<대한금융신문=문지현 기자> 아마존웹서비스(AWS)가 촘촘한 금융권 클라우드 규제에 대응할 수 있는 방안을 제시했다. 금융회사가 AWS를 선택하면 가이드라인에서 요구되는 평가항목 중 기본 보호조치 109개를 생략할 수 있다.

지난 23일 열린 ‘[핀테크 2019] 대한민국 핀테크의 비상’ 포럼에서 AWS 금융사업개발 담당 지성국 이사는 '금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드'를 주제로 세션을 진행했다.

지난해 금융위원회는 금융회사가 클라우드를 적극 활용할 수 있도록 돕는 ‘금융권 클라우드 이용 확대 방안’을 발표한 바 있다.

하지만 동시에 금융보안원의 '금융권 클라우드 가이드라인'도 공개되며, 금융사가 클라우드 도입 시 고려해야할 사항이 많아졌다. 클라우드 관련 규제가 완화됐음에도 금융사의 부담은 더 늘어난 셈이다.

이에 금융사업개발 담당 지성국 이사는 클라우드의 '책임공유 모델' 개념을 제시했다. 

그는 "규정준수는 책임공유 모델로 시작하고 이는 고객사와 AWS의 공동책임"이라며 "이러한 책임의 차이를 일반적으로 '클라우드의 보안 책임'과 '클라우드에서의 보안 책임'으로 나눌 수 있다"고 말했다.

AWS는 호스트 운영 체제 및 가상화 계층부터 컴퓨팅, 스토리지, 데이터베이스, 네트워킹 서비스가 운영되는 인프라의 물리적 보안을 책임지고 있다. AWS가 인프라의 물리적 보안을 책임짐으로써 고객은 책임과 비용을 줄일 수 있다.

고객은 게스트 운영 체제를 포함한 데이터 및 애플리케이션, 암호화 그리고 보안 그룹 방화벽 등을 구성할 책임을 가진다.

지 이사는 "AWS는 인프라에 대한 보안을 철저히 하고 있으며 이를 위해 다양한 규정 준수 프로그램을 운영하고 있다"며 "규정 준수 프로그램은 ISO 27001, 정보보호관리체계(ISMS) 등 50개가 넘으며 모든 프로그램은 독립적인 감사를 받고 있다"고 말했다.

클라우드 가이드라인에 따르면 클라우드 서비스 이용 절차는 크게 사전 준비, 계약 체결, 보고 및 이용, 이용 종료로 4가지로 구분돼 있고 각 절차 별로 이용대상 선정 및 중요도 평가부터 출구 전략 이행까지의 상세 단계가 있다.

그 중 고객이 사전 준비 단계에서 업무 연속성 계획을 수립할 때 포함해야 하는 항목은 데이터 백업, 훈련 및 사고 관리 등이다.

지 이사는 "AWS 클라우드 서비스는 그 서비스 자체로도 가이드라인에서 이미 고가용성 및 내구성을 위한 방안을 갖추고 있으며 서비스 별로 데이터 이중화, 백업, 접근통제, 암호화 기능을 제공하고 있다"라고 설명했다. 

사전 준비 단계 중에서 안전성 확보조치를 위한 '취약점 분석 및 평가'에 대해서도 설명했다.

지 이사는 "취약점 분석을 위해 인위적인 트래픽을 유발하는 경우 AWS는 이를 침입으로 인지하기 때문에 사전에 미리 차단하고 있다"며 "포트 스캐닝, 침투 테스트 등의 취약점 분석이 필요한 경우엔 지난 2월 변경된 AWS 고객 지원 정책에 따라 고객 AWS 인프라에 대한 취약점 점검 및 테스트 수행이 가능하다"고 말했다.

금융회사는 클라우드 서비스를 이용하기 전 안전성 평가도 수행해야 한다. 클라우드 가이드라인에는 클라우드 서비스 제공자를 평가하는 구체적인 방안이 담겼다. 평가 항목은 기본 보호조치 109개와 금융부문 추가 보호조치 32개로 나뉜다.

지 이사는 "클라우드 서비스 제공자가 4개 인증 중 하나를 취득한 경우에는 금융회사에서 클라우드 서비스 제공자를 평가할 때 기본 보호조치 109개를 생략할 수 있다"며 "AWS는 지난 8일 서울 리전에 싱가포르 클라우드 보안인증인 MTCS 레벨 3를 획득했다"고 말했다.

인증 서비스 범위에는 서울 리전의 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)가 모두 포함됐다.

지 이사는 마지막으로 "AWS는 금융 고객의 클라우드 서비스 제공자 평가 절차를 다방면으로 지원하고 있다"며 "금융사 고객은 서울 리전에 대한 MTCS 인증을 통해 기본 보호조치 평가를 생략할 수 있으며, AWS 워크북을 통해 금융부문 추가 보호조치에 대한 AWS 지원 내용을 확인할 수 있다"고 말했다.