페이게이트, 업계 최초 AWS 도입 통한 금감원 클라우드 이용보고 성공
[IT동아 남시현 기자] 2019년 10월, 금융위원회는 ‘클라우드와 지속가능한 금융혁신’의 내용을 담은 금융분야 클라우드컴퓨팅 서비스 가이드라인을 제정했다. 이는 개정 전자금융감독규정에 따른 것으로, 금융의 디지털화와 데이터 경제로의 전환에 따라 금융업계에서의 클라우드 도입의 목소리가 커졌기 때문이다. 따라서 금융사는 클라우드 서비스 제공자(이하 CSP, Cloud Service Provider)에 대한 안전성을 평가하고, 이를 통과한 업체의 클라우드 서비스를 당국의 허가를 거쳐 사용할 수 있게 됐다.
금융위원회는 금융사의 클라우드 컴퓨팅 도입으로 경제성 향상과 IT 자원 확보의 유연성, SaaS(서비스로서의 서비스) 및 IaaS(서비스로서의 인프라스트럭쳐) 등 4차 산업 시대에 맞는 신기술을 도입할 수 있으리라 보고 있다. 성공적으로 클라우드로의 전환이 성공하면 금융회사 측면에서는 데이터의 수집 및 분석이 용이해 금융 경쟁력을 대거 확보하고, 혁신 서비스를 기존보다 훨씬 쉽게 지원할 수 있게 된다. 아울러 기존 금융서비스의 운영 비용을 절감하고, 처리량 집중에 따른 서비스 장애나 가용량 확보에도 훨씬 쉬워진다.
핀테크 측면에서는 어떨까? 핀테크 기업이라면 클라우드를 통해 시중 은행과 경쟁할 수 있는 기반을 마련하고, 핀테크 서비스가 갖춰야 할 기본적인 보안 수준을 충족하는데 훨씬 쉽다. 특히 기술력 기반의 기업인 만큼 클라우드를 활용한 새로운 금융 기술이나 서비스 지원의 혁신도 기대해볼 수 있다. 최근 우리나라 1세대 핀테크 기업인 ‘페이게이트’도 핀테크 기업으로는 처음으로 AWS에 대한 CSP 안전성 평가를 완료하고 금융감독원에 클라우드 이용보고를 완료했다는 소식을 전해, 직접 만나 이야기를 들어보았다.
국내 1세대 핀테크 기업 페이게이트, 또 다시 첫 번째 기록을 달성하다.
페이게이트(대표 박소영)는 1998년 7월, PG(페이먼트 게이트웨이, 전자결제대행) 사업으로 시작한 전자결제 시스템 개발 및 전자지불 서비스 기업이다. 미국 페이팔보다 더 편리하다는 평가를 얻게 되면서 자연스럽게 글로벌 기업으로 발돋움한 국내 기업이다. 오늘날 페이게이트의 핵심 비즈니스는 e월렛 플랫폼(eWallet Platform)을 기반으로 전자결제 서비스와 해외 송금, P2P 금융, 글로벌 마켓플레이스 공급, 환전, 세금환급 등이며, 전자상거래 기업을 대상으로 신용카드나 계좌이체, 국제 송금 등 다양한 온라인 금융 결제 서비스를 제공하고 있다.
이날 인터뷰에 응한 이동산 이사는 페이게이트의 창업주로, 기술이사 역할을 맡아 페이게이트의 기술력을 책임지고 있다. 그가 생각하는 페이게이트의 차별화된 강점은 무엇일까. 이동산 이사는 “페이게이트 플랫폼은 금융권 오픈 API와 경쟁하고 있는 상황으로, 시중은행이 진출하기 어려운 P2P와 같은 산업에 DMZ네트워크 포지션으로 참여해 은행에서 하기 어려운 금융계 역할을 맡고 있다”며 페이게이트의 강점을 소개했다. 페이게이트는 시중은행으로 구축하기 어려운 개인대 개인간 거래나, 중견 전자상거래 등을 위한 중립 구역(DMZ, Demilitarized zone)을 겨냥하고 있으며, 현재 국내 P2P 시장은 80% 가까이 서비스하고 있을 만큼 업계에서의 영향력이 상당하다.
그런 페이게이트가 클라우드를 도입하게 된 계기는 무엇일까. 이 이사는 “AWS를 도입하게 된 계기는 장비 노후화였다. 따라서 초기에는 일부분을 AWS로 넘겨주고, 이를 시작으로 AWS의 전환을 준비하다가 금융권 클라우드 사용에 대한 규제가 개선되면서 본격적으로 AWS와 클라우드 사용 보고 준비를 하게 됐다. 가장 어려웠던 작업은 CSP 안전성 평가였다”고 말했다. 이 이사는 “CSP 안전성 평가는 클라우드 도입사가 클라우드 제공사의 안정성을 평가하는 절차로, 체크리스트나 점검표 정도로 생각하면 된다. 100개 이상의 항목에 대해 제공자 입장에서 클라우드 사업자의 역량이나 성능을 주체적으로 평가한다”고 말했다.
현재 국내 환경에서 금융회사 또는 전자금융업자가 클라우드를 이용하기 위해서는 단순히 도입하는 게 아니라, 금융보안원이 배포한 109개의 기본보호조치 평가항목과 32개의 금융부분 추가보호조치 평가항목을 만족해야 한다. 특히 클라우드 서비스 이용자 입장에서도 자사의 서비스에 대한 신뢰성과 안정성 확보에 대한 조치를 마련해야 하기 때문에 CSP는 물론 도입 기업 입장에서도 같이 클라우드 도입에 대한 절차를 준비해야 한다. 페이게이트의 경우 AWS에서 제공하는 서비스만을 도입해 업무 연속성과 안정성을 확보해 금융감독원에 성공적으로 보고를 완료하였고, 핀테크 기업으로는 처음으로 AWS를 통해 주요 금융서비스를 진행하는 사례가 됐다.
이동산 이사는 왜 많은 클라우드 사업자 중 AWS를 선택해 전자금융업 업무 활용에 도전한 것일까? 이 이사는 “페이게이트 같은 중·소규모 IT 기업 입장에서는 숙련된 엔지니어 확보가 무엇보다도 중요하다. 그렇다 보니 AWS 엔지니어는 상대적으로 타 클라우드보다 인력 풀이 넓다는 점이 중요했다. 내부적으로 관리나 운용 비용 역시 AWS가 저렴하다고 계산된 점 역시 AWS를 선택한 계기 중 하나”라고 답했다. 아울러 AWS 측이 이미 전 세계 여러 글로벌 기업들에 서비스를 제공하면서, 국내 CSP 안전성 인증 등에도 효과적으로 대처할 만큼의 역량이 있었다고 봤다는 점을 덧붙였다.
그런데 생각해보면, 국내 클라우드 업체 역시 CSP 안전성 인증을 통과한 사례가 있고, 오히려 협업 측면에서 의사소통이나 실정법 이해가 빠를 수 있지 않을까? 게다가 세간에서는 외산 클라우드가 CSP 안전성 인증 취득이 어렵다는 인식도 있다. 여기에 대해선 어떻게 생각해야 할까. 그는 “우리가 AWS로 금감원에 클라우드 이용보고를 완료하는 과정에서 동시에 은행권 두 곳 역시 AWS로 CSP 안전성 평가 과정을 거쳤다. 이 과정에서 특별히 외산이라는 문제는 발생하지 않았고, 효율적이고 안전한 서비스를 선택했을 뿐이다. 실제로 고려해보면 외산이라고 해서 가격 차이가 나거나 편차가 있거나 하지 않다는 걸 알 수 있을 것이다.”라면서, “대신 CSP 안전성 인증은 어디까지나 제공사가 아닌 사용 기업도 함께 가는 절차다. 일부 클라우드 사업자가 CSP 안전성을 통과했다며 참여를 독려하는데, 그것만 믿고 도전하지 말고 꼼꼼히 따져보길 권장한다”라고 말했다.
AWS 클라우드 이용보고 이후 본격적으로 클라우드 전환이 추진될 텐데, 어떤 부분을 중점적으로 다루게 될까? 이 이사는 “보고서에는 전자 결제와 외환 송금, P2P 업무를 클라우드 서비스로 사용하겠다고 담았다. 앞으로는 페이게이트의 세이퍼트(Seyfert)를 말단 사용자까지 확대할 것이라서다. 아울러 P2P 업체들의 금융 규제에 맞춰 업무를 위탁하고, AWS를 기반으로 P2P 업무를 대행하는 서비스도 기획하고 있다”고 말했다. 이어서 AWS 클라우드를 통한 부가 서비스도 강조했다. 그는 “AWS 전환 이후 클라우드 워치, KMS(Key Management Service, 암호화 관리 서비스), VPC(Virtual Private Cloud, 가상 개인화 클라우드)를 많이 쓰고 있고, 다이렉트 커넥트나 RDS(Relational Database, 관계형 데이터베이스)도 타 클라우드 대비해 특화된 편이라 주로 쓰고 있다. 특히 클라우드 워치를 통해 데이터베이스의 로그 데이터를 크게 간소화할 수 있어서 회사 운영이나 관리 측면에서의 이점이 크다”고 덧붙였다.
이번 AWS 클라우드 이용보고에 이어서 앞으로 또 AWS와의 협력이나, 페이게이트가 나아가야 할 목표가 있을까. 이동산 이사는 “페이게이트가 기업공개(IPO)를 성공적으로 수행해 상장하고, 사회에 기여하면서 나아갈 수 있는 것이 단기적인 목표다. 장기적으로는 금융 소외 계층에 대한 기술적인 도움을 통해 회사는 물론 사회 전체에 이익이 되는 기업이 되었으면 하는 게 욕심이다”라면서, “페이게이트는 이제 겨우 20대 초반 청년이다. 20대 청년이 되니 어떻게 해야 내실을 다질 수 있는가를 알게 됐고, 내부 밀도를 끌어올리면서 자연스럽게 국내외 사업 확대를 꿈꾸고 있다. 단기적인 목표는 물론 장기적인 방향까지 성공적으로 해내도록 하겠다”고 말했다.
금융사의 클라우드 전환 역시 시대적 흐름 될 것
자본주의 사회는 언어로 의사 소통이 안될지라도, 돈으로는 누구와도 대화할 수 있다는 게 전 세계인의 공통된 생각일 것이다. 과거에도 그래왔듯 앞으로도 사람들은 금융권이 더욱 더효율적이면서, 안전하게 거래할 수 있기를 바랄 것이다. 금융권의 클라우드 도입이 더 이상 특정 기업의 사례가 아닌, 전체 기업의 현상이 될 수 밖에 없는 이유다. AWS와 페이게이트의 사례처럼, 더욱 더 안전하고 효과적인데, 기업 운영 측면에서의 이점이 크다면 자연스럽게 클라우드로의 전환이 이행될 수밖에 없고, 반대로 그렇지 않은 기업들은 점점 뒤처지는 구조가 될 것이다. 국내 최초로 핀테크 기업으로 AWS 클라우드를 통해 CSP 안전성 평가를 통과한 것이 이같은 금융사의 클라우드 전환의 기폭제가 되리라 본다. 앞으로 1년 안에 제2의, 제3의 페이게이트가 등장할 것이고, 5년~10년 뒤면 클라우드로의 금융이 보편적인 그런 시대가 오지 않을까 짐작해본다.
글 / IT동아 남시현 (sh@itdonga.com)