데이터센터 내 관제 장비 도입 어려워 대체 방안 허용
클라우드 선택지 많아진 금융사, 보안 리스크는 가중

<대한금융신문=문지현 기자> 금융위원회가 마이크로소프트 애저(MS Azure), 아마존웹서비스(AWS) 등 외국계 클라우드 기업들의 국내 금융시장 진입을 돕기 위해 보안 부문의 진입장벽을 개선한다.

시장에서 상대적으로 수요가 높은 외국계 기업들의 진입으로 금융사의 클라우드 도입 바람이 거세질 것으로 보이지만, 보안 부문에서 문턱이 낮아진 만큼 향후 이들이 안게 될 리스크는 더욱 커졌다.

5일 금융권 및 IT업계 따르면 금융위원회와 국가정보원(국정원)은 금융보안원이 금융권 통합보안관제(모니터링) 업무에 이용하는 장비(하드웨어)를 외국계 기업에 적용하는 데 어려움이 있어 소프트웨어 방식을 허용하는 방안을 검토 중이다.

통합보안관제는 해킹 등 금융사고 방지 및 대응을 위한 금융보안원의 고유 업무다. 금보원은 이를 위해 365일 24시간 운영되는 자체 센터를 통해 190곳의 금융회사, 정부기관, 경찰청 같은 유관 기관과 정보를 공유하며 대응 중이다.

금보원은 금융분야 정보보안을 위해 정보처리가 일어나는 곳에 국정원의 공통평가기준(CC) 인증을 통과한 ‘탭 장비’를 설치해 통합보안관제 업무를 수행한다.

금융사의 자체 데이터센터뿐만 아니라 정보를 외부에 위탁하는 클라우드 서비스도 금보원의 통합보안관제 대상이 되기 때문에 클라우드 기업들은 금보원이 통합보안관제 업무를 진행할 수 있도록 지원해야 한다.

금보원이 클라우드 기업 데이터센터 내부에 CC인증을 받은 탭 장비를 설치하고 정보를 공유할 수 있게 협조해야 한다는 말인데, 외국계 기업은 이를 수용하지 않았다. 이들의 클라우드 컴퓨팅 시스템 설계방식은 하드웨어를 넣기 힘든 구조인 데다, 미국 본사 지침과 맞지 않아서다.

이 때문에 금융위가 주관하는 ‘금융 클라우드 워킹그룹’ 내에서 MS를 중심으로 외국계 클라우드 기업의 건의가 빗발쳤다. 국내 금융사를 고객사로 확보하고 싶어도 해당 문제가 걸림돌이 됐기 때문이다.

결국 금융위는 금보원이 통합보안관제를 소프트웨어 방식으로 수행해도 정보공유에 무리가 없다는 의사를 확인했으며 해당 문제를 국정원과 논의하는 중이다.

금융위 관계자는 “CC인증 제품 사용은 공공기관인 금보원에 해당하는 부분이지, (MS나 AWS 등) 원칙적으로 민간 기업들에 해당하는 사항은 아니다”라며 “이들이 겪는 문제를 법규나 가이드라인상 완화해준 것이 아니라 금보원이 통합보안관제 업무 진행에 차질을 겪고 있기 때문에, 국정원과 논의를 통해 해결해나가는 과정”이라고 설명했다.

AWS, MS, 구글 등은 비용이나 신기술 적용 등의 측면에서 상대적으로 금융사들의 수요가 높다. 국내 클라우드 시장 내 외국계 기업 점유율은 67%에 달한다. 이미 외국계 기업에 기울어진 운동장에서 국내 기업들은 금융이라는 특수시장만큼은 ‘보안’을 최대 강점으로 내세우며 뺏기지 않으려 하고 있어, 이들에겐 달갑지 않은 소식이다.

국내 기업들은 이를 두고 금융사에 양날의 검이 될 수 있다고 지적했다. 금융사들의 외국계 클라우드 선택을 방해하는 실질적인 장애물이 해소돼 신용정보 등 중요업무에까지 이들 서비스를 이용할 수 있게 됐지만, 그만큼 고려해야 할 보안 리스크도 늘어났다는 설명이다.

금보원이 소프트웨어 방식으로 보안관제를 하게 되면 사고 발생 시 대응이 더 늦어질 수 있다는 지적도 제기된다. 소프트웨어 방식으로 금보원과 정보를 공유할 때 정보 조작이나 필터링이 가능하다는 이유에서다.

한 국내 클라우드 기업 관계자는 "이미 금보원의 통합관제업무 수행을 위해 데이터센터에 CC인증을 획득한 장비를 도입한 국내 업체들은 역차별을 당하는 것"이라며 "보안상 소프트웨어 통합관제 방식은 필터링하거나 충분히 조작이 가능하기 때문에 중요정보를 위탁하는 금융사가 안게 될 리스크가 있다”고 말했다.

저작권자 © 대한금융신문 무단전재 및 재배포 금지