[디지털 데일리] 금융권 '개인정보'도 클라우드 허용 #2

안녕하세요 금융 셋째입니다. 오늘은 1편에서 알아봤던 '금융권 클라우드 이용 확대 방안'의 주요내용과 도입 배경에 이어 도입 시 기대효과와 발생할 수 있는 문제점에 대해서 살펴보겠습니다.

먼저 첫 번째 기대효과는 기존 금융권 디지털 역량 강화입니다. 금융권에서 개인정보를 활용해 빅데이터, AI 등의 활용이 활발해지면서 점점 더 많은 인프라와 시스템 리소스가 필요해지고 있습니다. 기존의 방식대로 이런 분석들을 수행하기 위해서는 각각 금융사에서 자체적으로 구축하여 인프라를 확보해야 했습니다. 그러나 클라우드 방식을 활용하면 인프라를 따로 구축할 필요가 없어 업무생산성과 비용절감이 가능합니다. 

실제로 국내 금융권에서 최근 기술적인 변화와 함께 글로벌 시장 진출확대로 이를 지원하기 위한 IT인프라 확대와 지원방안이 부담으로 다가오는 상황이었습니다. 주요 은행을 중심으로 글로벌 데이터센터와 시스템 구축에 나서고 있지만 중장기적으로 비용절감과 전략적 방향성 측면에서 클라우드가 유일한 해결책으로 손꼽히는 상황인 것이죠.

두 번째는 다양한 핀테크 서비스와 기업의 활성화입니다. 많은 핀테크 기업은 고객 정보를 기반으로 다양한 서비스를 개발합니다. 그러나 현행법 상으로는 여기에 단 한건의 개인정보만 있어도 클라우드 상에서 이용할 수 없었습니다. 즉 각자 초기 시스템을 따로 구축하여 서비스를 시작해야 하기 때문에 스타트업에게는 이것이 큰 진입장벽으로 작용했던 것입니다. 이번 조치를 통해 이런 진입장벽을 크게 낮출 수 있습니다.

그러나 장점만큼 우려의 시각도 존재합니다.

먼저 개인정보보호 측면입니다. 클라우드 환경에서 개인정보를 관리하는 것이 개인정보보호법이나 기준에 대해 문제가 있지 않을까 하는 우려가 있을 수 있습니니다. 일단 법적으로 검토해보자면 금융회사가 개인정보를 클라우드 내에서 저장, 활용할 뿐 제공, 유통하는 것이 아니기 때문에 개인정보 남용, 침해의 문제는 발생하지 않습니다. 개인정보를 위탁해서 관리하는 개념으로 이것을 법적으로 제한하고 있지 않고 금융권 이외의 다른분야에서는 이미 이런 방식으로 클라우드를 많이 이용하고 있습니다. 

다시 말하자면 개인정보, 신용정보 등은 개인정보보호 법령에 따라 관리하는 것이고 이는 클라우드 활용 여부와 상관이 없는 것입니다. 즉 금융회사에서 개인정보를 어떻게 관리할 것인지 책임을 지고 클라우드 서비스 업체와 계약시 자율적으로 법적책임을 명확히하고, 이를 금융 당국에 보고하고 당국이 관리하는 형식으로 서비스가 진행됩니다. (자세한 관리 방안에 대해서는 1편을 참고해주세요)

그래도 민감한 정보를 포함하는 금융분야인만큼 사이버 보안에 우려가 존재합니다. 클라우드 서비스 업체의 해킹 등으로 정보가 유출되면 어쩌나 하는 것이지요. 정부도 이런 점을 감안해 금융사에게 더 높은 안전 기준을 요구하고, 클라우드 사업자에게 더 높은 수준의 보안기준을 요구할 계획입니다. 이런 내용을 포함한 '금융권 클라우드 서비스 이용,제공 기준'을 제공할 것을 밝혔습니다. 그리고 금융당국은 이런 우려에 대해서 일반 회사들이 스스로 개발한 보안장치보다 보안기준을 통과한 클라우드 업체들의 보안장치가 훨씬 뛰어날 것이기 때문에 오히려 보안 우려를 줄일 수 있다고 말했습니다.

마지막은 외산 클라우드 도입 시 발생할 수 있는 문제점들입니다. 작년 11월 말 AWS 장애로 인해 쿠팡, 배달의 민족, 업비트, 코인원 등 AWS 클라우드를 이용하는 많은 서비스들이 접속불가했던 사고를 기억하는 분들이 있을 겁니다. 국내 행정력이 미치지 않는 해외 사업자의 사고에 대한 늦은 대응과 대책마련에 대한 문제점이 잘 드러났던 사고였습니다. 

금융권 클라우드 확대 방안이 도입되면 국내 클라우드 서버를 설치한 외국 기업들도 사업자로 참여할 수 있습니다. AWS, MS 등 해외 사업자가 금융권 클라우드 사업자가 되었을 때 이런 사고가 발생한다면, 국내 법을 적용할 수 없기에 큰 문제가 발생할 수 있습니다.

또한 해외로 정보 유출에 대한 문제도 있습니다. 민감정보를 포함하는 클라우드 서버를 반드시 국내에 설치해야 하도록 규정했지만, 해외에서 시스템에 접속해서 정보를 열람해도 이를 막을 방법은 없습니다. 또 정보가 유출된 이후에도 해외 사업자에게 이에 대한 책임이나 보호에 대한 실질적 규정이 없는 상황입니다.

금융위도 이런 점들을 우려하고 외국계 클라우드를 도입하는 금융권이 자체적으로 계약사항에 대책 사항을 반영하도록 권고하고 가이드라인을 제공하고 있지만 미흡한 조치라는 시각이 많습니다. 해외 사업자에 국내 정보 접근을 차단하고 법 집행력을 강화할 수 있도록 하는 조치를 적절한 규정을 마련하는 것이 필요할 것 같습니다.

다음시간에는 금융권 클라우드 도입의 주요 화두인 'U2L사업'과 국내 금융사들의 클라우드 도입 현황과 에 대해 알아보겠습니다.  감사합니다.