금융권 클라우드 및 망분리 규제 완화

오늘은 평소에 말씀드리던 피싱 메일이나 악성코드 같은 내용이 아닌, 금융권의 클라우드 사용과 망분리 규제와 같은 법, 제도에 대해서 설명드릴까 합니다. 제가 개발 분야에서 보안 컨설팅 분야로 넘어오면서 개인정보보호법이나 정보통신망법 같은 법률을 굉장히 많이 공부하게 되었는데요. 특히 금융권의 클라우드 사용이나 망분리 규제와 같은 부분은 평소에도 관심 있게 보고 있기도 해서, 이러한 부분이 문제가 된 이유와 왜 정부에서 이 부분을 개선하려고 하는지를 말씀드려보죠. 금융권 IT를 준비하시는 분이나, 클라우드에 대해 관심이 있는 분들이 읽어보시면 좋을 것 같으니 최대한 쉽게 설명드리겠습니다.

​

금융권 뿐만 아니라 많은 기업에서 사내의 전산실에 서버를 직접 설치해서 사용하던 온프레미스(On-Premise) 방식에서 클라우드로 많이 넘어가고 있다는 것은 대부분 아실거라 생각합니다. 그만큼 기업에서는 비용 절감을 위해 다방면으로 노력을 하고 있다고 보시면 되는데요. 하지만 기업의 모든 서비스를 클라우드로 바로 이관(Migration)할 수 있는 것은 아닙니다. 고객의 개인정보가 담긴 데이터베이스나 개인정보를 처리하는 서비스를 클라우드로 이관하려면 정보주체의 동의를 받아야 하는 등 법률에 의해 규제를 받고 있죠.

​

특히 금융권에서의 클라우드 사용은 조금 더 빡빡하다 보시면 됩니다. 일반적으로 금융권에서 메일과 메신저 같은 내부 업무나 상담과 같은 고객 서비스 등 중요도가 떨어지는 업무에 대해서만 클라우드를 활용해왔는데요. 물론 모바일 뱅킹과 같은 핵심 업무에서도 클라우드를 사용할 수 있지만, 업무의 연속성 평가나 안전성 확보조치 방안을 수립하고, AWS와 같은 클라우드 서비스 제공자의 안전성 평가 등을 수행해서 금융감독원에 사전보고를 해야지만 핵심 업무에도 클라우드를 사용할 수 있었습니다. 이렇게 과도한 절차가 있다 보니 금융권에서 클라우드를 활용하는데 한계가 있다는 지적을 받고 있었죠.

​

또한 들어보셨을 지 모르겠지만, 망분리라는 규제도 금융권에서 꽤 큰 걸림돌로 작용해왔습니다. 이 망분리라는 개념에 대해 잠깐 설명드리면, 망분리는 외부에서 들어오는 DDoS나 악성코드와 같은 해킹 공격으로 부터 기업의 내부 자산을 보호하기 위해 내부망과 외부망을 나누는 기법입니다. 즉, 인터넷이 접속되는 외부망과 기업 내부에서만 통신이 되는 내부망을 분리한 건데요. 일반적으로 PC를 2대 사용해서 물리적으로 분리하는 물리적 망분리와 PC 1대를 VMware나 VDI와 같은 가상화 기술을 이용해서 논리적으로 분리하는 논리적 망분리 방법이 존재합니다.

​

문제는 2013년에 발생한 금융 전산사고 이후에 망분리 규제가 도입되고, 금융권에서 필수적으로 물리적 망분리를 시행하도록 만들었다는 것입니다. 그런데 이와 같은 물리적 망분리를 운영 시스템 뿐만 아니라 개발/테스트 분야에서도 적용하다보니 개발의 효율성을 저해한다는 이야기가 있었죠. 악성코드와 같은 해킹 공격에 대비하기 위해 PC 2대를 이용해서 내부망과 외부망을 분리하는 것은 좋지만, 금융 업무가 아닌 부분에도 굳이 망분리를 적용해서 생산성을 낮출 필요가 있냐는 지적이 계속 있어왔습니다.

 

정부, 금융권 클라우드 및 망분리 규제 개선한다

실제 금융권에서 IT 업무를 하는 주변 사람들의 말을 들어보면, 일반적인 IT 회사에서 금방 개발할 것을 망분리로 인해 불필요하게 소스코드 하나하나 반입, 반출 허가를 받아야 해서 오랜 시간이 걸린다고 합니다. 심지어 핀테크 스타트업도 마찬가지로 망분리 규제가 적용되고, 클라우드를 사용할 때 너무 많은 절차를 거쳐야 사용할 수 있다보니 다른 분야보다 생산성 자체가 떨어진다고 하죠. 꽤 늦은 감은 있지만, 정부에서 지금이라도 금융권에서 클라우드 사용과 망분리 규제를 개선한다고 하니 상황이 조금 나아지지 않을까 생각해봅니다. 그럼 여기서 이만 줄이도록 하고 다음 에세이에서 뵙도록 하겠습니다. 감사합니다.