default_top_notch
default_setNet1_2

KB금융-AWS, 갈등설 확산…MTCS 인증서 ‘논란’

기사승인 2019.10.07  02:35:25

공유
default_news_ad1

- “금융당국 기본보호조치” 요구에 “생략 가능” 맞서고 있어

결국, 현장의 혼란으로 되돌아 온 것인가.

아마존 웹서비스(이하 AWS)의 싱가폴 MTCS(Multi-Tier Cloud Security) 인증서 ‘진위’ 논란이 지속중인 가운데, KB금융그룹과 AWS 갈등설이 확산중이다. 

7일 KB금융그룹 및 업계에 따르면, 최근 KB금융그룹이 KB카드, ‘마이데이터 기반 리브메이트 3.0’ 구축을 위해 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’에 따른 기본보호조치 안정성 평가를 AWS측이 거부하고 있는 것으로 알려졌다.<그림1 ‘KB카드 마이데이터 기반 리브메이트 3.0 시스템 구성’ 참조>

   
▲ 그림1 ‘KB카드 마이데이터 기반 리브메이트 30 시스템 구성’.(출처 : KB카드 배포 RFP 일부내용 발췌)

KB금융그룹은 자사 계열 금융회사의 단위 업무 등 ‘클라우드 운영 및 개발’을 위해 ‘클레온(CLAYON)’을 운영 중이다. 

‘클레온’은 서비스 플랫폼으로 기능과 함께, 구축된 ‘클레온 포탈’을 통해 ‘업무시스템 퍼블릭 클라우드 구축’ 후 서비스 사업에게 주요 계열사 업무시스템을 분산, 배분하도록 지원한다. 

AWS는 자신들이 싱가폴에서 MTCS 인증서를 보유하고 있으니, 109개에 달하는 기본 보호조치 평가’ 생략이 가능하다고 주장한 것으로 전해졌다. 

이에 대해, KB금융그룹은 AWS가 제출한 MTCS 인증서를 인정하지 않겠다고 맞서고 있는 형국이다. 

2019년 1월 1일 제정한 ‘금융분야 클라우드 컴퓨팅서비스 이용 가이드’에 따르면, “국내외 클라우드 보안인증을 취득·유지하고 있는 클라우드 서비스 제공자의 해당 서비스에 대해 ‘기본 보호조치’ 항목 평가 생략이 가능하다”고 규정하고 있다. 

AWS측은 즉, 공신력 있는 싱가폴 MTCS 인증서가 있기 때문에 AWS는 KB금융그룹의 109개 ‘기본보호조치’는 생략하고, 추가 보호조치 32개에 대한 평가만 받겠다는 것이다. 

7일, 현재 금융보안원에 확인 결과, KB금융그룹이 KB카드 마이데이터 관련 기본보호조치에 대한 평가 요청은 없는 것으로 알려져, KB금융그룹과 AWS 사이 갈등설을 반증하고 있다. 

이에 대해 KB금융그룹은 AWS 제출 인증서가 현재 논란이 되고 있고, 특히 인증서내 있어야 할 ‘IAF(International Accreditation Forum)’를 확인하지 못했기 때문에, 금융 분야 클라우드 컴퓨팅 서비스 이용 가이드라인을 준수하라고 촉구하고 있다. 

AWS측이 BI코리아에 제출한 MTCS 인증서에는 AWS 싱가폴 인증서나 또는 다른 클라우드 서비스 사업자가 받은 인증서에는 있는 ‘IAF’ 로고가 ‘AWS 서울리전 인증서’에는 없다.<그림 ‘MTCS 관련 IBM 인증, AWS 싱가폴 인증, 서울 리전 인증서 비교’ 참조>

   
▲ 그림2 ‘MTCS 관련 IBM 인증서 화면'.(출처 : BI코리아 다운로드 및 캡처)
   
▲ 그림6 ‘MTCS 관련 AWS 싱가폴 리전 인증서 화면'.(출처 : BI코리아 다운로드 및 캡처)
   
▲ 그림6 ‘MTCS 관련 AWS 서울 리전 인증서 화면'.(출처 : BI코리아 스캔 및 캡처)

IAF 로고는 싱가폴 인증을 한국에서도 인정받을 수 있는 IAF 회원자격이라는 표식이다. 

KB금융그룹은 이 IAF로고가 있어야 ‘싱가폴 인증을 서울에서도 인정할 수 있는 국가간 협약’이 인정되는데, AWS가 제출한 ‘인증서’에는 이 IAF로고가 빠져 있다. 

특히, KB금융그룹이 추가로 문제를 제기하는 대목은, 그 어떤 인증서를 제출해도 ‘인증서 내에 워터마크’ 등이 없는 무결한 형태로 제출돼야 하는데 AWS 제출 문서에서는 여전히 사선으로 워터마크가 찍혀 있다. 

논란은 여기서 거듭해, 'IAF로고'가 빠진 AWS가 제출한 인증서만 믿고 기본보호조치를 생략, 문제가 발생할 경우 KB금융그룹이 ‘KB카드 마이데이터 운영’에 대한 막대한 책임까지 떠안게 된다는 것이다. 

정작 ‘MTCS 인증서’ 논란을 책임져야 할 AWS 어깃장에 국내 금융회사들이 현장의 혼란이 가중되는 형국이다. 

이같은 현실이 최근까지 AWS가 불필요하게 확대, 포장된 기업이 아니었는지 되돌아보는 기회가 돼야 한다는 다른 얘기일 수도 있다. 

<김동기 기자>kdk@bikorea.net

김동기 기자 kdk@bikorea.net

<저작권자 © BIkorea 무단전재 및 재배포금지>
default_news_ad3
default_setImage2

최신기사

default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3

섹션별 인기기사 및 최근기사

default_setNet2
default_bottom
#top
default_bottom_notch