금융 클라우드 가이드 개정, '금융사 책임 강화'

금융보안원이 '2025 금융분야 클라우드컴퓨팅서비스 이용 가이드' 개정안을 발표하면서, 금융사가 클라우드를 단순한 기술 도구라 아니라 직접 통제하고 책임져야 하는 인프라로 규정했다.

클라우드 환경에서 전자금융사고가 생기더라도 최종 책임은 금융사에 있다는 원칙을 더욱 명확히 했다.

금융보안원에 따르면 이번 개정안은 기존 가이드와 비교해 금융사에 요구되는 책임, 의무 수준이 높아졌다. 기존 가이드가 클라우드 도입을 위한 기준과 절차가 초점을 맞췄다면, 이번 개정안은 도입 이후의 운영 관리, 계약 종료, 사고 대응까지 전 주기에서 금융사의 직접 통제와 책임 수행을 요구하고 있다.

가장 두드러진 변화는 '출구 전략'과 '업무 연속성 확보 계획'의 의무화다. 권고 수준이었던 항목이 법적·제도적 절차가 된 것이다. 금융사는 클라우드 서비스가 중단되거나 제공 업체가 파산하는 등 위급한 상황에 대비해 데이터 이전·삭제 절차·대체 방안 등을 사전에 계획하고 문서화해야 한다. 단순 실무 절차가 아니라 정보보호위원회 심의, 최고경영진 보고, 이사회 승인까지 포함된 경영 책임 차원으로 격상됐다.

'중요업무' 판단 기준도 구체화했다. 그동안 포괄적이고 추상적인 수준에 머물렀다면, 개정안은 업무 특성과 데이터 민감도를 바탕으로 금융사가 자체적으로 중요업무 여부를 판별하고, 그에 따른 보안 전략을 차등 적용한다. 중요업무는 그만큼 보안 점검 항목과 계약 요건이 강화된다.

보안 점검 체계도 정비됐다. 그동안 금융사는 클라우드 제공자의 인증이나 자체 보안 점검 결과로 보안평가를 간소화해왔지만, 이번 개정안은 금융사가 책임 주체로서 독립적 책임 주체로 직접 평가, 검증을 수행해야 한다.

아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등 글로벌 클라우드 서비스(CSP) 에 대한 규제도 강화됐다. 고유식별정보나 개인신용정보는 반드시 국내 전산실에 저장·처리해야 한다. 해외 CSP의 로컬존을 이용하려면 계약 구조, 데이터 관리 정책 등 국내 규제에 부합하도록 설계해야 한다.

세계적으로 클라우드 도입은 기본이 되고 있다. 강호된 보안 체계는 금융권의 클라우드 전략에도 변화를 줄 전망이다. 기술 부서 영역이던 클라우드 전환은 이제 정보보호, 리스크관리, 감사, 법무, 사업부서 등 전사적 협업과 의사결정 체계가 필요해졌다.

금융사는 거버넌스 차원에서 클라우드 활용을 접근해야 보안 기준을 충족할 수 있다. 금융보안 강화를 위해서는 정보보호 부서 차원에서는 한계가 있다. 내부 중요도 평가 기준 수립, 관련 문서화, 보안성 점검 등의 절차는 법무·IT·사업부서 등과 협업이 필수다.

금융권 관계자는 “클라우드는 금융 서비스 혁신을 위한 필수 기반이지만 이를 안전하게 운영하려면 그만큼의 보안 역량과 조직도 뒷받침돼야 한다”며 “보안 전문가 확보뿐 아니라 보안 부서의 역할과 권한 확대가 필요해졌다”고 말했다.

박두호 기자 walnut_park@etnews.com