[가이드] 금융회사 재택근무 보안 안내서 - 출처 : 금융보안원(2020.12)

https://www.fsec.or.kr/bbs/detail?menuNo=222&bbsNo=6549

금융보안원

금융회사 재택근무 보안 가이드: 기본부터 시작하기 🏠🔐

코로나19 팬데믹으로 인해 많은 금융회사들이 재택근무를 도입하게 되었어요. 하지만 재택근무는 보안 통제가 어려운 외부 환경에서 이루어지기 때문에 정보 유출이나 보안 사고의 위험이 큽니다. 이번 포스팅에서는 금융회사가 재택근무를 안전하게 시행하기 위해 따라야 할 보안 가이드라인을 쉽게 설명할게요.

---

1. 재택근무 보안의 필요성 💡

재택근무에서는 회사 내부망에 외부에서 접근해야 하기 때문에 여러 가지 보안 위협이 존재합니다. 여기에는 외부 단말기 분실, 공용 네트워크 사용, 악성코드 감염 등 다양한 위험이 포함돼요. 예를 들어, 공용 와이파이를 사용할 경우 해커가 정보를 도청하거나, 중간자 공격(MITM)을 통해 중요한 데이터를 탈취할 수 있어요.

---

2. 재택근무 원격접속 유형 🌐

재택근무 환경에서 내부망에 접근하는 방식은 크게 두 가지로 나뉩니다:

• 간접 접속: 외부 단말기가 회사의 업무용 단말기를 경유해 내부망에 접속하는 방식으로, 보안성이 높습니다.
• 직접 접속: 외부 단말기가 내부망에 직접 접속하는 방식으로 편리하지만, 보안 위험이 크기 때문에 추가적인 보안 조치가 필요합니다.

---

3. 재택근무 보안성 검토 기준 📋

재택근무 시 금융회사가 따라야 할 보안성 검토 기준은 다음과 같습니다. 이를 통해 재택근무 환경에서도 안전한 정보 보호를 유지할 수 있어요.

보안영역	보안성검토 기준	설명
외부 단말기 보안 관리	백신 프로그램 설치 및 최신 보안패치 적용	외부 단말기에 백신을 설치하고, 운영체제의 보안 패치를 최신 상태로 유지해야 합니다. 🔄
	로그인 비밀번호 및 화면 보호기 설정	외부 단말기에 로그인 비밀번호를 설정하고, 일정 시간 동안 사용하지 않으면 화면 잠금이 걸리도록 해야 해요. 🔒
	정보 유출 방지 대책 적용	화면 캡처 방지, 내부 전산자료 출력 금지, 출력물 워터마크 적용 등의 대책을 적용해야 합니다. 🖨️🚫
원격접속 유형별 보안	파일 송수신 차단 (간접 접속 시)	외부 단말기와 내부 업무용 단말기 간 파일 송수신을 차단하여 정보 유출을 방지해야 합니다. 📁✋
	인가되지 않은 소프트웨어 설치 차단 (직접 접속 시)	외부 단말기에 회사에서 허가하지 않은 소프트웨어의 설치를 막아야 합니다. 🛠️🚫
내부망 접근통제	최소한의 IP 및 포트 연결 허용	외부 단말기는 업무상 필요한 최소한의 IP 및 포트에만 접속하도록 제한해야 합니다. 🌐🔐
	원격접속 기록 저장	원격접속 시 접속 기록(사용자, 접속 일시 등)을 최소 1년 이상 보관해야 합니다. 🗂️🕒
인증	이중 인증 적용	원격접속 시 ID/PW 외에 OTP나 기기 인증 등 추가적인 인증 수단을 사용해 보안을 강화해야 합니다. 🔑🔑
	일정 횟수 이상 인증 실패 시 접속 차단	일정 횟수 이상 인증에 실패하면 접속을 차단하여 비인가 접근을 방지해야 합니다. 🚫🔐
통신 회선	VPN 구축 및 안전한 암호화 통신 사용	전용회선과 같은 수준의 보안을 제공하는 VPN을 구축하여 내부망과 안전하게 연결해야 해요. 🌍🔒
	내부망 접속 시 인터넷 연결 차단	내부망에 접속할 때는 다른 인터넷 연결을 차단하여 외부로의 정보 유출을 막아야 합니다. 🚫🌐
기타 보안 조치	공공장소 원격접속 금지	카페, PC방 등 공공장소에서의 원격접속을 금지하여 정보 유출 위험을 줄여야 해요. 🏢🚫

---

재택근무 보안 고려사항 🏠🔒

재택근무를 안전하게 운영하기 위해서는 외부 단말기 보안, 통신 회선, 내부망 접근통제, 인증 등 다양한 보안 고려사항이 필요합니다. 여기에서는 각 보안 영역을 의무 사항과 권고 사항으로 구분하여 제시합니다.

1. 외부(재택) 단말기 보안 관리 💻

• 의무 사항:
  • 백신 프로그램 설치 및 최신 보안패치 적용.
  • 로그인 비밀번호 설정 및 화면 보호기 활성화.
  • 인가되지 않은 소프트웨어 설치 차단.
• 권고 사항:
  • 화면 캡처 방지 및 출력물 워터마크 적용.
  • 중요 파일 암호화 저장.

2. 통신 회선 보안 🌍🔐

• 의무 사항:
  • VPN 구축 및 안전한 암호화 통신 사용.
  • 내부망 접속 시 다른 인터넷 연결 차단.
• 권고 사항:
  • VPN 사용 시 이중 인증 적용.
  • 공공 와이파이 사용 제한.

3. 내부망 접근 통제 🔒🛡️

• 의무 사항:
  • 최소한의 IP 및 포트 연결 허용.
  • 원격접속 기록 저장 및 관리(최소 1년 이상 보관).
• 권고 사항:
  • 접근 통제 정책을 주기적으로 검토 및 갱신.
  • 외부 단말기의 보안 점검 후 내부망 접속 허용.

4. 인증 보안 🔑✅

• 의무 사항:
  • 이중 인증(OTP, 기기 인증 등) 적용.
  • 일정 횟수 이상 인증 실패 시 접속 차단.
• 권고 사항:
  • 지리적 위치 기반의 접속 제한.
  • 추가적인 생체 인증 적용(지문, 얼굴 인식 등).

    ---

 

재택근무 환경 구축 단계와 각 단계별 보안 고려사항 📋🏗️

재택근무 환경을 구축하는 과정은 5단계로 나눌 수 있습니다. 각 단계마다 중요한 보안 고려사항을 확인하는 것이 필수적입니다.

1. 단계 ① 시작: 재택근무 계획 수립 📝

• 보안 고려사항:
  • 재택근무 필요성 및 적용 대상 선정.
  • 보안 정책 수립 및 경영진 승인.
  • 내부 직원 교육 계획 마련.

2. 단계 ② 설계: 재택근무 인프라 설계 🖥️

• 보안 고려사항:
  • 네트워크 구조 설계(내부망과 외부망 분리).
  • 안전한 원격접속 방식 설계(VPN, 간접 접속 등).
  • 재택근무에 필요한 보안 솔루션(백신, 방화벽 등) 선정.

3. 단계 ③ 구현: 인프라 구축 및 보안 솔루션 적용 🔧

• 보안 고려사항:
  • VPN 설치 및 암호화 통신 설정.
  • 외부 단말기 보안 설정(백신, 보안패치, 암호화 등).
  • 네트워크 접근통제 설정 및 테스트.

4. 단계 ④ 운영 및 유지 보수 🔄

• 보안 고려사항:
  • 정기적인 보안 업데이트 및 패치 관리.
  • 원격접속 기록 점검 및 모니터링.
  • 보안 교육 및 훈련 프로그램 정기 시행.

5. 단계 ⑤ 폐기: 재택근무 환경 폐기 및 보안 처리 🗑️

• 보안 고려사항:
  • 사용한 외부 단말기의 데이터 완전 삭제.
  • 보안 솔루션 제거 및 계정 접근 권한 회수.
  • 관련 기록 보관 및 종료 보고서 작성.

 

결론 📌

재택근무는 많은 장점이 있지만, 보안적으로 큰 도전이기도 합니다. 위의 보안성 검토 기준을 준수함으로써 금융회사는 재택근무 환경에서도 고객의 데이터를 안전하게 보호하고, 보안 사고를 예방할 수 있어요. 각 기준을 이해하고 실제 환경에 적용해 보는 것이 중요합니다. 💪🔐