연구･개발 목적의 망분리 예외적용에 따른 보안 해설서(25.04.30)

금융회사가 연구·개발망을 안전하게 구축·운영할 수 있도록 절차와 보안관리 방안 제시(금융보안원)

 

 

 

□  개 요    

    1. 연구･개발망이란?

        연구·개발망은 정보기술 기반의 연구 또는 소프트웨어 개발 등을 위해 활용되는 네트워크로, 외부와의 연계성이 높은 특징을 갖습니다. 연구 효율성 향상을 위해 인터넷 접속이나 외부 오픈소스 사용이 필요한 경우가 많지만, 이는 보안상 위험요소가 될 수 있으므로 별도 통제 환경이 필요합니다.

 

연구/개발망 네트워크 구조도

       

        * 내부업무망(3호망) : 내부통신망과 연결된 내부 업무용 시스템(전자금융감독규정 §15①3)

        ** 전산실(5호망) : 전산실 내 위치한 정보처리시스템과 해당 정보처리시스템의 운영,개발, 목적으로 직접 접속하는 단말기(전자금융감독규정 §15①5)

 

    2. 주요 규제 개선 내용

        2022년 10월, 금융위원회는 연구·개발 목적의 망분리 예외 적용을 허용하는 제도적 개선을 추진하였습니다. 정보처리시스템 중 비업무용 연구·개발 목적 시스템에 한해 망분리 예외를 인정하고, 일정 조건 하에서 인터넷 접속이 가능하도록 가이드라인이 마련되었습니다.

※ 주요(개선) 내용
   1. (망간 이동 편의 확대) 연구･개발망과 내부업무망 간논리적 망분리를 허용하고, 소스코드 등 연구･개발 결과물의 망간 이동 편의 확대
      - (연구·개발망 ↔ 내부업무망) 논리적 망분리 허용
      - (연구·개발망 → 전산실) 소스코드 등 개발산출물 망간 전송 허용

   2. (가명정보 허용) 개인신용정보의 활용은 불가하나, 가명 처리한개인신용정보에 한해 연구･개발망에서 활용 가능
   3. (재택근무 허용) 연구·개발망을 통한 IT개발자 등의 재택근무 가능

 

 

□  망분리 예외로 인해 발생될 수 있는 예상 위협     

    1. 소스코드 등 정보유출

        연구개발망에서는 개발 중인 소스코드, 알고리즘, 시스템 아키텍처 등 중요 자산이 저장됩니다. 인터넷 연결 상태에서 해당 정보가 외부로 유출될 경우 기업이나 기관에 막대한 피해를 초래할 수 있습니다. 특히 내부 직원의 실수 또는 악의적 행위로 인해 유출되는 경우가 대표적입니다.

        - 금융의 디지털 전환에 따라 소스코드는 높은 가치를 가진 정보자산에 해당되며, 유출 시 영업기밀 등의 노출뿐만 아니라 다양한 피해가 발생될 수 있음을 인지

 

    2. 오픈소스 등 취약한 소스코드 사용으로 인한 금융사고

        인터넷에서 다운로드한 오픈소스나 외부 라이브러리를 활용하는 경우, 보안 검증이 되지 않은 코드가 포함될 수 있습니다. 실제로 일부 금융사에서 이러한 오픈소스의 취약점을 이용한 해킹 사례가 보고되었으며, 이는 직접적인 금전적 손해로 이어질 수 있습니다.

         - 누구나 수정 가능한 오픈소스 특성상 취약점이 존재할 가능성이높아 이를 검증 없이 활용 시 위협에 노출

※ 소프트웨어 공급망 관련 침해 사례
   1. 오픈소스인 color.js, faker.js의 관리자가 해당 라이브러리에 악성코드를 삽입하여 패키지 매니저를 통해 배포(`22.1월)
   2. US-Parser-JS 관리자 패키지 매니저 계정 탈취로 악성 프로그램(암호화폐 채굴기 설치 및 자격증명 수집) 배포(`21.11월)

 

    3. 내부로 침해위협 전파

        연구･개발망 망분리 예외로 인터넷 등 외부통신망에 연결됨에 따라 제3자 서비스(클라우드 등)를 통해서 침해 위협이 연구·개발망을 경유하여 내부업무망·전산실로 악성코드 유입, 내부 침투 가능성 존재

※ 망분리 기업 폐쇄망 공격 사례(출처 : 과학기술정보통신부)
   1. 공격 수행단계
       (1) 취약한 버전의 SW가 설치되어 있는 인터넷 PC 장악
       (2) 망분리 솔루션 제로데이 취약점 식별
       (3) 망분리 솔루션 침투 후 통신 중계용 악성코드 설치
       (4) 통신 중계용 악성코드를 통해 인터넷-폐쇄망 구간 제어
       (5) 폐쇄망 주요 정보시스템 침투

   2. 피해 내용
        - 폐쇄망에 저장된 중요서버의 기밀 데이터 유출 등으로 인한 금전적 피해뿐만 아니라기업 신뢰 저하 등의 피해 발생

   3. 조치사항
        - 액티브X 프로그램 정기적 삭제 등 직원PC 보안조치, 망분리 환경에 대한 보안위협 점검

 

□  연구·개발망 구성 절차 및 보안관리 방안     

    1. 연구･개발망 구성 절차

        연구개발망을 구성하기 위해서는 다음과 같은 절차를 거쳐야 합니다.
            1) 연구·개발망 활용 범위 판단

            2) 자체 위험성 평가

                - 금융회사 등은 자사의 업무 환경 등을 고려하여 연구·개발망구성에 따른 자체 위험성 평가 실시

                - 예상되는 보안 위협(아래 예시 참조)을 빠짐없이 식별하고 위협에대한 위험성을 평가

 

 ※ 연구･개발 목적의 망분리 예외 시 예상되는 보안위협(예시)

구분	내용
소스코드 등 정보 유출	- 금융서비스 관련 소스코드의 외부 유출 가능성 - 소스코드 유출 시 금융서비스에 미칠 영향   ※ 공격자는 소스코드 분석을 통해 금융서비스 프로그램의 구조나 취약점 등을 파악 가능 - 서비스의 코드서명(Code Signing) 및 암호키 등 유출 가능성
오픈소스 등 취약한 소스코드 사용으로 인한 금융사고	- 취약점이 있는 오픈소스 또는 안전하지 않은 소스코드가 별도의 보안검증 절차 없이 업무망 및 전산실로 이관될 가능성 - 취약한 소스코드 사용으로 인해 금융서비스에 취약점이 발생하여침해사고 등이 발생할 가능성
내부로 침해위협 전파 가능	- 연구·개발망의 인터넷 연결에 따른 악성코드 감염 위험성 - 망간 연계 구간의 접근통제 적절성 - 연구·개발망을 통해 업무망 및 전산실로의 침해 시도 가능성

 

            3) 정보보호통제 및 추가 보호대책 적용

                -  망분리 예외 적용 시 「전자금융감독규정 시행세칙」 <별표7>에명시된 망분리 대체 정보보호통제(연구･개발 부문) 이행

                -  정보보호통제 이행 시 자체 위험성 평가에서 도출된 위험이 충분히 완화되었는지 확인하고 필요시 추가 보호대책을 적용

 

            4) 정보보호위원회 의결

                (1) 망분리 예외에 따른 자체 위험성 평가 결과 및 적용된 보호대책의 적정성 등에 대해 정보보호위원회 의결

                     - 자체 위험성 평가를 통해 도출된 보안위험이 보호대책 적용 등을 통해 충분히 완화되었는지 검토

                (2) 정보보호위원회 의결 이후에도 정기적으로 연구·개발망에 대한 위험성 평가*를 실시할 것을 권고

                      ※ 연 1회 정기 모의해킹 실시 등

                     - 연구･개발망 구성의 변화 등 보호대책의 중대한 변경이 있는 경우 정보보호위원회 심의·의결 재수행 필요

 

    2. 연구･개발망 구성 및 보안관리 방안

            1) 연구･개발망 주요 보안대책

                (1) 독립적인 네트워크 구성

                    - 연구·개발망은 내부업무망·전산실, 외부망으로부터 독립된 인프라로구성·운영

                    - 자사 업무 환경 등에 적합하고 안전한 방법으로 연구･개발 관련네트워크를 구성

                    - 실 업무 또는 서비스 제공에 필요한 시스템(공개용 웹서버, 모바일 앱 배포 서버 등)은 연구·개발망에 위치 불가

                    - 클라우드 환경에 연구･개발망 구축 시 전자금융감독규정에서정한 클라우드 이용 관련 사항 준수 필요

                    - 연구･개발망에서 무선통신망 사용 시 전자금융감독규정(제15조제6항) 준수 및 사용자 인증 등 보호대책 적용 필요

                (2) 단말기 및 시스템 보호대책

                    - 연구･개발망에는 인가된 대상*만 접근할 수 있도록 하고, 이에 대한 접근통제 대책 수립·적용

                    - 연구･개발 단말기 및 시스템에 대해서도 망분리 外 전자금융감독규정에서 정한 안전성 확보 의무 준수 필요

                    - 연구･개발 시 실제 서비스 운영 과정에서 사용되는 중요정보* 활용 금지

                    - 실 데이터를 활용한 테스트, 내･외부 이용자 대상 서비스(시범서비스 제공, 베타 테스트 등) 등은 처리 금지

                    - 연구･개발 관련 문서의 작성 및 저장이 필요한 경우 문서보안(암호화) 등 보호대책 수립·적용

                (3) 가명정보 활용에 대한 보호대책

                    - 연구･개발 목적으로만 가명처리된 개인신용정보 활용이가능하며, 활용 시 가명정보 관련 법령 등을 준수하여 보호대책 수립･적용

                (4) 침해사고 예방 및 사고대응 대책

                    - 연구･개발망에서 보안사고 발생을 최소화하기 위해 필요한 보호대책을 검토하고 이를 내부 보안정책에 반영

                    - 중요 정보(소스코드 등) 유출* 등 보안사고 발생에 대비한 대응절차 마련

                    - 보안사고 발생 시 상세 원인·분석을 위해 충분한 디지털 증거를보존해야 하며 원인분석 前 증거 삭제(PC 포맷 등) 행위 금지

                    - 연구･개발망에서 발생한 보안사고가 내부로 확산되는 것을 방지하기 위해 네트워크 격리 등 긴급 대응 절차를 이행

                (5) 소스코드 등 보호대책

                    - 중요 소스코드는 강화된 통제 조치* 권고

                    - 소스코드 저장소에 보관된 중요 소스코드 접근 시 다중(multi-factor) 인증 등 강화된 인증을 수행하고, 접근 내역을 기록･관리필요

                    - 연구･개발망 內 소스코드 보호를 위한 추가 보호대책을 검토하여 내부 보안정책 등에 반영

                    - 연구･개발에 필요한 오픈소스 소프트웨어를 안전하게 활용하기위한 보호대책 수립·적용

                    - 소스코드 등 데이터의 외부 반출을 엄격하게 관리·통제

                    - 소스코드 공유 플랫폼 등에 중요 소스코드가 무단 공개되는 경우에 대비하여 무단 게시 중단 요청 등 대응 절차 마련

 

            2) 논리적 망분리(내부업무망 ↔ 연구･개발망) 구간 보호대책

                - 내부업무망(3호망)에서 인가된 사용자(단말기)만 연구･개발망에 접근할 수 있도록 통제

                - 망간 안전한 데이터 이동을 위한 보호대책* 적용 및 모니터링

 

            3) 망간 전송 허용(연구·개발망 → 전산실) 구간 보호대책

                - 연구･개발망의 인가된 서버(형상관리 역할을 하는 서버)만 전산실에 접속할 수 있도록 통제하고, 서버 간 연결은 단방향(연구·개발망→전산실) 통신을 한시적으로 허용

                - 망간 자료 전송 채널 및 방법에 대한 구체적인 방식은 금융회사가 자사 IT 환경 및 위험 등을 고려하여 자율적으로 결정

                - 전산실로 소스코드 등 데이터 전송 시 사전에 시큐어코딩 점검 및 소스코드 무결성 검증 등 강화된 보호대책* 수립·적용

 

            4) 외부연결 구간 보호대책

                (1) 원격 등 외부 접근통제 대책 

                   - 연구･개발 업무 수행을 위해 외부 인터넷 환경*(재택 등)에서 연구·개발망으로 원격 접속이 가능하며, 이에 대한 보호대책 수립·적용 필요

                (2) 유해사이트 차단 등 외부 인터넷 접근통제 대책

                   - 인터넷 등 외부 접속이 허용되는 범위 및 신청 절차 등에 대해내부 기준을 마련하여 운영

                (3) SaaS 등 접근통제 대책

                   - 연구·개발에 필요한 경우에 한해 SaaS, 생성형 AI는이용이 가능하며 필요 보호대책 수립·적용

 

 

감사합니다.

 

(붙임) 연구&middot;개발 목적의 망분리 예외 적용에 따른 보안 해설서 fn.pdf

0.98MB