글로벌 IT 기업의 국내 금융 클라우드 시장 진출이 시작부터 잡음에 시달리고 있다. 141개에 달하는 보안 인증을 충족한 국내 클라우드 업체와 달리 139개 보안 인증만 충족하고, 2개는 완료라는 모호한 표현을 썼기 때문이다. 업계에선 보안 인증에 완료라는 표현은 존재하지 않으며, 이는 부분충족이라는 경쟁사보다 떨어지는 결과를 감추기 위한 눈속임이라고 지적했다.
19일 한국마이크로소프트는 글로벌 IT 기업 최초로 금융보안원 금융 클라우드 안전성 평가를 완료했다고 밝혔다. 이에 따르면 한국마이크로소프트는 기본보호조치 109개 항목과 추가보호조치 32개 항목 등 총 141개 항목에서 자사 클라우드 서비스인 '애저(Azure)'의 안전성을 확인하고 검증했다.
국내 금융사가 클라우드 서비스를 이용하려면 '전자금융감독규정'과 '금융분야 클라우드 컴퓨팅 서비스 이용 가이드'에 따라 한국인터넷진흥원이 주관하는 기본보호조치(보안 인증)와 금융보안원이 주관하는 추가보호조치를 받아야 한다. 지금까지는 KT, 네이버비즈니스플랫폼, NHN 등 일부 국내 클라우드 업체만이 금융사들과 함께 보안 인증을 충족했고, 아마존웹서비스(AWS), 마이크로소프트, 구글 클라우드 등 해외 업체는 이를 충족하지 못하고 있는 상황이었다.
하지만 취재 결과 한국마이크로소프트는 139개 보안 인증만 충족하고, 2개는 부분충족한 것으로 확인됐다.
금융보안원은 32개 보안 인증을 충족, 부분충족, 미충족으로 나눠서 평가한다. 충족은 금융보안원이 요구하는 모든 보안 수준을 충족했을 때, 미충족은 전혀 충족하지 못했을 때 나오는 평가다. 문제는 부분충족이다. 나름 보안에 대한 준비를 했지만, 금융보안원이 요구하는 수준을 충족하지 못했을 때 부분충족이라는 결과가 나온다.
즉 한국마이크로소프트는 141개 보안 인증을 모두 충족하지 못한 상황에서 사내(사외 포함) 정보보호위원회에 금융 클라우드 이용에 대한 허가를 요청한 셈이다.
사소한 보안 문제가 개인정보 유출이나 재산 피해를 야기할 수 있는 금융 업계에서 한국마이크로소프트는 141개 보안 인증을 모두 통과하지 못한 채 완료라는 애매한 표현으로 금융 클라우드 사업에 나선 것은 문제가 있다는 지적이다. 특히 부분충족을 받은 영역이 보안과 직결되는 '시건장치'와 '보안관제 탭'인 만큼 이용자 재산과 직결되는 금융 클라우드 도입에 신중할 필요가 있다는 의견도 나오고 있다.
때문에 한국마이크로소프트가 'CSA Star' 인증을 통해 109개 기본 보안 인증을 생략할 수 있음에도 받은 점과 클라우드 전담 조직이 높은 평가를 받은 점 등 장점까지 빛이 바랬다.
더 큰 문제는 한국마이크로소프트의 보도자료를 통해 이러한 사실을 감춘 채 관련 기사가 나오고 있다는 점이다. 한 업계 관계자는 "회사가 141개 보안 인증을 충족하지 못했음에도 완료라는 근거 불명의 표현을 써 금융 업계에 충족한 것처럼 비칠 우려가 있다"고 지적했다.
19일 한국마이크로소프트는 글로벌 IT 기업 최초로 금융보안원 금융 클라우드 안전성 평가를 완료했다고 밝혔다. 이에 따르면 한국마이크로소프트는 기본보호조치 109개 항목과 추가보호조치 32개 항목 등 총 141개 항목에서 자사 클라우드 서비스인 '애저(Azure)'의 안전성을 확인하고 검증했다.
국내 금융사가 클라우드 서비스를 이용하려면 '전자금융감독규정'과 '금융분야 클라우드 컴퓨팅 서비스 이용 가이드'에 따라 한국인터넷진흥원이 주관하는 기본보호조치(보안 인증)와 금융보안원이 주관하는 추가보호조치를 받아야 한다. 지금까지는 KT, 네이버비즈니스플랫폼, NHN 등 일부 국내 클라우드 업체만이 금융사들과 함께 보안 인증을 충족했고, 아마존웹서비스(AWS), 마이크로소프트, 구글 클라우드 등 해외 업체는 이를 충족하지 못하고 있는 상황이었다.
하지만 취재 결과 한국마이크로소프트는 139개 보안 인증만 충족하고, 2개는 부분충족한 것으로 확인됐다.
금융보안원은 32개 보안 인증을 충족, 부분충족, 미충족으로 나눠서 평가한다. 충족은 금융보안원이 요구하는 모든 보안 수준을 충족했을 때, 미충족은 전혀 충족하지 못했을 때 나오는 평가다. 문제는 부분충족이다. 나름 보안에 대한 준비를 했지만, 금융보안원이 요구하는 수준을 충족하지 못했을 때 부분충족이라는 결과가 나온다.
즉 한국마이크로소프트는 141개 보안 인증을 모두 충족하지 못한 상황에서 사내(사외 포함) 정보보호위원회에 금융 클라우드 이용에 대한 허가를 요청한 셈이다.
사소한 보안 문제가 개인정보 유출이나 재산 피해를 야기할 수 있는 금융 업계에서 한국마이크로소프트는 141개 보안 인증을 모두 통과하지 못한 채 완료라는 애매한 표현으로 금융 클라우드 사업에 나선 것은 문제가 있다는 지적이다. 특히 부분충족을 받은 영역이 보안과 직결되는 '시건장치'와 '보안관제 탭'인 만큼 이용자 재산과 직결되는 금융 클라우드 도입에 신중할 필요가 있다는 의견도 나오고 있다.
때문에 한국마이크로소프트가 'CSA Star' 인증을 통해 109개 기본 보안 인증을 생략할 수 있음에도 받은 점과 클라우드 전담 조직이 높은 평가를 받은 점 등 장점까지 빛이 바랬다.
더 큰 문제는 한국마이크로소프트의 보도자료를 통해 이러한 사실을 감춘 채 관련 기사가 나오고 있다는 점이다. 한 업계 관계자는 "회사가 141개 보안 인증을 충족하지 못했음에도 완료라는 근거 불명의 표현을 써 금융 업계에 충족한 것처럼 비칠 우려가 있다"고 지적했다.
[마이크로소프트 로고 ]
