전자금융감독규정시행세칙 개정에 따른 SSLVPN 활용 사례

COVID19로 인해 원격지 근무나 재택근무 등 언택트 근무환경을 선호하는 업체들이 늘어남에 따라 관련 법령이 개정되었습니다. 개정된 법령에 특화된 SSLVPN에 대한 기능을 소개해 드리겠습니다.

 

SSLVPN의 주요 기능

 

-      Endpoint Control을 통한 단말 무결성 검사 및 다양한 OS환경 지원

: 사용자 디바이스 상태에 따라 원격 접속의 액세스를 제어하며, OS 버전이나 Antivirus 소프트웨어의

  설치 유무 등을 설정하여 접속해오는 디바이스의 신뢰성을 높일 수 있습니다.

 

-      OTP 인증을 통한 Two Factor 인증 지원

: 사용자 로그인 시 OTP를 통해 토큰을 전달하여 다양한 사용자 인증 시스템 연동을 통해 강력한 사용자 인증 및

  단말의 무결성 검증으로 안전한 접속을 제공합니다.

 

-      VPN은 항상 자동 연결되며 SSLVPN 접속에 대해 강제성 부여

: VPN 연결은 항상 자동으로 연결되며 만약 VPN 연결이 끊어졌을 경우 인터넷 통신이 제한됩니다.

  또한, 사용자 단말에서 회사 네트워크와 외부 네트워크를 감지하여 자동으로 터널링 연결이 됩니다.

 

 

SSLVPN 활용 사례 (S사)

 

전자금융감독규정시행세칙이 개정됨에 따라, 임직원의 원격 접속을 망 분리 예외사유로 명시해 일반 임직원도 원격 접속을 통해 상시 재택근무가 가능하도록 허용하며, 내부 업무망과 동등한 보안 수준으로 재택근무 인프라를 구축, 운영할 수 있도록 단계별 보안사항을 구체화, 명확화 해야합니다.

 

기존 법령	개정(21.3.1 시행)
IT부문(개발,보안, 운영업무)직원에 한하여 시스템 장애 발생 등 비상 상황 시에만 원격 접속 허용	임직원의 원격 접속을 망 분리 예외사유로 명시해 일반 임직원도 원격접속을 통해 상시 재택근무가 가능하도록 허용 (시행세칙 제2조의 2(1)항)
최소한의 보안 원칙을 제시하고, 금융회사가 필요한 사항을 자체적으로 수립, 적용	내부 업무망과 동등한 보안 수준으로 재택근무 인프라를 구축, 운영할 수 있도록 단계별 보안사항을 구체화, 명확화 (시행세칙 <별표7>)

 

S사는 개정된 법령에 따라서 SSLVPN을 도입하여 다음과같이 개선되었습니다.

 

• 모든 트레픽은 VPN을 통해 통신 되며, 사내 환경과 동일한 보안 수준 적용
• 회사에 등록된 특정 사용자 및 디바이스만 VPN 연결 허용
• VPN연결은 언제 어디서나 자동으로 연결되며 VPN이 끊어질 경우 인터넷 통신 제한
• 회사 네트워크와 외부 네트워크를 감지하여 자동으로 네트워크 터널링 연결

 

개정된 전자금융거래법 요구사항을 충족시키기 위하여 모든 트레픽은 VPN을 통해 통신 되며, 사내 환경과 동일한 보안 수준의 망을 구현하였고, EPC검사로 회사 Compliance를 충족하는 단말만 접근을 허용하였습니다. 또한, 항상 자동 연결되는 VPN을 이용하여 SSLVPN 접속에 대한 강제성을 부여하고 사용자 임의 삭제를 방지하였습니다.

 

또한, 사용자 업무 특성에 따라 정책을 나누어 Full Tunnel 방식과 Split Tunnel 방식을 적용해 전자금융거래법 대상 접속과 특정 사이트접속, 일반 업무 접속 등을 분리하여 사용자별 세분화된 정책을 제공하여 강력한 접근제어를 구현하였습니다.