728x90
제도 배경 및 핵심 원칙
법적 근거 구조
- 전자금융거래법 제21조
- 전자금융감독규정 제15조 (망분리)
- 시행세칙 제2조의2 (원격접근 등)
- 클라우드 관련 규정 + 금융보안원 가이드
핵심 목적
- 악성코드 유입 차단
- 내부 중요정보 외부 유출 방지
- 내부 시스템 침해 확산 방지
기본 원칙 (가장 중요)
금융권 보안의 3대 축
- 망분리 (Network Isolation)
- 접근통제 (Access Control)
- 정보통제 (Data Control)
망분리 정책 (물리적 망분리 중심)
기본 원칙
- 내부 업무망 ↔ 인터넷망 물리적 분리
- 업무망에서 인터넷 직접 접속 금지
[업무망 PC] ---X--- [인터넷]
(차단)물리적 vs 논리적 망분리
| 구분 | 내용 | 적용 |
|---|---|---|
| 물리적 망분리 | NIC/망 자체 분리 | 원칙 |
| 논리적 망분리 | VDI, 망간접속 | 예외 |
금융권은 기본적으로 물리적 망분리 = 원칙
중요단말기 정책
반드시 기억해야 할 핵심
- 인터넷 연결 ❌
- 외부 반출 ❌
- USB 제한
- 원격접근 ❌
예시
- 계정계 시스템 운영 PC
- 고객정보 처리 단말
원격접근 (재택/외주 포함)
정책 변화 핵심
과거
- 비상 상황 + IT 관리자만 허용
현재
- 일반 임직원 + 외주 포함 상시 허용 가능 (조건부)
허용 조건 (필수 통제)
1) 인증 강화
- MFA 필수
- OTP / FIDO / 인증서
2) 접속 통제
- VPN or Zero Trust
- IP 화이트리스트
3) 단말 보안
- EDR 설치
- 최신 패치
- 디스크 암호화
4) 행위 통제
- 화면 캡처 제한
- 파일 다운로드 제한
- 클립보드 차단
권장 아키텍처
[사용자 PC]
↓ (MFA)
[ZTNA / VPN]
↓
[VDI / Bastion Host]
↓
[업무망]핵심
- 직접 접근 ❌
- 반드시 중간 통제 계층
보안 점검 포인트
- 원격접속 로그 100% 수집 여부
- 비인가 접속 탐지 (SIEM)
- 세션 녹화 여부
- 동시접속 제한
SaaS 도입 (2026 핵심 개정)
변화 핵심
기존: SaaS 거의 불가
현재: 업무지원 SaaS 조건부 허용
허용 대상
- 문서 작성 (Google Docs, Office365)
- 협업 (Slack, Notion)
- 화상회의 (Zoom, Teams)
- 성과관리, HR
절대 금지 영역
매우 중요
- 주민번호
- 개인신용정보
- 계좌정보
- 인증정보
포함 시
→ 망분리 예외 불가
SaaS 도입 구조
[업무망 PC]
↓ (통제된 경로)
[Secure Gateway / CASB]
↓
[SaaS 서비스]SaaS 보안 통제 요구사항
서비스 선정 기준
- 금융보안원 검증
- 보안 인증 (ISO27001 등)
- 데이터 위치 확인
기술적 통제
1) 접근통제
- SSO + MFA
- RBAC 최소권한2) 데이터 보호
- TLS 1.2 이상
- 저장 데이터 암호화3) 유출방지
- DLP 적용
- 다운로드 제한
- 공유 정책 통제모니터링
- 파일 업로드/다운로드 로그
- 외부 공유 탐지
- 이상 행위 탐지
반기 점검
- CISO 보고 필수
- 정보보호위원회 승인
예외 허용 정책 (망분리 예외)
예외 적용 대상
| 구분 | 가능 여부 |
|---|---|
| SaaS (업무지원) | 가능 |
| 원격근무 | 가능 |
| 중요단말기 | 불가 |
| 고객정보 처리 | 불가 |
예외 승인 절차
Step 1: 사전 검토
- 서비스 위험 평가
- 데이터 분류
300x250
Step 2: 보안성 평가
- 데이터 흐름 분석
- 위협 모델링
- 취약점 점검Step 3: 통제 설계
- 접근통제
- 암호화
- 로깅
Step 4: 내부 승인
- CISO 승인
- 정보보호위원회 보고
Step 5: 운영 및 모니터링
- 로그 수집
- 이상탐지
실무 적용 보안 아키텍처
권장 구성
[사용자]
↓
[EDR]
↓
[ZTNA]
↓
[CASB]
↓
[SaaS]기술 구성 요소
| 영역 | 솔루션 |
|---|---|
| 인증 | MFA, SSO |
| 접근 | ZTNA |
| 단말 | EDR |
| 데이터 | DLP |
| 가시성 | SIEM |
내부 보안 가이드
임직원 가이드
- SaaS에 고객정보 입력 금지
- 개인 계정 사용 금지
- 외부 공유 금지
관리자 가이드
- SaaS 승인 목록 관리
- 접근 로그 상시 모니터링
- 계정 정기 검토
개발/IT 가이드
- API 연동 시 토큰 보호
- OAuth Scope 최소화
- SaaS Shadow IT 차단
보안 점검 체크리스트
망분리
- 업무망 인터넷 차단 여부
- 중요단말기 분리 여부
원격접근
- MFA 적용 여부
- 세션 기록 여부
- 단말 보안 상태 확인
SaaS
- 데이터 분류 완료
- 금융보안원 검증 여부
- DLP 적용 여부
모니터링
- 로그 수집
- 이상행위 탐지
- 반기 보고 수행
보안 책임자 관점 핵심
이번 개정의 본질 “망분리 완화”가 아니라 “통제된 연결 허용”
핵심 포인트 3가지
- 물리적 망분리는 여전히 원칙
- SaaS는 데이터 기준으로 허용/금지 결정
- 보안 통제 수준이 곧 허용 기준
실무 전략
Zero Trust 전환
- VPN → ZTNA
SaaS 통제 플랫폼 구축
- CASB 필수
데이터 중심 보안
- 네트워크 → 데이터 보호로 전환
망분리 예외 신청서 (Template)
기본 정보
[망분리 예외 신청서]
1. 신청 부서:
2. 담당자:
3. 시스템/서비스명:
4. 신청 일자:
5. 적용 기간 (시작 ~ 종료):
6. 관련 프로젝트명:예외 신청 사유
[예외 필요 사유]
- 업무 목적:
- 기존 망분리 환경에서 수행 불가 사유:
- SaaS / 원격접근 필요성:
- 대체 방안 검토 여부:
( ) 있음 ( ) 없음
- 대체 불가 사유:핵심: “왜 꼭 망분리를 깨야 하는가”가 명확해야 승인됨
대상 범위
[적용 대상]
1. 대상 사용자:
- 내부 직원 ( )
- 외주 인력 ( )
- 기타:
2. 대상 시스템:
- SaaS 명:
- 접근 URL:
- 기능 범위:
3. 데이터 유형:
- 일반 정보 ( )
- 개인정보 ( )
- 개인신용정보 ( )
- 중요정보 ( )
※ 개인신용정보 포함 시 → 원칙적으로 불가접근 방식
[접근 아키텍처]
- 접속 방식:
( ) VPN
( ) ZTNA
( ) VDI
( ) 기타:
- 인증 방식:
( ) MFA
( ) OTP
( ) 인증서
- 접속 경로:
사용자 → [보안 게이트웨이] → SaaS보안 통제 적용 계획
[보안 통제]
1. 단말 보안:
- EDR 설치 여부: ( )
- 패치 관리 여부: ( )
- 디스크 암호화: ( )
2. 접근 통제:
- 최소 권한 적용: ( )
- 계정 관리 정책: ( )
3. 데이터 보호:
- 암호화 적용 여부:
- 외부 공유 제한:
4. 로그 및 모니터링:
- 접속 로그 수집: ( )
- 이상행위 탐지: ( )위험도 평가
[위험도 평가]
- 기밀성 영향: 높음 / 중간 / 낮음
- 무결성 영향: 높음 / 중간 / 낮음
- 가용성 영향: 높음 / 중간 / 낮음
- 종합 위험도:
( ) High
( ) Medium
( ) Low승인
[승인]
담당자: __________
보안팀 검토: __________
CISO 승인: __________
정보보호위원회 보고 여부: ( )보안성 평가서 (상세)
평가 개요
[보안성 평가서]
- 대상 서비스:
- 평가 일자:
- 평가자:
- 평가 범위:데이터 흐름 분석
[Data Flow]
사용자 → 인증 → 게이트웨이 → SaaS → 저장소
※ 주요 점검:
- 데이터 저장 위치
- 외부 전송 여부
- 제3자 공유 여부위협 모델링
| 위협 | 설명 | 대응 |
|---|---|---|
| 계정 탈취 | MFA 미적용 시 | MFA 적용 |
| 데이터 유출 | SaaS 공유 기능 | DLP 적용 |
| 내부자 위협 | 권한 남용 | RBAC |
취약점 점검
[점검 항목]
- 인증 취약점:
- 권한 관리 취약점:
- API 보안:
- 로그 미수집 여부:
- 암호화 미적용 여부:SaaS 보안 평가
| 항목 | 결과 |
|---|---|
| ISO27001 | O/X |
| 데이터 위치 | 국내 / 해외 |
| 암호화 | 적용 / 미적용 |
| 접근 로그 제공 | O/X |
| 관리자 통제 | 가능 / 제한 |
통제 설계
[통제 설계]
- 인증:
MFA + SSO
- 접근:
IP 제한 / ZTNA
- 데이터:
암호화 + DLP
- 모니터링:
SIEM 연동최종 평가 결과
[결론]
- 허용 여부:
( ) 승인
( ) 조건부 승인
( ) 반려
- 조건 사항:운영 체크리스트 (정기 점검용)
망분리 및 접근통제
- 업무망 인터넷 직접 접속 차단
- 중요단말기 외부 접근 차단
- 망간접속 시스템 사용 여부
원격접근
- MFA 적용 여부
- 접속 로그 수집 여부
- 비인가 접속 탐지
- 세션 기록 여부
SaaS 통제
- 승인된 SaaS만 사용
- 개인 계정 사용 금지
- 외부 공유 제한 정책 적용
- 다운로드 제한 설정
단말 보안
- EDR 설치 여부
- 최신 패치 적용
- USB 통제 여부
데이터 보호
- 개인정보 입력 여부 점검
- 암호화 적용 여부
- DLP 정책 적용 여부
로그 및 모니터링
- SaaS 로그 수집
- SIEM 연동 여부
- 이상행위 탐지 룰 적용
정기 평가
- 반기 1회 평가 수행
- CISO 보고 완료
- 정보보호위원회 보고
반드시 추가해야 하는 내부 통제
Shadow IT 탐지
# 예시 (프록시 로그 기반 SaaS 탐지)
grep -i "dropbox\|notion\|slack" access.logSaaS 접근 통제 (CASB 정책 예시)
{
"policy": "block_external_sharing",
"condition": "file_shared_outside_org",
"action": "block"
}SIEM 탐지 룰 예시 (Elastic)
{
"rule_name": "SaaS 이상 로그인",
"condition": "geo_distance > 1000km AND time_diff < 1h"
}핵심 정리
망분리 예외 승인 기준은 단 하나입니다
“망을 열어도 안전한가?”
승인 포인트
- 데이터 민감도 낮음
- 통제 충분
- 모니터링 가능
반려 포인트
- 개인신용정보 포함
- 로그 없음
- MFA 없음
728x90
그리드형(광고전용)
댓글