금보원이 제안하는 금융사 내부망 SaaS 보안 대책

By홍하나

최근 기업들의 소프트웨어(SW) 이용 패러다임이 완전히 바뀌고 있다. 과거에는 주로 패키지 SW를 많이 사용했다면 지금은 서비스로서의소프트웨어(SaaS)를 이용하는 추세다. 이러한 변화의 바람이 금융권에서도 부는 가운데, SaaS에 대한 보안 문제가 대두되고 있다. 

다만, 내부망에서 SaaS 이용이 활성화될 경우 IT 또는 보안 조직이 통제해야 할 영역이 크게 확대될 뿐만 아니라, 관리자가 소홀할 경우 보안 사각지대가 발생할 가능성이 높다. 

이대규 금융보안원 금융혁신지원팀 과장은 9일 서울 영등포구 콘래드 서울 호텔에서 열린 금융정보보호 컨퍼런스(FISCON)에서 내부망 SaaS 이용 시 발생할 수 있는 보안 문제를 소개하고, 이에 대한 대책을 제시했다. 

패키지 SW는 라이선스와 구축의 어려움 문제가 있다면 SaaS는 시간과 장소에 상관없이 구독형태로 비용을 납부하기만 하면 된다. 정부는 SaaS 활성화를 위한 기반 조성 차원에서 국내 SaaS 기업을 2021년 1000여개에서 2026년 최대 1만개 이상으로 확대할 계획이다. 

이와 함께 금융당국은 금융권의 SaaS 수요 확대에 대비, 망분리 규제로 인해 외부망에서 SaaS 이용이 불가능했던 것을 금융 규제 샌드박스를 통해 비중요 업무에 한해 한시적으로 SaaS를 허용했다. 올 6월부터 신청을 받아 총 6개 금융사, 7개 서비스가 금융 규제 샌드박스에 1차 승인됐다. 

다만, 고객의 개인정보, 신용정보, 거래정보 등을 처리하지 않는 비중요 업무에 제한된다. SaaS를 이용할 수 있는 업무는 협업도구, 전사적자원관리(ERP), 기타(마케팅 분석, 자료 분석) 등이다. 

당국이 이같은 제한을 두는 것은 SaaS 사용과 함께 보안사고가 급증했기 때문이다. 클라우드 시큐리티 얼라이언스에 따르면, 최근 2년간 55% 이상의 조직이 보안 사고를 경험한 것으로 나타났다. 그중에서도 SaaS보안 설정 미흡으로 인한 보안사고가 가장 많았다. 

금보원은 내부자료 유출, 취약점 전이, 악성코드 유입, 비인가자 접근 등으로 인해 SaaS 보안사고가 발생한다고 전했다. 

이대규 과장은 “최근 많은 기업들이 SaaS에 중요한 데이터를 보관하고 코로나로 인한 재택근무 확산 등 보안 설정 자체가 계속 바뀌고, 룰이 허술해지면서 특정 통제 지점 뿐만 아니라 SaaS 환경 전체를 보호해야 하는 상황이 됐다”고 강조했다. 

따라서 금융 규제 샌드박스에 지정된 기업들은 보안대책을 세워야 한다. 망분리 예외로 인해 발생할 수 있는 보안위협 완화를 위해 필요한 보안대책을 수립하고 이행해야 한다. 또 이행여부를 분기당 1회 제출해야 한다.  

내부망 SaaS 보안 어떻게?

1. SaaS 단말기 보안대책

먼저 이대규 과장은 SaaS 단말기 보안대책으로 SaaS에 접속하는 내부 단말기의 적정성 여부를 따져야 한다고 설명했다. SaaS 전산시스템에 직접 접속하는 단말기를 제외하고 모바일 기기 등 외부단말기의 추가접속을 금지한다. 

또 SaaS 단말기에 대한 등록, 해지 절차를 마련하고 SaaS 단말기 리스트를 관리하는지 여부를 확인해야 한다. 예컨대 인사발령 등으로 SaaS 접속이 불필요한 경우 해당 SaaS 단말기는 접속 해지 처리를 해야 한다. 

SaaS 단말기에 대한 망분리 대체통제 적용 여부를 살펴봐야 한다. 관리자 권한 제거, 승인된 프로그램만 설치하고 실행할 수 있도록 대책을 수립하고 적용해야 한다. 또 전산자료를 저장할 경우 암호화해야 하며, 접속통제 솔루션을 통한 단말기 사용등록, 해제 수행 여부를 확인해야 한다. 

2. SaaS 연계 보안대책

내부망과 SaaS 간에 인가된 SaaS 단말기만 접속할 수 있도록 구성하고 있는지 살펴봐야 한다. 내부망에서 SaaS 접속 시 사용자, 관리자의 멀티팩터(MFA) 인증 적용 여부를 확인해야 한다. 

내부망에서 SaaS와 무관한 웹사이트 등의 접속을 전면 차단하고 있는지도 살펴봐야 한다. 내부망과 SaaS 연계 네트워크 구간에는 침입탐지시스템(IDS), 방화벽, 유해사이트 차단 등 정보보호시스템을 설치하고 운영하고 있는지 확인해야 한다. 

SaaS 이용 네트워크 트래픽과 전자금융거래 등 대고객 서비스 네트워크 트래픽이 상호 혼용되지 않도록 네트워크가 구성됐는지 살펴야 한다. 

3. SaaS 관리 보안대책

SaaS 관리자는 SaaS 사용자별 기능, 역할에 따라 그룹을 구분하고, 그룹별로 데이터 접근 권한 등을 차등 부여하고 있는지 확인해야 한다. 사용자 또는 그룹별 SaaS 역할, 권한이 업무에 필요한 최소한의 범위로 제한되어 있는지 살펴봐야 한다. 

SaaS 관리자는 오픈쉐어 등 부적절한 공유설정이 존재하는지 여부를 주기적으로 점검하고, 부적절한 공유설정이 확인될 경우 이를 제거해야 하는 체계를 마련해야 한다. SaaS 내 파일이 악성코드에 감염됐는지 점검해야 한다. 

4. SaaS 운영정책 보안대책

SaaS를 처음으로 이용하거나, 또는 보안성에 영향을 미치는 중요사항을 변경할 때 사전 보안성 검토를 이행했는지 확인한다. SaaS와 관련해 중요한 보안 취약점을 확인할 때 클라우드 제공자에게 최신 패치를 적용하도록 하고 이행 여부를 확인하는지 점검해야 한다. 

SaaS 관리자가 이상 행위 등을 수행하지 않도록 SaaS 접근기록, 업무수행 내역 등에 대해 내부 감시자 등이 주기적으로 점검, 관리하는지 살펴봐야 한다. SaaS 사용자, 관리자를 대상으로 SaaS 이용 절차, SaaS 보안설정 등에 대해 정기, 수시 교육을 실시해야 할 필요가 있다. 

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

포스트 태그:

작은 것이라도 지나치지 않겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.