"클라우드 보안 사고 사례를 보면 확산 초기에 사고가 많이 발생한다. 클라우드가 아닌 레거시 인프라 환경이 익숙한 인력들이 익숙치 않은 새 환경에서 저지르는 관리 상의 오류나 실수가 원인이 된 비중이 가장 높았다. 이런 리스크를 충분히 고려할 필요가 있다."
김성웅 금융보안원 금융혁신지원팀장은 12일 서울 삼성동 코엑스에서 열린 클라우드 보안 핫이슈 세미나에서 이같이 말했다. 클라우드 보안 사고 중 담당자의 관리 오류나 실수로 비롯되는 비중이 크다는 지적이다.
클라우드 도입이 확산됨에 따라 보안 사고에 대한 우려 논의도 전개되고 있다. 특히 정보 유출 우려, 서비스 중단 등 사고에 민감한 금융사로서는 올초부터 실시된 클라우드 규제 완화와는 별개로 보안 우려에 대해 꼼꼼히 따져야 하는 입장이다.
금융보안원은 이런 상황을 감안, 금융사를 대상으로 클라우드 도입 절차에 따른 가이드라인을 만들었다. 김 팀장은 세미나에서 금융 분야 클라우드 컴퓨팅 서비스 보안 가이드를 만든 배경과 그 주요 내용을 소개했다.
■"클라우드 도입할 금융사, 절반 미만서 3곳 중 2곳으로 증가"
김성웅 팀장은 "금융사 중 연초 클라우드 도입 계획이 있다고 답한 비율이 43%였는데, 최근 조사에서는 60~70% 수준으로 증가했다"고 언급했다. 신속한 인프라 도입, 유연한 서비스 운영 등이 클라우드 도입의 주요 목적으로 조사됐다.
클라우드 도입에 따르는 보안 리스크에는 ▲서비스 제공 중단 ▲해킹·정보 유출 ▲국외 업무 위탁에 따른 업무 정지·수사기관으로의 정보 이전 ▲비협조적 클라우드 서비스 사업자(CSP)로 인한 관리 감독의 한계 등이 꼽힌다.
연초부터 적용된 전자금융감독규정은 증가하는 클라우드 도입 수요를 감안, 핵심 규제를 완화하는 동시에 보안 사고 방지를 위한 관리 감독 체계를 강화했다.
구체적으로는 국내 소재 클라우드에 한해 개인신용정보·고유식별정보 등 중요정보의 클라우드 이전이 허용됐다. 이와 함께 중요정보를 이전한 클라우드 이용 현황에 대한 보고 의무, 계약서 상의 법적 책임 명시 의무 등이 포함됐다.
이 날 발표에서는 CSP사업자에 대한 집중 리스크 관리 필요성도 함께 제기됐다.
김 팀장은 "금융, 더 크게는 산업, 국가 전체적으로 특정 CSP에 대한 의존도가 너무 높아지고 해당 사업자의 의도에 맞춰 끌려갈 수밖에 없는 상황들이 충분히 예견되고 있다"고 설명했다.
■인적 사고 막기 위한 보안 통제 중요성 강조
금보원은 바뀐 전자금융감독규정 적용을 앞두고 금융권 클라우드 컴퓨팅 서비스 이용 가이드를 지난해 12월 개정했다.
이용 가이드 주요 내용은 사전 준비-계약 체결-보고 및 이용-이용 종료 등 도입 단계별로 마련돼 있다.
사전 준비 단계에서는 클라우드로 이전할 업무를 선정, 평가하고 이전 계획을 수립하게 된다. 이 과정에서 계정 관리, 접근 통제 등 필수 보안 통제 사항을 포함한 안전성 확보 조치가 사고 예방 차원에서 강조됐다. 클라우드 보안 사고 중 이용자 보안 관리 미흡으로 발생한 사고 비중이 높기 때문이다.
가이드 상의 금융 분야 클라우드 컴퓨팅 서비스 제공 기준에 따라 CSP를 평가해 선정하게 된다. 서비스 이용 전 중요 업무에 대해서는 실제 이용날 7영업일 이전에 금융감독원에 보고하도록 돼 있다.
그외 리스크 관리 주의 사항, 클라우드 서비스 전환 또는 종료 시 출구 전략에 따른 데이터 이전 및 파기 등 다양한 내용이 담겼다.
■"클라우드 보안, 전문 인력·데이터 중심 보안 ·명확한 책임 체계 중요"
김 팀장은 안전한 클라우드 활용을 위해 세 가지를 주요 덕목으로 강조했다.
먼저 클라우드에 대한 선행적 이해다. 클라우드에 대한 충분한 이해를 갖추고 있는 전문 인력을 확보해 사용자 과실에 따른 보안 사고를 방지해야 한다는 것이다.
데이터 중심의 보안도 언급했다. 데이터 생성과 폐기까지 전 단계에 걸친 데이터 처리 절차와 흐름을 분석해 암호화, 감사 기록, 접근 통제 등 필요한 보안 조치를 마련해야 한다는 것이다.
관련기사
- "클라우드 위한 혁신적 '데이터·결제' 인프라 구축"2019.06.12
- 공공·금융 클라우드, 국수주의가 옳다2019.06.12
- LG CNS "AWS와 손잡고 금융 클라우드시장 공세"2019.06.12
- NBP-코스콤, 금융 특화 클라우드 구축2019.06.12
클라우드 활용에 따른 금융사 IT 업무의 상당량이 클라우드 사업자에 위임됨에 따른 IT 아웃소싱 관리 체계를 명확히 하는 것도 중요하다고 봤다. 계약 등을 통해 상호 간의 역할, 책임을 분명히 해야 한다는 것.
김 팀장은 "경영진이 관심을 갖고 클라우드 활용 여건을 조성하고, 신규 보안 위협을 지속적으로 식별하며 필요한 조치를 챙기는 실무적 노력이 병행돼야 한다"고 조언했다.
