– 클라우드·온프레미스 인프라부터 엔드포인트, SaaS 앱까지 전반적인 모니터링·감사 필요
클라우드와 인공지능(AI) 시대가 활짝 열리면서 금융사들이 디지털 금융 전략을 강화하고 있다. 이같은 시대에 발맞춰 금융위원회에서는 금융사들이 생성형 AI를 활용하고 클라우드(SaaS) 이용도 대폭 확대할 수 있도록 최근 ‘금융분야 망분리 개선 로드맵’을 발표했다. 금융권 망분리 규제 도입 10년 만에 금융보안체계를 전면 개편 작업에 시동이 걸렸다.
당장은 금융 망분리 개선 규제샌드박스를 통해 가명처리된 개인신용정보(가명정보)를 대상으로만 허용됐지만, 머지 않아 완전 자율규제 체계로 전환하면서 개인신용정보 전체에 대한 이용이 허용될 것으로 전망되고 있다.
금융위는 망분리 개선 로드맵을 발표하면서 비단 생성형 AI와 서비스형소프트웨어(SaaS) 이용이 허용·확대된 것뿐 아니라 내부 보안 거버넌스 강화(중요 보안사항 이사회 보고의무), 전산사고 발생에 대한 배상 책임 확대 등도 포함했다.
망분리 정책으로 폐쇄됐던 환경이 개방되고 금융사 내부 보안 거버넌스 강화와 보안사고 책임이 더 무거워지면서 앞으로 금융사 보안체계에도 상당한 변화가 예상된다.
보안운영관리 플랫폼 전문기업인 로그프레소 공동창업자 구동언 전무는 지난 달 29일 ‘포스트 망분리 시대, 금융IT가 가야할 길’을 주제로 열린 바이라인네트워크 2024 금융 테크 컨퍼런스에서 “앞으로 (금융사) 보안담당자들은 해야할 일이 더욱 많아질 것으로 보인다”라면서 “보안정보이벤트관리(SIEM) 솔루션을 도입하거나 SaaS나 엔드포인트 보안 솔루션을 도입하는 데 있어 내부 보안 거버넌스 강화, 전산사고 발생 배상 책임 확대 등까지 다 고려해야 한다”고 말했다.
구 전무는 이같은 변화하는 환경에서는 인프라 전반의 모니터링과 감사가 매우 중요하고, 그에 딱 맞는 보안 방안이 바로 ‘클라우드 SIEM’이라고 강조했다.
그에 따르면, 앞으로는 퍼블릭 클라우드와 SaaS, 온프레미스 인프라까지 전반적인 환경을 모두 모니터링하고 보안 관련된 모든 인프라에서 발생하는 로그를 통합 관리해야 한다.
아울러 수많은 SaaS 애플리케이션에 대한 보안 관련 설정과 모니터링 정책도 세밀하게 이뤄져야 한다는 취지로 이같이 말했다. “이제는 업무용 애플리케이션도 다 클라우드로 올라가 있는 SaaS를 사용한다. 개발자들은 지라(JIRA)나 깃허브, 고객관계관리(CRM)는 세일즈포스나 허브스팟, 그룹웨어는 네이버웍스, 원패스워드(1Password), 노션 등 굉장히 다양하게 쓸 것이다. 예를 들어 마이크로소프트 364의 경우는 원드라이브나 셰어포인트에서 쓰는 문서들을 누가 어떻게 저장하고 액세스하며 파일의 민감도를 누가 언제 수정했으며 공유를 설정해 내보냈는지, 어떠한 IP에서 들어왔는지 모든 것을 모니터링해야 한다. 예전처럼 모든 걸 사용해서는 안된다며 다 막아놓을 수 있는 시대가 아니기에 결국 허용은 해주지만 결국은 사후 감사가 굉장히 중요해진다.”
구 전무는 “이제는 (애플리케이션) 개발부터 프로덕션 되기까지 매우 다양한 보안위협을 마주하게 된다. 이같은 보안위협을 경감시킬 수 있는 조치를 많이 해야 한다”고도 강조했다.
또한 “클라우드를 사용하게 되면 결국 가장 중요해지는 문제가 개인식별정보(PII)”라며, “퍼블릭 클라우드상에서 크리덴셜이 유출되는 경우, 이 크리덴셜을 잘못 관리하는 경우, 심지어 랩톱에 개인정보를 담은 엑셀 파일을 저장하다 랜섬웨어에 감염돼 털리는 경우, 그리고 크리덴셜 유출로 인해 SaaS에 있는 고객정보까지 유출되는 경우가 많이 있다. 따라서 퍼블릭 클라우드에 대한 모니터링, 엔드포인트 장비에 대한 모니터링, SaaS에 대한 모니터링이 일관적이고 통합되게 이뤄져야 한다”고 덧붙였다.
결과적으로 온프레미스상에서 해온 전통적인 방식이 아니라 클라우드 SIEM으로 클라우드 인프라와 엔드포인트 기기, SaaS를 포괄하는 모니터링을 통합적으로 수행해야 한다는 게 로그프레소의 제안이다. 모든 인프라 환경을 포괄해 보안상 필요한 모니터링 요건을 모두 충족시킬 수 있어야 할 뿐만 아니라 비용 측면도 고려해야 한다는 것이다.
예를 들어 정보통신망법, 개인정보보호법, 전자금융거래법, PCI DSS 등과 같은 컴플라이언스에서는 로그를 최소 6개월에서 최대 5년 이상 보관해야 하고, 일부(PCI DSS)는 최근 3개월 로그를 즉시 분석 가능하도록 규정돼 있다는 점에서 금융사나 조직에서는 자칫 비용 부담이 커질 수 있기 때문이다.
구 전무는 클라우드 SIEM같은 서비스형 보안관리 플랫에서 가장 중요한 6가지 요소로 손쉬운 연동, 보안과 비보안의 통합, 장단기로그 통합 분석, 온프레미스와 클라우드, SaaS 로그 통합, 저렴한 장기 보관 비용, 업무 자동화 지원을 지목했다.
그는 먼저 “요즘에는 회사에 인프라 엔지니어가 많지 않다. 인프라는 잘 모르는 경우가 많기 때문에 SaaS 연동을 굉장히 쉽게 할 수 있도록 지원해야 한다”고 말했다. 또 “더이상 지금까지 생각해온 보안과 비보안도 구분하는 게 의미가 없어진 시대이기 때문에 SIEM에서 보안과 비보안을 구분하지 않고 데이터를 통합해 줄 수 있어야 한다”라면서 “클라우드뿐 아니라 이미 사용해온 온프레미스 쪽에 있는 로그들도 잘 통합할 수 있어야 한다”고 덧붙였다.
아울러 “로그 장기 보관 비용이 저렴해야 한다. 클라우드를 쓴다고 해서 온프레미스 대비 수십배씩 비싸지는 요금제를 사용하면 안된다”고 지적했다.
구 전무는 “업무의 범위는 넓어지고 깊이는 더 깊어지고 있지만 그렇다고 해서 사람을 더 많이 채용해서 할 수는 없는 상황이다. 인력이 부족할 뿐만 아니라 비용도 많이 들기 때문에 많은 단순한 일은 자동화할 수 있어야 한다”며 “로그프레소가 작년 말에 국내 최초로 ‘로그프레소 클라우드’라는 클라우드 SIEM 서비스를 내놨는데, 이 서비스는 자동화가 잘 돼있어 30분 안에 구축할 수 있는 서비스”라고 소개했다.
이어 “단기 보관 로그는 블록 스토리지에 저장하고 장기 보관 로그는 자동으로 오브젝트 스토리지에 저장하는 방식으로 합리적인 요금 수준에서 클라우드 SIEM을 사용할 수 있다”며 “현재 네이버 클라우드와 카카오 클라우드 리전을 운영하고 있고, 내년 상반기 중 아마존웹서비스(AWS) 서울 리전에서도 운영할 예정”이라고 덧붙였다.
로그프레소 클라우드는 보안과 보안 구분 없이 약 150종 이상의 서비스를 손쉽게 연동할 수 있도록 제공한다. AWS, 에저, 오라클 클라우드 인프라(OCI)같은 퍼블릭 클라우드 서비스뿐만 아니라 온프레미스 방화벽같은 전통적인 보안 솔루션 및 인프라, 업무용 SaaS, 클라우드 보안 서비스(SECaaS), 사이버위협인텔리전스(CTI)까지 다 포함된다.
구 전무는 “앱 서비스를 연동해 애플리케이션프로그래밍인터페이스(API) 키만 넣으면 로그 수집부터 모니터링 룰(Rule), 살펴봐야 할 보안침해 유형까지 자동으로 모니터링할 수 있는 체계를 모두 제공한다”며 “로그프레소가 자체 개발한 보안 오케스트레이션 자동화 대응(SOAR)까지 클라우드 환경에서 자연스럽게 쓸 수 있도록 통합돼 있다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
