[기고-로그프레소] SaaS 도입을 고민하는 금융기관 보안담당자들에게

지난 13일 금융위원회의 발표에 따라 금융회사에서 SaaS(Software as a Service)를 활용할 수 있는 범위가 대폭 확대되었다. 기존에는 비중요 업무에 한해 SaaS를 사용할 수 있었으나 이제 보안관리, 고객 관리 업무에도 활용할 수 있게 되었으며, 단기적으로는 가명정보를, 장기적으로는 신용정보까지 직접 처리할 수 있게 될 것이라고 한다.

이러한 변화로 금융산업 전반의 경쟁력이 크게 제고될 것이며 금융소비자의 효용 증진으로 이어질 수 있겠지만, 보안담당자 입장에서는 관리 대상이 증가한다는 점에서 머리가 아플 것이다.

특히 중요 보안사항의 최고경영자(CEO), 이사회 보고의무 등 금융회사 내부 보안 거버넌스를 강화해야 하고 전산사고 발생에 대한 배상 책임도 확대될 예정이니 고민이 더욱 깊어질 것이다. 당장 다음 달부터 업무에 SaaS를 도입하기 위한 다양한 검토 작업을 시작하게 될 텐데 이 과정에서 보안담당자는 무엇을 고민하고 어떤 일을 해야할까?

SaaS 감사 로그를 보안관리 체계로 통합

파편화된 정보 자산을 보호하기 위해 온프레미스, 클라우드, SaaS 전체를 커버하는 보안정보이벤트관리(SIEM) 솔루션이 필요하다.

SaaS 도입 후에는 사용자들이 어떻게 사용하고 있는지, 보안 위협은 없는지, 규정은 잘 준수하고 있는지 등 다양한 측면을 지속적으로 관리해야 한다. 이를 위해 SaaS 감사로그를 보안관리 체계로 통합해야 하며, 다음과 같은 과정이 필요하다.

첫 번째, 이용 예정인 SaaS에서 감사로그를 제공하는지 확인해야 한다. 많은 SaaS가 감사로그 기능을 제공하지만 특정한 요금제에 한해서만 제공되는 경우가 많다. 그렇기 때문에 검토 중인 요금제에서 감사로그를 활용할 수 있는지 꼼꼼히 확인할 필요가 있다.

두 번째, 감사로그 외부 연동 방식과 포맷, 제공 정보를 확인해야 한다. 감사로그가 외부 제공이 된다고 해도 단순히 파일로 다운로드 하는 방식인지, 애플리케이션프로그래밍인터페이스(API) 등으로 연동할 수 있는 방식인지에 따라 업무의 난이도가 달라지기 때문이다. 또한 제공 포맷과 더불어 감사로그의 상세한 필드를 꼼꼼히 검토해야 한다. 내부 보안관리와 더불어 컴플라이언스를 충족할 수 있는 충분한 정보가 제공되는지 확인이 필요하다.

Microsoft 365 Exchange 서비스의 감사로그를 클라우드 SIEM으로 통합한 예제

SaaS 민감정보 관리, 이상행위 탐지를 위한 서드파티 서비스 통합

앞서 언급한 것처럼 단기적으로는 SaaS에서 가명정보만 활용할 수 있지만 머지않아 신용정보까지 SaaS에서 처리할 수 있게 될 예정이다. 컴플라이언스를 준수하면서 신용정보를 처리하려면 SaaS에 업로드된 데이터에서 각종 민감정보(개인식별정보, 개인신용정보, 법인식별정보 등)를 파악하고, 민감정보와 관련된 이상행위를 탐지하는 체계를 갖춰야 할 것이다.

이미 시중에는 SaaS 내 민감정보를 모니터링하고 해당 정보를 오용하는 각종 이상행위를 탐지, 차단하는 서드파티 서비스가 있다. 이런 서드파티를 도입할 때도 마찬가지로 감사로그가 적절한 방식으로 제공되는지, 이상행위를 차단, 제어할 수 있는 API가 제공되는지 살펴봐야 한다. 특히 많은 보안관리 업무를 자동화하기 위해서는 API의 제공 여부와 더불어 API 종류 확인이 필수적이다.

앱 방식으로 SaaS를 연동할 수 있는 SIEM은 필수

로그프레소 스토어에서 제공하는 150종 이상의 앱을 이용해 솔루션과 서비스를 쉽게 연동할 수 있다.

기존의 온프레미스 소프트웨어와 마찬가지로 SaaS 또한 시간이 지나면서 지속적으로 새로운 기능이 추가되거나 삭제된다. 이에 따라 감사로그 이벤트 종류나 데이터 유형이 변경된다. 패치 일정을 사내에서 관리할 수 있었던 온프레미스 소프트웨어와 달리 SaaS는 벤더의 일정에 따라 패치를 하게 된다. 레거시 SIEM을 사용하고 있다면 매번 패치 때마다 감사로그의 변화를 파악하고 감사로그 수집 방법을 수동으로 일일이 고쳐야 하는 번거로움이 있어 SaaS 환경에 적합하지 않다. 스마트폰에 다양한 앱을 설치해 이용하는 것처럼 SIEM에도 앱으로 SaaS를 연동하고 손쉽게 업데이트할 수 있어야 한다. SaaS 이용 시 현대화된 SIEM을 함께 도입해야 보안은 강화하면서도 보안담당자의 업무 과중을 피할 수 있다.

정리하자면 금융위원회의 이번 결정에 따라 금융회사에서도 경쟁력 강화를 위해 SaaS를 차례차례 도입하게 될 것이다. 그러나 SaaS에서 중요 정보를 다루게 되는 만큼, 규제기관과 소비자들의 우려 또한 증가할 것이다. 이러한 이유로 보안담당자는 기본적인 컴플라이언스 관리 외에, 민감정보를 다루는 업무 전반을 신경써야 한다. 앞서 다룬 바와 같이SaaS와 더불어 민감정보를 취급하는 서드파티 서비스를 잘 선정하고, SaaS와 서드파티를 통합 모니터링하고 관리 할 수 있는 현대화된 SIEM을 도입하는 것까지 확실한 준비가 필요하다.

글. 구동언 로그프레소 전무이사