brunch
매거진 금융보안 NW보안운영

금융회사 네트워크 보안(VPN)

가상사설망 그리고원격접속

by bit
Jun 1. 2021

네트워크 보안의 네 번째는 VPN이다. Virtual Private Network의 약자로 전용회선의 역할을 가상으로 지원해주는 가상사설망이다.


코로나 19로 인해 금융회사도 재택근무가 일상화되었다. VPN 이야기하는데 갑자기 코로나, 재택근무 이야기가 나오냐면 보통 재택근무할 때에 VPN을 통해 접속하기 때문이다.


재택근무는 여러 가지 유형의 원격 접속을 통해 가능한데, 안전하게 접속을 하기 위해선 VPN을 사용해야 한다. 종류는 IPSec, SSL 두 가지가 있다. IPSecVPN의 경우 OSI 7 계층의 네트워크 단계에서 암호화를 하는 방식이며 지점과 본사를 연결할 때 주로 사용한다. 두대의 VPN 장비를 연결해야 하는데, 일반적으로 재택근무를 위한 원격 접속 시에 주로 사용하진 않는다. 집집마다 VPN 장비를 설치할 수 없기 때문이다.


SSLVPN의 경우 OSI 7 계층의 응용 단계에서 암호화를 진행하는데 1대의 VPN 장비로 접속이 가능하다. 접속해야 하는 단말은 SSLVPN프로그램만 설치하면 된다. 이후에 원격 접속 솔루션을 접속하던지 전용 VDI에 접속하는 등의 여러 가지 환경 구성으로 원격 접속이 가능하다.


접속이 잘되는 것도 중요하지만 원격 접속할 때 감독규정 시행세칙을 충족하는지를 중요하게 살펴봐야 한다.

콜센터의 경우 녹취 등의 사유로 SSLVPN을 사용할 수가 없다. IPSecVPN을 사용하여 자택에 VPN 장비를 설치해서 재택근무를 수행하더라도 원격 접속으로 보기 때문에 시행세칙 별표 7을 적용해야 한다.


전자금융감독규정 시행세칙 제2조의 2 (망분리 적용 예외) ① 규정 제15조 제1항 제3호에서 금융감독원장의 확인을 받은 경우란 다음 각 호와 같다

2. 규정 제12조의 보안대책을 적용한 단말기에서 전용회선과 동등한 보안수준을 갖춘 통신망을 이용하여 외부망으로부터 내부 업무용시스템으로 원격접속 하는 경우

③ 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표 7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.


전용회선과 동등한 보안 수준을 갖춘 통신망이라고만 나와있고 VPN을 반드시 써야 한다는 내용은 없다. 하지만 금융보안원에서 발간한 "금융회사 재택근무 보안 안내서"를 보면 아래와 같이 나와있다.


8.jpg <금융회사 재택근무 보안 안내서, 출처: 금융보안원>


VPN을 의무적으로 사용해야 하나 단조항으로 S/W 기반의 방식도 사용이 가능하다. TLS를 사용해야 하며 1.3 버전 이상을 권고하고 있다. (OpenSSL 같은 오픈소스는 사용금지)


결론은 VPN을 사용하지 않고 안전한 프로톨을 통해 무결성 등 요건을 만족하는 경우 S/W방식도 가능하다.

하지만 보수적인 금융회사의 경우 VPN을 주로 같이 사용한다.


7.jpg <전자금융감독규정 시행세칙 별표 7>


별표 7에는 많은 통제사항들을 담고 있다. 크게 공통, 메일, 단말기, 원격 접속으로 나누는데 원격 접속의 경우 메일을 제외한 나머지를 모두 충족시켜야 한다. 아마 항목들을 쭉 보다 보면 궁금한 점이 한두 개가 아닐 것이다.


APT 차단 솔루션이 없는데 구축해야 하나요?


반드시 구축할 필요는 없다. 공통부분에 보면 APT 차단 대책 수립/적용 항목이 있다. 대책을 수립하라는 이야기이기 때문에 기존 보안장비나 솔루션에서 APT 공격 탐지가 가능한지, APT관련 보안교육을 진행하는지 확인하면 된다.


간접접속? 직접접속?이 뭐죠?


간접접속 : 외부 재택 PC ---> VDI, 업무 PC 등 단말 경유 ---> 내부정보처리시스템

직접접속 : 외부 재택 PC ---> 내부정보처리시스템


공공장소 원격 접속 금지는 공공장소인지 어떻게 판단하나요?


집에서 접속하나 공공장소에서 접속하나 둘 다 DHCP일 텐데, 공공장소인지 판단하기가 쉽지 않다. 이럴 경우 공공장소에서 접속하지 않겠다는 내용을 보안서약서에 포함시키고 내부 교육을 통해 전파하면 된다.


지금까지 금융회사에서 기본적으로 사용하는 네트워크 보안장비를 소개했다. 설명한 업무 외에도 담당자가 확인하고 운영해야 하는 기능이 많을 것이다. 장비를 운영하다가 잘 모를 땐 주저하지 말고 담당 엔지니어에게 거침없이 물어보자. 누구보다 그 장비에 대해 잘 알고 있기 때문이다.


이외에도 수많은 네트워크 보안장비가 존재한다. 금융회사의 네트워크 구성도를 살펴보면서 내/외부 트래픽이 통하는 경로가 어디 있는지 등을 파악해서 적합한 보안장비를 도입/운영하길 바란다.

keyword
bit 소속 금융보안담당자 프로필

<금융보안 프로세스 A to Z - 금융회사 보안 담당자가 알려주는 기초에서 실전까지> 저자

구독자 104
매거진의 이전글금융회사 네트워크보안(DDoS)