최근 개인정보보호에 대한 인식이 날로 높아지고 있다. 특히 금융 개인정보의 경우 다른 범죄에 이용될 수도 있어 고객정보가 유출되거나 불법적으로 유통되지 않도록 제도적으로도 많은 규제를 하고 있다.
금융회사에서는 비즈니스 확장, 보안 강화 등을 위해 새로운 금융시스템을 구축하는 차세대 프로젝트를 주기적으로 수행한다. 차세대 시스템을 구축하는 프로젝트에서 업무의 효율성과 정합성 검증을 이유로 고객의 실 데이터에 대한 접근은 항상 요구되며 프로젝트 참여자 모두가 필요성에 대해 공감하고 있다. 그러나 차세대 시스템 구축 프로젝트는 내부직원만 참여하는 프로젝트가 아니라 외부 직원도 함께 진행하는 대규모 프로젝트이므로 데이터 유출에 대한 위험, 보안 이슈 등을 고려하지 않을 수 없다.
보통 차세대 구축 기간동안 운영데이터(실 데이터)에 대한 접근을 통제하기 위해 운영 및 관리 관점에서 보안이 강화된 클린룸을 별도 공간에 마련한다. 클린룸에는 허용된 일부 출입자만이 출입할 수 있으며, 허용된 출입자도 정해진 출입 통제 및 관리에 대한 절차를 준수하여야 한다.
신규 시스템 테스트와 실 데이터 접근 니즈
차세대 프로젝트 중 실 데이터 접근에 대한 니즈가 가장 증폭되는 시기는 테스트 단계이다. 테스트 단계에 들어서면 참여자 대다수가 실 데이터에 대한 접근을 필요로 하며 효율적이고 효과적인 테스트를 위하여 운영DB에서 고객 데이터를 변조하지 않고 실데이터를 사용하고자 한다.
차세대 시스템 오픈 이후의 시스템 운영 환경과 동일하게 차세대 운영 DB는 미변조된 데이터를, 차세대 테스트 DB는 변조된 데이터를 사용함으로써 영업점 테스트 수행 효과를 높이고 이행 리허설과 오픈 이후 운영 프로세스의 최적화에 기여할 수 있다는 논리이다.
이와 관련해서 각 금융사는 내부 규정(컴플라이언스)을 운영하고 있다. 대체로 개인(금융)정보를 개발 또는 테스트 환경에서 사용해야하는 경우 실제 고객의 데이터를 조회하고 사용하지 못 하도록 하며 대신 변조된 데이터를 사용하도록 규정하고 있다.
실거래 데이터는 영업점 테스트 시 동일 고객의 동일 계좌에 대한 실거래 재현을 통해 신규 구축한 시스템의 프로세스와 데이터 처리 등을 검증하기 위해 사용하게 된다.
변조된 데이터를 사용하게 될 경우 정보보호 규정을 준수하고, 변조데이터에 대한 개발자의 상시 접근이 가능하다는 장점이 있다. 그러나 영업점 테스트를 진행하면서 동일 고객 및 동일 계좌에 대한 실거래를 재현할 수 없으며, 동일 거래를 재현하지 못함으로써 잔액검증, 마감 등 현행(ASIS) 시스템 수행결과와 신규 구축 시스템의 결과 대사를 통한 비교 검증이 어렵다.
미변조데이터(실 고객 데이터)를 사용하는 경우 동일 고객 및 동일 계좌에 대한 실거래 재현이 용이하여 현행 시스템의 수행결과와 대사를 통한 비교 검증이 수월하다. 다만 실 고객 데이터를 사용하기 전 내부 규정에 따른 조치와 증빙 혹은 비조치 의견서를 금융감독원에 제출하고 승인을 받는 등의 절차가 필요하다.(금융감독원, 법령해석 및 비조치의견서 업무처리에 관한 운영규칙) 또한 개발자는 변조되지 않은 실 데이터에 접근할 수 없어야 하므로 관련 제한이 필요하다.
신규 시스템 구축 프로젝트를 진행하면서 업무 효율성과 비교 검증을 통한 품질을 확보하기 위해 미변조데이터를 사용하는 방안은 각 금융사마다, 프로젝트 수행 당시 환경에 따라 적절한 방법을 선택하여 사용하게 된다.
실데이터 접근에 대한 금융감독원 가이드
그렇다면 현행 시스템과 신규 시스템의 비교검증 등을 위해 실제 고객 데이터를 사용하는 것에 대해 금융감독원은 어떻게 가이드하고 있을까?
비조치의견서 사례집(금융감독원, 2020.6)에서는 차세대 시스템 오픈 전에 신규 시스템의 안전성 확보를 위해 이용자(고객)의 정보를 사용하여 사전 정합성 검증을 수행하는 것이 전자금융감독규정 위반이 아니라고 판단하고 있다. 다만, 고객 데이터(정보)를 테스트 용도로만 제한하여 사용하고 사용 후에는 즉시 삭제해야 하며 정보유출을 방지하기 위한 적절한 내부통제기준을 마련하여 운용하여야 한다.
금융감독원은 전자금융감독규정의 취지가 전산자료의 유출을 방지하고 전자금융거래의 안전성을 확보하는 데 있다는 것을 고려하여 판단하고 있다. 실 고객데이터를 테스트 용도로만 제한하여 사용하고 테스트 종료 후 즉각 삭제하며, 관련 법률에서 요구하는 외부주문에 대한 보안관리방안과 실제 운영시 비인가 전산장비 및 무선통신 접속 통제, 해킹 방지대책, 악성코드 감염 방지 대책, 비밀번호 암호화 등 현재 사용하고 있는 시스템과 동일한 수준의 보안대책을 적용하는 등 정보유출을 방지하기 위한 적절한 내부 통제기준을 마련하는 경우에 한하여 정합성 검증에 고객 데이터를 사용할 수 있다고 판단한다.
실제 프로젝트에서 발생하는 데이터 변조로 인한 이슈
실제 프로젝트를 진행하다보면 법규나 내규에 따라 정도의 차이가 있지만 변조된 데이터로 테스트를 진행할 수 밖에 없다. 변조된 데이터로 진행하다보면 여러 이유들로 데이터를 제대로 검증하지 못하는 이슈들이 발생하게 된다.
1. As-Is 데이터와 To-Be 시스템에 이행된 데이터의 변조 키가 다른 경우, 이행 데이터를 확인할 수 없다.
변조 키가 다른 경우 고객에게 실 데이터 확인을 요청하더라도 해당 데이터를 정확히 알 수 없어 데이터 이행의 정확성, 테스트 후 결함 해결 등에 영향을 미치게 된다. 변조를 적용하는 경우 동일한 키를 사용하여야 한다.
2. 변조 수준을 너무 높게 적용하는 경우, 데이터가 제대로 이행되었는지 확인이 불가능하다. 변조 수준이 높은 경우 전혀 의미를 알 수 없는 문자의 나열로만 인식이 되기때문에 해당 데이터가 제대로 이행되었는지 전혀 알 수 없다. 변조 수준보다 변조 여부에 중점을 두고 유연하게 적용하는 운영의 묘를 살려야 한다.
3. 변조 범위를 너무 넓게 설정하는 경우 역시 데이터를 검증하고 테스트의 완전성을 확보하기 어렵다. 개인정보 외에 계좌번호, 카드번호 등 많은 데이터를 변조하는 경우 거래 데이터를 확인하기 어려워 검증에 많은 시간과 노력이 요구된다. 필수 항목 외에는 변조를 적용하지 않는 유연함이 필요하다.
이슈 해결을 위한 미변조 데이터 접근 방안
데이터 변조로 인한 여러 이슈들을 해결하기 위한 고객사와 수행사의 미변조 데이터의 접근 제한 강도에 따라 4가지 방안이 있을 수 있다. 상세 업종과 고객사의 보안 상황 및 여건에 따라 적절한 방안을 채택하여 운영하게 된다. 은행의 경우 방안2 또는 방안3이 주로 채택되어 운영된다.
방안1. 접근 제한 최소화
미변조된 데이터에 접근하는 것을 가장 용이하게 하는 방안이다. 프로젝트룸 전체를 클린룸으로 확대 운영하여 미변조된 데이터를 상시 접근할 수 있도록 허용하는 방안이다.
이 방안을 사용할 경우 결함 확인, 현행시스템과 신규시스템의 수행결과 비교 검증 등에 소요되는 시간을 최소화할 수 있으며 즉각 결함 조치 등이 가능하다.
방안2. 가변적 접근 제한
미변조 데이터에 금융사(고객사)의 접근은 상시 허용하며 수행사의 경우 영업점 테스트 및 현업 테스트 당일 및 +1일만 결함 확인 목적으로 미변조 데이터에 접근하는 것을 허용하는 것이다. 그 외 기간은 고객사의 업무별 담당자를 통해 데이터를 확인하거나 클린룸에서 미변조된 데이터를 직접 조회하는 방안이다. 이 경우 결함 확인에 소요되는 시간이 증가하여 일정이 지연될 가능성이 있다.
방안3. 수행사의 제한 최대화
고객사는 미변조 데이터에 상시 접근하는 것을 허용하며 수행사는 고객사의 업무별 담당자를 통해 데이터를 확인하거나 클린룸을 이용하여 미변조된 데이터를 직접 조회하는 것만 허용하는 방안이다. 이 방안을 따를 경우 결함 조치가 지체되어 일정이 지연될 수 있으며 결함 조치가 불가능한 상황이 발생할 수 있다.
방안4. 접근 제한 최대화
고객사도 클린룸을 이용하여 미변조된 데이터를 조회하여야 하며, 수행사는 고객사의 업무별 담당자를 통해서만 데이터를 확인할 수 있다. 결함 확인에 소요되는 시간이 많아져 결함 해결이 지체될 가능성이 높아지며 불충분한 정보로 인한 결함조치가 불가한 사례가 증가할 수 있다.
정보보호 컴플라이언스가 더욱 강화되고 있는 상황에서 프로젝트의 효율성만을 우선하여 데이터를 사용할 수는 없다. 컴플라이언스를 준수하는 선에서 제시된 방안 중 각각의 상황과 여건에 최적의 선택을 통해 프로젝트의 성공과 컴플라이언스 준수라는 두마리 토끼를 잡아야 한다.