[디지털 데일리]금융권 '개인정보'도 클라우드 허용 #1

안녕하세요 금융 셋째입니다. 오늘은 2019년 부터 시행되는 금융권 클라우드^[각주:1] 이용 확대 방안에 대해 알아보겠습니다. 자세한 이해를 돕기 위해 #1 주요 내용과 도입 배경, #2 도입의 장점과 발생할 수 있는 문제점, #3 국내 기업들의 도입현황 3개의 포스팅에 걸쳐 소개해보겠습니다.

지난 2018년 7월 15일 금융위원회는 '개인신용정보와 고유식별 정보'등 핵심 금융 정보들도 금융 기관이 아닌 외부 IT사업자 클라우드 서비스에서 관리할 수 있도록하는 방안을 발표했습니다.

지금까지는 개인, 신용정보 등을 제외한 '비중요정보'에 한해서 클라우드를 활용할 수 있었는데, 금융위원회가 금융권의 예상을 뛰어넘는 파격적인 조치를 취한 것입니다.

이런 조치는 단순히 중요한 금융정보시스템의 관리 주체가 변경되는 것으로 그치지 않을 가능성이 큽니다.

금융권 IT인프라 운영 전략, 금융IT 인력과 조직 변화, 금융 IT 생태계 변화, 금융 물리적 망분리 정책 등 여러 분야에 민감한 후폭풍을 불러일으킬 수 있습니다. 예를 들어 금융회사가 퍼블릭 클라우드 방식을 도입하게 되면 기존 내부 IT운영 인력중 일부는 더 이상 필요가 없게 될 것입니다. 또한 클라우드를 통한 IT인프라 역량 강화로 디지털 혁신은 더욱 가속화 될 것입니다.

그럼 금융위원회가 이런 결정을 한 배경은 무엇일까요?

첫번째 이유는 클라우드 이용확대를 통한 금융분야 디지털 역량강화를 꼽을 수 있습니다. 최근 신기술이 금융에 접목되는 사례가 많아지면서 업계에서 클라우드 규제완화에 대한 목소리가 높았습니다. 클라우드 규제로 인해 금융회사들의 다양한 서비스 적용, 개발이 제한되었고, 핀테크기업에게는 IT설비 구축비용 등이 시장 진입장벽이 되었던 것이죠.

그리고 또 하나의 이유는 정부에서 추진하는 '금융 마이데이터 산업^[각주:2] 도입'입니다. 금융마이데이터 산업이란 여러 곳에 흩어져 있는 개인 신용정보를 한 곳에서 조회하고 맞춤형으로 활용할 수 있도록 지원하는 것입니다. 이를 위해서는 개인의 신용정보도 IT업체가 관리할 수 있도록하는 클라우드 전면 도입이 우선 되어야합니다. 이를 위한 사전조치로 볼 수도 있습니다.

그러나 해당 조치가 클라우드의 활용 범위만 확대한 것은 아닙니다. 또 하나의 주요 골자는 보안수준 및 관리감독의 강화입니다. 

클라우드 이용시 금융사는 자체 정보보호위원회를 두고 기술적, 관리적 기준에 따라 안전성이 확보된 클라우드를 이용해야 합니다. 이때 의결 사항과 관리내용에 대해 감독당국에 보고하고, 안전성 평가는 금융보안원이 지원합니다. 

또한 클라우드 제공자는 금융회사에 데이터의 물리적 위치를 알라고 정보보호 의무, 장애 방지대책 등 관리사항을 이행하야 합니다. 그리고 사고 발생시 비상대응을 위해 국내 전산센터에 필수 인력이 상주하고, 신속한 장애 대응 및 복구가 가능하도록 개인 신용정보를 처리하는 시스템을 국내에 설치해야 합니다. 따라서 이런 조치들을 위해 금융위는 우선 국내 소재 클라우드에 한해서만 우선 허용하기로 한다고 밝혔습니다.

그러면 이렇게 금융권 클라우드 전면 도입으로 얻을 수 있는 기대효과와 문제점에 대해서는 어떤 것들이 있을까요? 해당 내용은 다음 포스팅에서 자세히 알아보기로하고 오늘은 앞서 나왔던 용어인 '퍼블릭 클라우드'라는 용어에 대해 자세히 알아보면서 마치겠습니다.

감사합니다.^^

1. 퍼블릭 클라우드 (Public cloud)

특정 기업이나 사용자를 위한 서비스가 아닌 인터넷에 접속 가능한 모든 사용자를 위한 클라우드 서비스 모델을 말합니다. 고객은 하드웨어나 플랫폼 관리를 전혀 할 필요가 없고 그냥 필요한 만큼 비용을 지불하고 추가로 사용하기만 하면 됩니다. 구축비용이 전혀 들지 않기 때문에 초기 비용이 낮은 장점이 있지만, 리소스를 다른 사람들과 함께 사용하는 만큼 보안 위협이 존재할 수도 있습니다. 구글이나 네이버 클라우드, 드롭박스 등이 대표적인 퍼블릭 클라우드의 사례라고 할 수 있겠습니다.

2. 프라이빗 클라우드 (Private cloud)

제한된 네트워크 상에서 특정 기업이나 특정 사용자만을 대상으로 하는 클라우드 서비스를 말합니다. 자원과 데이터는 기업 내부에 저장되어 기업이 데이터 제어권을 가지고 있는게 특징입니다. 따라서 보안성이 매우 뛰어나고 개별 고객에 맞게 클라우드 기능을 커스텀할 수 있다는 장점이 있습니다. 

시스템을 자체 개발하는 것과 어떻게 보면 크게 다르지 않지만, 클라우드 환경을 통해 수요에 신속하게 대응하고 더 높은 컴퓨팅파워를 가질 수 있습니다. 클라우드 환경을 구축하고 싶지만 규제에 의해 퍼블릭 클라우드를 사용할 수 없는 의료 및 금융 산업 등에서 많이 사용하는 방식입니다. 

3. 하이브리드 클라우드 (Hybrid cloud)

하이브리드 방식은 퍼블릭과 프라이빗 방식을 함께 사용하는 것을 말합니다. 보통 퍼블릭 클라우드 상에서 서비스 하면서 중요한 데이터 등을 따로 관리하고자 하는 기업들에서 주로 사용합니다.

1. 인터넷 상에 자료를 저장해두고 사용자가 필요한 자료, 프로그램을 자신의 컴퓨터에 설치하지 않고도 인터넷 접속으로 언제 어디서나 이용할 수 있는 서비스를 말함. [본문으로]
2. 마이데이터 업체들은 흩어져있는 금융소비자 개인의 신용정보를 통합하여 한 번에 볼 수 있게 해준다.그리고 이를 통해서 신용도, 재무, 소비 등 다양한 서비스를 통해 금융활동을 지원한다. 금융위는 다양한 사업자의 진입을 장려하는 한편, 보안 등의 이유로 허가제로 운용할 계획을 밝혔다. 2019년 중 시행한다는 목표. [본문으로]