AWS "금보원 클라우드 평가항목 '기본 보호조치' 생략 가능"

클라우드 서비스를 이용하려는 금융사가 아마존웹서비스(AWS)를 활용하면 금융보안원 가이드라인이 요구하는 평가항목 가운데 기본 보호조치 109개를 생략할 수 있다. AWS가 최근 서울 리전에 획득한 싱가포르 클라우드 보안인증 MTCS 레벨3의 효과다.

이대근 AWS 시큐리티 어슈어런스 매니저는 17일 서울 삼성동 코엑스에서 열린 'AWS 서밋 서울 2019'에서 '금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드'를 주제로 세션을 진행했다. 그는 클라우드 도입을 고려하는 금융 서비스 분야의 기업들을 대상으로 보안과 규정 준수 요구사항을 충족하는 방안에 대해 소개했다.

클라우드의 책임 공유 모델 개념이 제시됐다. 책임 공유 모델은 '클라우드의 보안'과 '클라우드에서의 보안' 두 가지로 나뉜다. AWS가 담당하는 분야는 클라우드의 보안이다. AWS가 인프라의 물리적 보안을 책임짐으로써 고객의 책임과 비용을 줄일 수 있는 셈이다.

이 매니저는 "AWS는 인프라에 대한 보안을 철저히 하고 있으며 이를 위해 다양한 규정 준수 프로그램을 운영하고 있다"며 "규정 준수 프로그램은 ISO 27001, 정보보호관리체계(ISMS) 등 50개가 넘으며 모든 프로그램은 독립적인 감사를 받고 있다"고 말했다.

이대근 AWS 시큐리티 어슈어런스 매니저는 17일 서울 삼성동 코엑스에서 열린 'AWS 서밋 서울 2019'에서 '금융권 고객을 위한 클라우드 보안 및 규정 준수 가이드'를 주제로 세션을 진행했다.

올해 1월부터 전자금융감독규정 개정안이 시행됨에 따라 클라우드의 이용범위가 확대됐다. 기존에는 비중요정보만 클라우드 이용이 가능했던 반면, 올해부터는 개인신용정보와 고유식별정보도 클라우드 서비스 이용이 가능해졌다.

이에 따라, 클라우드에 대한 금융회사의 내부통제가 강화됐다. 금융회사는 클라우드 서비스의 안전성을 평가하고 자체 정보보호위원회의 심의·의결을 거쳐야 한다. 또 금융 정보의 중요도에 따라 클라우드 이용 현황을 감독당국에 보고하고 법적책임, 감독·검사 의무 등을 계약서에 명확화해야 한다.

이 매니저는 "클라우드 사용자들은 고객의 책임이 무엇인지 분명히 식별해야 보안규정을 완벽히 충족해서 쓸 수 있다"고 말했다.

금융권에서 클라우드 서비스를 사용하기 위해서는 업무 연속성 계획과 안전성 확보 조치 방안도 수립해야 한다. 여기에는 데이터 백업, 훈련과 사고관리도 포함된다.

이 매니저는 "금융회사는 클라우드 서비스 사용 중 예상치 못한 사고가 발생해도 업무 연속성을 유지해야 하고, 이를 위해서는 데이터 이중화 등으로 손실 사고에 대비해야 한다"며 "AWS의 클라우드 서비스는 고가용성과 내구성을 갖춰 서비스별로 데이터 이중화, 백업, 접근제어 암호화 등의 기능을 제공한다"고 말했다. AWS가 제공하는 주요 서비스로는 EBS, S3, EFS, RDS 등이 있다.

금융보안원이 발표한 금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인에 따르면 금융회사에서는 클라우드 서비스를 이용하기 전에 안전성 평가를 수행해야 한다. 가이드라인에는 클라우드 서비스 제공자를 평가하는 구체적 방안이 담겼다. 평가 항목은 기본 보호조치 109개와 금융부문 추가 보호조치 32개로 나뉜다.

이 매니저는 "클라우드 서비스 제공자가 4개 인증 중 하나를 취득한 경우에는 금융회사에서 클라우드 서비스 제공자를 평가할 때 기본 보호조치 109개를 생략할 수 있다"며 "AWS는 지난 8일 서울 리전에 싱가포르 클라우드 보안인증인 MTCS 레벨 3를 획득했다"고 말했다.

인증 서비스 범위에는 서울 리전의 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)가 모두 포함됐다.