‘금융분야 상용 클라우드서비스 보안 관리 참고서’
보안관리 분야 5개→8개 늘려
해킹·화재 이후 이슈된 ‘백업 및 이중화’ 등 포함
법적 구속력 없어 한계 지적
전문가 “시기적으로 중요한 내용 포함”
보안관리 분야 5개→8개 늘려
해킹·화재 이후 이슈된 ‘백업 및 이중화’ 등 포함
법적 구속력 없어 한계 지적
전문가 “시기적으로 중요한 내용 포함”
 |
| [게티이미지뱅크] |
[헤럴드경제=정호원 기자] 지난달 발생한 국가정보자원관리원(국정자원) 화재와 롯데카드 해킹 사고 이후 금융보안원이 보안 관리 기준 보완에 나섰다. 특히 사고 당시 문제로 지적된 백업 및 이중화를 비롯해 API(응용프로그램 인터페이스) 관리, 스토리지 관리 항목이 새롭게 추가됐다. 전문가들은 이번 가이드라인이 법적 효력이 없어 실효성에는 한계가 있다고 지적하면서도, 금융사가 향후 화재나 해킹 등 사고 피해를 최소화하기 위해 이원화·이중화에 적극적으로 투자할 필요가 있어 유용한 지침이 될 것이라고 평가했다.
15일 금융권에 따르면 금융보안원은 최근 ‘금융분야 상용 클라우드컴퓨팅 보안 관리 참고서’를 개정·배포했다. 이번 개정판에는 ▷백업 및 이중화 관리 ▷API 관리 ▷스토리지 관리 등 3개 항목이 새로 포함돼 관리 분야가 기존 5개에서 8개로 늘었으며, 세부 기준도 32개에서 47개로 확대됐다.
해당 참고서는 금융회사나 전자금융업자가 클라우드 서비스를 이용할 때 필요한 절차와 금융시스템 안정성 확보, 금융소비자 보호를 위한 사항을 제시하는 것을 목적으로 한다. 금융보안원은 지난해부터 관련 법령과 국내외 표준, 사고 사례를 검토하고, 금융회사 및 클라우드 서비스 제공업체(CSP) 9곳(아마존웹서비스·구글클라우드·KT클라우드·마이크로소프트·네이버클라우드·NHN클라우드·오라클·삼성SDS·카카오엔터프라이즈)의 의견을 반영해 참고서를 제작·배포해 왔다. 다만 이 가이드는 법적 준수 의무가 없는 권고 기준에 그친다.
구체적으로 ‘백업 및 이중화 관리’ 항목은 예기치 못한 사고로 데이터 자원이 소실되지 않도록 금융사가 주요 전산자료를 정기적으로 백업하고, 클라우드 이용 내역도 추적할 수 있도록 관련 자료를 1년 이상 보관하도록 했다. 또 중요도가 높은 전산자료는 자체 데이터센터 등 안전지역에 분산 보관하고, 전산장비를 이중화해 불시의 서비스 중단 시에도 이용 불편이 없도록 가용성을 확보하도록 권고했다.
이 같은 보완 내용은 최근 국정자원 화재 당시 드러난 관리 부실 사례와도 맞닿아 있다. 당시 백업 및 이중화 관리가 미흡해 정책·보고 파일이 저장된 업무용 클라우드 ‘G드라이브’ 데이터 858TB가 전량 소실됐다. 하지만 윤건영 더불어민주당 의원실이 행정안전부에게 받아 공개한 ‘대전센터 재해복구시스템 세부 현황’에 따르면 전체 647개 시스템 가운데 재해복구 시스템을 갖추거나 하루 단위 백업 체계로 재가동이 가능한 경우는 399개(62%)에 그쳤다. 나머지 248개는 주전산이 마비되면 대체할 복구 시스템이 없거나, 한 달 단위 백업만 이뤄지는 수준이었다.
결국 이번 참고서에 백업·이중화 관리가 새로 포함된 것은, 당시와 같은 대규모 데이터 손실을 방지하기 위한 실질적 보완 조치로 평가된다.
이외에도 API 관리와 스토리지 관리 분야도 새롭게 추가됐다. API 관리는 해킹 등 비인가 접근을 방지하기 위해 안전한 인증수단을 적용해 API를 호출하도록 권고했다. ‘스토리지 관리’ 항목은 접근 통제와 관리 방안을 강화해 클라우드 기반 데이터 보안 수준을 높이도록 했다.
금융보안원은 이번 보안관리 항목이 국정자원 화재나 롯데카드 사고를 계기로 추가된 것이냐는 질문에 대해 “해당 기준은 지난해 이미 마련됐으나, 클라우드 사업자와 세부 항목을 검토하는 과정이 길어져 일부 적용이 늦어진 것”이라고 설명했다.
전문가들은 이번 개정이 시의적절하다고 평가하면서도 법적 구속력 부재를 아쉬운 점으로 꼽았다.
염홍열 순천향대학교 정보보호학과 교수는 “재해 발생 시 서비스가 중단되지 않고 원상태로 복원되도록 하는 시간을 최소화는 RTO(목표 복구 시간)와 데이터 손실을 최소화하기 위해 연속적으로 데이터 백업을 하는 RPO(목표 복구 시점)가 핵심인데, 이번 참고서에서 이중화 관련 내용이 강화된 점이 눈에 띈다”며 “이원화·이중화 개념이 포함돼 자체 클라우드를 운영하거나 외부 상용 서비스를 이용하는 금융사 모두에 유용한 지침이 될 것”이라고 평가했다. 이어 “사고는 이미 발생했지만 새롭게 추가된 항목을 통해 향후 유효한 가이드라인 역할을 할 것으로 본다”고 평가했다.
