을 통해 전자금융감독규정의 요구사항이 포함된 필수 의무사항과 비중요업무인 경우 생략할 수 있는 추가, 권고 항목이 추가됐습니다. CSP마다 설계, 구현 방식이 달라질 수 있기 때문에 구성환경에 맞는 적절한 대책을 세워야 합니다.
• 업무 연속성 계획
업무 연속성 계획은 예상치 못한 재해 또는 사고 발생 시 업무 연속성에 미칠 수 있는 영향을 파악하고, 데이터 백업, 재해복구, 침해 사고 대응 훈련, 출구 전략 등을 포함한 업무 연속성 계획을 수립하는 과정입니다. 업무 연속성 계획 역시 2022년과 달리 전자금융감독규정에서 요구하는 사항이 모두 추가됐으며, 업무 중요도에 따라 필수 사항과 선택사항을 구분할 수 있도록 개정됐습니다.
여기서 잠깐! 금융 클라우드 이용가이드에 명시되어 있지 않지만, 금융담당자가 놓칠 수 있는 중요한 사항이 있습니다. 금융담당자는 가이드에 명시된 안전성 확보조치와 업무 연속성 계획에 대한 방안수립에 그치는 것이 아니라, 기업의 보안정책과 자체 보안성 검토사항 등을 모두 반영해 대책을 수립해야 합니다. 퍼블릭 클라우드에 존재하는 데이터 또한 금융기관이 지키고 보호해야 할 자산이므로 On Premise와 동일하게 관리돼야 하기 때문입니다. 물론 퍼블릭 클라우드 특성상 CSP와의 책임공유 모델에 따라 해당 기업과 CSP간의 R&R은 달라질 수 있습니다.
4. 클라우드 이용보고 유의사항
마지막으로 클라우드 이용보고의 달라진 점을 확인해 보겠습니다. 과거에는 금융회사가 퍼블릭 클라우드를 이용하는 경우, 서비스 실제 이용 7일 전에 금융감독원에 사전보고를 해야 했는데요. 금융감독원의 검토가 길어질 경우 서비스 오픈에 차질을 맺는 등 어려움이 있었습니다. 이번 개정을 통해 사후 보고로 변경됨에 따라 서비스 오픈 준비에 큰 도움이 될 것으로 예상됩니다.
하지만, 전자금융감독 규정 제14조2에 해당하는 사유가 발생할 경우, 3개월 이내에 발생 사유와 관련 자료 및 대응 계획을 첨부해 금융감독원에 보고해야 합니다. 보고서류가 누락되거나 안전성 확보조치 등이 충분하지 않다고 판단되는 경우, 금융감독원에서 개선 보완을 요구할 수 있습니다. 때문에 보고 공문 제출 전 금융감독원 담당자와 충분한 사전 협의를 거치는 것이 중요합니다.
금융 클라우드 파트너 LG CNS와 함께!
지금까지 금융 클라우드 이용보고가 어떻게 달라졌는지, 설명하고 각 단계별로 중요한 포인트를 짚어봤습니다. LG CNS는 금융 클라우드 컴퓨팅 서비스를 위한 클라우드 설계 및 구축업무 수행은 물론, 금융담당자에게 어렵게 느껴질 수 있는 보고 문서 작성도 지원하고 있습니다. 금융 클라우드 이용보고 문서 준비에 어려움을 느끼고 있다면, LG CNS와 함께 문제를 해결해 보세요!
[참고문헌]
금융분야 클라우드컴퓨팅서비스 이용가이드 (2023.1)
글 ㅣ LG CNS 보안/솔루션사업부 보안신기술팀 김태훈 총괄