"금보위 인증 위해 국내은행과 협력 중..." AWS, 韓 금융 클라우드 시장 공략 의지 내비쳐

익명의 금융사와 함께 클라우드안정성평가 진행... 보안사고 대비 위한 '책임공유' 정책도 공개

스캇 멀린스 AWS 금융사업 개발 총괄.[사진=아마존웹서비스 제공]

전 세계 클라우드 시장 1위 업체인 아마존웹서비스(AWS)가 국내 금융 클라우드 시장의 빗장을 열기 위해 지속적인 노력을 기울일 계획이다. 이를 위해 국내 금융사와 협력해 클라우드안정성평가를 받는 등 국내 금융사들의 주력 금융 서비스를 AWS 클라우드로 유치하기 위한 작업을 진행 중이며, 현재 KB금융, 신한금융, 카카오페이 등을 고객사로 유치했다고 밝혔다.

4일 AWS는 서울 중구 프레지던트 호텔에서 기자간담회를 개최하고 국내 금융시장 공략을 위한 자사 클라우드 전략을 공개했다.

이날 행사에서 스캇 멀린스 AWS 금융사업 개발 총괄은 “빠르게 진화 중인 금융 시장 변화에 대응하기 위해 전 세계 많은 금융기관이 클라우드를 IT 전략의 핵심 요소로 활용하고 있다”며 “한국에서도 많은 금융 기업들이 클라우드를 활용해 IT 비용을 절감하고, 혁신 서비스를 개발하고 있다”고 말했다.

멀린스 총괄은 “금융보안위원회의 클라우드안정성평가는 클라우드 업체가 아닌 클라우드를 이용하려는 금융사가 받는 것”이라며, “구체적인 이름을 밝힐 수는 없지만, 몇몇 국내 금융사가 AWS와 함께 금융클라우드안정성평가를 진행 중이거나, 완료한 상태”라고 밝혔다.

국내 금융사가 금융 거래에 관련된 핵심 사업분야에 클라우드를 도입하려면 총 141개에 달하는 클라우드안정성평가를 통과해야 한다. 국내의 경우 은행과 국내 클라우드 업체가 파트너 협약을 맺고 평가를 통과했다. KT·KEB하나은행, NHN·KB금융지주, 네이버·IBK기업은행 및 코스콤 등의 사례가 대표적이다.

클라우드안정성평가를 통과하는 절차가 까다로운 만큼 AWS, 마이크로소프트 등 해외 클라우드 업체들은 관련 평가를 받지 않고 금융사의 주력 서비스 대신 메신저, 해외 홈페이지 등 주변 서비스를 자사 클라우드로 유치하는 전략을 추진할 것으로 예상됐다. 멀린스 총괄의 발언은 이러한 예상을 정면으로 부인하고, 국내 금융사의 핵심 서비스를 AWS로 적극 유치할 것임을 시사한 것이다.

멀린스 총괄은 국내 금융사들의 다양한 AWS 클라우드 활용사례도 공개했다. KB금융지주는 차세대 인터넷뱅킹서비스 '리브똑똑'을 클라우드를 활용해 구축했다. 모바일 메신저를 쓰는 느낌으로 모바일 뱅킹 서비스를 이용할 수 있는 것이 특징이다.

신한은행은 북미, 일본 지사의 인터넷 서비스를 구축하는데 AWS 클라우드를 활용했다. 이를 통해 운영비용의 50%를 절감할 수 있었다.

현대카드는 AWS 상에 개발 테스트 환경인 ‘플레이그라운드’를 구축해 신규 이용자 서비스 출시에 앞서 테스트 공간으로 활용하고 있다. 현대캐피탈은 구매하려는 차량을 360도로 관찰할 수 있는 서비스를 출시하는 등 AWS를 활용해 이용자들의 차량 거래경험을 개선하고 있다.

유안타증권은 AWS 클라우드를 활용해 금융시장 분석에 들어가는 비용의 90%를 절감할 수 있었다.

멀린스 총괄은 “많은 금융사들이 웹사이트 호스팅으로 클라우드 이용을 시작해서 자사의 서비스를 단계적으로 이전하는 절차를 밟고 있다”며 “골드만삭스, 가디안생명보험, 내셔널오스트리아 등 많은 해외 금융사가 AWS 클라우드 상으로 앱과 서비스를 옮긴 상태”라고 밝혔다.
 

'책임공유' 정책의 구조.[사진=아마존웹서비스 제공]

이날 AWS는 '책임공유(Shared Responsibility Model)'라는 금융보안을 위한 자사의 핵심 정책도 공개했다. 클라우드 하드웨어와 서비스 운영을 위한 백엔드 소프트웨어 관련 보안은 AWS가 책임지고, 클라우드 상에서 실행되는 앱과 서비스 보안은 금융사가 책임진다는 보안 정책이다.

지난 3월 미국의 대형 소비자은행 캐피탈원에서 1억600만명의 고객정보가 유출되는 사고가 일어났다. 캐피탈원은 AWS 클라우드의 대표적인 고객 가운데 한 명이다. 이번 사건으로 인해 AWS 금융 클라우드 보안정책에 문제가 있다는 지적이 끊이지 않았다.

책임공유는 이러한 보안사고가 일어났을 때 관리 책임소재가 누구에게 있는지 명확하게 가려준다. 멀린스 총괄은 “캐피탈원 고객정보 유출은 클라우드 보안 때문에 발생한 것이 아니라, 어떤 환경에서든 발생할 수 있는 문제”라며 “캐피탈원의 웹앱 방화벽 구성에 취약점이 존재했고 해커가 이를 악용한 사례”라고 설명했다.

이어 “캐피탈원 사고 이후 AWS는 금융사들과 최상의 보안을 위한 의견을 주고받았고, 재발 방지를 위한 가이드라인도 제정했다”고 덧붙였다.