클라우드서비스 씨앗

씨앗소식

씨앗 이슈리포트
[2019-09] CLOUD ISSUE 01 싱가포르 은행연합 ‘클라우드 컴퓨팅 구현 가이드’ 발표 상세보기
[2019-09] CLOUD ISSUE 01 싱가포르 은행연합 ‘클라우드 컴퓨팅 구현 가이드’ 발표 게시글 정보입니다.
2019.08.16 14:05
[2019-09] CLOUD ISSUE 01 싱가포르 은행연합 ‘클라우드 컴퓨팅 구현 가이드’ 발표
01 싱가포르 은행연합의 클라우드 컴퓨팅 구현 가이드

최근 싱가포르 은행연합(ABS: Association of Banks in Singapore)에서 금융기관들이 클라우드 컴퓨팅을 도입할 때 고려하여야 할 가이드라인을 발표하였다.1) 이는 지난 2016년 6월에 발간한 첫 버전에 이어 두 번째 버전으로 지난 3년간의 기술 트렌드의 변화, 실제 클라우드를 사용하면서 얻은 경험 등을 반영하여 개편된 것이다. 실제 클라우드 도입을 희망하는 금융권 기업 혹은 기관들이 처음부터 우왕좌왕 하지 않고 실제 업무에 도움이 되면서도 금융권의 특성을 잘 반영할 수 있도록 하는 것을 취지로 하고 있다. 전체 50페이지 정도에 걸쳐 금융권의 다양한 프랙티스와 클라우드 도입 시 예상되는 리스크들을 망라하고 있는데, 본고에서는 카테고리 중심으로 주요 내용을 요약 소개하고자 한다.

 

1. 개요

기술의 발전, 특히 컴퓨팅 트렌드의 변화는 금융권에서의 정보시스템 운용에 많은 변화를 가져오고 있다. 그중 대표적인 것이 클라우드 컴퓨팅 도입의 가속화다. IT분야에서 가장 보수적인 금융권에서조차 클라우드 컴퓨팅으로 얻을 수 있는 많은 혜택들, 즉 IT운영비용의 절감, 인공지능 빅데이터와 같은 신기술의 확산 적용 등을 피해가기 어렵기 때문이다. 하지만 사소한 운영상의 오류, 혹은 보안 침해 사건이 국가의 경제시스템 전체의 신뢰에 영향을 줄 수 있는 금융시스템의 특성상 클라우드 도입에는 다각도의 치밀한 검토가 필요하다. 특히, 금융권의 일상의 업무에 필요한 중요한 워크로드를 클라우드로 전환하기 위해서는 리스크를 최소화하기 위한 가이드가 필요하다. 싱가포르 통화국(MAS: Monetary Authority of Singapore)에서는 매우 크리티컬한 워크로드를 별도로 분류하여 이런 워크로드를 실행하는 시스템에 대해서는 세심한 관리가 필요함을 강조하고 있다.2)

짧은 메모형태의 이 공지문에서는 정상적인 작동이 되지 않을 때 대고객 은행 업무에 매우 중요한 영향을 미칠 수 있는 부분을 크리티컬 시스템이라 포괄적으로 정의하고 있다. 고객 서비스의 중단을 초래할 수 있는 모든 상황이 이에 해당한다고 볼 수 있다. 크리티컬 시스템에 문제가 생길 경우 신속하게 회복하기 위한 목표 수립을 의무화 하고 있으며 모든 금융기관은 4시간 안에 회복할 수 있도록 하는 것을 권장하고 있다. 이 외에도 장애에 대한 분석 및 보고 체계, 사후 처리 결과를 정부 당국에 보고하는 것 등이 이 공지문(notice)에 포함되어 있는 주요 내용이다.

이번 가이드는 이러한 크리티컬 시스템이 클라우드로 옮겨질 경우 리스크를 최소화 할 수 있는 지침을 제공하는 것을 목적으로 하고 있으며 다음과 같은 내용들로 구성 된다.

  • 클라우드 아웃소싱(워크로드) 분류
  • 클라우드 아웃소싱 계약을 체결하기 전 실사 등 준비하여야 할 사항(due diligence)
  • 클라우드 아웃소싱에 필요한 통제수단(controls)

 

2. 클라우드 아웃소싱 분류

아웃소싱 계약을 분류하는데 활용되는 기준은 리스크의 영향력이다. 단순하게 표현하면 “중요한(material)” 또는 “중요하지 않은(non-material)” 아웃소싱으로 구분된다. 다르게 설명하면, 중요한 아웃소싱은 중요한 워크로드에 대한 아웃소싱 실행이고, 중요하지 않은 아웃소싱은 일반 워크로드에 대한 아웃소싱 실행이다. 싱가포르 통화국에서 정한 기준에 따르면 중요한 아웃소싱은 다음과 같은 경우에 해당한다.

  • 서비스 중단 혹은 보안 침해사고 시 금융기관 비즈니스 전반에 영향을 주거나, 리스크 관리 및 컴플라이언스 준수에 문제가 생기는 경우
  • 사용자 정보의 유출 등으로 인해 고객에 부정적인 영향을 끼치는 경우 이를 정리하면 아래 표와 같다.

table

 

중요한 혹은 중요하지 않은 것으로 분류가 되면 이에 대한 최소 통제 수단(controls)도 각각 중요한 워크로드 기준과 표준 워크로드 기준으로 정의된다. 위 분류표는 일부에 대한 예시이며 싱가포르 통화국에서는 더욱 상세한 기준과 사례를 제시하고 있다고 한다.

 

3. 실사를 포함한 계약준비를 위한 수행 사항

클라우드 아웃소싱 계약을 체결하기 위해서는 사전에 계약 당사자들의 의무와 책임, 그리고 관리 체계 등을 명확히 하여 금융기관에서 필요한 수준의 아웃소싱 서비스가 순조롭게 이루어지도록 해야 한다. 그러기 위해서는 금융기관과 클라우드 서비스 제공자(CSP)간 거버넌스 체계, CSP 평가 기준, 계약서에 포함될 주요 항목들이 준비되어야 한다.

 

3.1 거버넌스 체계

클라우드 서비스의 종류에 따라 금융기관과 클라우드 서비스 제공자(CSP)간 역할과 책임이 달라질 수 있다. 클라우드 아웃소싱의 중요한 특징으로 하나의 기준이 모든 아웃소싱 케이스에 적용되기 어렵기 때문이다. 통상 서비스로서 인프라(IaaS), 서비스로서 플랫폼(PaaS), 서비스로서 소프트웨어(SaaS), 이 세 가지로 구분되는 서비스 별 관리 책임, 즉 거버넌스 체계를 ABS에서는 (그림 1)과 같이 정의하고 있다.

클라우드 서비스에 따른 거버넌스 체계 (출처:ABS)

그림 1 클라우드 서비스에 따른 거버넌스 체계 (출처:ABS)

(그림 1)의 거버넌스 체계는 CSP와 계약 시 기준으로 삼기 위한 일종의 프레임워크(framework)로서 클라우드 서비스 방식에 따른 CSP와 금융기관의 관리영역을 제시하고 있다는 것이 큰 의미가 있다. 각각 CSP와 금융기관이 관리하도록 되어 있는 부분은 계약서에도 그 책임소재를 명확하게 정의하여야 한다. 다만, PaaS의 경우 금융기관과 CSP의 관리 역할이 모호한 부분들이 꽤 있다. 이는 PaaS 성격상 클라우드 서비스에서 어떤 서비스를 선택적으로 활용하는가에 따라 관리 책임이 많이 달라 질 수 있기 때문이다. 클라우드 서비스를 활용하는 주요 요인이 클라우드에서 제공되는 최신 기술을 활용하기 위함이므로, 점점 더 PaaS형태의 서비스 활용도가 높아질 것으로 예상되는 만큼, 금융기관 입장에서는 CSP와의 계약 시 특히 주목해야 할 부분이다.

ABS는 이 외에도 거버넌스 체계 관점에서 챙겨야 할 사항들을 다음과 같이 열거하고 있다.

  • KPI(Key Performance Indicators) / KRI(Key Risk Indicators): 서비스 수준 계약(SLA) 등에 명시하여할 정량적 지표
  • 제3자 혹은 하청계약으로 인한 리스크 관리: CSP의 하청 계약과 관련된 리스크 관리 명시
  • 자산 분류 정책: 리스크 프로파일링을 위해 CSP에게 제공되어야 할자산에 대한 명확한 구분 체계 필요

 

3.2 CSP 평가

CSP 평가는 몇 가지 주요 기준을 가지고 행해진다. 우선 상호 기밀 유지가 잘 될 수 있는지를 확인하고, CSP에 대한 운영 평판, 그리고 자체 컴플라이언스와의 모순이 없는 가 등이다. ABS에서는 다음과 같은 항목들을 제시하고 있다.

  • 중요도: 앞서 언급한 금융기관의 중요도(materiality) 분류에 따른 요건 충족 가능 여부
  • 재무 건전성: 지속가능한 서비스 제공 가능 여부
  • CSP 거버넌스 체계의 안정성: 회사가 일정 수준의 조직적 규율로 잘 운영되는가?
  • 데이터 센터: 데이터센터의 위치, 제공서비스 등에 대한 명확한 가시성
  • 물리적 보안 리스크 평가: 데이터 센터를 통해 발생할 수 있는 보안 위협 및 취약성들에 대한 평가
  • 실사 프로세스: CSP에 대한 실사는 아웃소싱 서비스가 이루어지는 모든 장소에서 이루어져야하며, 이에 대한 충분한 리포트가 준비 되어야 함. 이 리포트를 기반으로 아웃소싱을 하는 금융기관은 싱가포르 통화국의 기술위험 관리 가이드라인 (Technical Risk Management Guidelines) 및 아웃소싱 가이드라인을 충족하는 지 확인하여야 함
  • 하청계약 여부: 하청계약 여부 및 프로세스에 대한 확인
  • 아웃소싱 사전/사후 실행 리뷰 평가: 실행 전 체크리스트와 실행 후 체크리스트를 리뷰 하는 과정을 통해 필요한 업무 인수/인계 및 예견되는 리스크를 사전 예방할 수 있도록 함

 

3.3 계약관련 주요 확인 사항

최종 계약서를 완성하기 전 협상 단계를 거치면서 합의된 사항들이 확실하게 계약서에 명문화 되어 있도록 금융기관들이 사전에 세심한 준비를 게을리 하지 않을 것을 ABS에서 주문하고 있다. 특히 정보보안, 그리고 이슈 발생 시 통제 수단에 대한 부분들을 계약서에 빠짐없이 담을 수 있도록 하고 있다. 다음과 같은 항목들을 계약 시 고려 사항으로 제시하고 있다.

  • 데이터 기밀성 및 통제 권한: 금융기관 데이터의 보호 및 이슈 발생 시 이를 해결하기 위해 필요한 통제수단의 발생 및 변경 조건, 혹은 요구사항의 변경 등에 대한 사항
  • 데이터 전송 및 데이터 보관 장소: 클라우드 서비스의 특성상 발생할 수 있는 데이터 보관 장소, 혹은 다른 장소로 데이터를 전송할 때 혹시라도 발생할 수 있는 지역/국가별 규정/컴플라이언스 이슈 발생 시 싱가포르 금융당국의 관할 하에 해결할 수 있어야 함
  • 감사 및 점검: 금융기관 혹은 관리감독 기관의 감사 및 점검을 저해하는 상황을 방지 할 수 있는 조항이 반드시 포함되어 있어야 함. 한편 CSP도 적정 수준(reasonable)의 감사를 위한 자료 제공 의무 조항 필요
  • 비즈니스 영속성 관리: CSP의 파산, 혹은 피인수/합병 등 유사시 서비스를 지속하기 위한 계획이 명시되어 있어야 함
  • 제3자 하청계약: CSP의 하청계약으로 인한 리스크를 방지하기 위한 조건으로 사전 승인 또는 제3자로 인한 이슈 발생 시 책임 소재 명시
  • 서비스 수준 계약(SLA): 상호 합의한 일정 수준의 정량화된 서비스 품질 조건
  • 데이터 리텐션(retention): 클라우드와 같은 공유된 환경에서의 데이터 리텐션에 관한 조항들로, 필요할 때 해당 금융기관만 안전하게 접근할 수 있는 것뿐만 아니라, 서비스 종료 시 CSP가 확실하게 모든 데이터를 삭제하는 것도 포함될 수 있음
  • 자동 계약 종료: 금융기관이 CSP의 동의 없이 계약을 종료할 수 있는 조항들을 명확히 정의
  • 계약 종료 시 수행되어야 할 사항: 계약 종료 프로세스의 일환으로 필요한 사항들로, 예를 들면 금융기관 데이터의 완전한 삭제 등이 있음

 

4. 클라우드 아웃소싱에 필요한 주요 통제수단(Controls)

클라우드 아웃소싱 서비스를 구현하기 위해서는 클라우드 구현단계 및 관리수준(책임)에 따라 매우 광범위하고 다양한 대상으로 제어 및 관리가 필요하다. ABS에서는 이를 통상 통제수단(Controls)으로 부르고 있다. 중요하지 않은(non-material) 혹은 표준 워크로드와 관련된 일반적인 통제수단과 중요한(material) 혹은 크리티컬한 워크로드와 관련된 추가적인 통제수단들이 모두 고려되어야 한다. 물론 중요한 워크로드를 실행하기 위해서는 표준 워크로드 실행에 필요한 모든 통제수단들도 함께 고려되어야 한다.

ABS에서는 클라우드 아웃소싱으로 가는 과정을, 1) 클라우드 관리체계 정립 2) 클라우드 설계 3) 클라우드 실행, 이 세 단계로 분류하고 있다.(그림 2) 각 과정에서 필요한 통제수단을 열거하고 각각이 추구하는 목적을 명시하고 있으며, 워크로드 분류에 따른 고려사항을 상세히 설명하고 있다.

클라우드로 가는 단계 (The Journey to the Cloud, 출처: ABS)

그림 2 클라우드로 가는 단계 (The Journey to the Cloud, 출처: ABS)

금융기관과 CSP간 이러한 통제수단에 대한 상호 합의가 궁극적으로는 계약서 혹은 부속 과업명세서(Statement of Work)에 명시됨으로써 클라우드 아웃소싱으로 인해 발생할 수 있는 리스크를 최소화 하면서도 클라우드활용 효과를 높일 수 있다. 단계별 통제 수단(혹은 고려사항)은 다음과 같다.

 

4.1 클라우드 관리체계 수립 단계

  • CSP관리를 위한 조직체계
  • 평가/사정 및 모니터링 제어수단 정의
  • 과금체계 모델링

 

4.2 클라우드 설계 및 확보 단계 (구현 전 필요한 고려사항)

  • 클라우드 아키텍처 참조 모델 및 관련 솔루션/프랙티스
  • 가상화, 컨테이너화(containerization) 및 데브옵스에 대한 고려
  • 가용성 및 복원성이 담보되는 클라우드 아키텍처
  • 워크로드의 중요성 및 다양한 요구사항을 반영하는 네트워크 구조
  • 암호화키 제어 및 관리체계
  • 암호화 수준 및 관리체계
  • 토큰화(tokenization)3)에 대한 고려
  • 직원 및 비즈니스 파트너사 접근 및 인증 체계
  • 관리자 혹은 특별한 권한을 수행할 수 있는 접근 및 인증 체계
  • 금융기관 혹은 CSP의 원격 관리 기능
  • 데이터 유실 방지를 위한 체계
  • 소스코드 레벨에서의 관리 체계
  • 모의 보안 침해 테스트 실행 및 운영 체계
  • 보안관련 로그 수집 및 모니터링 운영 및 관리체계
  • 클라우드 수행 과정에 대한 로그 및 백업 관리체계
  • 4.3 클라우드 실행 단계
  • 운영환경 변화 혹은 기술발전 등에 대응하기 위한 변경관리 체계
  • 안전하고 일관성 있는 클라우드 실행을 위한 형상관리 체계
  • 인프라스트럭처 및 관련 이벤트 모니터링 체계
  • 주요 사건/사고 탐지 및 문제 처리/관리 체계
  • 용량 관리
  • 취약성 분석/관리 및 개선 체계
  • 재난복구를 위한 공동 시험 운용체계

 

5. 정리하며

싱가포르 은행연합(ABS)에서 제시한 가이드는 일반적인 IT 운영 아웃소싱에 필요한 체크포인트도 포함하고 있지만, 클라우드 아웃소싱 관점에서 더욱 신중하게 준비해야 할 사항들을 강조하고 있다. 여기에는 클라우드 환경, 즉, 물리적으로 공유가 가능한 환경에서 더욱 깊이 있게 고려되어야 할 보안관련 이슈, 그리고 데이터에 대한 오너십, 서비스 종료 혹은 변화 시 필요한 내용도 광범위하게 다루고 있다. IaaS, PaaS 혹은 SaaS 등 다양한 형태의 클라우드 서비스 활용 시 사용주체(여기서는 금융기관)와 클라우드 서비스 제공자(CSP)간의 책임과 권한도 중요하게 다루고 있다.

전체 세 개의 큰 섹션으로 구분되어 있는 가이드에는 클라우드 운영에 대한 전반적인 거버넌스, CSP와의 아웃소싱 계약에 필요한 실사 및 준비사항(due diligence), 실제 클라우드 구현 시 고려되어야할 통제수단(controls)이 망라되어 있다. 싱가포르의 금융기관뿐만 아니라 아직 클라우드 도입을 고려하고 있지 못한 기업들에게도 이 가이드는 매우 유용하게 활용될 수 있다는 점에 주목하고 싶다. 특히 금융권과 같은 보수적인 산업 집단에 적용될 수 있다는 것은 정부 및 산하기관과 같은 공공 부문에서의 클라우드 도입 시 대두되는 많은 이슈들에 대한 해결책을 제시할 수 있다는 것을 암시한다.

한편 클라우드 서비스 제공자 입장에서는 차별화된 경쟁력을 갖추기 위한 지침으로도 활용될 수 있다. CSP관점에서 본 가이드에서 제시하고 있는 항목에 대해 자사가 제공할 수 있는 서비스 수준을 점검해 보고, 또 미흡한 점을 보완할 수 있는 훌륭한 참고자료가 될 수 있을 것이다. 현재 발표된 버전 2.0은 2016년 6월 발표된 1.0 이후 18개월에 걸친 연구 결과물이라고 한다. 그러니까, 1.0이 발표된 지 1년 반 정도 지났을 무렵 클라우드 기술과 산업 환경 변화를 반영할 필요성을 느껴 연구를 진행한 것이다. 아마도 그 다음 버전 3.0은 3년이 아니라 더 앞당겨져 나올 것이다. 그만큼 관련 기술 및 시장 판도가 빠르게 바뀌기 때문이다. 우리나라 금융권 및 공공기관에서의 클라우드, 특히 퍼블릭 클라우드 도입이 화두가 되고 있는 만큼 이번 ABS의 가이드를 심층 분석하는 것은 매우 의미 있는 일이라 생각된다.

 

참고문헌

01) ABS, “ABS Cloud Computing Implementation Guide 2.0 for the Financial Industry in Singapore”, Aug. 2019
02) MAS, “Notice on Technology Risk Management”, MAS Notice 644, June, 2013
03) 데이터를 토큰(Token)으로 치환하여 원본데이터 대신 토큰을 사용하는 기술. 이 기술은 개인정보의 유출 위험이 있는 전송 과정과 저장 단계에서 개인정보 데이터를 치환한 토큰 데이터만을 전송하고 저장함으로서 개인정보를 보호하는 접근법. 스마트폰 간편 결제 시 계좌 및 카드 정보들을 보호하기 위한 일회용 토큰사용을 예로 들 수 있음.