금융보안원이 금융권의 클라우드 활용 확산에 맞춰 '금융분야 상용 클라우드컴퓨팅서비스 보안관리 참고서'를 정비했다. 아마존웹서비스(AWS)·마이크로소프트(MS)·구글·네이버클라우드 등 국내외 9개 클라우드 서비스 사업자(CSP)와 협력해 금융사가 클라우드를 안전하게 사용할 수 있도록 실제 설정 방식과 보안 기능을 중심으로 한 실무 참고서를 마련했다.
금융권에서 클라우드 기반 인프라와 서비스 도입이 빠르게 보편화되면서 계정 권한 관리부터 API 연계, 데이터 저장·백업 구성까지 클라우드 전반에 보안 관리 복잡성도 커지는 상황이다. 최근 국내외에서 클라우드 환경에서 보안 사고가 꾸준히 발생하고 있다.
이번 참고서는 규제나 의무사항을 제시하는 기준은 아니지만, 금융사가 클라우드 서비스를 이용할 때 클라우드사별로 제공하는 보안 기능을 설정, 운영하는 데 참고할 수 있는 안내 자료다. 금융사별로 보안 대응 방식에 편차를 줄이고, 금융권 전반에 클라우드 보안 수준을 끌어올리는 기준점 역할을 할 것으로 기대된다.
이번 참고서에는 △가상자원 관리 △네트워크 관리 △계정 및 권한 관리 △암호키 관리 △로깅 및 모니터링 관리 등 기존 5개 분야에서 △API 관리 △스토리지 관리 △백업 및 이중화 관리 등 3개 분야가 추가됐다. 총 8개 보안 관리 분야와 47개 세부 기준으로 구성된다. 금융사가 실제 클라우드 환경에 적용할 수 있는 보안 기능과 설정 방법을 중심으로 설명했다.
금융보안원은 지난해부터 금융사와 클라우드 사업자를 대상으로 클라우드 이용 과정에서 실무적으로 필요한 보안 항목을 협의하고, 현업 중심의 논의를 거쳐 참고서를 단계적으로 보완해왔다. 접근 통제 설정, 권한 관리, 암호화 적용, API 호출 보호 등 금융사가 클라우드를 운영하며 직접 설정해야 하는 요소들이 주요 논의 대상이었다.
금융보안원 관계자는 “금융권이 클라우드 서비스를 안전하게 이용하도록 보안 기능을 구체적으로 안내한 것으로 실무진들에게 실질적인 도움이 될 것”이라고 말했다.
박두호 기자 walnut_park@etnews.com
