금융보안원, 연내 CSP '안전성 평가' 안내서 발간 예정
금융사, 중요정보에 클라우드 도입 시 검사 요청 ‘꼼꼼’

7일 금융보안원 보안평가기술팀 이재익 팀장이 여의도 콘래드 호텔에서 진행된 'FISCON 2019'에서 발표를 진행하고 있다.
7일 금융보안원 보안평가기술팀 이재익 팀장이 여의도 콘래드 호텔에서 진행된 'FISCON 2019'에서 발표를 진행하고 있다.

<대한금융신문=문지현 기자> 금융사가 민간 클라우드를 도입하고자 할 때, 사업자 선정 과정이 훨씬 수월해질 전망이다. 금융보안원이 '클라우드 서비스 제공자(CSP) 안전성 평가 안내서'를 만들면서다. 금융 클라우드 제공자는 안내서를 기반으로 점검 사항을 보완해 클라우드 제공 과정을 단축할 수 있다.

현재 금융위원회가 주관하는 '금융 클라우드 워킹그룹'에서 여러 금융사, 클라우드 제공자 등이 안내서 초안을 검토 중이며, 오는 12월 중 공개될 예정이다.

7일 금융보안원 보안평가기술팀 이재익 팀장은 서울 여의도 콘래드호텔 그랜드볼룸에서 열린 '금융정보보호 컨퍼런스'에서 "금융사가 클라우드 도입 과정에서 어려움을 겪는 부분은 사업자 선정 단계"라며 "민간(상용) 클라우드를 이용하는 경우 고려해야 할 사항이 많음으로, 안전성 평가 절차를 먼저 수립하는 게 바람직하다"라며 이같은 내용을 발표했다.

금융사가 중요정보에까지 민간 클라우드를 이용할 수 있도록 전자금융감독규정이 개정되면서, 금융보안원은 올해 초 ‘금융 클라우드 이용 가이드라인’을 발표한 바 있다. 여기엔 금융사에 클라우드 서비스를 제공하려는 민간 사업자들이 클라우드 종류에 상관없이 모두 금융보안원의 ‘안전성 평가’를 받아야 한다는 내용이 포함돼있다.

금융보안원은 클라우드 도입 단계 중 하나인 ‘안전성 평가’를 효율적으로 지원하기 위해 별도의 ‘클라우드 서비스 제공자(CSP) 안전성 평가 안내서’를 연내 발간할 계획이다. 클라우드 수요에 따라 안전성 평가에 대한 문의도 늘고 있는 가운데, 금융사와 클라우드 제공자가 먼저 평가 절차를 수립하게 해 원활한 클라우드 이용을 돕기 위해서다.

금융사들은 대부분 클라우드 사업자 선정 과정에 금융보안원의 안전성 평가를 요청한다. 금융사가 우선협상대상자에 대한 안전성 평가를 요청하면, 금융보안원으로부터 결과를 받기까지 통상 한 달에서 한 달 반 이상이 걸린다는 게 이 팀장의 설명이다. 금융사와 클라우드 제공자가 안전성 평가 안내서를 활용해 준비 단계를 수립하면 클라우드 실 이용단계까지 시간을 단축할 수 있다.

이 팀장은 “해당 안내서는 클라우드 제공자가 받아야 하는 총 141개의 평가 항목(기본보호조치 109개+금융부문 추가보호조치 32개)에 대한 313개 세부 평가방법을 별도로 안내하는 것을 골자로 한다”라며 “상세 평가항목에 대해 ‘평가 목적’과 ‘중점 평가사항’을 안내하기 때문에 클라우드 제공자들은 이를 토대로 자사의 클라우드 서비스를 자체 평가해볼 수 있다”고 말했다.

금융보안원이 별도 안내서를 마련하는 이유는 금융사들이 중요정보에 클라우드를 도입할 때, 클라우드 제공자를 꼼꼼히 들여다보려는 경향도 있어서다.

금융보안원은 올해 초 이용 가이드라인을 만들 때, 클라우드 제공자가 가진 보안인증 수단으로 안전성 평가 일부를 대체할 수 있게 만들어놨다. 하지만 초기 예상과 다르게 금융사가 중요정보에 클라우드를 도입할 경우엔 이를 활용하지 않는다는 게 금융보안원의 설명이다.

이 팀장은 "금융사가 비중요시스템에 클라우드를 도입하는 경우, 클라우드 제공자가 보유한 보안인증으로 기본보호조치 항목을 대체하는 경우가 많다"며 "하지만 중요시스템의 경우 클라우드 제공자가 보안인증을 보유하고 있어도, 금융보안원에 기본보호조치 항목까지 꼼꼼히 검사를 요청하는 경향이 있다"고 말했다.

금융보안원의 안전성 평가 항목은 기본보호조치와 금융부문 추가 보호조치로 나뉘어 있다. 이 중 기본보호조치는 클라우드 제공자가 해외 보안인증을 보유한 경우 생략할 수 있다.

이 팀장은 "초기 클라우드 시장 안착을 위해 보안인증으로 일부 평가 항목을 대체할 수 있게 만들어놨으나, 오히려 금융사들은 꼼꼼히 들여다보려 한다"라며 "금융사가 중요 시스템을 클라우드로 구축하고자 할 때, 얼마나 많은 보안 문제를 고려하고 있는지 엿볼 수 있다"고 말했다.

마지막으로 그는 “안전성 평가 안내서를 만들 때, 금융사 입장에서 생각하면서 실제 클라우드 사업자에게 질문을 던지는 식으로 구성했으며, 판단기준 또한 금융권 특성을 고려해 정립했다”라며 “아직 시행 초기다 보니 우여곡절을 많이 겪고 있다. 앞으로도 금융사나 클라우드 사업자들의 이야기를 수렴해 (안전성 평가 지원을) 좋은 방향으로 개선해 나갈 것”이라고 말했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지