지난해 11월 금융회사가 자율적으로 클라우드컴퓨팅을 활용할 수 있도록 전자금융감독규정을 개정한 이후, 현재까지 24 건의 금융회사 시스템이 클라우드 이용을 위해 ‘비중요정보처리시스템 지정’을 획득 것으로 나타났다.
금융감독원 정기영 IT총괄 팀장은 20일 서울 그랜드 인터컨티넨탈 파르나스 호텔에서 열린 '제8회 클라우드 프론티어2017’ 행사에서 이같은 금융권 클라우드 이용 현황을 공개했다.
지난 2016년 10월 금융위는 클라우드컴퓨팅 활용 및 핀테크 산업 발전 등 변화된 현실에 맞게 규제를 합리적으로 개선하고자, 전자금융감독규정을 개정했다. 개정된 전자금융감독규정에 따라 금융회사는 비중요 정보를 다루는 시스템에 대해서 '비중요 정보처리시스템'으로 지정하고 자율적으로 클라우드컴퓨팅을 활용할 수 있게 됐다.
단, 개인 고유식별정보 또는 개인신용정보를 처리하는 시스템은 지정 불가하다. 금융회사는 비중요 정보처리시스템 지정시 자체 정보보호위원회의 심의·의결을 거치고, 지정일로부터 7일 이내에 금융감독원에 보고서를 제출해 최종 승인받아야 한다.
정기영 팀장에 따르면 지난해 11월 규정이 시행된 후 올해 4월까지 금융회사의 비중요 정보처리시스템 지정은 총 24건으로 집계됐다.
정 팀장은 “금융권에서 아직 (비중요 정보처리시스템 지정) 절차에 익숙하지 않고 기존에 사용하고 있던 시스템이 있기 때문에 아직 20여 건이지만 장기적으로 더 늘어날 것으로 본다”고 말했다.
금융 업종별로 나눠보면, 카드사가 10여 건으로 클라우드 활용에 가장 적극적이었고, 이어 보험 6건, 증권 4건, 은행 1건 (기타 3건) 순으로 나타났다.
금융회사가 클라우드를 이용하는 분야는 중요 정보를 포함하지 않는 단순 업무처리가 대부분이다.
정 팀장은 “회사 및 상품 소개, 편의서비스제공, 업무지원용, 본인인증 내역, 보험계리 등이 많다”고 말했다.
또 정기영 팀장은 이날 발표에서 “금융권에서 클라우드를 이용하는 과정을 ‘선정-도입-이용-관리 및 사후관리’ 4단계로 나눌 수 있다”고 보고 각 단계마다 고려해야 할 사항을 설명했다.
선정 과정에선 “실제 클라우드 서비스를 지정하기 위해서 처리 정보의 중요도 및 정보 위변조 유통시 파급효과를 봐야 한다. 또 업무연속성 저해수준, 업무 중요도, 정보처리시스템의 용도, 이용자 수 등을 고려해야 한다”고 조언했다.
또 “고유식별정보가 없는 것을 선정해야 하기 때문에 홍보용 홈페이지, 주식시세 제공시스템, 파일 배포시스템, 리스크 관리시스템 등이 가능하다”고 덧붙였다.
관련기사
- "평창동계올림픽, KT 클라우드 이용 대표 사례"2017.06.20
- "클라우드 없는 공공정보화 사업, 예산 재심의"2017.06.20
- "하이브리드 클라우드로 4차산업혁명에 대비해야"2017.06.20
- “4차 산업혁명기 클라우드 화두는 다양성”2017.06.20
도입 단계에선 “보안성, 국내법규 준수 여부, 호환성, 재무구조 및 신뢰성은 물론 정보보호최고책임자의 역할과 책임, 자료제출 요구 및 검사 수용의무 등을 봐야 한다”고 제안했다.
이어 이용 단계에서는 “전자금융감독규정, 신용정보업 감독규정 등의 기술적, 물리적, 관리적 보안대책을 준수하고 있는지 확인해야 한다”고 했고 관리 및 사후 관리에 대해선 “서비스수준관리(SLA)를 맺어야 하고 비인가자 접근 통제, 자산 변경시 보안성 및 호환성 검증, 재해복구 계획 마련 등을 확인해야 한다”고 조언했다.
