반복내용 건너뛰기(skip to main content) 본문 바로가기(Go body) 메뉴 바로가기(Go Menu)
G03-8236672469

금융업계, 이제 클라우드 도입은 필수

NSP통신, 박유니 기자, 2021-03-17 19:21 KRD7
#제노솔루션

(서울=NSP통신) 박유니 기자 = 금융정보시스템연구회는 이종섭 제노솔루션 이사를 초청, 노보텔앰버서더 강남호텔에서 ‘금융 클라우드의 현재와 앞으로의 변화’라는 주제로 월례 조찬세미나를 가졌다.

빅데이터와 AI시대를 맞이하여 금융회사에서 클라우드를 도입 여부는 더 이상 선택이 아닌 필수로 자리 잡았다. 도입을 하되 어떤 업무를 어떻게 도입하는 것이 바람직할지, 관련 규제는 문제없는지, 퍼블릭인지 프라이빗인지 구분해서 바라보는 냉철한 시각을 가질 필요가 있다.

금융감독원의 조사에 따르면 작년 6월 기준 110개 금융회사의 38%인 42개사가 클라우드를 이용중이라 응답했다. 세부적으로 들여다보면 퍼블릭 클라우드의 비중은 약 절반에 미치지 못하는 44%이다. 두 비율을 종합해서 본다면 퍼블릭 클라우드의 이용율은 아직도 높지 않고 적용 분야도 비즈니스 영향이 미미한 내부업무나 데이터 분석 업무에 이용하고 있는 실정이다. 중요 핵심업무와 전산센터의 업무는 클라우드를 이용하더라도 프라이빗 클라우드를 선택했다.

NSP통신-이종섭 이사 (제노솔루션 제공)
이종섭 이사 (제노솔루션 제공)

국내 주요 5대 은행의 클라우드 전략도 그런 점에서 유사한 공통점이 있다. 보안성 확보가 필요한 중요 업무는 프라이빗 클라우드로, 중요도가 낮은 업무는 퍼블릭 클라우드로 적용하는 하이브리드 클라우드 전략을 택하여 추진하고 있다. 프라이빗 클라우드는 규제와 관련하여서도 활용상의 제약이 없는 장점을 가진다.

2015년 3월 ‘클라우드컴퓨팅법’을 제정하고 범 국가적으로 클라우드 활성화를 위한 발판을 마련했다. 그해 12월 제1차 클라우드컴퓨팅 발전 3개년 기본계획을 수립해서 구체적인 실행전략도 마련했다. 금융위원회도 금융권 클라우드 도입의 가장 큰 걸림돌이 되었던 ‘전자금융감독규정’을 개정했다.

G03-8236672469

개인의 고유식별정보와 개인신용정보 등 고객정보 처리시스템을 제외한 비중요 정보처리시스템과 관련하여 클라우드를 이용할 수 있게 했고, 망분리 규정의 예외도 허용했다. 하지만 이는 금융권도 클라우드를 이용할 수 있게 되었다는 의미만 가질 뿐 실질적으로 도입과 확산으로 이어지지는 못했다. 금융회사 내부망의 서버와 연동이 전혀 없고 독립적으로 운영할 수 있는 비중요 업무는 많지 않았다. 또한, 퍼블릭 클라우드로 억지로 이전하더라도 비중요 업무를 위해서 클라우드와 내부 양쪽의 인프라를 관리 운영하는 것은 비효율적이며 도입의 가장 큰 효과인 비용절감도 달성할 수 없었기 때문에 금융권의 움직임은 미약했다.

2018년 제2차 클라우드컴퓨팅 발전 기본계획이 수립되고, 금융위원회도 전자금융감독규정을 개정하여 2019년부터 중요 업무도 퍼블릭 클라우드를 사용할 수 있게 되었다. 제14조의2항을 신설하여 ‘클라우드컴퓨팅서비스 이용절차’ 등에 대해 규정했다. 다만 중요 업무에 대해서는 국내 소재 데이터센터만 이용이 가능하도록 한정 지었다. 이에 따라 금융보안원에서도 ‘금융분야 클라우드컴퓨팅 이용 가이드’를 배포했고, 퍼블릭 클라우드 서비스를 이용하려면 아래와 같이 이용절차를 따라야 한다.

금융회사는 이용대상을 선정하고 중요도를 평가한 이후 ‘클라우드 서비스 공급자(CSP)’의 안정성 평가를 수행해야한다. 평가 항목은 기본보호조치와 금융분야 추가 보호조치 등 총 141개 항목이며, 기존에 평가된 결과를 활용할 수도 있다. 금융회사의 내부망의 서버나 단말기가 클라우드 서비스 공급자와 연결할 때는 작년11월 개정된 ‘전자금융감독규정 시행세칙’에서 정하는 망분리 대체 정보보호통제 수칙을 따라야 한다. 최근 코로나의 장기화로 인해 금융권에서도 재택근무와 원격접속이 많아 짐에 따라 ‘외부 단말기’로 접속할 경우 지켜야 할 통제사항들을 세부적으로 명확히 규정하고 따르도록 했다.

2019년 6월부터 금융위원회 주관으로 금융당국, 금융회사 클라우드 제공자, 전문가로 구성된 금융권 클라우드 워킹그룹을 구성했다. 워킹그룹은 기존 가이드의 불명확한 부분과 이슈사항에 대해 의견 모아 개정을 추진중이다.

적용 범위 및 이용 절차의 명확화, 평가 부담 완화(중복 평가, 매년 실시, 비중요 업무경감 등), 비중요 업무에 대한 보호대책 권고 수준 하향, 보호대책 일부 보강 및 명확화(연계방법, 계정관리, 접근통제 등)이다. 개정 가이드는 수 차례의 협의와 조정을 거쳐 마무리 단계에 왔으며, 최근 전자금융거래법도 개정안이 발의돼 2분기 이후 공개될 것으로 예상된다.

퍼블릭, 프라이빗, 하이브리드 멀티 클라우드로 각각 나누어서 살펴본다. 먼저 퍼블릭 클라우드는 컴플라이언스 대응이 가장 중요한 사항이다. 앞서 살펴본 가이드에 따라 이용을 하되 전통적인 보안에서 클라우드로 보안 개념을 전환해야 한다. 가이드의 안전성 확보 조치 필수요소 8가지에 대해 CSP와 협력하여 방안을 마련하는 것도 중요하다.

프라이빗 클라우드는 소프트웨어 정의 데이터센서(SDDC)를 도입하여 단계별 투자, 낮은 복잡도, 신속한 서비스 제공, 높은 효율성을 가지도록 설계하는 전략으로 진행한다. 세부적으로 소프트웨어 정의 컴퓨팅(SDC), 소프트웨어 정의 스토리지(SDS), 소프트웨어 정의 네트워크(SDN), 자동화 및 오케스트레이션의 구성요소로 이루어 진다. 이러한 프라이빗 클라우드 도입을 통해서도 기존 온프레미스와 대비하여 높은 비용 절감 효과를 이룰 수 있다. 롯데카드 채널계 업무 전환 사례의 경우, 40%이상의 IT운영비용을 절감했다고 한다.

하이브리드 멀티 클라우드를 최종목표로 지향하는 것 또한 국내 주요 5대 은행의 공통된 클라우드 전략이다. 하이브리드 멀티 클라우드를 이용하기 위해서는 컨테이너 기술 도입이 전제되어야 한다. 하이퍼바이저에 의한 서버 가상화 기술은 전통적인 서버와 비교하여 하드웨어 자원(CPU, Memory, Disk 등)을 격리하는 유연성을 제공한다. 하지만, 단점으로 하이퍼바이저 및 게스트OS에 대한 부하와 이기종 VM기술간 호환성 문제가 있다. 어떤 인프라에서도 호환성을 유지하고 서로 이동이 자유롭기 위해서는 공통된 표준 컨테이너 기술의 플랫폼 계층이 필요하다.

이렇게 컨테이너를 이용하여 클라우드간 플랫폼을 통합하고 매끄러운(Seamless) 개발, 배포 및 실행이 가능한 진정한 하이브리드 멀티 클라우드 모델을 완성할 수 있게 된다.

이종섭 제노솔루션 이사. 숭실대에서 IT서비스 전공으로 박사과정을 밟고 있다. 20여 년간 기업용 솔루션을 개발한 경험을 살려 금융 클라우드 컨설팅에 나서고 있다.

NSP통신 박유니 기자 ynpark@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.