공공 분야에서 외산 클라우드 도입이 확산하고 있다. 국산 클라우드 기업과 경쟁도 한층 치열해질 전망이다.
1일 클라우드 업계에 따르면, 금융보안원은 마이크로소프트 애저와 오라클 클라우드 인프라(OCI)를 동시에 활용해서 보안관제시스템을 구축하기로 했다.
이번 사업은 정부가 클라우드 보안인증(CSAP) 제도를 상·중·하 3단계로 개편한 이후 공공·준공공 영역에서 적용·확산하는 초기 사례라는 점에서 주목받는다.
앞서 정부는 지난해 말 CSAP 제도를 개편해 보안 민감도가 낮은 '하'등급 시스템에는 외산 클라우드 도입을 허용했다. 이후 마이크로소프트 애저, 구글 클라우드, 아마존웹서비스(AWS)가 차례로 하등급 인증을 획득했다. AWS는 이를 기반으로 인공지능(AI) 연구용 컴퓨팅 지원 프로젝트를 수주하며 외산 클라우드의 공공 진출을 공식화했다.
금융보안원은 보안관제시스템을 애저와 OCI를 동시에 활용하는 멀티클라우드 구조로 설계했다. 특정 사업자 종속을 피하고 리스크를 분산하기 위한 전략적 선택이다.
금융보안원은 공공기관은 아니지만 금융위원회·금융감독원 감독 아래 금융권 공동 보안관제를 맡고 있어 CSAP 가이드를 준수한다. 아직 CSAP 인증을 획득하지 못한 OCI를 공공기관과 달리 도입할 수 있는 이유다. 회색지대인 셈이다.
시스템은 애저 서울 중부 리전과 오라클 서울 리전에 각각 구축된다. 모든 환경은 다른 이용자와 분리된 독립 구조로 운영된다. 침입탐지시스템(IDS), 트래픽 분석시스템(TAS), 가상사설망(VPN) 등 핵심 보안 장비도 클라우드상에서 같게 설치된다. IDS는 시스코 FTDv10, TAS는 스플렁크와 연동돼 기존 센터와 호환된다.
보안 규정 준수도 강화됐다. 관리 서비스에는 다중인증(MFA)을 적용하고, 접근 기록은 최소 1년 이상 보관해야 한다. 연 1회 이상 취약점 분석·평가가 요구되고, 해외 법령에 따른 정보 제공 요청이 발생하면 금융당국과 금융보안원에 사전 통지 후 절차를 밟아야 한다.
금융보안원은 외산 클라우드를 도입하더라도 자체 보안 정책을 그대로 반영하겠다는 방침이다.
업계 관계자는 “외산 클라우드의 초기 적용 사례라는 점에서 상징성이 크다”며 “멀티클라우드 기반 보안관제를 운용하는 금융보안원의 선택이 공공·준공공 영역 IT 전략에 영향을 줄 것”이라고 말했다.
류태웅 기자 bigheroryu@etnews.com
