EU, AWS·구글·MS를 금융 ‘핵심 IT 제공자’로 지정…클라우드 장애 리스크 직접 관리한다

유럽연합(EU)이 금융권의 클라우드 의존도 심화에 따른 시스템 리스크를 차단하기 위해 글로벌 기술기업 19곳을 직접 감독한다.

로이터는 18일(현지시각) EU가 디지털운영탄력성법(DORA)에 따라 아마존웹서비스(AWS), 구글 클라우드, 마이크로소프트 등을 금융권 '핵심 IT 서비스 제공자'로 지정해 직접 감독에 나선다고 보도했다.

유럽은행감독청(EBA), 유럽보험연금감독청(EIOPA), 유럽증권시장감독청(ESMA) 등 EU 3대 금융감독기구는 이날 공동 발표를 통해 AWS, 구글 클라우드, 마이크로소프트를 비롯해 블룸버그, IBM, 런던증권거래소그룹(LSEG), 오렌지, 타타컨설턴시서비스(TCS) 등을 핵심 기술 제공자로 지정했다.

올해 1월부터 적용된 DORA는 EU 감독기구에 주요 기술 공급자를 직접 관리할 권한을 부여한다. 은행과 보험사가 결제, 고객 서비스, 핵심 업무 시스템에 이르기까지 클라우드 컴퓨팅 의존도를 빠르게 확대하면서, 특정 기술 기업의 장애가 여러 국가의 금융 시스템을 동시에 마비시킬 수 있다는 우려가 커졌기 때문이다.

지정 기업들은 위험관리 체계, 사이버보안 프레임워크, 거버넌스 구조에 대한 평가를 받는다. 장애 발생 시 운영 연속성을 점검하는 스트레스 테스트와 각종 운영 검증도 실시된다. EU는 이번 조치가 기업 활동 제한이나 시장 경쟁 구도 변경이 아닌 금융 시스템 탄력성 강화를 목적으로 한다고 강조했다.

유럽중앙은행(ECB)은 디지털 기술 리스크를 은행 부문의 핵심 과제로 지목했다. 규제 당국은 특정 IT 서비스 기업의 장애가 금융 시스템 전체로 확산되는 것을 막고, 사이버 공격 및 광범위한 장애 상황에서도 서비스를 유지할 수 있는 체계 구축을 최우선 과제로 제시했다.

지정 기업들은 대체로 긍정적 반응을 보였다. AWS는 관련 절차를 이미 준비해왔으며 규제 당국과 협력하겠다고 밝혔다. 구글 클라우드는 이번 지정이 자사의 유럽 규정 준수 노력을 반영한 것이라고 평가했고, 마이크로소프트는 EU 회원국 전역에서 사이버보안과 디지털 운영 규정 준수에 전념하겠다고 말했다.

이와 별도로 영국도 유사한 '핵심 제3자 서비스 제공자' 규제 체계를 마련 중이며, 첫 지정 대상은 내년 중 발표될 예정이라고 로이터는 보도했다.