Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

국내 금융권 클라우드 전환 동향 및 보안

  • 신대민 (금융보안원 ) ;
  • 김지윤 (경상국립대학교 컴퓨터과학부 ) ;
  • 유일선 (국민대학교 정보보안암호수학과)
  • Published : 2023.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

최근 클라우드 규제의 변화에 따라 국내 금융권의 클라우드 전환이 확산되면서 주요 인프라로서 클라우드 활용에 관한 연구·개발이 관심을 받고 있다. 2016년도 10월 이전에는 금융회사의 모든 전산시스템에 대하여 물리적 망분리를 적용하여야 하는 등의 과도한 규제로 퍼블릭 클라우드 활용에 어려움이 있었다. 이후 전자금융감독규정이 점차 완화되면서 클라우드 이용이 활성화되고 현재에 이르게 되었다. 안전한 클라우드 이용을 위해서는 금융분야 클라우드 컴퓨팅 서비스 이용 가이드에서 제시하는 업무 연속성 계획 및 출구 전략을 수립하고, 안전성 확보 조치 방안을 마련하며, 클라우드 서비스 제공자의 안전성 평가, 자체 정보보호위원회 심의·의결 및 감독 당국의 보고 등의 내부통제를 준수하여야 한다. 본 고에서는 금융분야의 클라우드 전환 사례 조사를 토대로 전환 동향과 전환 요인, 업권별 특징 및 규제 변화에 대해 살펴보고, 향후 클라우드 이용 환경 변화를 전망해본다.

Keywords

Ⅰ. 서론

최근 5G, 인공지능, 빅데이터, 클라우드와 같은 IT 신기술이 등장하고, 이를 활용하는 서비스가 각광을 받으면서 국내 금융권에서도 이에 대한 관심이 증가하고 있다. 금융권의 신기술 도입을 통해 클라우드 서비스 제공자가 제공하는 GPU 고성능·고비용의 인프라를 손쉽고 편리하게 내부 플랫폼과 연동하여 사용하고, 다양한 PaaS(Platform as a service), SaaS(Software as a service) 서비스를 업무에 적용할 수 있으며, AI/ML(Artificial Intelligence /Machine Learning), 빅데이터 분석 플랫폼 등 신기술을 효율적으로 이용할 수 있다[1]-[4]. 현재 금융거래의 핵심 업무를 처리하는 계정계 시스템의 클라우드 전환이 단계적으로 진행되고 있으며, 데이터3법 개정 이후 마이데이터 서비스, 보험심사·보험금청구 업무 자동화 서비스, 자동응답 서비스, 상품 판매 모니터링 등 다양한 신규 서비스가 클라우드를 이용하고 있다[5]-[16]. 금융권의 클라우드 이용 환경은 온프레미스, 프라이빗 클라우드, 퍼블릭 클라우드가 동시에 운영되는 하이브리드·멀티클라우드 환경으로 전환되고, 인프라의 운영복잡도가 높아지고 있으며, 인프라 통합 관리, 운영 효율화 및 최적화에 관심이 높아졌다[17]-[20].

최근 정부는 클라우드 및 망분리 규제 개선 등 클라우드 규제에 대해 단계적으로 완화하고 있으며, 비중요 업무에 대해 SaaS 형태의 클라우드를 내부망에서 이용할 수 있도록 완화를 검토하고 있다[21][22]. 아래의 표 1에서 금융권 클라우드 규제 환경 변화를 보여준다.

[표 1] 금융권 클라우드 규제 환경 변화

JBBHBD_2023_v33n5_57_t0001.png 이미지

금융권에서는 개인신용정보와 같은 중요정보를 취급하는 만큼 퍼블릭 클라우드 도입에 있어서 근본적으로 클라우드는 가상화 기반의 자원 공유 인프라라는 특징과 금융정보의 국외 처리에 따른 규제 문제, 클라우드 이용을 위한 가이드 준수의 부담으로 전환에 어려움이 있었다. 하지만, 시장의 클라우드 서비스 수요의 증가에 따라 정부의 점진적인 규제 완화와 클라우드 보안 서비스 및 기술의 발전으로 금융권의 클라우드 이용은 점차 확산될 것으로 예상된다[23-25]. 한편, 기업의 인프라에 대한 클라우드 워크로드로의 전환과 데이터의 이동이 가속화될수록 클라우드 서비스는 공격자들의 주요 공격대상이 되었으며, 보안 사고가 지속해서 증가하고 있다. 표 2에서 클라우드 보안 사고 사례를 볼 수 있다[26]. 클라우드 보안 사고의 주요 원인은 클라우드 자원에 대한 잘못된 설정 구성으로 인터넷 노출된 자원의 액세스를 키를 가지고 인터넷을 통해 어디서나 누구나 접근이 가능한 데 있다[27].

[표 2] 최근 클라우드 보안 사고 사례

JBBHBD_2023_v33n5_57_t0002.png 이미지

본 고는 약 90여건의 보도자료를 수집 및 조사하여 국내 금융권 클라우드 전환에 관하여 분석한다. 2장은 금융권의 클라우드 전환 동향 및 보안에 대해 시기별로 구분하여 설명하며, 도출한 주요 전환요인에 대해 알아본다. 또한, 각 업권별에서 나타난 특징과 공통사항에 대해 정리하였다. 끝으로, 3장에서 클라우드 이용 환경 변화와 전망 및 향후 계획에 대해 작성하였다.

Ⅱ. 클라우드 전환 동향 및 보안

금융권의 클라우드 전환 동향은 크게 시작기(2019년도 이전), 전환기(2019~2020년도), 정착기(2021년도~2022년도)로 구분된다.

시작기는 전자금융감독규정 개정 이전으로 물리적 망분리 규제와 중요업무의 클라우드 이용에 대한 규제로 인해 제약사항이 존재하였던 시기이며, 해외법인 및 금융업무 중 비중요 업무 부분에서 제한적으로 클라우드를 이용하였다.

전환기에는 클라우드에서 고유식별정보 및 개인신용정보의 활용이 허용되고 은행의 OpenAPI 도입과 정부의 데이터 3법 개정으로 인해 데이터 활용 시장에서 클라우드의 이용이 증가하는 시기이다.

정착기는 각 회사에서 운영 중인 클라우드 운영 환경에서 워크플로우를 클라우드의 이용 환경에 맞게 개선하고 업무를 효율화하며, 클라우드 성능 및 비용 최적화에 집중하였던 시기이다. 특히, COVID-19의 영향으로 비대면 서비스의 필요성이 부각 되면서 기업의 디지털 전환 전략이 가속화되었고, 이는 급증하는 비대면 트래픽 데이터에 대응하고자 신속성, 유연성, 확장성을 갖는 퍼블릭 클라우드 서비스의 이용 확산에 영향을 주었다.

2.1. 시작기(2019년도 이전)1)

시작기에서의 금융권 클라우드는 미래 디지털금융 환경 준비와 함께 가상화 장비 도입을 통한 프라이빗 클라우드 기술에 대한 시범 적용으로 시작하였다. 서버 인프라 자원의 전력비용을 절감하면서 다양한 오픈 소스를 활용하고자 클라우드에서 보편적으로 제공하는 저전력의 x86 기반의 리눅스 환경으로 전환이 시작되었다. 2011년 발생한 농협 전산망 마비 사태로 금융권의 물리적 망분리가 2013년 의무화되면서 망분리 방침에 따라 가상화 솔루션 기반의 클라우드 컴퓨팅 자원을 자체 구축하였고, PC 가상화 수준의 클라우드 기술을 내부 업무에서 활용하기 시작하였다. 그러나 2019년 이전 시기는 국내에서 개인신용정보 및 고유 식별정보의 클라우드 사용을 엄격히 규제하는 상황이었기에 국내 규제 범위에 해당하지 않는 해외법인 웹사이트 등 비중요 업무를 대상으로만 퍼블릭 클라우드로 전환하여 운영하였다.

나아가 클라우드 신기술의 시범 운영을 위해 기업의 자체 데이터센터에서 프라이빗 클라우드를 구축 및 운영하였으며, 프라이빗 클라우드 플랫폼 운영을 통해 유휴자원(CPU, 메모리, 스토리지 등)을 효율적으로 사용하고, 컨테이너 기반의 가상화 기술을 통해 애플리케이션에 대한 인프라 유연성을 확보하면서 서비스의 개발·배포·운영을 효율화하고 생산성을 개선하고자 하였다. 이후, 금융권의 늘어나는 인프라 수요에 대한 합리적 대안으로 퍼블릭 클라우드가 고려되었다.

2.2. 전환기(2019년도 ~ 2020년도)2)

2019년도에 클라우드 규제가 완화되어 퍼블릭 클라우드에서 고유식별정보 및 개인신용정보의 활용이 허용되었고, 금융권의 오픈API의 활용과 데이터 3법 개정은 데이터 활용 시장에서의 클라우드 이용 활성화에 긍정적인 영향을 주었다. 이에 따라, 금융회사는 클라우드 이용과 관련한 내부 조직, 규정, 지침, 절차, 보안, 표준에 관한 IT 거버넌스를 마련하여 클라우드 이용 업무 프로세스를 효율화하였으며, 금융분야 클라우드 컴퓨팅 서비스 이용 가이드 준수에 필요한 사항을 일관된 기준에 따라 일원화하고 내부 IT 사업 절차에 포함하여 관리하였다. 또한, 시장의 변화로 빅테크 및 핀테크 기업이 금융 서비스 경쟁에 참여하면서 금융회사 자체적으로 역량 확보에 박차를 가하게 된다. 특히, 고객 경험 강화 및 고객 선점, IDC 공간 및 네트워크 용량 한계의 대안과 노후화된 장비의 교체, 포스트 차세대 사업 추진과 함께 성공적인 디지털 대전환을 위한 인프라 구축 전략으로 클라우드를 활용하였다.

금융회사의 클라우드 활용 구조가 하이브리드 환경으로 변화되면서 고객정보는 안전한 내부 온프레미스 또는 프라이빗 클라우드에 보관하고 고객 접점 서비스와 분석 플랫폼은 퍼블릭 클라우드를 이용하였다. 이는 데이터를 안전하게 보관하면서 다양한 프로모션, 이벤트로 인해 늘어나는 트래픽에 탄력적으로 대응할 수 있고, 빅데이터 분석에 필요한 스토리지, 컴퓨팅 자원 및 분석 도구 등을 효율적으로 이용하기 위함이었다. 또한, 접속 폭주에 대비한 효율적인 증설 방안 및 서비스 장애 대응 전략으로 금융거래 처리 업무의 핵심 시스템인 계정계의 클라우드 전환이 검토되었다. 이는 기존 방식인 온프레미스에서의 증설을 위해 매번 물리적으로 예비서버를 사전에 준비하고 필요할 때 연결해야 하는 낮은 확장성과 탄력성을 개선하고 핵심 시스템에서 서비스 개발 및 배포 과정 중에 발생하는 휴먼에러를 미연에 방지하기 위함이었다.

한편, 핀테크 기업과의 협업을 통해 신규 비즈니스를 발굴하고, 오픈API, 개발도구, IaaS, PaaS 등 신기술 및 서비스 개발에 필요한 제반 사항을 지원하여 빅테크 기업과의 기술 격차를 줄이고 고객 경험을 강화하고자 노력하였다.

2.3. 정착기(2021년도 ~ 2022년도)3)

정착기에 달하면서 금융회사의 모든 업무에서 클라우드 서비스가 정착되면서 클라우드에서의 업무 효율화 및 최적화에 집중하였다. 신규 서비스의 운영 인프라를 위해 우선적으로 클라우드의 활용이 검토되었고, AI 비대면 신기술을 이용한 신규 서비스, 디지털 손해보험, 마이데이터 등에서도 활용되었다. 또한, 보험심사·보험금청구 업무 자동화 서비스, 자동응답 서비스, 상품 판매 모니터링 서비스 등에서 클라우드가 도입되었다.

기존의 프라이빗 클라우드는 상용 플랫폼으로 구성되어 타 플랫폼과의 연계가 용이하지 않다는 측면이 있는 데 반해 퍼블릭 클라우드는 다양한 신기술 플랫폼과 연계가 편리하고 고가용성의 환경 구성을 낮은 비용으로 구축이 가능한 장점이 있어 적극적으로 활용되었다. 이러한 시대적 흐름에서일부 금융회사는 계정계 등 핵심 코어 시스템의 일부 또는 전체를 퍼블릭 및 프라이빗 클라우드로 전환하기에 이른다.

한편, 클라우드 네이티브의 등장은 애플리케이션의 현대화를 촉진하였으며, 금융회사는 IaC(Infrastructure as Code)와 인프라 카탈로그화, 표준 CI/CD 파이프라인 및 DevOps 도입을 통해 인프라와 애플리케이션 개발, 테스트, 배포를 자동화를 진행하였다. 특히, CI/CD와 DevOps 환경 구축은 신규 서비스에 대한 고객의 반응, 서비스 요건 변경 등의 시장환경 변화에 즉각 대응할 수 있는 환경을 제공하였고, 금융회사는 이를 통해 비즈니스의 신속성을 개선하였다. 인프라 및 애플리케이션 개발과 배포는 자동화를 통해 배포 이전에 코드에 대한 정적·동적 취약점 점검, 인프라 구성 및 잘못된 구성 설정 점검 등이 적용되어 신속성과 안전성이 높아졌다. 즉, 인프라 구축 및 애플리케이션 개발배포는 되도록 사람의 수동적 개입 없이 진행되도록 함으로써 휴먼에러를 예방하고 보안을 강화하였다. 또한, 클라우드 이용 시 준수해야 하는 네트워크 분리 및 접근통제, 계정관리, 로깅, 감사, 암호화, 키 관리 등의 안전성 확보 조치 사항에 대해 AWS 랜딩존 등과 같은 서비스를 활용하여 코드화 및 자동화함으로써 클라우드 이용시 반복적으로 요구되는 업무 부담을 최소화하였다. 애플리케이션은 마이크로서비스 아키텍처(MSA, Microservice architecture)를 적용하여 데이터 베이스의 부하를 분산화하고 비용 효율적으로 오토스케일링이 가능하도록 독립된 작은 서비스로 세분화하였다. 클라우드에서 운영되는 시스템은 자원 모니터링, 로그, 트랜잭션 분석을 통해 성능 및 비용 최적화를 수행하면서 빠른 출시로 인해 충분하게 검토되지 못하였던 비용 및 성능 측면을 개선하였다.

클라우드 이용에 적극적인 일부 금융회사들은 CSP 서비스의 기능, 성능 수준, 비용, 네트워크 지연, 공급사의 의존성 등 다양한 선택 요건을 검토하여 하이브리드 멀티클라우드 환경을 구성하였다. 이러한 다양한 클라우드 서비스 및 자원을 효욜적으로 관리하기 위하여 클라우드 관리 플랫폼 또는 관리 포탈을 도입하여 통합 운영하기 시작하였으며, 클라우드 이용 현황 정보 및 비용에 대한 가시성을 확보하여 통합 운영에 효율화를 가져왔다.

2.4. 금융권 클라우드 이용 규제 및 보안[21]-[25]

정부는 2016년도 10월 전자금융감독규정 제14조의 2 를 신설하여 전자금융거래에 미치는 영향이 낮은 시스템을 비중요 정보 처리시스템으로 지정하고, 지정된 시스템은 클라우드 서비스 이용 가이드를 준수하면서 클라우드를 이용하도록 하였다. 이 당시, 금융회사 등은 전자금융감독규정 제15조 해킹 방지대책에 따라 내부 정보처리시스템과 해당 시스템의 운영 개발 등을 목적으로 직접 접속하는 단말기를 인터넷 등 외부통신망으로부터 물리적 망분리를 준수해야 하여 클라우드 이용에 제약이 존재하는 실정이었다. 상기 전자금융감독규정 개정을 통해 상품개발, 위험 관리, 경영지원 등 고객정보를 처리하지 않는 시스템에 대해서는 물리적 망분리 규제에 대한 예외가 가능하였다. 금융분야 클라우드 컴퓨팅 서비스 이용 가이드는 클라우드 이용대상 시스템, 비중요 정보 처리시스템 지정 기준, 시스템 보호대책 등에 관한 사항이 수록되었다. 또한, 가이드는 클라우드 서비스 제공자의 건전성 및 안전성 평가 기준과 데이터 백업 등 장애 대비, 이중화 또는 예비장치 확보, 훈련 및 사고 관리, 비상대책 수립 등의 업무 연속성 계획 수립에 대한 사항을 포함하고, 계정 관리, 접근통제, 네트워크 보안, 금융회사 등의 내부 시스템과 클라우드 시스템 연계, 암호화 및 키 관리, 로깅, 가상 환경 보안, 보안 모니터링 및 취약점 분석· 평가, 인적 보안 등의 안전성 확보 조치 사항에 대해 가이드한다.

클라우드 서비스 제공자는 전자금융보조업자로서 제한적으로 감독을 받으며, 금융회사는 위탁자로서 전자금융감독규정 제60조 제1항과 제2항의 사항의 해킹 개인정보 유출 등에 대비한 보안대책 수립, 시스템 장애 등 서비스 중단 비상대책 수립, 업무지속성을 위한 중요 전산자료 백업대책 수립, 정보관리 보안유지를 위한 내부통제방안 수립 운용, 전자금융보조업자의 재무건전성 및 서비스 품질 수준을 연1회 이상 평가하고 결과를 감독 당국에 보고 등의 규제를 준수하였다. 금융회사의 위탁자로서의 의무들은 업무 연속성 계획 수립 사항과 절차상 중복되는 내용이 존재하여 중복된 사항에 대해서는 통합하여 개선하였다.

2019년 1월 이후 전자금융감독규정이 개정되면서 중요정보 처리시스템에 대해서도 클라우드 이용이 가능해졌으며, 중요정보에 대한 클라우드에서의 이용 정보보호 절차가 마련되었다. 중요업무에 대한 퍼블릭 클라우드의 이용은 사고 발생 시 법적 분쟁, 소비자 보호 감독 관할, 개인정보보호 등의 문제로 인해 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하였다. 또한, 정부는 금융권 클라우드 서비스 안전성 기준을 제시하였다. 마련된 정보보호 절차에는 금융회사 및 위임된 제3자에게 관련 조사 접근권 부여, 클라우드 서비스 중단 및 데이터 소실에 대비한 금융권 백업 체계 마련, 취약점 분석·평가, 비상대응훈련, 통합보안관제에 필요한 제반환경 지원, 침해사고 및 장애 발생에 따른 보고절차 준수 및 조사 대응, 건물 전원공조 전산실 등에 대하여 금융회사 수준의 구축 및 운영 등에 대한 안전성 관리를 포함한다. 개인신용정보 및 고유식별정보는 클라우드 활용 여부와 상관없이 신용정보법, 개인정보보호법 등 법령에 따라 보호 관리되도록 하였다. 신용정보법은 제17조 등 신용정보 위탁 제공시 암호화 등 보호조치 준수, 위탁 업무범위를 초과한 이용 금지, 수탁자 교육 재위탁 금지 등을 요구하며, 개인정보보호법 제26조, 제24조 및 제 24조의2 등은 제3자 업무 위탁시 목적외 개인정보처리 금지, 기술적 관리적 보호조치 준수, 수탁자 관리 감독 의무화 암호화 등 안전성 확보조치 준수 등을 요구한다. 또한 CSP는 기존 금융권 전산시스템에 준하는 보안수준을 충족하여야 하며 이를 위한 안전성 평가를 받아야 한다.

금융회사는 업무 중요도 평가, CSP 안전성평가, 정보보호위원회 심의 의결 등의 내부통제 절차를 마련하였다. 금융회사는 정보의 중요도를 평가하고 개인신용 정보 처리여부 등을 사전 확인하고, 클라우드의 기술적, 관리적 보호조치 등 안전성을 자체 평가하여 안전성이 확보된 클라우드를 이용하며, 자체 정보보호위원회에서 업무 연속성 계획, 안전성 확보조치 방안 및 안전성 평가 결과를 심의·의결하여 관리 감독하고 의결 사항을 감독 당국에 보고하였다. CSP 안전성 평가는 금융보안원이 금융회사를 지원하였으며, 추후 같은 CSP를 이용하는 금융회사마다 중복으로 평가하는 사항을 간소화하기 위해 금융보안원이 대표로 CSP를 평가한 결과를 금융회사가 이용하도록 절차를 변경하였다.

정부는 클라우드 이용과 관련 CSP 서비스 중단, 서비스 장애, 서비스 락인(lock-in), 국외 업무 위탁 등의 주요 리스크에 대한 대응방안을 제시하였다. CSP 서비스 중단을 대비하기 위해 위기 상황 시에도 서비스가 중단되지 않도록 주요 시스템 이중화, 비상대응 체계를 구축, 실제상황을 반영한 모의훈련을 수행하는 등의 업무 연속성 계획을 수립 이행을 규정하였다. 금융회사는 서비스 장애를 대비하여 악성코드 예방, 위기대응 절차 및 장애 확산방지 전략 리스크 관리 방안 등을 수립하고 가상머신, 하이퍼바이저에 대한 보안패치, 모니터링, 이상 징후 시 사용 중지 격리 등을 수행하며, 클라우드 환경에 대한 담당자 교육을 강화하였다. 또한, 금융회사 내부 전문가를 육성하는 한편, 사용자 계정 권한을 관리하여 위기대응체계 수립 및 전문성을 강화하였다. 정부는 금융회사의 클라우드 이용 환경이 특정 클라우드 제공자에 락인되는 서비스 집중 현상을 대비하도록 업무상 중요도가 높은 서비스는 멀티클라우드 운영을 통한 유연성을 확보를 권고하였다. 또한, 국외 업무위탁을 대비하여 국외 클라우드 이용 시 관련 위험을 사전에 식별하고, 재판 관할 등 금융회사의 요구사항을 구체화해서 계약서 등에 반영, 해당 국가의 정치·사회·법적 위험 요인 분석, 대응체계 마련을 제시하였다.

최근, 정부는 물리적 망분리 규제를 완화함으로 발생할 수 있는 개인정보 유출 등의 보안 사고를 최소화하려는 보완조치를 마련하였다. 금융규제 샌드박스를 통해 자체 위험성 평가를 실시한 후 감독 당국이 정한 망분리를 대체하는 정보보호 통제 방법을 적용하여 연구·개발 목적의 금융거래와 무관하거나 고객거래정보를 다루지 않는 경우에는 망분리의 예외를 허용하였다. 또한, 비중요 업무에 대한 SaaS를 내부망에서 이용할 수 있도록 규제 샌드박스의 부가조건을 통해 정보보호를 위한 보완장치를 마련하여 망분리 예외를 적용할 수 있도록 검토하고 있다. 위와 같이 클라우드 규제의 점진적 완화와 금융권 서비스의 전환에 따라 보안에 필요한 정책·기술·장치 또한 변화하고 있으며, 성능적 측면과 보안적 측면을 모두 만족하기 위해 다양한 시도가 이루어졌다. 하지만, 클라우드 전환이 현재 진행형인 만큼 앞으로 변화할 환경 및 구조에 맞추어 보안 또한 이에 맞춰 변화할 필요가 있다.

그림 1은 금융권 클라우드 전환 시기별 주요 특징을 나타낸다. 표기된 기호는(B-,M-,S-) 도출한 클라우드 주요 전환 요인과 관련된 시기별 특징 연계에 사용하였다. 표 3은 금융권 클라우드 주요 전환 요인을 정리한 내용이다. 은행, 카드, 보험, 증권, 상호금융 및 핀테크 기업 등의 업권별 전환 사례에서 볼 수 있었던 주요 차이점과 공통사항은 아래의 표 4와 같고 시기별 특징을 연결하여 봤을 때 전반적으로 금융권의 클라우드 이용은 정착기의 특징을 보였다.

JBBHBD_2023_v33n5_57_f0001.png 이미지

[그림 1] 금융권 클라우드 전환 시기별 구분

[표 3] 금융권 클라우드 주요 전환 요인

JBBHBD_2023_v33n5_57_t0003.png 이미지

[표 4] 업권별 전환 동향 및 주요 차이점

JBBHBD_2023_v33n5_57_t0004.png 이미지

Ⅲ. 결론

전환 사례를 통해 살펴본 시기별 특징과 전환요인을 정리하여 클라우드 이용 환경 변화와 전망을 그림 2와 같이 보였다. 금융권에서 클라우드 이용은 고객 경험 강화 및 기술력 확보 필요성의 증가, 고객 중심의 혁신 서비스 창출 필요성의 증가에 따라 더욱 확대 될 것으로 전망되며, 인프라의 운영 복잡성이 하이브리드·멀티클라우드의 운영으로 높아질 것으로 예상된다. 따라서, 클라우드 인벤토리 및 식별을 통한 유휴자원의 여부 파악과 활성과 비활성 상태에 대한 스케줄 관리가 중요해질 것으로 보이며, 클라우드 관리 플랫폼을 활용한 통합 관리의 필요성이 높아질 것으로 보인다. 또한, 일관된 기준에 따라 IT 및 보안 컴플라이언스를 표준화하고 공통화하여 운영 관리 비용을 최소화하고 자동화하는 전략이 필요하다. 기존 애플리케이션의 현대화 추진으로 빠른 클라우드 네이티브화가 예상되며 이를 통해 빠른 서비스 출시 및 시장환경 변화에 좀 더 신속히 대응할 수 있는 역량을 갖출 것으로 보인다. 클라우드 규제는 점차 완화될 것으로 예상된다.

JBBHBD_2023_v33n5_57_f0002.png 이미지

[그림 2] 전환 시기별 환경 변화와 클라우드 이용 전망

결과적으로 클라우드 규제 정책에 의해 통제되었던 중요 및 비중요 금융정보가 규제 완화에 따라 점차 클라우드 기반 서비스에서 활용하게 되면서 이에 대한 보안이 필수적으로 요구된다. 특히, 고객의 금융 거래를 처리하는 핵심 시스템인 계정계를 포함해 금융 업무 전 영역에서 퍼블릭 클라우드가 활용되고, 클라우드 서비스 제공자가 다양한 오픈소스를 서비스화하여 제공하게 되면서 자체 클라우드 구축을 고려하고 있는 기업은 오픈소스 솔루션에 대한 기술 지원, 운영 효율성과 비용 합리성의 이점으로 퍼블릭 클라우드 이용이 높아질 것이다. 그뿐만 아니라 금융권 서비스는 수많은 위협에 직면해왔으며, 앞으로도 이러한 위협은 지속될 것으로 예상된다. 따라서, 금융권에서의 클라우드 기반 서비스의 보안을 보장할 수 있도록 이에 대한 평가·검증이 필수적이며, 금융과 클라우드라는 환경적 요소를 고려하면서 정책 및 규제를 총족하기 위한 전략으로 개발, 보안 및 운영(DevSecOps) 기반의 접근법과 기존 신뢰 구간을 제거하고 엄격한 접근제어를 지원하는 제로 트러스트 기반 보안 정책이 유용할 것으로 판단된다.

본 고의 저자들은 향후 금융 분야에서의 클라우드 네이티브한 하이브리드·멀티클라우드 환경의 보안 위협을 모델링하고 대응방안에 관해 연구할 계획이다.

References

  1. 서울경제, "케이뱅크, 은행권 최초 '빅데이터 시스템' 클라우드로 전환". 보도자료, 2023.1.30., https://www.hankyung.com/economy/article/202301301747i 
  2. 바이라인네트워크, "퍼블릭 클라우드 대열에 합류하는 케이뱅크". 보도자료, 2022.6.2., https://byline.network/2022/06/02-69/
  3. 한국경제, "NH투자증권, 빅데이터 클라우드 플랫폼 오픈". 보도자료, 2022.2.25., https://www.hankyung.com/finance/article/2022022597536 
  4. 대한금융신문, "교보생명, 빅데이터 클라우드 시스템 구축". 보도자료, 2021.9.23., https://www.kbanker.co.kr/news/articleView.html?idxno=200530 
  5. 바이라인네트워크, "[인터뷰] 롯데카드가 계정계를 클라우드로 전환한 이유". 보도자료, 2020.12.28., https://byline.network/2020/12/26-119/
  6. IT데일리, "'계정계' 클라우드 전환한 롯데카드, "오픈뱅킹 - 마이데이터 환경에 성공적 대응"". 보도자료, 2021.4.21., https://m.ddaily.co.kr/page/view/2021042109142065065 
  7. 바이라인네트워크, "[인사이트] 국민은행은 계정계를 왜 클라우드로 바꾸나?". 보도자료, 2022.5.17., https://byline.network/2022/05/17-193/
  8. 바이라인네트워크, " [금융in] 코어뱅킹 클라우드 전환 이제 '시작'". 보도자료, 2022.9.1., https://byline.network/2022/09/01-64/
  9. zdnet, "SKT 컨테이너 클라우드, 하나카드 마이데이터에 적용". 보도자료, 2022.1.20., https://zdnet.co.kr/view/?no=20220120103821 
  10. zdnet, "AIA 생명 "디지털 전환으로 고객 건강과 행복 지원"". 보도자료, 2021.12.8., https://zdnet.co.kr/view/?no=20211208163301 
  11. 전자신문, "미래에셋생명, AI로 불완전판매 잡는다". 보도자료, 2022.3.3., https://www.etnews.com/20220303000048 
  12. 머니S, "비대면 시대 생존전략...라이나생명도 '클라우드' 옷 입는다". 보도자료, 2021.9.21., https://moneys.mt.co.kr/news/mwView.php?no=2021091710228048663 
  13. BI코리아, "[분석]금융권, '마이데이터' 이용량 계산법은...국민, 우리, 신한은행, 롯데카드비교..."각사 역량, 관심사 따라 차이"". 보도자료, 2021.2.22., http://www.bikorea.net/news/articleView.html?idxno=29609 
  14. IT데일리, "[금융 클라우드③] 마이데이터로 클라우드 확산 기대". 보도자료, 2021.8.11., http://www.itdaily.kr/news/articleView.html?idxno=203914 
  15. 펜타시큐리티, "[쉽게 만나는 IT] 마이데이터 플랫폼, 어떤 클라우드가 어울릴까?". 블로그, 2021.4.14., https://blog.naver.com/pentamkt/222309506965 
  16. 보안뉴스, "우리은행, 'AI 고객 상담 서비스' 확대 운영". 보도자료, 2022.3.12., https://www.boannews.com/media/view.asp?idx=105384 
  17. 대한경제, "한컴 출신 우리금융 노진호 부사장, 그룹 클라우드 고도화 추진". 보도자료, 2022.11.10., https://www.dnews.co.kr/uhtml/view.jsp?idxno=202211102151198060462 
  18. 전자신문, "KB저축은행, 클라우드 기반 차세대시스템 구축 완료". 보도자료, 2022.11.15., https://www.etnews.com/20221115000092 
  19. 머니투데이, "SK(주) C&C, KB저축은행 클라우드 기반 차세대 시스템 구축". 보도자료, 2021.5.17., https://news.mt.co.kr/mtview.php?no=2021051709284339343 
  20. 넥스트데일리, "현대카드, AWS 클라우드와 함께 금융에서 디지털 기업으로 혁신하다". 보도자료, 2018.4.21., https://www.nextdaily.co.kr/news/articleView.html?idxno=50610 
  21. 금융위원회, "[보도자료] 클라우드 이용절차 합리화 및 망분리 규제 완화를 위한 「전자금융감독규정」 개정안 금융위 의결 - 클라우드 및 망분리 규제개선방안('22.4.) 관련 -". 보도자료, 2022.11.23., https://www.fsc.go.kr/no010101/78962?srchCtgry=&curPage=&srchKey=sj&srchText=%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C&srchBeginDt=&srchEndDt= 
  22. 금융위원회, "[보도자료] 금융분야 클라우드 및 망 분리 규제 개선방안". 보도자료, 2022.4.14., https://www.fsc.go.kr/no010101/77672?srchCtgry=&curPage=&srchKey=sj&srchText=%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C&srchBeginDt=&srchEndDt= 
  23. 금융위원회, "[알기쉬운 핀테크2] 클라우드와 금융혁신". 보도자료, 2019.5.28., https://www.fsc.go.kr/no010101/73708?srchCtgry=&curPage=&srchKey=sj&srchText=%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C&srchBeginDt=&srchEndDt= 
  24. 금융위원회, "금융분야에서 클라우드를 보다 폭넓게 이용할 수 있게 됩니다". 보도자료, 2018.7.16., https://www.fsc.go.kr/no010101/73248?srchCtgry=&curPage=&srchKey=sj&srchText=%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C&srchBeginDt=&srchEndDt= 
  25. 금융위원회, "금융권도 클라우드를 활용할 수 있습니다.". 보도자료, 2016.6.30., https://m.blog.naver.com/blogfsc/220749020530 
  26. CSA, "Top Threats to Cloud Computing Pandemic Eleven", 2022.6.7., https://cloudsecurityalliance.org/press-releases/2022/06/07/cloud-security-alliance-s-top-threats-to-cloud-computing-pandemic-11-report-finds-traditional-cloud-security-issues-becoming-less-concerning/
  27. 디지털경제뉴스, "[보안리포트] 클라우드 플랫폼의 잘못된 구성이 가장 심각한 보안 위협". 보도자료, 2023.7.13., https://www.denews.co.kr/news/articleView.html?idxno=26819 
  28. 디지털데일리, "[S리포트/4부-금융③] '신한은행의 美 AWS 클라우드' 사례...국내선 냉담한 이유". 보도자료, 2017.1.20., https://m.ddaily.co.kr/page/view/2017012002175046279 
  29. 디지털데일리, "'삼성페이' 까다로운 글로벌 서비스 규제, 어떻게 넘고 있나". 보도자료, 2018.4.20., https://www.ddaily.co.kr/page /view/2018041916555029136 
  30. 디지털데일리, "신한금융, "2020년까지 글로벌 주요 거점 IT지원, 클라우드 방식 전환"". 보도자료, 2018.4.18., https://m.ddaily.co.kr/page/view/2018041815443397213 
  31. BI코리아, "신한금융그룹 "올해 17개 워크로드 AWS 전환" 'AWS 서밋 서울 2018' 키노트 발표, 그룹내 5000여대 서버 평가". 보도자료, 2018.4.19., http://www.bikorea.net/news/articleView.html?idxno=19974 
  32. BI코리아, "국민은행 '더 케이 프로젝트', "막 올랐다"". 보도자료, 2019.2.26., http://www.bikorea.net/news/articleView.html?idxno=22700 
  33. 바이라인네트워크, "신한은행의 IT가 클라우드 네이티브로 변신한 스토리". 보도자료, 2019.10.17., https://byline.network/2019/10/17-66/
  34. 하나금융경영연구소, 김남훈, "금융권 클라우드 컴퓨팅 도입 현황". 연구보고서, 2020.8.19., http://www.hanaif.re.kr/boardDetail.do?hmpeSeqNo=34709 
  35. IT조선, "토스뱅크 첫 삽 뜬다...IT시스템 구축 사업자 RFP 공고". 보도자료, 2020.2.19., https://it.chosun.com/site/data/html_dir/2020/02/18/2020021803199.html 
  36. 매일경제, "[IT 금융혁신] 대외업무.메인 시스템까지...지금은 '클라우드 시대'". 보도자료, 2020.4.28., https://www.mk.co.kr/news/it/9315246 
  37. 더벨, "신한금융, IT시스템 클라우드 전환한다...'5개년 계획' 돌입". 보도자료, 2020.6.4., https://www.thebell.co.kr/free/content/ArticleView.asp?key=202005291210353600108916&lcode=00 
  38. 뉴스토마토, "2023년 우체국 금융시스템 클라우드 환경으로 전환". 보도자료, 2020.8.2., https://www.newstomato.com/ReadNews.aspx?no=987618 
  39. 디지털데일리, "국민은행, '코어뱅킹'도 클라우드 전환 추진...'포스트 더 K 프로젝트' 시동". 보도자료, 2020.8.10., https://m.ddaily.co.kr/page/view/2020081006470996331 
  40. 바이라인네트워크, "보험사들은 클라우드 고민을 어떻게 해결했나". 보도자료, 2020.9.11., https://byline.network/2020/09/09109/
  41. 전자신문, "[이슈분석]KB, 2024년 그룹 공동 클라우드 인프라 구축". 보도자료, 2020.10.13., https://www.etnews.com/20201013000166 
  42. 인사이트 코리아, "농협은행, 네이버클라우드와 손잡고 업계 최초 '퍼블릭 클라우드' 도입". 보도자료, 2020.10.30., https://www.insightkorea.co.kr/news/articleView.html?idxno=84073 
  43. 바이라인네트워크, "KB국민은행의 더케이프로젝트 시행, 무엇이 바뀌었나". 보도자료, 2020.11.3., https://byline.network/2020/11/11022/
  44. 아주경제, "카카오뱅크, AWS 금융보안원 안전성 평가 완료...채널계.정보계 클라우드 전환하나". 보도자료, 2020.12.1., https://www.ajunews.com/view/20201201110930514 
  45. IT조선, ""AI 챗봇 오답률 54%↓" 현대카드와 구글 클라우드가 만났다". 보도자료, 2020.12.9., https://it.chosun.com/site/data/html_dir/2020/12/09/2020120902054.html 
  46. 삼성SDS, "한화생명 하이브리드 클라우드 플랫폼 구축". 고객사례, https://www.samsungsds.com/kr/case-study/cloudsecurity-hanwha.html 
  47. KB금융지주경영연구소, 박정미, "구르미 그린 미래 : 클라우드 컴퓨팅의 개념과 비즈니스 사례". KB지식비타민, 2021.2.15., https://www.kbfg.com/kbresearch/vitamin/reportView.do?vitaminId=2000248 
  48. 아주경제, "SK텔레콤, SC제일은행 마이데이터 저장소 구축...클라우드 6대사업 시동". 보도자료, 2021.2.16., https://www.ajunews.com/view/20210216103417242 
  49. 디지털데일리, "금융권 마이데이터 플랫폼, 프라이빗과 퍼블릭 클라우드 사이선택은?". 보도자료, 2021.2.18., https://m.ddaily.co.kr/page/view/2021021807491415782 
  50. 데이터넷, "[금융 CISO 만나다] 박남규 BC카드 상무 "보안의 완성은 '사람'"". 보도자료, 2021.2.24., https://www.datanet.co.kr/news/articleView.html?idxno=156503 
  51. 바이라인네트워크, "[인터뷰] 국민은행이 마이데이터에 열심인 이유". 보도자료, 2021.3.4., https://byline.network/2021/03/03-37/
  52. 전자신문, "KT, '하이브리드 클라우드' 시장 공략 힘 싣는다...다음달 관리 솔루션출시". 보도자료, 2021.3.4., https://www.etnews.com/20210304000192 
  53. 폴리뉴스, "[4월 금융포럼⑥] 클라우드 도입 시동 건 금융권". 보도자료, 2021.3.5., https://www.polinews.co.kr/news/articleView.html?idxno=484910#0FV0 
  54. 아크로팬, "핑거, 웰컴저축은행 마이데이터 구축 수주". 보도자료, 2021.4.26., https://mkr.acrofan.com/article_sub3.php?number=220695 
  55. 카카오페이, "빠르고 안전한 서비스를 위한, 인프라 플랫폼팀의 퍼블릭 클라우드 활용법". 블로그, 2021.6.23., https://blog.kakaopay.com/story/post/67-kakaopay-cloud/
  56. 매일경제, "[피플] KT.신영증권, 금융권 첫 업무 100% 클라우드 전환 해낼것". 보도자료, 2021.6.23., https://www.mk.co.kr/news/it/9922855 
  57. 매일경제, "거래소, '스마트 워크플레이스' 조성추진". 보도자료, 2021.6.30., https://m.mk.co.kr/origin2/news/stock_view.php?t_uid=21&c_uid=3436329&sCode=21year=&no= 
  58. IT비지뉴스, "KT, BC카드 '마이데이터 클라우드' 구축 수주". 보도자료, 2021.7.1., https://www.itbiznews.com/news/articleView.html?idxno=41946 
  59. 디지털데일리, "마이데이터 유망주 '뱅크샐러드'...금융 넘어 부동산.건강 초개인화 서비스꿈꾼다". 보도자료, 2021.7.19., https://m.ddaily.co.kr/page/view/2021071904160841054 
  60. 코스콤, 박현규, "금융 클라우드로 마이데이터 플랫폼 준비에 가속도를 붙이다". 코스콤보고서, 2021.7.28., https://newsroom.koscom.co.kr/27479 
  61. 컴퓨터월드, "[기획특집] 빅테크와 경쟁 앞두고 금융권 클라우드 도입 확산". 보도자료, 2021.7.31., https://www.comworld.co.kr/news/articleView.html?idxno=50341 
  62. 코리아포브스, "나호열 카카오페이 CTO 새로운 금융생활 꿈꾸는 카카오페이 ". 보도자료, 2021.8.23., https://jmagazine.joins.com/forbes/view/334548 
  63. BI코리아, "[분석] '농협은행 정보계 차세대' RFP를 풀어보니...". 보도자료, 2021.9.27., http://m.bikorea.net/news/articleView.html?idxno=31880 
  64. IT조선, "[로그人] 토스페이먼츠가 AWS를 택한 이유". 보도자료, 2021.10.24., https://it.chosun.com/site/data/html_dir/2021/10/22/2021102201579.html 
  65. IT동아, "카카오페이의 개발 역량, 신뢰성과 안정성이 우선이죠". 보도자료, 2021.11.5., https://it.donga.com/101068/
  66. IT조선, "삼성증권, 파생상품 분석 업무 클라우드로 전환". 보도자료, 2021.11.12., https://it.chosun.com/site/data/html_dir/2021/11/12/2021111200931.html 
  67. 데일리시큐, "이니텍, SC 제일은행 금융 거래 시스템 클라우드 구축". 보도자료, 2021.11.25., https://www.dailysecu.com/news/articleView.html?idxno=131966 
  68. 바이라인네트워크, "베일 벗은 농협은행 '올원뱅크' 차세대, 핵심은 '종합 금융.클라우드'". 보도자료, 2022.2.7., https://byline.network/2022/02/07-69/
  69. 전자신문, "하나금융 '클라우드 통합운영센터' 신설...효율성 높인다". 보도자료, 2023.2.14., https://news.zum.com/articles/81284111?cm=news_rankingNews 
  70. CNET, "한국MS, 농협중앙회 하이브리드 업무 환경 구축 돕는다". 보도자료, 2022.3.24., https://www.cnet.co.kr/view/?no=20220324115333 
  71. 이투데이, "교보생명, 아마존웹서비스와 제휴..."플랫폼에 클라우드 확대 적용"". 보도자료, 2022.5.10., https://www.etoday.co.kr/news/view/2132033 
  72. 바이라인네트워크, "잘나가는 금융사.핀테크의 클라우드 활용법". 보도자료, 2022.5.12., https://byline.network/2022/05/12-169/
  73. 전자신문, "토스뱅크 "전통은행과 차이, 슬림한 '서비스 쪼개기' 구조"". 보도자료, 2022.5.18., https://www.etnews.com/20220518000246 
  74. 시사오늘-시사온, "금융권 화두로 떠오른 '클라우드 기술 도입'... 왜?". 보도자료, 2022.5.19., https://www.sisaon.co.kr/news/articleView.html?idxno=139039 
  75. 전자신문, "하나은행, 'AI콜봇' 서비스 오픈". 보도자료, 2022.5.24., https://www.etnews.com/20220524000232 
  76. 바이라인네트워크, "토스뱅크.토스증권 시스템은 어떻게 이뤄졌을까?". 보도자료, 2022.6.12., https://byline.network/2022/06/10-234/
  77. 중앙일보, "[함께하는 금융] 고객 편의 위한 혁신 거듭...클라우드 기술 적용한 데이터 분석 시스템 오픈". 보도자료, 2022.6.27., https://www.joongang.co.kr/article/25082120#home 
  78. 바이라인네트워크, "[금융in] 금융권의 퍼블릭.프라이빗 클라우드 활용법". 보도자료, 2022.7.3., https://byline.network/2022/07/01-58/
  79. 한국클라우드신문, "'클라우드도입' 활발 금융권, 활용 범위도 넓어진다". 보도자료, 2022.7.27., https://www.kcloudnews.co.kr/news/articleView.html?idxno=11182 
  80. 디지털데일리, "[Special Column] 진화하는 금융 클라우드, 지평을 넓히다". 전문가컬럼, 2022.7.28., https://m.ddaily.co.kr/page/view/2022072717471999475 
  81. 컴퓨터월드, "[이슈조명] 금융권 차세대, 클라우드가 중심". 보도자료, 2022.7.30., https://www.comworld.co.kr/news/articleView.html?idxno=50649 
  82. 전자신문, "기업은행, 클라우드 시스템 구축 '5개년 개획' 착수". 보도자료, 2022.8.3., https://www.etnews.com/20220803000130 
  83. 전자신문, "[단독]하나은행, 13년 만에 차세대 시스템 추진". 보도자료, 2022.8.7., https://www.etnews.com/20220805000185 
  84. 디지털데일리, "카카오뱅크 IT비용 올해 300억 돌파할까?...클라우드 투자 늘어나". 보도자료, 2022.8.8., https://m.ddaily.co.kr/page/view/2022080809242185770 
  85. 바이라인네트워크, "KB국민은행이 밝힌 클라우드 전환 전략..."프라이빗을 퍼블릭스럽게"". 보도자료, 2022.8.23., https://byline.network/2022/08/23-216/
  86. 바이라인네트워크, "KB국민은행이 밝힌 클라우드 전환 전략..."프라이빗을 퍼블릭스럽게"". 보도자료, 2022.8.23., https://byline.network/2022/08/23-216/
  87. 바이라인네트워크, "[알쓸금잡] 금융IT시스템에도 '세대'가 있다". 보도자료, 2022.8.24., https://byline.network/2022/08/24-201/
  88. 바이라인네트워크, "하나은행, 계정성 업무 프라이빗 클라우드 전환 검토". 보도자료, 2022.8.26., https://byline.network/2022/08/26-202/
  89. 한국경제, "신한금융투자, 주문 폭주에도 안정적 온라인 주문...퍼블릭 클라우드 기반 MTS 구축". 보도자료, 2022.8.31., https://www.hankyung.com/finance/article/2022083199001 
  90. 뉴데일리경제, "신한금융투자, 멀티 클라우드 기반 오픈 플랫폼 구축". 보도자료, 2022.9.15., https://biz.newdaily.co.kr/site/data/html/2022/09/15/2022091500050.html 
  91. zdnet, "NHN클라우드-신한금융투자, 클라우드 전환 MOU 체결". 보도자료, 2022.9.21., https://zdnet.co.kr/view/?no=20220921140518 
  92. 한국클라우드신문, "우리금융, AI 등 신기술 도입 속도... 그룹 공동 클라우드 플랫폼 고도화". 보도자료, 2022.11.9., https://www.kcloudnews.co.kr/news/articleView.html?idxno=11578 
  93. 머니투데이, "네이버클라우드, IBK 기업은행에 '뉴로클라우드' 시스템 구축". 보도자료, 2023.2.7., https://news.mt.co.kr/mtview.php?no=2023020709200237954