철통(?)보안의 금융회사와 외부를 연결하는 다리
그건 대외계에 말씀하셨어야 하는데.
혹시 안하셨나요?
청천벽력같은 소리가 수화기 너머로 들린다. 당장 내일 오픈해야 하는데, 대외계는 또 무엇이란 말인가. 그들에게 나는 무슨 말을 했어야 하는가.
다른 회사도 마찬가지겠지만 금융사는 보안에 대해 굉장히 예민하다. 그도 그럴것이 금융사 보안에 대해서는 별도의 시행령도 있고, 규정도 있다. 감독기관에서 감사를 나오기도 한다. 그런 금융사가 외부와 연결하는 것이 쉬울리가 없다. 그럼에도 불구하고 외부와 연계하는 업무를 하는 곳이 바로 대외계다. 웹뷰 호출 등의 간단한 연동은 채널계에서 하는 경우도 있지만, 외부 기관과 '거래'를 하는 순간 대외계에서 나서야 한다. 대외계는 채널계와 함께 DMZ라는 곳에 있다. 38선 근처의 그DMZ인가? 의미는 같다.
우리가 사용하는 앱, 웹은 어디서든 접속이 가능하다. 당연하겠지만 금융사 내부의 데이터에는 접속이 불가능하다. 그러면 금융사 내부에 있는 데이터가 우리 스마트폰으로 어떻게 전송되는 것일까? 이 때 사용되는 것이 바로 DMZ(De-Militarized Zone)라는 요소다. 외부망(공중망)과 내부망 사이에 존재해 외부에서 접근하는 웹서버, WAS, 이메일 서버 등을 운영하는 영역이다. 외부망과 DMZ, DMZ와 내부망 사이에는 방화벽이 존재해 외부에서의 침입을 방지한다.
아무튼 DMZ에 존재하는 대외계는 외부와의 연동이라는 역할을 수행한다. 대략적으로 예시와 함꼐 살펴보면 아래와 같다.
고객의 신용을 조회하기 위해 CB사로 고객의 CI정보를 (통신사가 발행하는 고객의 키값) 보낸다. 이 정보는 계정계가 가지고 있으나, 대외계를 통해 전용선 또는 VPN을 적용한 공중망을 통해 CB사로 전송된다.
응답역시 동일한 방식으로 돌아오고, 대외계를 거쳐 내부망으로 들어온다.
대외계에서도 알면 좋은 몇가지 용어가 있다.
원래 FEP는 전송계층에 존재하는 프로세서로 통신 과부하 경감을 위한 전처리 등을 담당한다. 그러나 이를 망분리, 보안 등에서도 활용할 수 있기 때문에, 금융권에서는 내부/외부망을 분리하는 망분리, 거래 인증을 위한 키관리, 암/복호화, 고객의 정보 처리 등을 담당한다. 금융사의 대외기관에 대한 요청은 FEP를 통해 송신된다고 볼 수 있다.
옛날 옛적 모뎀을 가지고 인터넷을 쓰던 시절이 있었다. 어머니가 전화라도 하면 인터넷이 끊어지던 그 때, 인터넷을 위해 사용하던 것은 '전화선'이었다. 전용선은 두 기관간에서만 사용하는 전화선을 까는 것이다. 우리 회사의 IDC에서 제휴사의 IDC로 연결되는 선을 깔아 통신을 한다. 쉽게 생각하면 실 전화같은 걸 만드는 것이다. 대신 선을 인터넷 서비스 공급자를 시켜 깔아야 하다보니 비용이 든다. 금융공동망이 바로 이 전용선을 사용해 연계되어 있다.
전용선으로만 외부기관 연계를 하는 것에는 당연하게도 한계가 있다. 그렇기 때문에 공중망을 안전하게 쓰기 위해 VPN을 활용하는 방법을 자주 쓴다. 금융사 입장에서 공중망 통신의 가장 큰 리스크는 외부에서 정보를 볼 수 있다는 것이다. 이를 막기 위해 VPN터널을 구성해 데이터를 안전하게 전송하고, 암호화된 통신채널을 구성한다. 금융사에서 오픈API를 제공할 때도 전용선 또는 가상사설망(VPN)을 적용하는 것이 필수 요건 중 하나이다.
대외계는 외부 제휴사/기관과 연동한다고 하면 필수적으로 개발이 필요한 시스템이다. 채널계, 계정계와는 협의를 다 해놓고 대외계 협의를 누락해 오픈이 미뤄지는 대 참사를 다른 분들을 겪지 않기를 바라며 마친다.