금보원 ‘클라우드 보안 관리 참고서’
관리분야 8개, 세부기준 47개 확대
관리분야 8개, 세부기준 47개 확대
국가정보자원관리원(국정자원) 화재와 롯데카드 해킹 사고로 금융권 보안 강화 지적이 제기된 가운데, 금융보안원이 보안 관리 기준 보완에 나섰다. 특히 사고 당시 문제로 지적된 백업 및 이중화를 비롯해 API(응용프로그램 인터페이스) 관리, 스토리지 관리 항목이 새롭게 추가됐다.
16일 금융권에 따르면 금융보안원은 최근 ‘금융분야 상용 클라우드컴퓨팅 보안 관리 참고서’를 개정·배포했다. 이번 개정판에는 ▷백업 및 이중화 관리 ▷API 관리 ▷스토리지 관리 등 3개 항목이 새로 포함돼 관리 분야가 기존 5개에서 8개로 늘었으며, 세부 기준도 32개에서 47개로 확대됐다.
해당 참고서는 금융회사나 전자금융업자가 클라우드 서비스를 이용할 때 필요한 절차와 금융시스템 안정성 확보, 금융소비자 보호를 위한 사항을 제시하는 것을 목적으로 한다. 금융보안원은 지난해부터 관련 법령과 국내외 표준, 사고 사례를 검토해 왔다.
구체적으로 ‘백업 및 이중화 관리’ 항목은 예기치 못한 사고로 데이터 자원이 소실되지 않도록 금융사가 주요 전산자료를 정기적으로 백업하고, 클라우드 이용 내역도 추적할 수 있도록 관련 자료를 1년 이상 보관하도록 했다.
이 같은 보완 내용은 최근 국정자원 화재 당시 드러난 관리 부실 사례와도 맞닿아 있다. 당시 백업 및 이중화 관리가 미흡해 정책·보고 파일이 저장된 업무용 클라우드 ‘G드라이브’ 데이터 858TB가 전량 소실됐다.
하지만 윤건영 더불어민주당 의원실이 행정안전부에게 받아 공개한 ‘대전센터 재해복구시스템 세부 현황’에 따르면 전체 647개 시스템 가운데 재해복구 시스템을 갖추거나 하루 단위 백업 체계로 재가동이 가능한 경우는 399개(62%)에 그쳤다. 결국 이번 참고서에 백업·이중화 관리가 새로 포함된 것은, 당시와 같은 대규모 데이터 손실을 방지하기 위한 실질적 보완 조치로 평가된다. 정호원 기자
