뱅킹 산업의 디지털 주권

10년 전에는 국가나 금융 기관 모두 디지털 주권을 최우선 과제로 여기지 않았고, 대부분의 경우 가볍게 논의할 만한 가치조차 없었습니다. 공급망 세계화는 대부분의 조달 영역에서 일반적인 추세였으며, 무엇을 어디에 아웃소싱할지는 기존의 제재, 규정, 중요 물품에 대한 백업 공급업체 확보와 같은 운영상 위험에 따라 가능한 최상의 제품이나 서비스를 최적의 가격으로 구매하는 문제였습니다. 

그러나 COVID-19 팬데믹으로 인한 공급망 붕괴와 지정학적 환경의 새로운 역학 관계로 인해 세계는 변화했습니다. 현재 많은 은행, 보험 회사 및 금융 기관은 기술 및 운영에 대한 완전한 자율적 통제는 아니더라도 더 많은 자율적 통제를 개발하려고 합니다. 이는 조직의 전략에 따른 것일 수도 있지만, 경제 및 사회에서 은행이 수행하는 역할의 중요성이 커짐에 따라 규제 기관에 의해 시행되는 경우도 있습니다.

결과적으로 업계의 사고방식은 '기본적인 글로벌화'에서 '가능한 경우 지역화 또는 현지화'로 전환되었습니다. 이는 은행의 가치 사슬과 전체 금융 생태계 전반에 걸쳐 기술 공급업체가 존재하고, 공급업체, 파트너 및 고객 간의 기술적 연결과 상호 의존성이 심화됨에 따라 은행 산업에 큰 변화를 가져올 것이며, 실행하는 데 수년이 걸릴 수 있습니다.

디지털 주권이란?

세계 경제 포럼(World Economic Forum)에 따르면, 국가의 디지털 주권은 데이터, 하드웨어, 소프트웨어를 포함하여 자국의 디지털 환경을 스스로 통제할 수 있는 능력을 의미합니다. 이는 국가의 통제 범위를 벗어난 외부 주체가 데이터, 하드웨어, 소프트웨어를 임의로 제어하거나, 동의 없이 기술에 접근하거나 시스템을 중단시키거나, 규제를 회피할 수 없음을 의미합니다. 이는 어떤 주체도 기술, 운영, 데이터의 핵심 요소를 장악하거나 중단할 수 없도록 기술적으로 보장함으로써, 규칙 준수에 대한 제3자의 의지에 의존하지 않음을 의미합니다. 

이를 은행 조직 차원에서 적용할 때, 디지털 주권은 단순히 데이터 저장 위치에만 국한되지 않는다는 점을 강조해야 합니다(이는 이미 수년 전부터 존재해 왔습니다). 여기에는 은행이 의존하는 하드웨어, 소프트웨어, 운영뿐만 아니라 은행 활동에 필수적인 공급업체의 관리 방식까지 포함됩니다. 궁극적인 목표는 규제가 상이한 국가에 본사를 두거나 운영하는 공급업체의 결정이나, 해외에서 발생하는 반복적인 시스템 장애와 같이 외부 요인으로 인해 발생할 수 있는 잠재적 위험을 완화하거나, 최소한 더 정확히 파악하는 데 있습니다. 예를 들어, 핵심 뱅킹 시스템을 운영하는 해외 아웃소싱 기업이나 외국 회사의 국내 자회사가 제공하는 인프라는 디지털 주권 측면에서 주의가 필요한 대상으로 간주될 수 있습니다.

디지털 주권의 4가지 수준은 다음과 같습니다.

• 데이터 주권: 국가 또는 지역(예: EU) 내에 위치한 데이터 센터
• 기술 주권: 오픈 표준 및 오픈소스 사용
• 운영 주권: Red Hat, EU 고객 및 이를 선호하는 모든 사용자를 위해 유럽 연합에 대한 소버린 지원 확인
• 보증 주권: 검증 가능한 오픈소스 소프트웨어, SBOM(Software Bill of Materials), 재현 가능한 빌드

디지털 주권 지원에 있어 오픈소스의 역할 

프로PRIETARY 소프트웨어는 개발 및 배포하는 기업이 통제하며, 고객은 자신이 사용하는 소프트웨어 제품에 대한 통제력이 매우 제한적입니다. 예를 들어, 독점 소프트웨어 사용자는 구성 옵션을 통해 소프트웨어 동작에 영향을 줄 수 있지만, 코드를 수정하여 소프트웨어 기능을 변경할 수는 없습니다. 또한 소스 코드를 통해 소프트웨어의 기능(잠재적인 버그 또는 기타 문제 포함)을 파악할 수 없습니다.

많은 독점 소프트웨어 회사가 자회사를 통해 국제적으로 운영되며 현지 규정을 완전하게 준수하지만, 내부 관리 체계로 인해 지주 회사의 규정 및 관리 방식을 따라야 하는 경우가 많습니다. 이러한 구조의 영향에 대한 대표적인 예는 미국의 사례입니다. 2018년에 통과된 클라우드법(해외 데이터의 합법적 사용 명확화법)은 은행의 데이터 상주 및 전송에 큰 영향을 미칩니다. 이 미국 연방법은 미국 법 집행 기관이 미국에 기반을 둔 기술 회사에 데이터가 미국 외부에 저장되어 있더라도 전자 데이터 공개를 강제할 수 있도록 합니다. 결과적으로 많은 은행이 EU의 일반 데이터 보호 규정(GDPR) 또는 인도의 디지털 개인 데이터 보호법(DPDP Act)과 같은 특정 데이터 보호 규정에 따라 고객 데이터 저장 및 전송 전략을 재검토해야 했습니다.

반면, 오픈소스 소프트웨어는 전 세계 커뮤니티에서 만들고, 세계 각지의 개인과 기업이 개발에 참여합니다. 

어떤 정부나 규제 기관도 이러한 커뮤니티에 백도어, 킬 스위치, 지오펜싱(geofence) 또는 사용자의 통제를 우회하거나 코드 사용에 영향을 주거나 제한할 수 있는 기타 원치 않는 메커니즘을 사용하도록 강제할 수 없습니다. 언제든지 누구나 소스 코드를 검사할 수 있기 때문입니다. 

오픈소스 소프트웨어에는 디지털 주권에 특히 적합한 두 가지 고유한 특징이 있습니다.

• 자율성: 오픈소스 소프트웨어는 전 세계 어디에서든 협업 커뮤니티 프로젝트에 참여하는 개발자가 구축합니다. 또한 오픈소스의 지적 재산 또는 관리 권한을 주장하거나 오픈소스 소프트웨어를 사용하는 애플리케이션을 종료할 수 있는 국가나 조직은 없습니다.
• 투명성: 오픈소스는 독점 솔루션에는 없는 투명성을 제공합니다. 오픈소스 코드의 모든 라인은 소프트웨어를 사용하는 조직뿐만 아니라 개발자 커뮤니티에서도 검사하고 감사할 수 있습니다. Git(및 GitHub, GitLab 등)과 같이 오픈소스 프로젝트에서 가장 일반적으로 사용되는 분산 소스 코드 관리 시스템은 변경 로그를 제공하며, 모든 변경 사항은 디지털 서명됩니다. 이러한 고유한 투명성과 추적성은 강력한 보안 관행을 구축하고, 규정 준수를 촉진하며, 신뢰를 구축하고, 감사 프로세스를 간소화합니다. 

유연성 및 복원력을 위한 하이브리드 멀티 클라우드 

디지털 주권과 관련하여 가장 큰 문제 중 하나는 소수의 인프라 공급업체에 대한 의존도가 높다는 점이며, 이들 중 상당수가 특정 국가에 본사를 두고 있습니다. 이는 클라우드 서비스 제공업체 환경에서 특히 두드러지며, 3개 공급업체가 전 세계 시장 점유율의 거의 65%를 차지하고 있습니다. 디지털 주권이 부상하기 전에도, EU의 디지털 운영 복원력 법(DORA) 및 영국의 건전성 규제 당국(PRA)의 운영 복원력 정책 SS1/21과 같은 일부 규정에서는 이미 이러한 위험 집중을 주시하고 있었습니다.

많은 은행이 유연하고 개방적인 접근 방식을 통해 제어 및 선택이 가능한 하이브리드 멀티 클라우드 플랫폼을 선택했습니다. 이를 통해 클라우드 네이티브 서비스가 제공하는 혁신, 속도 및 유연성을 활용하는 동시에 어떤 클라우드 서비스를 사용할지에 대한 옵션을 열어둘 수 있습니다. 

Red Hat: 여러분의 클라우드, 여러분의 룰

Red Hat 엔터프라이즈 오픈소스 기술을 통해 고객은 Red Hat과의 법적 및 상업적 관계가 종료되더라도 소프트웨어를 계속 사용할 수 있습니다. Red Hat은 디지털 주권 옵션을 모색하는 은행에 대한 지원을 확대하여 위험을 완화하고 공급업체 전환으로 인한 부담을 줄이는 데 도움을 주고 있습니다. Red Hat은 소버린 클라우드에 대한 약속 원칙을 발표하고, EU 규정에 따라 EU 직원이 근무하고 현지 에코시스템을 확장하는 유럽 연합에 대한 Red Hat의 소버린 지원 확인을 도입했습니다.

또한 Red Hat은 신뢰할 수 있고 명확하게 문서화된 소프트웨어 공급망을 제공하고, 안전한 개발 방식을 사용하며, 강력한 빌드 프로세스, 강력한 패키징 및 투명한 배포를 제공합니다. 지속적인 모니터링 및 검증을 통해 이 모든 것이 비주권적 구성 요소의 도입을 방지하고 잠재적인 서비스 장애를 예방하는 데 도움이 됩니다.

Red Hat 플랫폼은 또한 멀티 클라우드 배포를 위해 설계되어 중요한 운영 및 데이터 상주 요구 사항을 해결합니다. Red Hat의 오픈 하이브리드 클라우드 플랫폼은 워크로드 이동성을 제공하므로 조직은 다양한 클라우드 공급자 간에 또는 자체 온프레미스 환경으로 워크로드를 마이그레이션할 수 있습니다. 이를 통해 변화하는 주권 요구 사항에 신속하게 대응하고 운영 복원력을 향상시킬 수 있습니다.

소버린 AI로 여는 미래

AI 환경에는 이미 오랫동안 사용되어 온 예측 모델부터 최근 등장한 동적 생성형 AI 대규모 언어 모델(LLM)에 이르기까지 다양한 모델이 존재하며, 새로운 혁신 또는 개선 사항에 대한 발표가 거의 매주 이루어지고 있습니다. 

생성형 AI(Gen AI) 모델은 다양한 크기, 호스팅 옵션, 개방성 및 기타 요소를 가지며, 각 요소는 사용 사례에 따라 장단점을 갖습니다. 이는 고객 데이터 보호가 필수적이며, 규정에 따라 사용 가능한 기술이 결정되므로 은행 업무에 특히 중요합니다. AI가 목적에 적합한지 여부를 결정하는 세 가지 기준이 있습니다. 

• 투명성: 추론 시점에 의사 결정을 내리거나 고객과 상호 작용하는 은행 업무 사용 사례의 경우, 모델 작동 방식과 학습에 사용된 데이터를 이해하는 것이 매우 중요합니다. AI 환각 현상은 규제, 비즈니스 및 평판에 상당한 영향을 미칠 수 있으므로 이는 매우 중요합니다.
• 기술 및 운영 주권: 은행 또는 감독 기관의 관리 권한 외부의 누구도 추론 시점에 중요 서비스를 중단할 수 없어야 합니다. 이러한 요구 사항은 모델을 은행의 기술적 통제 범위 밖에서 호스팅할 수 없음을 의미합니다.
• 고객 데이터: 규정에 따라 은행은 고객 데이터 기밀성에 대한 전적인 책임을 지므로 고객 데이터가 보호되고 비공개로 유지되는지 보장할 수 있어야 합니다. 일부 AI 모델은 계약상 고객 데이터를 사용하거나 보지 않는다고 주장하지만, 잠재적인 유출 가능성은 일부 사용 사례의 경우 고객 데이터에 더 가까운 모델을 사용하는 것이 더 낫다는 것을 의미합니다.  

Red Hat은 은행이 다양한 사용 사례에 대해 다양한 AI 모델, 인프라 및 하드웨어 가속기를 사용할 것이라고 믿습니다. 또한 이러한 AI 플랫폼이 애플리케이션 플랫폼과 긴밀하게 통합되고, 하이브리드 클라우드에서 작동하며, 은행의 기술 서비스 및 운영을 보다 효율적으로 실행하기 위해 프로세스 및 도구를 공유할 것이라고 믿습니다. 이러한 통합된 하이브리드 클라우드 아키텍처는 은행이 옵션을 열어두고 디지털 주권 요구 사항이 확장되고 진화함에 따라 미래에 대비할 수 있도록 지원합니다.

Red Hat이 금융 서비스 산업에 제공하는 솔루션에 대해 자세히 알아보세요.