KB국민은행은 아마존웹서비스(AWS), 마이크로소프트(MS), NHN, 네이버비즈니스플랫폼(NBP) 등 멀티클라우드를 사용하고 있다.

지난 2018년 비중요시스템에만 클라우드 적용이 허용되던 때 모바일 금융 서비스 리브똑똑의 비금융 부문인 메시지 서비스 시스템을 시작으로 금융권에서 적극적인 퍼블릭 클라우드 도입을 추진해왔다.

2019년 초 전자금융감독규정을 개정해 금융 클라우드 허용범위가 전자금융서비스, 기간계 등 중요 핵심 업무시스템까지 확대됐다.

그 때부터 KB국민은행도 모바일 정책자금 플랫폼인 KB브릿지, 리브모바일, 부동산리브온, 스타게이트, 비정형 텍스트 분석 등 다양한 서비스와 업무에 클라우드 적용을 확대했고, 인사관리(HR) 시스템 등 내부 시스템까지도 클라우드 이전을 진행하고 있다.

현재 KB국민은행의 IT 인프라 환경은 온프레미스부터 데이터센터 인프라 자원을 가상화한 프라이빗 클라우드, 퍼블릭 클라우드가 모두 공존하고 있다. 메인프레임같은 전통적인 인프라부터 하이브리드 클라우드, 다양한 클라우드서비스제공사업자(CSP) 멀티클라우드 환경을 운영하다보니 보안시스템을 수립하고 운영하는 것이 쉽지 않았다.

퍼블릭 클라우드 보안 업무를 담당해온 이승철 KB국민은행 팀장은 11일부터 13일까지 금융보안원이 온라인으로 개최하는 금융보안 컨퍼런스 ‘FISCON2020’에서 하이브리드·멀티클라우드 환경 보안 구축·운영 노하우를 공개했다.

이 팀장은 “멀티클라우드 전환에 따라 4개 이상의 CSP를 사용하고 있다. 이들 CSP들이 제공하는 환경이 동일하지 않기 때문에 보안시스템 역시 각각 독립적으로 운영할 수 없다. 그 점에서 통일성을 갖는 것이 매우 중요하다”고 지적했다.


전자금융감독규정, 이용가이드 등 컴플라이언스 준수 필수…명확한 R&R 수립해야  


이 팀장은 클라우드를 도입하면서 나서는 최대 이슈인 동시에 중요한 점으로 클라우드 법규 준수 절차를 잘 운영하는 것을 꼽았다.

금융사는 클라우드 도입시 전자금융감독규정 제14조의 2(금융사의 클라우드서비스 이용절차 등)와 금융보안원의 금융분야 클라우드컴퓨팅서비스 이용가이드를 기반으로 클라우드 도입 절차 등을 진행한다. 예를 들어 사전준비 시기에는 클라우드 이용대상 선정 및 중요도 평가, 업무연속성계획 및 안전성확보조치방안 수립, 업무 위수탁 운영기준 보완, CSP 후보 선정 및 평가, 정보보호위원회 심의·의결 등을 진행해야 한다.


이 팀장은 “무엇보다 중요한 것은 금융회사 내부 운영프로세스의 선후관계 잘 반영해 법규준수 태스크에 반영해야 한다는 것이다. 정보보호는 시스템 부서에서 해야하는 일과 섞여있고 역할이 애매한 부분이 많다. 절차에 따른 역할과 책임(R&R)을 정확히 정의한 뒤 내규로 반영해 공표하면 프로젝트 추진이 원활할 것”이라고 말했다.

또한 “정보보호 조직은 클라우드 이용대상 중요도 평가, CSP 안전성 평가와 안전성 확보조치 방안 수립, 점검을 수행한다. 이 때 개인신용정보 전문가를 검토 인원에 포함시켜 개인신용정보 종류와 흐름과 컴플라이언스 요구사항을 파악하도록 해야 한다”고 조언했다.

이어 “업무연속성 계획과 안전성 확보조치방안은 보안 영역 내용이 많다. 가이드라인상에는 항목들이 나열돼 있고 어떻게 이뤄지는지 기술돼 있지만 실제 클라우드 환경은 특성상 CSP, 매니지드서비스제공사업자(MSP), 시스템 개발회사 등 이해관계자가 다양하게 되기 때문에 반드시 누가 무엇을 언제 어떻게 해야하는지 반드시 명시해 R&R을 명확하게 해야한다. 그렇지 않으면 특정 포인트에서의 보안 이슈를 파악하기 힘들다”고 강조했다.

정보보호위원회 심의·의결 과정과 출구 전략 이행 단계에서도 주의할 점을 소개했다. 이 팀장은 “(대개) 위원회에 안전성 확보조치방안 자료를 올린다. KB국민은행은 위원회가 내용을 보고 판단할 수 있도록 클라우드 이용 대상부터 CSP 평가, 업무연속성 계획까지 다 볼 수 있도록 했다. 또 한 번의 위원회 개최로 심의하고 판단하기 쉽지 않기 때문에 실무협의회 조직을 구성해 사전검토한 뒤 위원회에 상정하는 게 낫다”고 했다.

출구 전략 관련해서는 “우리 회사는 출구 전략 이행 조건이 만족했을 때 정보보호부에 사전에 알리게 돼 있다. 이런 사항 발생시 데이터가 클라우드 어디에 남아있는지 삭제 제대로 됐는지 파악하는 것이 중요하다. 현업이나 개발부서가 하기는 쉽지 않다”고 설명했다.


CSP는 전자금융보조업자, 내부시스템 연계시 망분리 대체 정보보호 통제 적용 


클라우드 보안의 핵심이 되는 안전성 확보조치방안에서 가장 중요한 3가지로 계정관리, 암호화 키 관리, 가상환경 보안을 꼽았다.이 팀장은 특히 “안전성 확보조치 방안에서 내부시스템과 연계 부분은 금융사들이 많은 고민과 혼란이 있는 부분이다. 퍼블릭 클라우드의 인프라서비스(IaaS)의 운영주체가 금융사이고 자사시스템이 운영돼 있다면 온프레미스상 내부시스템과 동일하게 봐야하는 게 맞지 않냐는 의견이 있다”며 “하지만 전자금융업무를 클라우드에 올릴 경우 CSP는 전자금융업무의 정보처리 위탁을 받은 전자금융보조업자에 해당된다. 똑같은 내부시스템으로 여기면 안된다. 내부 온프렘 시스템과 클라우드를 연결할 때 전자금융보조업자와 연결하는 것처럼 돼 망분리 예외에 해당된다. 따라서 망분리 대체 정보보호 통제를 적용해야 한다”고 강조했다. 이는 전자금융감독규정 시행세칙 망분리 예외 조항에 따른 내용이다.

그는 “온프레미스 관리용 단말은 망분리 대체 정보보호 통제에 따라 사용자의 관리자 권한 제거해야 한다. 이를 꼭 확인해야 한다”며 “KB국민은행은 이같은 가상화 기술을 이용해 단말에서 관리자 권한 제거한 가상머신(VM)을 쓰고 있다”고 설명했다.


온프레미스 환경과 통합 운영, 가시성 확보 중요…클라우드 보안기술 도입 절차와 방법은


그밖에 클라우드 보안에서 중요한 점으로 이 팀장은 가시성 확보를 꼽았다. 가시성 확보를 위해 기존 온프레미스 환경과 통합운영할 수 있는 체계를 구축해야 한다고 제안했다.


이 팀장은 “온프레미스에서 운영하던 보안기술을 클라우드에 동일하게 모두 적용할 수 없는 상황 닥친다. 기술적 문제, 네트워크 대역 문제가 있고, 도입하려는 라이선스가 비용 측면에서 새로운 구축 수준이 될 수 있다는 문제가 있다”며 KB국민은행이 시행한 보안 기술 도입 절차와 방법을 제시했다.

먼저 온프레미스 환경에서 운영 중인 보안기술을 모두 파악한다. 둘째, 사용할 CSP에서 제공하는 자체 보안기술을 파악한다. 셋째, 퍼블릭 클라우드 CSP 마켓플레이스에 있는 서드파티 보안 제품을 파악한다. 그 다음 마켓플레이스에는 없으나 별도 구성가능한 보안 기술을 검토한다. 이들 4가지 보안 기술 가운데 현재 온프레미스 환경의 보안 기능을 만족하는지 확인한 후 대체 방안을 찾아 최대한 일관성을 확보하도록 했다.


데브옵스 구현시 정보보호 직무 분리 규정 준수해야…거버넌스, 보안정책, 표준 확립 중요  


또 다른 고려사항으로는 직무분리를 제시했다. 전자금융감독규정 제26조에는 직무분리 규정이 있다. 때문에 클라우드 운영 방식인 데브옵스(DevOPs), 데브섹옵스(DevSecOPs) 구현이 쉽지 않다.

이 팀장은 “KB국민은행도 클라우드 내 데브옵스 체계를 구축하고 있지만, 개발과 운영을 완전히 통합하지 않는다. 그렇지만 기존과는 다른 방식으로 데브옵스 유용 살리면서 법규에 어긋나지 않도록 진행하고 있다. 클라우드 R&R 검토할 때 직무의 분리를 꼭 검토할 것 추천한다”고 권고했다.

그는 “클라우드 보안 전략은 전사 클라우드 전략 아래 클라우드 조직과 보안 조직이 긴밀히 협조해 수립해야 한다. 보안 체계를 만드는 데 있어 거버넌스는 매우 중요하다. 보안정책은 새로운 기술 등장과 변화에 맞춰 달라져야 한다. 멀티클라우드 정책에서는 각 클라우드마다 표준을 확립하는 것도 매우 중요하다. 그렇지 않으면 모든 보안 기술 통제하는 것이 힘들다. 기준을 세우고 다양한 클라우드 통합할 수 있는 보안 체계 가져가야 한다”며 “클라우드 운영상 제일 문제되는 것이 어디에 자원이 배치돼 있고 무슨 일이 일어나는지 모를 수 있다는 점이다. 때문에 가성 확보가 가장 중요하다. 이를 위한 표준, 정책, 거버넌스를 명확히 해야 한다”고 강조해 말했다. 자동화와 컴플라이언스 준수, 정보보호 인력양성의 중요성도 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

 

SOAR 중심의 보안운영 자동화 혁신 방안을 알아볼 수 있는 기회! 바이라인플러스 웹세미나가 개최됩니다. 사전등록은 이미지 클릭.


[온라인 컨퍼런스] 2022 이커머스 비즈니스 인사이트 가을

‘2022 이커머스 비즈니스 인사이트 가을’에서는 업계의 현재 상황과 최신 트렌드, 앞으로의 변화 방향에 대해 공유하고, 참가자들이 앞으로의 전략을 세울 수 있는 인사이트를 제공하고자 합니다.

일시 : 9월 28일~29일 오후 14시 ~ 17시
장소 : 온라인
문의 : byline@byline.network
자세히 보기