금융당국 규제 완화 나서, 시장 선점위한 CSP 경쟁 심화

[컴퓨터월드] 보수적인 금융시장에도 클라우드 바람이 불고 있다. 금융권의 클라우드 도입은 아직 시기상조라는 일반적인 예상을 깨고 은행을 비롯한 보험 증권사들이 클라우드 도입을 추진 중이거나 검토하고 있다. 금융기관들이 고객에 대한 서비스 다양화와 서비스 차별화를 위해 클라우드 도입을 적극 검토하고 있는 것이다.

금융권의 클라우드 도입에는 법 제도의 뒷받침도 한 몫하고 있다. 지난해 8월 ‘금융권 클라우드 가이드라인’이 발표됐으며 올 1월부터는 ‘전자금융감독규정 및 클라우드 컴퓨팅 이용가이드’의 개정안이 시행됐다. 이러한 상황에서 CSP들이 본격적으로 금융권에 참여하기 시작했다. 앞으로 금융권 시장을 놓고 CSP들의 경쟁이 치열하게 전개될 것으로 보인다.


서비스 다양화 및 차별화 위해 금융 클라우드 사용

최근 들어 금융사들의 클라우드 도입이 늘어나고 있다. 금융사들은 금융 서비스의 다양화와 서비스 차별화를 위해, 또 IT서비스 회사들은 금융권 진입을 위해 클라우드 도입에 나서고 있다.

물론 비용절감도 한 이유가 되겠지만 비용절감보다는 서비스를 강화하기 위한 목적이 더 크다는 게 전문가들의 주장이다.

보수적이라는 금융권의 클라우드 도입은 시기상조일 것이라는 전문가들의 예상을 깨고, 금융권이 이처럼 클라우드 도입에 적극 나서고 있는 이유는 핀테크 기업들과의 경쟁에서 밀릴 수 없다는 절박함 때문으로 보인다. 금융시장을 노리는 핀테크 기업들과의 경쟁을 위해서는 서비스 다양화가 필수적이며, 서비스 다양화를 위해서는 클라우드 도입이 절대적으로 필요하다. 4차 산업 시대에는 기존 서비스만으로는 생존할 수 없다는 것이다.

서비스 다양화의 한 예로 모바일 애플리케이션을 단순한 뱅킹업무에만 이용하지 않고 고객의 맞춤 보험 추천서비스에 적용하고 있는 것을 들 수 있다.

서비스 차별화의 예로는 보험사의 채널계 시스템을 들 수 있다. 고객에 대한 분석을 강화하는 방향 혹은 내부의 직원의 아웃소싱, 위탁 계약직으로 들어온 인력에 대해 비용 효율성을 강화하는 방안으로 사용하고 있다.

현재 대부분의 보험 계약은 전화를 통해 이뤄지고 있다. 이 경우 불완전계약을 걸러내는 일이 매우 중요하다. 수백 명의 텔레마케터들이 이 일을 담당하고 있는데, RPA를 사용할 경우 효율성은 물론 비용도 크게 절감할 수 있다. RPA 솔루션을 적용하기 위해서는 적시에 컴퓨팅 파워를 이용할 수 있어야 한다. 클라우드가 필요한 이유다.

유호정 베스핀글로벌 공공·금융사업부 부문장은 “클라우드 혁신을 거대한 것을 드러내고 새롭게 집어넣는 것으로 인식하는 경향이 있는데, 들여다보지 못한 영역을 IT로 바꾸는 것도 혁신이라고 할 수 있다”며 “내부에 비 IT 분야를 IT화 시키는 것이 혁신이며 바로 서비스 차별화”라고 말했다.

또한 IT 서비스 회사들의 금융진입 역시 금융권의 클라우드 도입을 촉진하는 한 요인으로 작용하고 있다.

금융기관들은 언제나 그렇듯 첨단 기술 도입과 리스크 관리체계를 강화하는 등 급변하는 시장 환경에 선제적으로 대응해야 한다. 현재의 위협요인을 경쟁 우위 확보를 위한 기회로 삼아야 하는 것이다.

인프라와 백오피스 등과 같은 플랫폼에 강점이 있는 은행들은 플랫폼 기반 서비스를 제공하고, 수수료를 받는 사업 모델을 개발하고 있다. 보험업계에서는 파이썬이나 R과 같은 오픈소스 언어로 코딩을 하거나 클라우드 기반의 보험수리 모형을 활용하는 등 여러 새로운 시도를 하고 있다.

이러한 새로운 비즈니스 모델을 도입하면서 금융기관들은 두 가지 관점에서 클라우드 도입을 고려하고 있다. 먼저 고객 만족도 제고를 위한 일환으로서 빅데이터 분석을 통해 고객 맞춤형 데이터를 제공하기 위해 클라우드 도입을 추진하고 있다. 클라우드를 이용해 고성능의 컴퓨팅 파워를 효율적이고 효과적으로 이용하겠다는 것이다.

둘째는 비핵심 업무, 단순한 업무 등 상대적으로 위험도가 적은 업무 영역에 대한 IT 운영 및 유지보수 서비스를 클라우드 기반의 서비스에 위탁하는 것이다. 이는 기업의 자원을 효율적으로 관리함으로써 기업의 핵심 영역에 역량을 집중할 수 있는 효과도 거둘 수 있다.


아직은 검토 단계, 단순 업무에만 적용

많은 금융기관들은 클라우드 도입을 검토하고는 있지만 실제 도입은 아직 미미한 수준이다. 실제 도입이 이루어졌다고 해도 대민서비스 및 단순한 업무에만 클라우드를 적용하고 있다. 업계는 정부의 클라우드 시작이 ‘클라우드 온리(Only)’가 아닌 ‘클라우드 퍼스트’이기 때문이라고 말한다.

일례로, 주요 클라우드 선진국은 클라우드 이용을 정부가 직접 규제하지 않고, 가이드라인을 통해 자율준수토록 하고 있다. 또한, 금융회사는 수요에 따라 다양한 방식으로 클라우드 서비스를 이용하고 있다. 특히, 일부 해외 금융회사는 내부 지원업무 뿐만 아니라 금융 코어시스템도 클라우드 서비스를 이용하고 있다.

그러나 국내에서 금융회사·전자금융사업자는 전자금융거래에 미치는 영향이 낮은 업무만 비중요정보 처리시스템으로 지정해 클라우드 컴퓨팅을 이용할 수 있다. 실제 국내에서는 개인신용정보와 고유식별정보를 처리하는 정보처리시스템은 비중요 시스템으로 지정이 불가하며 이 점이 선진국과의 가장 큰 차이이다. 전자금융감독규정에 ‘정보자산의 중요도에 따라 비중요 시스템 지정 후 망분리 등의 예외를 적용, 다만 개인신용정보와 고유식별정보는 지정 불가’라는 규정이 있다.

▲ 금융권 클라우드 이용확대 단계별 추진계획(출처: 금융위원회)

금융당국은 클라우드를 아웃소싱, 즉 정보처리 업무위탁의 개념으로 인식하고 있다. CSP가 전자금융보조업자로 제한적인 감독을 받는 이유이다.

이런 문제점을 해결하기 위해 정부와 금융당국은 규제 완화에 나서고 있다. 먼저 금융회사와 핀테크기업이 클라우드를 통해 활용할 수 있는 정보의 범위를 확대했다. 비중요정보에 국한됐던 것을 개인신용정보·고유식별정보 범위까지 확대한 것이다. 단 한 건의 개인신용정보 및 고유식별정보만 있어도 클라우드 이용이 제한돼 핀테크 기업에게 진입장벽으로 작용했던 문제를 인식한 결과이다.

실제 신규 서비스를 출시하려는 핀테크 스타트업은 초기 시스템 구축 비용의 문제로 원활한 서비스 개발이 어려웠다. 개인 신용정보를 활용해야만 하는 서비스는 클라우드를 이용할 수 없었기 때문이다.

이러한 규제는 스타트업에만 적용된 것은 아니었다. 기존 전통적인 금융사도 AI·빅데이터 등 신기술을 이용해 새로운 상품 및 서비스를 개발하는데 많은 제한이 있었다. 금융권의 대부분 상품 및 서비스 개발에는 개인신용정보가 필요해 클라우들 이용할 수 없었던 것이다.

신용평가·심사, 리스크 분석, 금융사기 등 빅데이터를 통한 이상 징후 분석에도 클라우드를 이용할 수 없었으며, 클라우드 기반의 AI 알고리즘을 이용해 고객 질의에 응대하는 맞춤형 서비스 제공도 불가능했다. 단순 상담(챗봇)에만 클라우드를 이용할 수 있었을 뿐이다.

금융위원회는 이러한 문제점을 인식하고 개선에 나섰다. 하지만, 고객신용정보를 활용해 신규서비스 및 상품을 출시할 수 있게 됐지만 고객의 신용정보 이용에는 여전히 많은 제약이 있다.

금융위원회는 클라우드 서비스 이용 확대 가이드라인을 제시했다. 그러나 금융 보안에 대한 중대성을 감안해 중요정보의 클라우드 이용 시 금융사가 안전성 관리를 강화하라는 지침을 내렸다. CSP에 대해서는 금융의 특수성을 반영해 CSP가 기본적으로 준수해야 할 기준을 금융보안원을 통해 마련했다.

금융 클라우드 서비스 기준 운영방안은 자율통제 혹은 인증제 방식으로 나뉘는데, 자율통제 방식은 클라우드 서비스 이용·제공 기준을 토대로 금융사가 자율적으로 클라우드 이용을 결정하는 방식이다. 이는 EU 등 해외에서 채용하고 있다.

인증제를 위해 금융위원회, 금융감독원, 금융보안원, 금융회사, 업계전문가로 구성된 TF를 구성했고, 현재 인증 제도를 추진 중에 있다.


금융당국, 규제완화 나서

한편 금융권의 클라우드 활성화를 위해 ‘금융권 클라우드 서비스 가이드라인’은 지난해 8월~12월에 개정됐고, ‘전자금융감독규정’ 개정안의 시행은 올 1월 1일부터 시행됐다. 금융당국의 전자금융감독규정 개정안이 시행되면서 규제는 비교적 크게 완화됐다.

규제 완화에도 여전히 금융 코어시스템에 대한 클라우드로의 전환은 이루어지지 않고 있다. 금융사들은 일부 간단한 시스템, 대고객 서비스 부문에 초점을 맞춰 클라우드를 사용하고 있다. 핵심 업무를 클라우드로 이전하는 데는 아직도 많은 부담을 갖고 있는 것이다.

업계에서는 주변 업무의 클라우드 이전에 대한 만족도가 높을 경우 핵심 업무의 클라우드 이전도 자연스럽게 이루어질 것으로 예상하고 있다.

현재 AWS를 사용하고 있는 금융사는 유안타증권, 신한금융그룹, KB금융그룹 등이다. 이들 금융사가 AWS를 사용하는 것은 대표 클라우드 기업이라는 인식도 있지만, 사용의 편의성이 큰 비중을 차지하고 있다고 한다. 이들 금융사 중 일부는 해외 법인에서 AWS를 사용하고 있다.

KB손해보험의 미국법인은 AWS를 사용하고 있는데 막대한 투자가 필요한 2개의 기존 데이터센터를 현대화하는 대신 AWS를 선택한 것으로 전해진다. 기존 데이터센터에서 AWS 리전으로의 전사적 전환은 약 3개월 소요됐으며, KB손해보험 미 법인은 AWS 상에서 센트리파이(Centrify)의 멀티팩터 인증(MFA)과 같은 SaaS 솔루션을 포함한 보안 서비스들을 운용하고 있다.

KB손해보험의 미 법인이 AWS를 사용하는 이유는 글로벌 확장성이라는 측면도 한 몫 했다. 현재 국내 금융사는 아직 AWS를 사용하지 못하지만, AWS가 국내 금융 클라우드 시장에 진출하게 되면 KB손해보험의 미 법인과 국내 본사가 호환성을 갖출 수 있게 되고 이를 기반으로 해외 확장도 가능할 것이라는 판단이 크게 작용했다는 것이다.

해외 법인들은 금융 코어시스템에 클라우드를 적용하고 있지만 국내 금융 코어시스템의 클라우드 전환은 매우 더딘 실정이다. 이에 대해 성무경 NBP 클라우드 서비스 & 비즈 플래닝 차장은 “클라우드로의 코어시스템 전환에 대해 금융 고객사들은 아직 불안감을 갖고 있다”며 “하지만 1차적으로 짧은 검토단계를 거치는 대민서비스를 선제적으로 받아들인 뒤 차후 서비스 검증 및 확장성이 확인이 되면 금융 코어시스템도 자연스럽게 클라우드를 채용하게 될 것”으로 예측했다.

신기술에 대한 금융사의 시스템 도입 주기는 일반적으로 5~10년으로, 업계에서는 이러한 금융사의 시스템 도입 주기를 감안할 때 3~5년 내에 금융 코어시스템도 클라우드로 전환될 것으로 예측하고 있다.


‘안전성평가’ 및 보안성 제고

금융사는 민간 기업이지만, 금융이라는 특수성을 갖고 있다. 금융 당국의 규제 및 감독을 받아야 하는 경우가 많다. 금융시장에 진출하려는 CSP들은 금융보안원 ‘안전성평가’를 받아야 하며 금융보안원이 제시한 기준을 충족해야 한다. 물론 이러한 규제가 일정 기간 동안 국내 업체를 보호하는 긍정적 역할을 하기도 한다.

▲ 금융보안원의 금융 클라우드 가이드 중 업무 중요도 별 적용범위(출처: 금융보안원)

금융사들에 클라우드 서비스를 제공하려는 CSP들은 금융보안원이 제시한 금융 클라우드 이용 가이드 기준을 따라야 한다. 금융보안원은 ▲계정 관리 ▲접근 통제 ▲내부시스템/단말기 연계 ▲암호화 및 키 관리 ▲로깅 ▲가상환경 보안 ▲보안 모니터링 및 취약점 분석 평가 등 8개 영역에서 클라우드 이용 가이드 기준을 제시하고 있다. 또한, 금융 클라우드를 제공하려는 CSP들은 금융 클라우드 이용 가이드가 요구하는 기본보호조치 109개, 추가보호조치 32개 총 141개의 항목을 준수해야 서비스 제공이 가능하다.

금융위원회가 진행하는 안전성평가는 CSP가 아니라 클라우드를 사용하려는 금융기관이 신청해야한다. 안전성평가 범주 하에 CSP 평가가 또 있는 것이다. 가령, A은행이 새로운 금융 서비스를 만들기 위해 클라우드를 사용한다면, 반드시 금융위원회가 진행하는 안전성평가 신청서를 작성, 안전성평가를 받아야 한다.

금융위원회의 안전성평가 신청서에는 기존에 사용하던 시스템이 어떻게 구동됐는지, 어떠한 클라우드 서비스를 사용해서 어떤 운영을 할 것인지, 클라우드 서비스 스펙 등을 상세하게 작성해야 한다. 신청을 하게 되면 실사, 인터뷰를 거쳐 검증절차를 거친다.

CSP 평가는 매우 꼼꼼하게 이루어지는 것으로 알려지고 있다. 금융보안원에서 제시한 금융 클라우드 가이드를 준수하고 있는지에 대해 확인 절차는 물론 시스템이 이중화 돼 있는지, 데이터접속 권한에는 문제가 없는지, 인가된 사람만이 클라우드 시스템에 접근할 수 있는지, 장애처리 등에 대책은 세워져 있는지 등을 검토한 후 실제 점검을 한다고 한다. 물론 관련 시연, 자체 테스트, 훈련 등도 진행된다.

평가 결과는 CSP에게 전달되지 않으며, 금융기관에 전달된다. 이후 금융기관이 평가결과를 파악 후 CSP에 미흡한 사항에 대해 피드백을 준다고 한다. 또한, 피드백 이후 지속적인 보고체계로 평가 결과를 충족시켜 나간다.


업체별 보안성 제고 전략

‘시큐리티 모니터링’으로 금융당국 규제 대응

네이버 비즈니스 플랫폼(NBP)은 기존 금융에서 요구하는 금융 보안의 수준을 준수하기 위해 새로운 ‘금융 클라우드 리전’을 만들어 물리적인 보안성을 기존의 금융 인프라와 동일하게 구현했다. 또한, 코스콤과 협력해 기존의 금융 회사들의 보안 서비스 레벨을 분석하고 고안해 퍼블릭 클라우드의 보안관제보다 더 패키징 된 보안관제 솔루션을 제공한다.

▲ NBP의 금융 클라우드 구성도(출처: NBP)

네이버 비즈니스 플랫폼은 고객 정보 및 중요 정보 보호를 위해 두 가지 솔루션을 제시함으로써 금융 클라우드 이용 가이드라인을 준수하고 있다. 먼저 ‘키 매니지먼트 서비스(Key management Service)’다. 이 솔루션은 고객의 정보 및 중요 정보를 암호화 한 후 암호화에 이용한 키를 안전하게 보호한다.

특히, 키의 생성, 회전, 상태관리, 폐기 등 모든 키 관리 전 주기를 편리하게 관리할 수 있으며, 클라우드 시스템에서 안전하게 관리되는 키를 마스터 키로 이용하면 계층적 키 관리를 손쉽게 구현할 수 있다. 또한, 암호화 키는 일정 주기 별로 회전하며 갱신할 수 있으며, 더 이상 사용되지 않는 키들은 비활성화 또는 폐기해 여러 암호화 위협에 대비할 수 있다는 장점이 있다.

금융규정 가이드라인을 준수하기 위해 관제 솔루션도 개발했다. ‘시큐리티 모니터링 서비스’가 그것으로 IDS/IPS, WAF, DDoS, 안티-바이러스 기능을 제공해 네트워크 보안 및 서버 보안을 지원한다. ‘시큐리티 모니터링 서비스’는 24시간 365일 자체 보안관제를 제공해 테넌트의 침해사고가 발생 시 실시간으로 탐지 및 대응이 가능하다. 테넌트의 비상대응훈련 및 재해복구전환훈련, 침해사고대응훈련 등의 지원 요청 시 NCP도 주도적으로 참여하고 있다.

[인터뷰]

 

“금융 특화 SaaS, PaaS 개발해 AI 서비스 금융에 접목시킬 것”

성무경 NBP 클라우드 서비스 & 비즈 플래닝 차장


Q. NBP 서비스의 특징은.

A. NBP의 금융클라우드인 ‘NCP 파이낸셜’의 강점은 보안과 가격이다. 모든 업체가 그렇듯 NBP도 보안에 많은 투자를 하고 있다. 다양한 보안 상품을 갖고 있는데 ‘시큐리티 모니터링’을 강조하고 있다.

클라우드와 금융 인프라에 정통한 코스콤과 공동으로 개발한 ‘시큐리티 모니터링’은 공공기관의 SaaS 보안인증을 취득하는 등 높은 보안 수준을 제공하고 있다. 밝힐 수 없지만 여러 증권사와 서비스 계약을 맺었고, 현재 사업을 진행 중에 있다.


Q. 금융 클라우드와 관려해 향후 계획은.

A. NBP의 모회사인 네이버와 협력으로 금융 클라우드에 AI를 접목해 서비스 영역을 확대해 나갈 계획이다. 이에 대한 요구사항도 많다. 금융사들은 현재 여러 규제로 인해 PaaS 를 사용하는데 어려움을 겪고 있다.

우리는 금융에 특화된 다양한 SaaS, PaaS 서비스를 개발하고 한국적인 AI 기술을 접목해 플랫폼화해 나갈 예정이다.
 

Q. NBP가 집중하는 산업 분야는.

A. 금융부문과 의료, 제조, 교육 부문이라고 할 수 있다. 이 분야는 보수적인 시장이지만 엄청난 잠재성을 갖고 있다. 또한 시장 성장이 확실시돼 많은 업체들이 눈독을 들이고 있는 시장이기도 하다. 그만큼 경쟁이 치열할 것이라는 얘기로 클라우드 서비스에 대한 많은 투자가 필요하다고 본다. 이에 초점을 맞춘다면 시장에서 경쟁력을 높일 수 있을 것이다.


 ‘레그테크’로 솔루션 개발해 금융사 지원

 

코스콤은 운영 중인 데이터센터의 물리적 보안성과 금융당국의 여러 법률 규제에 대응할 수 있도록 해주는 자동화 기술인 ‘레그테크’를 내세우고 있다.

여의도에 있는 코스콤의 데이터센터는 정보통신 주요 기반시설로 국가정보원에서 지정한 국가보안시설로 금융위원회가 지정한 보안관리 기관이다. 특히, 건물 자체가 대외적 리스크를 견딜 수 있게 설계돼 보안성이 뛰어나다.

▲ 코스콤 클라우드 포털의 기능

‘레그테크’는 규제(Regulation)과 기술(Technology)을 합친 말로 AI, 클라우드 컴퓨팅, 블록체인 등을 적용해 금융당국의 여러 법률 규제에 대응할 수 있도록 해주는 자동화 시스템 및 솔루션이다. 2018년 10월 금융감독원은 ‘레그테크 발전협의회’를 출범했으며, 금융사 및 핀테크 기업의 규제 준수를 지원하는 것을 목표로 하고 있다.

코스콤은 IBK투자증권과 함께 지난 4월 ‘레그테크 상시모니터링’ 서비스에 들어갔다. 이 서비스는 다양한 데이터를 주제별로 통합 축적해 데이터 플랫폼을 구축하고 이를 기반으로 리포트를 제공하는 기능을 갖고 있다.

이 서비스는 이상거래가 발생하면 본사 컴플라이언스에 실시간으로 보고하며, 이후 즉각적인 소명 요구절차 등을 거쳐 문제를 해결한다. 또한 내부의 비정상 거래를 한 눈에 알 수 있도록 해 IT를 모르는 직원도 업무를 쉽게 처리할 수 있다.

코스콤은 이달 NBP와 협력으로 금융권 최초 토종 금융 클라우드를 오픈할 예정이다. 조만간 오픈되는 금융 클라우드에서는 ‘레그테크 상시 모니터링’ 솔루션도 제공된다.

▲ 코스콤의 클라우드 계획

위정호 코스콤 대외협력부 차장은 “고객이 필요로 하는 솔루션으로 가려운 부분을 긁어줄 수 있는 금융 클라우드를 목표로 하고 있다. RPA, 데이터오피스(자산관리) 등 여러 솔루션 개발에 박차를 가하고 있다”고 한국에 적합한 클라우드 솔루션을 제공할 것이라고 강조했다.

위 차장은 또한 “자금세탁 방지 등 여러 규제를 AI가 해결할 수 있도록 준비하고 있다”며 “비상장주식 관련 스타트업의 거래를 도울 수 있는 클라우드 서비스를 이번 달부터 제공할 것이다”고 말했다.
 

‘토스트 시큐어’, 논리적 망분리 통해 멀티 클라우드 제공

NHN은 퍼블릭존과 네트워크 및 인프라를 물리적으로 완전 분리 구축한 금융존(F-zone)을 마련, 보안성 제고에 박차를 가하고 있다. 금융존의 네트워크 장비, 방화벽/VPN, 서버 등의 모든 구성 요소들은 이중화돼, 24시간 무중단 서비스가 제공된다. 또한 ‘금융존’은 금융보안원이 제시한 금융 클라우드 이용 가이드의 8개 영역에서 보안안전성이 보장될 수 있도록 금융사별 맞춤 보안 솔루션을 지원하고 있다.

NHN의 금융 클라우드인 ‘토스트 시큐어(TOAST Secure)’는 금융 클라우드 이용 가이드가 요구하는 기본보호조치 109개, 추가보호조치 32개 등 모든 항목에 대해 금융보안원이 직접 평가 완료 및 적합 판정을 내렸고, ‘토스트 시큐어’의 ‘금융존’은 MS애저, AWS 등의 다른 CSP의 자원에서도 논리적 망분리를 통한 멀티 클라우드를 제공할 수 있도록 설계됐다.

특히, 오픈스택 기반으로 구축된 클라우드로 멀티 클라우드 플랫폼(PaaS-TA)과의 연계가 용이하다. 데이터센터 인프라 관리, 클라우드 개발, 클라우드 시스템 운영, 보안 솔루션 운영까지 전 분야에 걸쳐 맞춤 운영도 제공된다.

NHN의 보안 솔루션은 내부통제 기준에 따라 전문 보안 아키텍처의 설계를 통해 제공하고 있다. 특히, 보안 시스템의 분리 구성, 시스템 게이트웨이를 통한 클라우드 접근 통제와 인증, VPN/ VDI/ 망연계 시스템을 통한 내·외부망의 단말기 접근 등 보안 솔루션을 제공하고 있다.

NHN은 높은 보안성을 기반으로 지난 8월 KB금융그룹에 금융 클라우드를 제공했다. KB금융그룹 산하 KB국민은행, KB증권, KB손해보험, KB국민카드, KB캐피탈, KB저축은행 등 6개 계열사에 ‘토스트 시큐어’를 제공하고 있다.

이번 계약으로 NHN은 KB금융그룹의 협업 플랫폼 ‘클레온(CLAYON)’을 주축으로 한 KB금융그룹의 전용 클라우드 시스템을 통합 제공하게 된다. ‘클레온’은 KB금융그룹이 내·외부 파트너들과의 협업 및 신기술 적용을 통한 금융/비금융 부문의 혁신 서비스 개발을 목표로, 토스트 전용 데이터센터인 ‘TCC(TOAST Cloud Center)’에 구축된 클라우드 플랫폼이다.

제공 서비스는 인프라 뿐만 아니라 KB금융그룹의 다양한 금융 서비스 제공에 필요한 멀티 클라우드 플랫폼과 서비스형 상품이 모두 포함되며, 전자금융감독규정 및 클라우드 컴퓨팅 이용가이드를 충족한 보안 솔루션 및 보안 관제 서비스를 함께 지원한다.
 

금융보안원과 함께 ‘금융통합 보안관제’ 서비스 제공

KT의 금융 클라우드는 인프라 보안 요건 및 특화 솔루션, 외부회선 연동 등 금융 시스템 구성을 위해 금융 전용 엔드 투 엔드 클라우드 서비스를 제공한다. 금융권 기업의 디지털 트랜스포메이션을 위한 컨설팅, 인프라 설계/구축/운영, 규제기관의 안정성평가도 지원하고 있다.

▲ KT 금융 클라우드의 보안성 제고 방안

특히, KT는 금융보안원과 협력해 ‘금융통합 보안관제’ 서비스를 제공하고 있다. 또한, 금융 부문 디지털 트랜스포메이션을 위한 전문 컨설팅 및 규제기관의 수검 지원 등 관련 서비스를 제공하고 있다.

KT의 주요 보안 매니지드 서비스는 다음과 같다.

▲ KT의 보안 매니지드 서비스


해외 CSP도 조만간 금융 시장 참여

현재는 금융 클라우드 시장은 국내 CSP만 참여하고 있다. 해외 CSP가 시장에 참여하기에는 여러 제약이 따르기 때문이다. 법적 제한이 아닌 규제 조건을 제시해 해외 CSP의 시장 참여를 늦추고 있다. 가령, 데이터 주권 문제, 금융사의 해외 CSP의 데이터센터 감사, 가이드에 제시된 요건의 불확실성과 모호함 등이다.

하지만 언제까지 이런 규제로 외국 CSP의 시장 참여를 막을 수는 없어 확대되고 있는 국내 금융 클라우드 시장에서 국내 CSP와 해외 CSP 간의 경쟁이 치열해질 것으로 보인다.

2019년 9월 스캇 멀린스 AWS 글로벌 금융사업 개발 총괄은 “향후 금융 산업의 대부분이 클라우드상으로 옮겨갈 것이며, 이 같은 분위기는 국내도 마찬가지 일 것”이라고 강조했다.

또한 AWS는 국내 금융 시스템 현대화를 위해 KB국민은행, 신한금융그룹, 현대카드 등 전통적인 금융사뿐만 아니라 카카오페이, 뱅크샐러드와 같은 핀테크 신생기업에까지 클라우드 혁신을 지원하고 있다. 아직은 대고객 서비스 측면에서 지원하고 있지만, 조만간 규제가 해외 CSP에게 풀린다면 금융 시장의 코어 금융시스템도 클라우드로 확장될 것이다.

▲ AWS의 국내 금융 클라우드 사례

[인터뷰]

“세계 금융시스템은 클라우드 기반에서 현대화 될 것”

 

스캇 멀린스 AWS 글로벌 금융사업 개발 총괄
 

Q. 금융 기관들이 클라우드를 도입하려는 이유는.

A. 금융 기업들은 변화하는 시장 변화에 대응하기 위해 어느 때 보다 빠르고 효율적으로 움직여야 하는 상황에 직면해 있다. 또 고객 중심, 보안, 관련 규정들에 주의를 기울이며 데이터를 보호하고, 데이터에 접근하고 공유할 수 있는 방안을 마련해야 한다. 클라우드 도입으로 이런 일을 효과적으로 수행할 수 있다.
 

Q. AWS의 금융 클라우드 특장점은.

A. 규제 강도가 높은 산업으로부터 축적된 경험이다. 핀테크 스타트업부터 세계 최대 은행, 증권 중개, 보험, 시장 인프라 제공업체까지 다양한 규모의 기관들은 그들의 비즈니스를 전환하고 가치 창출을 위해 AWS 서비스를 사용하고 있다.

AWS는 고객들이 높은 수준의 보안을 유지하면서 비즈니스 혁신과 현대화, 트렌스포메이션을 달성할 수 있도록 돕는다. AWS 고객들은 시장 출시 기간을 단축하고, 풍부한 고객 참여 및 경험을 제공하고, 보안을 자동화 및 강화하며, 효율성을 높이는 동시에 비용을 절감할 수 있다.
 

Q. AWS의 금융 부문 클라우드 보안성 제고 방법은.

AWS의 금융 서비스 보안 및 컴플라이언스 전문가들은 고객이 가장 엄격한 규제 요건을 충족하는 동시에, 조직의 위험 성향, 보안 목표, 전략 및 전술에 따라 특별히 설계된 확장 가능하고 안전한 클라우드 환경을 구축하도록 지원한다.

또한, AWS는 다수의 인증과 승인(accreditation)을 취득했으며, ISO 27001, ISO 27017(클라우드 보안), ISO 27018(프라이버시)와 같은 제3자 보증 프레임워크 컴플라이언스를 준수하고 있다. 여러 산업 특화된 글로벌 인증도 취득했다.

특히, AWS 상에서 고객은 데이터 암호화, 이동 및 삭제 기능을 포함한 데이터에 대한 완전한 통제권과 소유권을 항상 보유하고 있다. 고객 콘텐츠를 보호하기 위해 24시간 시스템을 모니터링하는 세계적 수준의 보안 전문 팀을 꾸리고 있다. 고객들은 미사용 혹은 사용 중인 데이터를 암호화할 수 있도록 AWS 도구를 사용하거나, 제3자 보안 솔루션을 사용할 수 있다.
 

Q. 향후 계획 중인 금융 클라우드 서비스 로드맵이 있다면.

A. 금융 서비스 고객들의 기존 프로세스를 간소화할 수 있으며, 효율성을 높이기 위해 ‘아마존 매니지드 블록체인(Amazon Managed Blockchain)’과 ‘아마존 QLDB(Amazon Quantum Ledger Database)’를 포함한 AWS의 블록체인 서비스를 금융에 접목시킬 예정이다.

사실 AWS에서 구축하는 서비스의 90%는 고객의 요청에 의해 만들어진 것이며, 나머지 10%는 고객이 정확히 언급은 하지 않았지만, 행간을 읽어 필요해 보이는 것을 개발해 선보이는 것이기 때문에 금융 클라우드도 행간의 흐름을 읽어 필요한 솔루션을 개발할 계획이다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지