그룹웨어 클라우드(SaaS) 도입 검토

망분리와 클라우드

금융회사에서 클라우드 쓰고 싶은데..
망분리는?

금융회사에서 클라우드 도입/이전을 검토하는 보안담당자라면 한 번쯤은 고민했을 내용이다. 

만약에 고민을 하지 않았다면 지금부터라도 고민을 하길 바란다.

단순히 금융 클라우드 이용 가이드에 따라 CSP 안전성 평가, 정보보호위원회 승인 등등 의 절차를 진행하면 클라우드 연결할 수 있지 않느냐고 이야기할 수 있겠지만, 반드시 망분리 검토를 해야 한다.

망분리는 왜?
클라우드 이용 가이드만 지키면 되는 거 아니야?

답은 아니다. 아래의 비조치 의견서를 보자.

<21년 8월 10일 자 비조치의견서>

상세 내용은 알 수 없지만 AWS 클라우드 기반의 보안관제 서비스를 이용하려고 하는 것 같다.

AWS 클라우드를 이용하기 때문에 관련 절차는 당연히 수행해야 하나, 보안로그 전송은 망분리 예외에 해당되지 않기 때문에 로그 전송은 불가하다.

즉, 망분리 예외에 해당하는 경우에만 클라우드 이용이 가능하다고 볼 수 있다.

그럼 그룹웨어는
망분리 예외에 해당돼?

필자는 다음과 같은 사유로 그룹웨어는 필수 업무로 볼 수 있다고 판단했다.

대한민국 정부에서 발간한 클라우드 법령 해설서에 따르면 금융회사가 클라우드로 이용 가능한 시스템 중 예시로 그룹웨어가 있다. 전자금융거래와 직접적인 연관이 없기 때문에 클라우드 이용이 가능하다.

<클라우드 컴퓨팅 주요 법령 해설서. 출처: 대한민국 정책브리핑>

그룹웨어는 고유 식별정보 등 중요정보를 처리하지 않으며, 전자금융거래와 관련이 없기에 가능한 것으로 보인다. 하지만 금융회사이기 때문에 중요정보를 처리할 가능성이 있다면 관련 절차에 따라 추가적인 검토 및 금감원 보고를 해야 할 것이다.

클라우드로 쓸 수 있다고 하면,
그룹웨어를 SaaS로 쓰는 건?

결론부터 말하자면 가능할 것으로 보이나 현재 감독당국에서 피드백이 없는 상태다.

2022년 금융위 업무 보고에 따라 금융보안 규제를 완화할 예정으로 보이긴 하나 얼마나 완화될지, 다가올 완화 정책으로 금융사가 SaaS까지 이용 가능할지는 예측이 어렵다.

관련기사 "SaaS 가로막는 금융권 망분리···클라우드 산업 활성화 걸림돌" (링크)
(알게 모르게 일부 금융사에서는 SaaS를 사용하고 있고 금감원도 모르진 않다.)