AWS 사고에 속수무책..개방되는 금융권 클라우드는 어쩌나

서버 국내에 있으면 뭐하나…관리시스템 없어 사고시 무용지물
금융권 자율 규제 어려워…규정 정비해 해외 클라우드 감독권 강화해야
해외 클라우드 서버도 열람하는 미국..우리는 그렇지 않아

등록 2018-12-03 오후 5:03:36

수정 2018-12-03 오후 5:03:36
가 가

[이데일리 김현아 기자]

아마존웹서비스 로고

지난 22일 오전 글로벌 클라우드 서비스 아마존웹서비스(AWS)가 장애를 일으켜 코인원, 업비트, 고팍스, 비트소닉, 코인레일 등 AWS를 썼던 국내 암호화폐거래소들이 피해를 입었지만 늑장 대응이라는 비판을 받았다. 국내에 법인이 있지만 마케팅 역할만 해서 문제점을 찾아 해결하는 데 시간이 걸린 것이다.

그런데 금융위원회가 ‘전자금융감독규정’을 바꿔 국내 은행이나 증권사도 클라우드 서비스 업체가 제공하는 서비스를 이용할 수 있게 규제를 풀기로 하면서 △사고 시 해외 클라우드 사업자에 대한 감독권 확보 문제와 △개인신용정보 등 개인정보 유출 시 대책 마련 문제가 제기되고 있다.

KT나 네이버비즈니스플랫폼 같은 국내 기업과 달리 AWS나 MS, IBM 등 외국 사업자에는 우리나라의 행정력이 미치지 않기때문이다.

업계는 공공부문에 이어 금융권까지 클라우드 시장이 확대된 걸 찬성하면서도 정부가 외국계 사업자에 대한 감독권 확보에 더 신경써야 한다고 지적했다.

MS의 클라우드 플랫폼 ‘애저’

서버 국내에 있으면 뭐하나…관리시스템 없어 사고시 무용지물

AWS나 MS 애저도 국내에 아예 서버가 없는 것은 아니다. 국내 데이터센터(IDC)에 서버를 두지만, 운영 관리는 해외에서 이뤄진다. AWS는 KT 마포 센터에 있고, 구글 클라우드는 LG유플러스 센터를 이용할 예정이다.

백두현 KT 클라우드사업부 팀장은 “국내에도 (외국계 클라우드의) 서버가 있지만 운영은 미국 본사나 호주에서 이뤄진다. 현지 법인은 100% 세일즈 역할이어서 운영관리 역할은 없다. 금융사고 발생 시 국내 법인이 관여하기 어렵다”고 말했다.

최민식 상명대 지적재산권학과 교수는 “외국계 클라우드의 고유식별정보 및 개인신용정보 처리시스템은 국내 소재를 규정하나 핵심인 관리시스템까지 포함한다고 명시돼 있지 않다. 정보통신망법 개정이 필요하다”고 말했다.

정보통신망법을 개정해 해외에 있는 데이터센터에서 국내 소재 데이터센터에 저장된 개인정보를 접속해 관리할 경우 개인정보의 국외이전에 해당되도록 법을 개선해야 한다는 의미다. 이리되면 AWS나 MS, 구글 등은 관리시스템 서버도 국내에 둬야 한다.

금융권 자율 규제 어려워…규정 정비해 해외 클라우드 감독권 강화해야

금융위는 이번에 ‘전자금융감독규정’을 개정해 상용 클라우드를 쓸 수 있게 했다. 기존 비중요정보에 개인신용정보 및 고유식별정보까지 포함한 것이다.

금융위 역시 금융 정보의 해외 유출 문제를 우려해 외국계 클라우드를 도입하는 금융권이 자체적으로 계약 사항에 이에 대한 대책을 반영토록 권고하고 있다. 관리적·물리적 보호조치를 가이드라인 형식으로 금융권에 제시하고 있다.

하지만 이는 국내 금융권의 현실과 동떨어진다는 지적이다. 백 팀장은 “사실 금융권이 알아서 개인정보의 국외 유출 문제를 해결하기란 쉽지 않다”며 “특히 (외국계 클라우드가) 민간 해외 커머셜 인증을 확보하면 물리적 관리 조치까지 건너띌 수 있게 한 것은 독소조항이 될 수 있다”고 우려했다.

차재필 한국인터넷기업협회 정책실장은 “AWS 불통사태가 만약 국내 기업이었다면 난리가 났을 것”이라며 “외국계 기업에 정부의 행정력이 미치지 않는 상황에서 금융권에까지 개방되면 국민의 데이터를 효과적으로 보호할 수 있을지 의문이다. 전자금융 감독규정을 정비해 관리시스템에 대한 요건을 강화하고 해외 클라우드 서비스에 대한 조사·감독권을 강화해야 한다”고 말했다.

클라우드 서비스: 인터넷환경에서 떠다니는 구름처럼 고정된 하드웨어에 구애받지 않고 소프트웨어 환경을 이용해 어디서든지 자료를 쉽게 이용할 수 있는 데이터 저장방식이다.

해외 클라우드 서버도 열람하는 미국…우리나라는 그렇지 않아

한편 미국에서는 최근 ‘해외 데이터 이용 합법화’ 법률을 통과시켰다. 미국 수사기관이 구글이나 마이크로소프트, 아마존, 애플 등 미국 IT기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할 수 있게 된 것이다.

김현철 정보통신산업진흥원 박사는 “미국 정부가 미국 법원의 영장 없이도 해외 서버에 있는 데이터들을 미국 정부가 확인할 수 있는 제도를 만들어 불안이 가중되고 있는데 국내 클라우드법은 그렇지 않다”며 “이 법은 클라우드의 속성인 정보의 국외 이전을 전제로 하면서도 내국민의 개인정보보호를 위해 몇 가지 책임 규정을 두고 있을 뿐이다. 적절한 감독규정과 조사권 부여가 필요하다”고 말했다.