금융 클라우드 확산, 안정성 평가 방식이 걸림돌?

[아이뉴스24 김국배 기자] 금융 회사가 클라우드 서비스를 이용하기 위해 거쳐야 하는 '클라우드 서비스 기업(CSP) 안정성 평가' 방식이 클라우드 확산에 걸림돌이 되고 있다는 목소리가 나오고 있다.

앞서 지난해부터 금융사는 기존 비중요정보 뿐 아니라 개인 신용정보 등의 중요 정보까지 클라우드에서 처리할 수 있도록 규제가 개선된 상태다.

19일 업계 및 금융보안원(이하 금보원)에 따르면 금융사들은 클라우드를 도입하기 위해 반드시 클라우드 기업의 안정성을 평가하는 절차를 거쳐야 한다.

클라우드를 도입하려는 금융사가 직접 안정성 평가를 수행하거나 금보원에 요청해 평가 지원을 받을 수 있다.

평가 결과에 따라 금융사는 보완 조치를 요구할 수 있으며, 다른 클라우드 기업을 대상으로 새로 평가를 실시할 수 있다. 이는 지난해 1월 금보원이 내놓은 '금융 분야 클라우드 이용 가이드'에 담겨 있다.

문제는 안정성 평가를 클라우드를 이용하려는 금융사별로 하는 것은 물론 업무(workload)별로 모두 별도로 진행해야 한다는 점이다.

업계 관계자는 "클라우드 이용 가이드를 분석하고 안정성 평가를 받느라 작년 하반기를 다 보냈다"며 "모든 금융기관, 모든 클라우드 이관 프로젝트에 대해 안정성 평가를 진행하는 것은 기업과 고객 모두에게 매우 번거롭고 불편한 일"이라고 토로했다.

이 때문에 일각에서는 차라리 금융당국이 '금융 클라우드 인증제'를 도입하는 것이 낫다는 의견도 꾸준히 제기된다. 금융당국이 책임을 지지 않기 위해 현재 평가 방식을 고수한다는 비판도 없지 않다.

업계 관계자는 "금융당국이 특정 인증업체를 통해 클라우드 기업에 대해 안정성 평가를 공개적으로 실시하고, 인증 결과를 금윰사에 알려준다면 금융사가 클라우드 기업을 선택하기 쉽게 만들어줄 수 있을 것"이라고 말했다.

이어 "그렇게 하지 않는 이유는 인증 책임을 지지 않기 위함으로 모든 금융기관이 직접 책임을 지도록 하고 있는 것"이라고 지적했다.

다만 개선 가능성도 점쳐지고 있다. 금융위원회 주관의 워킹그룹이 지난해 10월부터 클라우드 안정성 평가 관련 논의를 진행중이다.

금보원 관계자는 "금융사의 안정성 평가와 관련된 개선 의견을 취합해 검토중에 있어 현 시점에서 구체적인 개선 방향을 언급하긴 곤란하다"며 "개선 방안은 논의를 거쳐 확정되는 대로 시행할 예정"이라고 말을 아꼈다.