[260518] [금융보안원] 내부업무망 SaaS 망분리 예외 적용에 따른 보안 해설서

가이드 < 자료마당 < 금융보안원

금융보안원

 

내부업무망 SaaS 이용

정의: 금융회사 등이 내부업무망(망분리 환경)에서 인터넷 구간에 위치한 SaaS를 업무 목적으로 안전하게 연계.이용하는 것을 의미

 

주요 규제 개선 내용

제2조의3(망분리 적용 예외)

3. 이용자의 고유식별정보 또는 개인정보를 처리하지 않는 [클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령] 제3조제2호에 따른 "응용프로그램 등 소프트웨어를 제공하는 서비스" 이용 목적의 경우

-별표 7. 망분리 대체 정보보호통제를 적용

-망분리 대체 정보보호대체의 이행 여부를 반기에 1회 평가하고 정보보호위원회에 보고하여야 한다.

• 망분리 예외에 따른 보안성 확보를 위해 SaaS 특화 망분리 대체 정보보호통제 적용 및 정보보호위원회 승인 필요

---

내부업무망 SaaS 이용 시 발생 가능한 보안 위협

내부업무망 SaaS 이용 시 발생 가능한 보안 위협

• 내부업무망에서 SaaS 이용 시 SaaS 서비스 취약점, 인프라 장애.프로그램 오류, SaaS 이용자의 보안 설정 미흡 등으로 인해
• 내부업무망으로 침해위협 전파, 업무 중단. 서비스 장애, SaaS 중요정보 유출, 데이터 변조.유실, 규제준수 위험 등의 보안위협 예상

 

금융회사 등은 SaaS 이용에 따른 예상되는 보안 위협을 식별하고,

규정 및 내부 보안정책, 보안해설서, 가이드 등에 근거하여 안전한 SaaS 도입을 위한 보안 통제를 수립.적용해야 함

 

SaaS 제공자 보안 위협

침해위협 내부 전파: 취약점 악용, 계정 권한을 획득한 후 제공자 시스템을 통해 금융회사에 악성코드 유포

업무 중단.서비스 장애: SaaS 제공자의 클라우드 인프라 장애 또는 소프트웨어 업데이트 오류.결함으로 인한 서비스 지연.장애로 내부업무 영향

중요정보 유출.데이터 변조: 제공자의 관리자나 운영 인력이 권한을 오남용하여 금융회사 중요정보를 무단 열람하거나 변조

규제준수 위험: 국외 소재 제공자와 서비스 이용 계약 시 국내 규정 준수 및 의무 이행 협조 조항 누락

 

SaaS 이용자 보안 위협

침해위협 내부 전파: 단말.계정 관리가 미흡하여 관리자 권한이 탈취되거나 내부 시스템으로 악성코드 감염.전파

업무중단.서비스 장애: SaaS 운영.관리 미흡으로 데이터 유실 및 업무 지연이 발생할 수 있으며, SaaS 이용망과 대고객망을 혼용하는 경우 서비스 장애에 취약

중요정보 유출: 로그 수집.탐지 규칙 및 점검절차 부재, 과도한 공유.접근 권한 허용 등 보안통제가 미흡한 경우 위협이 식별되지 않거나 정보유출 등 피해 확산

데이터 변조.유실: 설정 변경 모니터링, 관리자 계정 인증, 전송 구간 암호화 등이 미흡한 경우 데이터 무결성 훼손, 중간자 공격으로 피해 확산

---

내부업무망 SaaS 이용 보안관리 방안

도입절차

1. SaaS 활용 범위 판단: 조직 내에서 활용 목적과 범위, 데이터 연계방식 등 판단

구체적인 업무 수행 범위는 금융회사에서 자율적으로 정의

업무 목적에 부합하는 SaaS를 선별하여 도입

 

2. 자체 위험성 평가: 사용과 관련된 위험을 식별하고 평가

자사의 업무 환경 고려. 자체 위험성 평가를 실시

-예상되는 보안 위협을 빠짐없이 식별하고 위협에 대한 위험성을 평가

 

3. 망분리 대체 통제 적용: 규정 및 시행세칙, 관련 메뉴얼을 참조하여 위협 모니터링 및 조치방안 수립

위험성 평가 결과를 토대로 규정.시행세칙, SaaS 메뉴얼을 참조. 자사환경에 적절한 보안 통제 방안 수립

-SaaS 보안 위협에 따른 모니터링 조치 방안을 수립, SaaS 특화 [망분리 대체 정보보호 통제]를 적용

-금융 회사 등은 자사의 업무 환경 등을 고려하여 필요시 추가 보호대책을 적용

 

4. 정보보호위원회 의결: 위험성 평가 결과와 보호대책의 적정성 심의 및 의결

망분리 예외에 따른 자체 위험성 평가 결과, 적용된 보호대책의 적정성 등에 대해 정보보호위원회 의결

-자체 위험성 평가를 통해 도출된 보안위험이 보안대책 적용 등을 통해 충분히 완화되었는지 검토

 

정보보호위원회 의결 이후 망분리 대체 정보보호통제의 이행여부를 반기에 1회 평가하고 정보보호위원회에 보고

-내부업무망 SaaS 이용에 대한 정기적인 위험성 평가 실시 권고

(*연 1회 보안점검 실시 등)

-내부업무망 추가 이용 및 대상.범위 변경, 주요기능의 추가.변경으로 인한 보호대책의 중대한 변경있는 경우 정보보호위원회의 심의.의결 재수행 필요

 

• 금융회사 등은 기존 클라우드 이용 절차 또한 준수해야 하며, 내부업무망 SaaS 이용을 포함한 클라우드 이용에 관한 보고의무 이행 필요([금융분야 클라우드컴퓨팅서비스 이용 가이드] 참조

 

내부업무망 SaaS 제공자 평가

1. 평가개요

-내부업무망 [망분리 대체 정보보호통제] 적용을 지원하기 위해 침해사고대응기관은 클라우드서비스 제공자에 대한 안전성 평가를 대표로 수행하고 결과 공유

(*침해사고대응기관의 평가결과 충족을 획득한 SaaS 이용)

 

2. 평가결과

SaaS 적용 필수 항목을 기준으로 하는 평가 결과 공유

 

3. 평가 결과 활용

SaaS 적용 필수 항목이 모두 충족인 경우 평가 결과를 내부업무망 SaaS 망분리 적용 예외에 따른 정보보호위원회 심의.의결 자료로 활용

또한, [전자금융감독규정] 클라우드 이용 보고 의무 이행 시 클라우드서비스 제공자 안전성 평가 결과의 일부로 활용 가능

클라우드서비스 제공자의 안전성이 저하되지 않도록 평가관련 서류를 최신 상태로 유지

 

내부업무망 SaaS 이용 보안대책

 

1. 단말 보호

• 비인가 SaaS 단말기 접속 통제
  • 단말 보안: 인가 체계 마련, 무단 사용 방지
  • 외부->내부 접근 제한: 인가된 단말기, IP, 계정으로만 접근이 가능하도록 보안 조치를 적용
  • 내부->외부 멀티 테넌트 제한: 내부 SaaS 이용 단말에서 외부 타 테넌트 및 개인 계정으로 접속이 되지 않도록 보안 조치 적용
• SaaS 이용 단말기 보안대책 적용
  • 악성코드 감염 예방
  • 중요정보 유출 방지
• 모바일 단말기 보안대책 적용: 내부 보안정책을 준수, 기술적.관리적 조치 적용(*[금융회사 재택근무 보안 안내서] 중 외부 모바일 기기 특화 보안 통제 권고 사항 참고])

 

2. 접근통제

• 단말기 네트워크 통제 적용: 외부 인터넷 및 다른 SaaS 로 접속이 되지 않도록 접근 통제 설정 적용
• 연계 및 제3자 제공 앱 통제: 비인가 앱.플러그인 설치, 외부 연동 모니터링, 승인 및 통제 절차를 마련

• 접속 단말기 및 사용자 등록.관리: 절차 마련
• 안전한 인증 수단 적용: 멀티팩터(MFA) 인증 적용
• 안전한 계정관리 정책 적용: 비밀번호 설정, 계정 잠금.해제 등
• 최소 권한(역할) 설정: 최소한의 범위로 제한, 최소한의 인원에 권한을 할당하도록 검토 수행
• 부적절한 공유 설정 점검 및 제거

 

3. 운영.관리

• 클라우드 서비스 보안 관리
  • 보안관리 대상 식별.관리: 담당자 및 책임자를 지정
• 이용.관리 등 보안 교육 실시: 서비스에 대한 보안관리 방안을 명확히 숙지하도록 정기 또는 수시 교육 실시
• 상시 관리 체계 확보: 관련 위협, 침해사고 등에 신속하게 대응할 수 있도록 SaaS 제공자, 관리자, 이용자 간 비상 연락 체계를 상시 유지, 담당자별 역할 정의와 대응 절차를 마련하여 상시 운영

 

4. 네트워크 보호

• 이용 및 대고객 서비스 네트워크 간 상호 영향 최소화
• 연계 구간 암호화 적용

 

5. 이상행위 모니터링

• 이용자.관리자 로그 기록 보존: 1년이상 보존하도록 설정
• 이상행위 및 주요 설정 변경 탐지: 이상행위를 정의, 탐지정책 적용에 따른 탐지.분석을 수행하며, 지속적인 개선 수행
• 모니터링 체계 구축
  • 탐지 알람 통지
  • 보안 조치 이행

6. SaaS 데이터 보호

• 중요정보 입력 및 저장 방지
  • 중요정보 입력 제한.필터링
  • 중요정보 입력 점검: 입력 제한 데이터가 저장.처리 되었는지 점검
  • 생성형 AI 학습 방지: 이용자 정보 활용 설정을 비활성화하고 피드백 기능 제한 등 데이터 보호 조치 적용
• 중요정보 식별: 데이터 생성.저장.처리시 중요정보를 식별하여 SaaS를 통해 중요정보가 오남용되지 않도록 관리
• 악성코드 감염 점검
• 중요정보 유출 방지 대책 적용
  • 중요정보 보호대책 적용
  • 탐지내역 점검