코로나19로 인한 사회적 거리두기가 일상화되면서 재택·원격근무가 대세가 된 가운데 기업들은 장소의 제약이 없는 클라우드로의 전환을 서두르고 있다. 클라우드는 언제 어디서나 이용이 가능하다는 장점이 있지만, 접속이 용이해 회사의 중요한 정보가 빠져나가기 쉽다는 단점도 있어 금융권처럼 규제가 심한 산업에 속한 기업은 자사가 보유한 고객 관련 데이터가 유출되지 않을까 우려해 클라우드 도입을 꺼리는 경우도 있다.
이러한 문제에 대한 해답으로 IBM은 클라우드로 업무를 진행하는 과정에서도 데이터를 안전하게 지켜주는 '컨피덴셜 컴퓨팅'을 제시했다. IBM은 25일 온라인을 통해 '컨피덴셜 컴퓨팅' 그룹 인터뷰를 진행했다. 이번 행사에는 힐러리 헌터 IBM 클라우드 최고기술책임자(CTO)가 참석해 컨피덴셜 컴퓨팅을 소개했다.
"금융서비스를 위한 클라우드는 개발자의 업무를 원활히 수행할 수 있는 필수 환경을 제공하면서도, 데이터 보호나 보안, 규제준수 등에서 어떤 것도 절충하지 않는 환경이어야 한다. 퍼블릭 클라우드로 옮기고자 한다면 신뢰와 투명성이란 두가지 중요한 요소를 고민할 수밖에 없다. IBM 클라우드의 금융 전용 서비스는 투명성과 신뢰를 보장하는 관련 기술과 정책 프레임워크를 제공한다. 금융기관은 규제와 보안 걱정 없이 퍼블릭 클라우드를 이용할 수 있다."
금융기관 참여로 개발되는 금융 서비스용 정책 프레임워크는 금융 서비스 생태계 기업이 퍼블릭 클라우드 상에서 안심하고 거래할 수 있도록 금융산업에 최적화된 컴플라이언스 관리 프레임워크를 제공한다. 이 프레임워크는 IBM만의 독창적 요소로, 금융기관 입장에서 퍼블릭 클라우드를 자사 요건에 맞게 쉽게 사용하라 수 있게 해준다. 금융기관이 퍼블릭 클라우드에서 어떤 움직임이 있거나 할 때 보안, 컴플라이언스 등의 맥락을 투명하고 신뢰있게 살펴볼 수 있어야 한다. 엔터프라이즈 클라우드 인프라, 컨테이너, 플랫폼 전반에서 보안, 컴플라이언스, 거버넌스, 리스크 등에 이르는 요소를 충분히 반영한다는 것을 의미한다. 정책 프레임워크는 IBM과 파트너십을 맺은 은행이 함께 개발한 것으로, 금융 입장에서 산업규제 준수에 필요한 제어가 가능하도록 설계했다. 은행 워크로드와 ISV 소프트웨어, 클라우드에 공통으로 적용된다. IBM 퍼블릭 클라우드는 정책 프레임워크를 자체 클라우드 전반에 모두 적용했다. 은행이 기존 퍼블릭 클라우드를 쓰고자 하면 보안 관련 내용 평가와 검토에만 12~24개월씩 걸렸는데, 정책 프레임워크를 통해 이를 크게 단축할 수 있게 된다.
금융서비스용 IBM 클라우드와 정책 프레임워크는 미국의 '뱅크오브아메리카(BOA)'와 공동으로 개발됐다. BOA는 정책 프레임워크 운영에 계속 참여하게 된다. 이와 동일한 형태로 유럽의 BNP파리바 은행과, 일본의 미츠비시UFG(MUFG) 등도 협업하기로 했다. 이들은 규제준수 관리 요건을 정의하고, 민감 정보를 퍼블릭 클라우드에서 안전하게 운영하는데 요구되는 관리 기능을 개발, 운영한다. 금융서비스 컴플라이언스 컨설팅업체인 '프로몬트리'도 참여해 지원하고 있다. 이를 통해 각 국가마다 다른 규제를 정책 프레임워크로 구현할 수 있게 된다. 한국 금융기관에 특화된 정책 프레임워크를 수립할 수 있다는 의미다.
IBM과 프로몬트리는 전세계적으로 70개 이상의 규제를 20개 이상의 국가에서 계속 모니터링하며 파악하고 있다. 정책 프레임워크에 들어간 컨트롤이 수백 가지인데, 실제 각 국가별 규제와 보안 요건을 적용하기 위해 사용가능한 것들이 있다. 이 프레임워크는 금융기관에서 사용하는 서비스형 소프트웨어(SaaS)도 관리한다. 예를 들어, 금융서비스에 SaaS를 쓰고자 하면 보안 역량 평가에 6~-12개월 소요되는데 정책 프레임워크는 이 기간도 크게 단축한다. 전체 클라우드와 거기에서 사용되는 워크로드 전반의 적용 보안수준은 메인프레임 제공 수준과 동등하다.
IBM은 기술적으로 규제준수와 보안요건을 충족하기 위해 금융서비스용 IBM 클라우드에 메인프레임 하드웨어 차원의 암호화기술을 적용하고 있다. 정책 프레임워크에 다른 글로벌 은행들과 위원회를 구성해서 프로그램을 계속 확대하고, 개선하는 노력을 하고 있다. 은행뿐 아니라 ISV, SaaS 제공업체 32개사가 참여하는 생태계를 구축했으며, 각 국가 및 지역의 ISV도 계속 추가될 것이다. IBM의 ISV 및 SaaS 생태계엔 보안, 데이터 분석, 인프라, 업무지원SW, 코어뱅킹 등이 참여하고 있다. 금융기관 내에서 퍼블릭 클라우드를 이용하고자 할 때 금융 워크로드의 클라우드 이전을 책임지는 CTO, 데이터 자체를 책임지는 CDO, 보안과 규제 준수를 책임지는 CSO 등을 모두 만족시키는 선택을 해야 한다. 이는 IBM의 프로그램이 금융기관에서 클라우드와 SaaS를 이용할 때 완전히 신뢰할 수 있다는 것을 의미한다.
투명성 확보는 금융 서비스 산업에 특화된 정책 프레임워크 제공으로 가능하고, 클라우드와 관련해 금융기관에 필요한 보안과 규제 준수 방법을 간소화해 제공하는 것으로도 가능하다. 신뢰 확보는 고객과 파트너로서 협력하면서 미션 크리티컬한 워크로드와 데이터를 클라우드로 옮기는데 함께 하는 것으로 가능하다. 6월 인수한 '스파누고'가 그 예이다. 스파누고는 보안과 컴플라이언스 상태를 관리할 수 있는 특화된 기술을 보유하고 있는데 IBM 클라우드 시큐리티&컴플라이언스센터 부문에 통합돼 제공된다. IBM은 클라우드 자체를 가장 높은 보안을 유지하도록 만들고, 고객과 함께 협력하면서 클라우드를 사용하는 방식 자체도 지속적으로 안전한 방식으로 가도록 할 것이다. IBM은 앞으로도 금융 서비스를 위한 퍼블릭 클라우드의 형태를 정의하는 작업에서 선도적 역할을 수행할 것이다.
