국내 금융사 최초 전사 IT시스템 외국계 클라우드 도입
외산, 국내 보안기준 충족 어려워…최종 도입 난관 예상

<대한금융신문=문지현 기자> 인터넷손해보험사인 캐롯손해보험이 내년 초 영업 개시를 앞두고 IT시스템 관리를 위한 클라우드 도입 문턱을 넘을지 주목된다. 금융사의 모든 IT시스템을 클라우드 상에서 운영하는 국내 최초 사례인 만큼, 금융당국의 까다로운 감독규정이 최대 난관이 될 전망이다.

21일 금융권에 따르면 캐롯손보는 전사 IT시스템을 마이크로소프트(MS)의 퍼블릭 클라우드인 ‘애저(Azure)’ 상에서 운영하기 위해 금융보안원의 ‘클라우드 서비스 사업자 안정성 평가’를 요청한 결과, 두 부문에서 '부분충족'이라는 결과를 받았다.

캐롯손보는 IT시스템 운영 비용을 절감하고 인공지능(AI), 빅데이터 등 신기술을 업무에 선제적으로 활용하기 위해 IT시스템을 100% 클라우드 상에서 운영하는 것을 목표로 하고 있다.

이 같은 캐롯손보의 구상은 올해 초 금융사가 중요정보에까지 민간 클라우드를 이용할 수 있도록 전자금융감독규정이 개정되면서 가능해졌다. 다만 실제 도입을 위해선 금융사가 자체적으로 민간 클라우드 서비스 안전성을 평가해야 하는 과정이 필요하다. 현재 금보원에서 안전성 평가를 지원하고 있다.

캐롯손보는 금보원에 MS에 대한 안전성 평가를 요청해 올해 초와 지난 7월 두 번에 걸쳐 평가가 진행됐다. 안전성 평가 결과 141개 항목 중 139개만 충족하고 시건장치(잠금장치)와 통합보안관제 탭 관련 항목은 ‘부분충족’을 받았다.

금보원의 안전성 평가는 말 그대로 클라우드 사업자에 대한 평가일 뿐, 실제 도입을 위한 계약 추진 여부는 금융사의 자율적인 판단에 달려있다. 캐롯손보가 안전성 평가 결과와 관계없이 MS 애저를 전면 도입해도 법적으로 문제가 되지 않는다는 말이다.

하지만 캐롯손보는 이에 따른 모든 책임을 져야 하기 때문에 보안 부분의 모든 불확실성을 제거하는 데 적극적으로 임하고 있다. 캐롯손보가 MS의 안전성 평가를 요청하는 과정에서 기본보호조치 109개 항목을 생략할 수 있음에도, 전체 부분에 대해 꼼꼼한 검사를 요청한 것도 같은 맥락이다.

클라우드 도입 최종 단계서 캐롯손보의 정보보호위원회는 금보원의 안전성 평가 결과를 토대로 클라우드 이용을 심의·의결하고 해당 서류를 금융감독원에 제출해야 한다. 도입 후 금감원의 수시 검사도 받아야 한다. 클라우드 이용 시 정보보호 등 보안에 대한 책임은 오롯이 금융사에 있다는 점을 알 수 있는 대목이다.

캐롯손보가 MS 안전성 평가에서 ‘부분충족’ 결과를 받은 시건장치는 클라우드 사업자의 데이터 센터 내 해당 금융사의 데이터 영역(서버)에 대해 외부 통신망과 분리·차단되도록 자물쇠를 걸어야 하는 개념이다. 공중의 인터넷망을 통해 불특정 다수의 기업이 이용하는 퍼블릭 클라우드 특성상 특정 금융사의 데이터가 어디에 위치하는지 알기 어려워 해당 부분은 금보원의 기준을 충족하기 어려울 것으로 보인다.

또 하나의 부분충족 항목은 통합보안관제(모니터링) 부분이다. 클라우드 사업자는 금보원이 안정적으로 금융권 클라우드 서비스를 통합보안관제 할 수 있도록 데이터센터 내 탭 장비를 보유해야 한다. 향후 사고 발생 시 보고나 분석 수행 등의 절차를 위한 것인데, MS는 미국 본사 지침을 따라야 해 이 또한 쉽지 않다.

캐롯손보는 클라우드 이용 최종 계약을 두고 불확실성을 없애기 위해 우선 MS에 보완을 요청한 상태다. 현재 MS는 직접 나서 부분충족 부문에 대해 금융당국과 협의하고 있다. MS는 캐롯손보가 자사 클라우드를 도입하기로 결정한 만큼, 보완을 위해 최대한 노력한다는 입장이다.

캐롯손보 관계자는 "안전성 평가 결과 부분충족이 나온 두 가지 부분에 대해 MS와 논의했는데, MS 측은 금보원 가이드라인만큼 높은 자사의 보안기준을 충족하기 때문에 문제가 되지 않는다고 보고 있다“라며 “금보원의 가이드라인에 충족하지 못해도, 다른 방식으로 보안성을 증명하는 방안에 대해 논의 중”이라고 말했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지