들어가며

최근 금융 분야에서는 클라우드, 빅데이터, 인공지능 등 디지털 신기술 활용이 확대되면서 금융보안의 중요성도 증가하고 있다. 신기술 도입에 따른 보안 취약점을 이용한 랜섬웨어, 디도스 공격 등 사이버 위협의 유형도 다변화하고 있으며, 빅테크의 금융업 진출, 클라우드 등 아웃소싱 확대 등으로 제3자 리스크가 심화되고 있는 상황이다. 그러나 비금융보안 규제는 급변하는 IT환경과 보안 리스크에 효과적으로 대응하기 어렵다는 의견이 지속적으로 제기되고 있다. 이에 금융당국은 지난 12월 20일 디지털 금융혁신을 뒷받침하면서 리스크에 효과적으로 대응할 수 있는 ‘금융보안 규제 선진화 방안’을 마련했다. 금융 보안 거버넌스의 문제를 개선하고, 보안 규제를 정비하며, 관리·감독의 선진화를 이루는 것이 선진화 방안의 주요 골자다.

또한 그에 앞서 11월 23일 금융당국은 정례회의를 열고 클라우드 이용 절차 합리화 및 망 분리 규제 개선 등을 담은 ‘전자금융감독규정’ 개정안을 의결하고, 지난 1월 1일부터 시행했다. 이번 개정안은 금융 업무의 디지털 전환이 가속화됨에 따라 클라우드, 인공지능 등 디지털 신기술에 대한 금융권 수요를 반영한 것이다.

국내 금융회사의 성공적 디지털 전환을 위해서는 클라우드 서비스의 적극적 활용이 매우 중요하다. 2016년 망 분리 규제 완화로 시작되어 2019년 클라우드 허용을 계기로 클라우드 서비스가 확대되고 있지만 아직은 초기 단계인 것으로 평가된다. 본고에서는 클라우드의 부상과 함께 최신 글로벌 트렌드 그리고 국내 금융사를 위한 시사점을 알아보고자 한다.

주요 보안정책 동향

제5차 금융규제혁신회의에서 논의된 금융보안규제 선진화 방안의 주요 내용은 다음과 같다. 금융회사 등이 전사적 차원에서 보안을 준수하고, 리스크 기반의 자율보안체계를 구축할 수 있도록 규율체계를 개선할 것과 목표·원칙중심, 사후책임 중심으로 보안규제를 전환할 것 그리고 금융보안 전문기관이 금융회사 등의 보안체계를 검증하고 컨설팅할 수 있도록 지원 기능을 강화한다는 것이다.

금융위는 이 논의 사항을 바탕으로 올 상반기 중 금융보안 규율체계 정비 TF를 구성해 보안규제 선진화 로드맵을 검토할 예정이라고 밝혔다. 3단계로 진행되는 로드맵은 먼저 현 보안규정의 우선순위, 규제 타당성, 금융회사 등의 보안역량 등을 종합적으로 평가해서 규정을 정비해나가고, 다음은 금융보안의 목표와 원칙을 제시해 금융회사 등의 자율보안체계 구축 및 사후책임 중심으로 규제를 정비할 예정이다. 마지막으로 포지티브 규제체계에서 네거티브 방식으로 전환해 금융회사 등에 보안 자율성을 보안할 계획이다.

한편 지난해 금융위가 의결한 전금법 개정안 일부가 올해부터 시행되고 있다. 바로 클라우드 및 망 분리 규제 완화 부분이다. 이 개정안에는 클라우드 이용 업무의 중요도 평가 기준을 마련하고, 업무 중요도에 따라 이용 절차를 차등화하는 내용 등이 담겼다. 평가 기준상 중요하지 않는 업무는 클라우드서비스제공자(CSP)의 건전성 및 안전성 평가, 업무 연속성 계획, 안전성 확보 조치 절차를 완화해 적용할 수 있게 된다. 클라우드 이용 시 현행 사전보고 제도는 사후보고로 전환하고, 제출서류도 간소화된다.

연구개발 분야에서도 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 것을 전제로 망 분리의 예외를 허용하기로 했다. 앞서 금융위는 2020년 4월 금융규제 샌드박스를 통해 카카오뱅크의 ‘금융기술연구소’를 혁신금융서비스로 지정하고 망 분리 규제 특례를 부여한 바 있다.

클라우드 서비스 전성시대와 리스크

클라우드는 디지털 전환 시대에 IT의 기본이 되고 있다. 이제 거의 모든 사업은 클라우드를 기본으로 하거나 그 이용을 전제로 설계되고 있다. 이에 금융회사들도 새로운 비즈니스를 구축하거나 변화하기 위해 클라우드에 집중하는 모습이다. 기술 기반의 핀테크 스타트업, 비대면 인터넷전문은행, 빅테크와 전통 금융회사가 새로운 경쟁 구도를 형성하는 가운데, 보수적인 금융회사들이 경쟁력 강화를 위해 디지털 혁신에 나서고 있으며 그 중심에 클라우드가 있다. 하지만 클라우드는 다양한 리스크를 내재하고 있다. 비용문제와 보안위협은 우선적으로 해결해야 할 리스크에 해당한다.

일반적으로 금융서비스(FinServs) 기업은 클라우드 전환 과정에서 문제가 표면화되면 적합한 사이버 보안 솔루션을 찾고 실현시킨다. 그러나 필요에 따라 함께 연결되는 사일로(Silo)화된 개발 및 런타임 보안 솔루션은 궁극적인 클라우드의 기본 목표인 지속적인 개발 주기를 보호하기에는 적합하지 않은 게 현실이다. 디지털 집약적인 비즈니스의 특징을 갖춘 금융서비스 기업은 수많은 퍼블릭 및 프라이빗 클라우드에서 중요한 위치를 차지하고 있는데, 이들은 수백 개의 애플리케이션에 의존하고 있다. 특히 이들은 방대한 양의 중요 데이터를 보유하고 다양한 지역 및 업계 표준의 규제를 받고 있는 상황이다.

이에 금융서비스 기업은 개발에서 런타임에 이르기까지 전체 클라우드 기본 라이프사이클을 보호하기 위한 체계적인 접근 방식, 즉 클라우드 기본 워크플로우를 보호하고 매우 동적인 클라우드 기본 환경에서 규정 준수를 보장할 수 있는 확장 가능한 데브섹옵스(DevSecOps) 기반의 방법이 필요하다.

강력한 클라우드 네이티브의 필요성 제기

금융서비스 기업은 예전에는 로드(Load)를 관리하기 위해 막대한 시간과 노력을 들여 클라우드 네이티브 개발로 마이그레이션했다. 새로운 핀테크 및 금융서비스 비즈니스는 클라우드 기반으로 구축되어 고객이 요구하는 유연성, 확장성에 따라 고가용성을 실현했다. 클라우드 네이티브로 전환한 조직, 또는 클라우드에서 태어난 조직은 민첩성, 저가의 총소유비용(TCO), 신제품 출시 기간 단축, 신시장 출시 또는 새로운 규정 준수 등 이 접근 방식의 이점을 누리고 있다.

그러나 클라우드 기반의 애플리케이션은 점차 공격받는 범위가 커지고 있다. 이미지 기반의 개발 프로세스는 높은 수준의 구성 가능성, 오픈소스 소프트웨어 구성 요소의 광범위한 사용, 자동화를 사용한 신속한 구현과 함께 취약성을 높이고 있다. 그리고 지속적인 개발 파이프라인으로 인해 개발자들은 그 어느 때보다 빠르게 작업하고 코드를 공개해야 한다는 압박을 받고 있으며, 일부 개발자들은 10년 전보다 100배나 많은 코드를 생성하고 있다.

이러한 요인들이 사이버 공격의 성격을 크게 변화시켰다. 최근 몇 년 동안 공개 애플리케이션 표면에 대한 공격이 사이버 보안 사고의 가장 빈번한 초기 공격 벡터로 강력하게 작용하였다. 물론 ‘방탄 보안(Bulletproof Security)’은 금융서비스 기업의 운영 및 평판을 보호하고 규제 표준 및 데이터 개인 정보 보호 규정을 충족하는 데 필수적이다. 하지만 규정 준수를 보장하기 위한 오랜 절차가 클라우드 워크플로우의 지속적인 데브옵스(DevOps) 접근 방식과는 무관하기 때문에 금융서비스 기업도 지속적인 보안이 필요하다.

클라우드 네이티브 워크플로우를 위한 제로 트러스트 보안

사이버 보안은 최근 몇 년 동안 (적어도) 두 번의 혁명기를 겪었다. 먼저, 이전 기업들은 악성 에이전트를 차단할 수 있었던 해자(垓子)가 완전히 붕괴됨에 따라 경계 기반의 보안 모델은 옛날 방식이 되었다. 두 번째 혁명은 공간보다는 시간에 관한 것이다. 워터폴(Waterfall) 배포에서 지속적인 개발 주기로 전환한다는 것은 소프트웨어 개발 라이프사이클의 어느 시점 또는 모든 시점에 위협이 발생할 수 있다는 것을 의미한다. 이러한 변화를 예상한 미국은 10년 전부터 클라우드 시대에 적합한 보안 표준으로 제로 트러스트(Zero Trust) 보안 개념을 제안했다. 오늘날 이것은 사이버 위협으로부터 디지털 조직을 보호할 수 있는 최고의 또는 아마도 유일한 접근 방식으로 거의 보편적으로 인정받고 있다.

제로 트러스트 보안은 어떤 개체도 신뢰할 수 없고 위반이 발생할 수 있는 상황을 위해 설계되었다. 특히 금융서비스 기업은 자금과 풍부한 개인 데이터를 구축하고 있어 사이버 공격의 대상이 되고 있기에 제로 트러스트 보안에 집중해야 한다.

클라우드 네이티브로 전환한 금융서비스 기업이 기하급수적으로 증가하는 상황에서 제로 트러스트 보안 모델의 구현은 어느 때보다 중요해졌다. 클라우드 네이티브는 수천 명의 사용자가 사용하는 수백 개의 애플리케이션에서 소프트웨어 개발 라이프사이클 및 그 이후의 수많은 컨텍스트에서 기능하는 수많은 개체를 포함한다. IT 프로세스를 추가하여 여러 규제 표준에 걸쳐 규정 준수를 지원하면 보안 경계를 유지할 방법이 없다. 최소한의 권한으로 제어하고 지속적인 검증을 수행하는 포괄적인 제로 트러스트 접근 방식이 금융서비스 기업을 사이버 및 규정 준수 위험으로부터 보호하는 유일한 방법이다.

통합 제로 트러스트 클라우드 보안 플랫폼은 클라우드 네이티브 애플리케이션 라이프사이클의 지속적인 특성에 맞는 보안 접근 방식을 금융서비스 기업에 제공한다. 이 접근 방식은 개발에서 런타임에 이르기까지 소프트웨어 라이프사이클 전반에 걸쳐 모니터링 및 제어 기능을 통합한다. 개발 툴 체인에 완벽하게 내장된 적절한 보안 제어 기능은 개발, 구현 및 운영 전반에 걸쳐 취약점과 위험을 식별, 추적, 우선 순위 지정 및 해결하는 프로세스를 가속화하고 단순화한다.

NYSE, 나스닥 등 금융·증권계 클라우드 도입 활발

지난 5월 가트너는 전 세계 개방형 클라우드의 최종 사용자 지출액(End-user Spending)이 지난해 4909억 달러(약 648조5200억원)에서 올해에 21.7% 오른 5973억 달러(약 788조9700억원)까지 성장할 것으로 추산했다. 또한 지난해 말 내놓은 성장률 예측치(18.8%)를 상향 조정하기도 했다. 스태티스타는 한국의 클라우드 시장 규모가 2027년에 매출액 기준으로 137억 달러(약 18조원)에 이른다고 산정했다. 클라우드 관리와 보안 서비스 규모도 지난해에 비해 약 18% 성장하고 있다.

빅테크 기업과의 경쟁과 디지털 전환이 가속화되면서 금융회사의 운영 효율성을 높이는 방안으로 클라우드의 필요성이 증가하면서 시장 규모도 커질 것이란 전망이다. AWS, MS, 구글클라우드 등 글로벌 CSP의 주요 사업자들이 올해 1분기 매출이 사상 최고치를 달성한 것은 놀라운 일이 아니다. 해외 금융사들이 주로 빅테크 기업의 클라우드 서비스를 활용하고 있기 때문이다.

미국 금융산업규제국(FINRA)은 AWS를 통해 매일 대량의 이벤트를 분석하고 저장하며, 스페인 및 네덜란드 등 유럽 지역의 대형 은행에서도 AWS와 구글 등을 사용하고, MS와 IBM, 오라클 기반의 클라우드도 널리 활용하고 있다.

영국 정부기관은 적극적으로 클라우드를 사용하는 것으로 알려져 있다. 영국 통계청에서는 더 나은 데이터 수집과 처리 및 해석을 위해 2020년부터 대규모 온라인 인구 조사를 효율적으로 처리 및 이행하고자 클라우드 개발을 실시해왔으며, 2021년에는 영국의 국내정보국(M15)과 해외정보국(M16), 도·감청 전문 정보기관인 정부통신본부(GCHQ)에서도 AWS와 고도 보안 클라우드 시스템 계약을 체결했다. 아마존 클라우드 서비스를 통해 정보기관 요원들이 해와 활동 지역에서 데이터를 더 쉽게 공유할 수 있도록 하고 첩보 활동 시 데이터 분석과 AI 사용을 확대하기 위함이다.

해외에서는 거래소에서도 클라우드 활용이 확산되고 있다. 나스닥(Nasdaq)과 CME(Chicago   Mercantile Exchange, 시카고상품거래소)는 빅테크 기업과 제휴하여 모든 시장 시스템을 클라우드 플랫폼으로 이전했다. 나스닥의 경우 2022년 AWS와의 파트너십을 통해 첫 번째 옵션 시장 MRX를 AWS 클라우드로 전환했다. CME는 글로벌 파생상품 거래시스템 및 데이터를 구글 클라우드 플랫폼으로 이전하기 위해 2021년 구글과 전략적 파트너십을 체결한 바 있다. CME는 CME의 IT 인프라를 모두 클라우드로 이전하기 위해 구글과 10년 간 파트너십을 체결한 뒤 클라우드로의 전환으로 고객의 시장접근성을 더욱 높이고 정보제공 범위를 확장하며 향상된 보안을 제공하는 데 중점을 둘 것이라고 밝혔다.

다른 해외 거래소에서도 데이터 일부를 저장 및 관리하기 위해 클라우드를 활용하는 추세다. 뉴욕증권거래(NYSE)는 증가하는 데이터 유지 관리를 위해 AWS와 협력하여 데이터의 저장 및 검색에 최적화된 클라우드 기반의 플랫폼을 제공하고 있으며 일본 JPX는 시장 참가자가 AWS 다이렉트 커넥트를 통해 거래 및 시장 정보 시스템에 연결될 때 네트워크인 애로우넷(Arrownet)에 액세스할 수 있도록 AWS 클라우드를 활용하고 있다.

싱가포르 증권거래소(SGX)와 유럽거래소 아퀴스(Aquis)는 클라우드 활용을 앞두고 AWS와 공동으로 클라우드 환경에서 거래소 운영 실행 가능성을 실시한 테스트에서 복잡한 거래소의 운영이 클라우드에서 효율적으로 작동한다는 것을 입증한 바 있다. 이밖에 증권화 파생 상품을 위한 범유럽 거래 장소인 스펙트럼마켓(Spectrum Markets)은 데이터 저장 및 분석에 클라우드를 활용하고 있다.

미국의 규제 환경 및 클라우드 전환 사례

이처럼 미국 NYSE와 나스닥 등을 비롯한 주요 금융권이 클라우드 환경을 도입하고 있지만, 미국의 금융 규정은 퍼블릭 클라우드 사용을 의무화하지 않고 있다. 요구 사항은 환경 유형에 관계없이 보안 모범 사례와 제어 및 거버넌스 입증에 관한 것이다. 그렇긴 하지만 핵심 비즈니스 애플리케이션에 클라우드 도입을 꺼리는 기관이 분명히 있다. 이는 대부분 보수적인 사고 방식과 퍼블릭 클라우드 환경에서 필요한 제어를 구현하는 방법에 대한 이해 부족 때문이다.

클라우드 도입에 대한 결정은 규모가 아니라 사고 방식과 관련이 있다. 예를 들어, 총자산(AUM) 기준 상위 10위권 은행인 캐피탈원(Capital One)은 모두 AWS를 사용하고 있다. 기타 상위 10위권 은행들도 퍼블릭 클라우드를 광범위하게 사용하는 중이다. 아마도 전문성 부족으로 소규모 지역 은행들은 퍼블릭 클라우드 채택에 신중한 편이다. 그러나 일부 최신 애플리케이션에 클라우드 서비스를 사용해야 한다는 비즈니스 및 개발자로부터 압박이 있는 것으로 알려져 있다.

캐나다에서도 상위 5개 은행이 모두 모바일 고객에게 서비스를 제공하기 위해 일부 클라우드 인프라를 도입하기 시작하는 상황이 목격된다. 은행의 인프라가 온프레미스인 경우에도 대부분 SaaS에서 Aqua 플랫폼을 사용할 수 있다. 대부분의 금융기관과 다양한 주기로 관리 영역을 SaaS 플랫폼으로 이전하고 있다. 캐피탈원은 이미 온프레미스 Aqua 서버 측 구성 요소 없이 서비스로서의 사용하고 있는 성공사례다.

북미권에서도 느리지만 SaaS로 전환하려는 움직임이 있다. 하지만 이는 규제 때문이 아니다. 리소스와 전문 지식의 부족, 애플리케이션을 클라우드 네이티브로 전환하는 데 드는 전체 TCO에 대한 계산 등 훨씬 더 현실적인 이유가 있다. 할 수 있는 기업들은 전환을 서두르고 있다. 경우에 따라서는 보안팀이 열렬한 지지자가 되기도 한다.

미국뿐 아니라 영국에서도 클라우드 사용 확산이 이루어지고 있다. 2009년 차세대 ICT 정책 방향이 담긴 보고서 ‘디지털 브리튼(Digital Britain)’을 통해 클라우드 도입의 필요성을 제기하고, 2011년에는 ‘Government Cloud Strategy’를 발표하며, 민간 클라우드 우선 정책을 도입했다. 일본도 원격 의료 체계 수립, 공공기관 사이트 접속 폭주 방지, 정보시스템 손실 복구 등을 목적으로 클라우드 활용을 확산시키고 있다. 싱가포르는 토지청 주도로 개발한 위치정보기반 서비스 ‘원맵’이 대표적이다.

국내에서도 금융권의 클라우드 사용이 진행되고 있다. 한국거래소는 2021년 보도자료를 통해 시공간의 제약 없는 업무 환경인 클라우드 기반의 스마트 워크플레이스 조성 계획을 발표한 바 있으며, 코스콤은 네이버비즈니스플랫폼(NBP)과 함께 개인신용정보와 고유식별번호 등이 포함된 금융 데이터 서비스를 클라우드 환경에서 제공하는 금융 특화 클라우드를 선보이고 있다.

어느 기업이나 정부, 기관도 클라우드를 빼놓고는 전략과 정책을 이야기하지 못하는 시대가 되었다. 특히 기업, 업종의 경계를 넘어 디지털 전환 도입이 필수 과제로 떠오르면서 클라우드 전략이 중요한 과제가 되었다. 지난해 말 ‘전자금융감독규정’ 일부 개정안이 최종 의결되면서 금융권에서는 클라우드 활용 범위가 대폭 확대할 것이라는 기대가 높아지고 있으며 과학기술정보통신부는 급성장하는 SaaS 시장을 위해 올해 250억원 투자 계획을 발표하는 등 ‘SaaS 퍼스트’에 힘을 싣고 있다. 하지만 여전히 산업 활성화를 저해하는 예산 규모와 클라우드에 대한 기관 담당자들의 인식 부족 등은 보완할 사항이다. 금융업계와 당국의 적극적인 소통이 이어져 개정안의 후속 버전, 규제 완화 등의 내용이 지속적으로 등장하기를 기대한다.

* 저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.