[데이터넷] 금융당국이 혁신금융서비스를 지정하면서 금융망 내부에서 SaaS를 사용할 수 있게 해 금융 클라우드 시장 개화에 대한 기대를 높이고 있다. 그러나 실제 내용을 보면 업계에서 기대하는 수준의 규제개선은 아니다. 특히 금융 클라우드 도입을 가로막는 망분리 규제는 극히 일부 서비스에서만 예외를 허용하고 있어 시장 활성화를 기대하기 난망한 상황이다.

금융보안원이 9일 개최한 ‘금융 정보보호 컨퍼런스(FISCON)’에서도 금융당국은 이에 대해 극히 신중한 입장을 분명하게 보여줬다. 컨퍼런스에서 가장 뜨거운 관심을 받았던 금융감독원의 ‘금융권 망분리 및 클라우드 규제 현황’ 세션에서 배주혁 금감원 조사역은 발표 중 반복적으로 “망분리 규제가 개정된 것이 아니라는 점에 주의해야 한다. 확실하게 예외조항에 해당한다고 분류된 것 외에는 반드시 금융당국에 문의한 후 진행해야 한다”고 강조했다.

금융권에서는 규제 샌드박스를 통해 비중요 업무에 한해 한시적으로 SaaS를 도입하도록 하고 있다. 그러나 민감한 개인정보·신용정보·거래정보를 처리하는 업무에는 적용할 수 없다. 챗GPT와 같은 생성형AI를 사용할 때에도, 내부망에서 직접 챗GPT와 연결하거나, 고객정보를 외부로 전송해서는 안된다. 외부 연구개발망에서 고객정보 없이 개발에 필요한 내용을 질의하는 것은 가능하다 해도, 그 과정에서 민감정보가 유출될 우려도 있기 때문에 신중해야 한다.

공공분야에서는 클라우드 도입 촉진을 위해 클라우드 보안인증(CSAP) 등급제를 실시하고 있지만, 클라우드 시장 성장을 이끌 중등급 이상 사업의 진행 속도나 정부의 의지를 기대할 수 있을지 의문이다.

“SaaS 운영 조직 55%, 보안사고 경험”

망분리는 공공·금융 혁신을 가로막는 최대 걸림돌이지만, 망분리로 덕분에 사이버 리스크가 낮아졌다는 것도 부인할 수 없는 현실이다.

사이버 공격자들이 전 세계 정부를 대상으로 공격을 펼치고 있으며, 미국과 유럽의 주요 지방자치단체는 랜섬웨어 공격으로 도시의 공공 서비스가 마비되는 사태가 잇따르고 있다. 국가기반 공격자들은 사이버 스파이 활동을 벌이고 있으며, 주요 서비스를 마비시켜 상대국을 혼란에 빠뜨리고 있다.

돈이 많은 금융권은 특히 집중적인 공격을 받고 있다. 아카마이 조사에 따르면 아태지역에서 금융권을 타깃으로 하는 공격이 가장 많이 발생하고 있는데, 그 이유로 아태지역 국가들이 혁신적인 금융 서비스에 속도를 붙이고 있기 때문이라고 분석했다.

금융권은 더 많은 데이터를 수집해 소비자 맞춤형 서비스를 제공하려고 하고 있으며, 소비자 경험을 개선하기 위한 다양한 서비스를 개발하고 있다. 이 과정에서 많은 클라우드를 사용하고, 외부와의 접점이 많아지며, 서드파티 스크립트를 더 많이 사용하게 된다. 이는 공격표면 확장으로 이어져 공격자들의 수익을 더 높이는 결과로 이어지게 된다.

클라우드를 성공적으로 운영하고 있다고 자부하는 전 세계 공공조직과 민간 기업, 심지어 클라우드 서비스 사업자도 보안사고를 당하고 있다. 잘못된 설정, 관리되지 않은 취약점, 서드파티 위협, 임직원의 실수 혹은 사회공학 기법의 공격으로 인해 끊임없이 사고가 발생한다. 보안에 충분히 투자하지 못한데다가, 보안 수준이나 인식이 낮은 우리나라 공공·금융기관에서 클라우드 도입에 주저할 수밖에 없다.

FISCON 행사에서 이대규 금융보안원 수석은 클라우드 보안 연합(CSA)의 SaaS 보안 리포트를 인용하면서 “최근 2년간 55%의 조직이 SaaS 보안사고를 경험했다고 답했으며, 대부분의 보안 사고는 설정 미흡으로 인한 것이다. 접근 가능한 부서가 많고 보안 설정이 변경됐을 때 가시성이 부족하며, SaaS 보안 지식이 미흡하다는 점을 꼽았다”고 말했다.

제약 많은 규제 샌드박스

규제산업인 공공·금융에 클라우드를 성공적으로 도입하려면 처음부터 클라우드 네이티브 환경으로 설계하면 된다. 그러나 기존 인프라와 서비스를 버리고 클라우드 네이티브로 일시에 전환할 수 없기 때문에 현실적인 대안은 아니다.

클라우드 기술이 시시각각 변하고 있기 때문에 안정성이 무엇보다 중요한 공공·금융에 빠르게 도입하지 못한다는 문제도 있다. AWS만해도 매일 수백개의 새로운 기능을 발표하는데, 공공·금융 클라우드 담당조직과 규제조직이 이 모든 기능을 다 익혀서 적용 가능 여부를 판단하거나 활용 가능한 사례를 찾아내는 것이 쉽지 않다.

보안 업계에서는 제로 트러스트 원칙이 대안이 된다고 주장하지만, 이 또한 현실적이지 않다. 제로 트러스트의 개념과 적용 방법 역시 계속 변하고 있으며, 심지어 제로 트러스트 성공사례라고 할 수 있을만한 것도 찾기 어려운 성숙되지 못한 개념이다.

이론적으로, 제로 트러스트의 원칙에 따라 제대로 클라우드를 도입하려 한다면, 모든 워크로드를 잘게 쪼개 접근과 행위의 신뢰수준을 지속적으로 평가해야 한다. 그러려면 역시 모든 것을 제로 트러스트 관점에서 다시 설계·구축해야 하며, 구축 후에도 지속적으로 리스크 평가 기준을 보저애야 한다. 일부 업무에 제로 트러스트 개념을 도입할 수 있지만, 제로 트러스트 원칙의 성숙한 클라우드 운영은 앞으로도 상당한 시간이 걸릴 것이다.

다양한 활용사례 검증할 수 있는 실증사업 진행해야

현실적인 어려움 때문엔 클라우드를 포기하는 것도 해법은 될 수 없다. 우리나라 안에서만 사용하는 공공·금융 서비스이기 때문에 혁신할 필요가 없다고 생각해서는 안된다. 10년 전 기준에 맞춘 망분리 환경은 보안에도 취약하다.

가장 현실적인 대안은, 점진적으로 망분리 규제를 개선하되, 속도와 범위를 넓히는 것이다. 규제 샌드박스를 과감하게 확대하고, 다양한 활용사례를 검증할 수 있는 여러 실증사업을 펼치면서 안전한 공공·금융 혁신이 진행될 수 있어야 한다.

가장 중요한 것은 ‘의지’다. 규제당국은 ‘보안 위협’을 이유로 클라우드 도입을 제한하고 망분리 규제 개선을 주저해서는 안된다. 모든 IT 설계는 보안을 최우선으로 고려해야 하지만, 보안으로 인해 혁신이 발목잡혀서도 안된다. 보안이 혁신을 가속화하는 동력이 되려면 무조건 막고 차단하기보다는 실제 활용 가능성을 적극적으로 검증하면서 확장해야 한다.

김선애 기자 다른기사 보기