김영기 금융보안원장어디서든 볼 수 있는 구름(cloud)처럼 어디서나 이용할 수 있는 접근성, 고성능 컴퓨팅파워, 다양한 정보기술(IT) 서비스 구현이 가능한 확장성 등의 이점에 더해 빅데이터 분석 등의 수요가 증가하면서 클라우드 컴퓨팅이 금융권에서 크게 관심을 끌고 있다. 특히 올해부터는 중요정보까지도 클라우드를 이용할 수 있도록 규제가 완화되면서 금융권의 클라우드 활용은 더욱 증가할 것으로 전망된다.
최근 금융보안원이 금융회사를 대상으로 클라우드 이용계획을 조사한 결과 42개사가 클라우드 도입을 검토 중이며 이 중 22개사는 1년 이내 도입을 희망하고 있었다. 금융회사가 클라우드를 이용하기 위해서는 클라우드 사업자의 서비스가 안전성을 유지할 수 있어야 한다. 그런데 금융보안원이 최근 은행과 함께 일부 클라우드 사업자의 안전성을 평가한 결과, 재해복구 훈련, 업무 연속성 유지 등 부분적으로는 보완이 필요한 것으로 나타났다. 물론 보안사고가 발생하면 계약관계에 따라 클라우드 사업자가 책임을 일부 부담할 수는 있다. 하지만 소비자 피해 보상 등 최종적 책임은 어디까지나 소비자와 직접 계약관계에 있는 금융회사가 부담해야 한다. 따라서 클라우드 환경을 도입함에 있어 금융회사는 보안 리스크 측면에서 다음 사항을 중점적으로 고려할 필요가 있다.
첫째, 금융회사는 클라우드 기술을 충분히 이해하고 이로 인한 보안·IT 등 업무 환경 변화에 스스로 대응할 수 있어야 한다. 가트너는 오는 2020년까지 발생하는 클라우드 보안사고의 95%가 클라우드 환경을 이해하지 못한 사용자 과실로 발생할 것으로 예측했다. 지난해 2월 발생한 미국 페덱스의 개인정보 12만건 유출, 6월에 발생한 타오바오 서비스 중단 등도 모두 클라우드 환경 설정 오류 등 사용자의 관리 소홀이 원인이었다.
둘째, 데이터 보호 중심의 보안업무 수행이 필요하다. 클라우드 환경에서는 외부의 IT 인프라를 활용하는 만큼 금융회사 보안업무의 중심이 데이터 보호로 이동하게 된다. 데이터 생성부터 폐기까지의 전 단계에 걸쳐 처리 절차와 흐름을 분석하고 암호화·감사기록·접근통제 등 필요한 보안조치들을 빠짐없이 마련해야 한다.
셋째, IT 아웃소싱의 보안 리스크 관리를 더욱 강화해야 한다. 금융회사의 IT 업무와 관련된 많은 역할과 권한이 클라우드 사업자에게 주어지면 필연적으로 보안 리스크도 증가한다. 계약에 상호 간의 역할과 책임을 분명히 하고 클라우드를 포함한 전체 IT 아웃소싱과 관련된 보안 리스크를 재평가하고 지속적으로 관리해야 한다.
금융 IT의 클라우드 전환은 거스를 수 없는 대세가 될 것이다. 그러나 장밋빛 혁신은 이에 상응하는 새로운 보안 위협을 잘 관리할 때에만 가능하다는 점을 항상 명심하고 실천해야겠다.
