망분리 규제(별표7) SaaS 보안 요건, Vision One으로 충족하기

왜 '별표7' 성격의 대체 통제가 중요한가 — 자율보안·결과책임의 시대

망분리 규제 완화의 핵심은 '금지의 해제'가 아니라 '조건부 허용'입니다. 과거처럼 물리적·논리적 망분리를 일률적으로 강제하던 방식에서, 금융회사가 스스로 위험을 평가하고 그에 상응하는 정보보호통제를 갖추면 클라우드·SaaS 이용을 예외적으로 허용하는 자율보안·결과책임 체계로 옮겨가고 있습니다.

이때 망분리를 대신하는 정보보호통제 항목들(전자금융감독규정 시행세칙의 별표 성격으로 정리되는 대체 통제)이 예외 허용의 실질적 조건이 됩니다. 즉 SaaS를 도입한다는 것은 단순히 도구를 바꾸는 일이 아니라, 망분리가 제공하던 격리 효과를 접근통제·데이터 유출 방지·외부 통신 제어·로그 감시·상시 관리라는 개별 통제의 조합으로 재구성해 증명해야 한다는 뜻입니다. 통제가 비어 있으면 예외 허용의 근거 자체가 흔들립니다.

아래 표는 망분리 대체 통제로 요구되는 항목과, 각 항목에 대한 Trend Vision One의 대응 방식을 정리한 것입니다. 충족 여부는 제품이 직접 다루는 기능 기준이며, 'N/A'로 표시된 항목은 솔루션이 아니라 도입 SaaS 자체에 대한 평가 사안임을 먼저 밝혀 둡니다.

먼저 짚을 것: 'N/A' 항목은 솔루션이 아니라 SaaS 자체의 문제입니다

표의 첫 번째 행, 즉 '침해사고대응기관 평가 충족 SaaS 이용 및 관련 서류 최신 유지'는 Vision One 같은 보안 솔루션의 기능으로 해결되는 항목이 아닙니다. 이것은 금융회사가 도입하려는 그 SaaS 서비스 자체가 침해사고대응기관(금융보안원 등)의 평가를 통과했는지, 그리고 그 평가 관련 서류가 최신 상태로 유지되는지를 묻는 요건입니다.

따라서 이 항목은 보안 제품 기능 매핑의 대상이 아니라, 도입 대상 SaaS와 별도로 확인해야 할 사안으로 분리해 다뤄야 합니다. Vision One이 아무리 다른 통제를 충실히 충족하더라도, 평가를 통과하지 않은 SaaS를 쓴다면 이 항목 자체가 미충족이 됩니다. 가디언넷은 통제 설계 단계에서 이 구분을 명확히 해, 솔루션이 메우는 통제와 SaaS 도입 전제 조건을 혼동하지 않도록 안내합니다.

접근통제·인증 — 누가, 어떤 단말로, 어떤 권한으로 들어오는가

망분리가 사라진 환경에서 가장 먼저 무너질 수 있는 방어선은 '접근'입니다. 별표7 성격의 통제는 접속 단말기 보호, 사용자·단말 등록과 관리, 안전한 인증, 최소 권한 부여, 그리고 중요계정의 다중인증을 함께 요구합니다.

Vision One은 이 영역을 두 축으로 충족합니다. 단말 측면에서는 V1 Endpoint Security와 Mobile Security가 모바일을 포함한 접속 단말기에 백신 등 보호 기능을 적용해, 보호되지 않은 단말이 SaaS 접점으로 들어오는 위험을 줄입니다. 인증 측면에서는 VisionOne 콘솔 접근 시 ID(email)와 비밀번호에 더해 MFA(다중인증)를 적용해, 중요계정 다중인증 요건에 대응합니다.

데이터 유출 통제(DLP·Zero Trust) — 중요정보가 밖으로 새지 않게

SaaS 이용에서 규제가 가장 신경 쓰는 지점은 중요정보의 입력·처리·유출이 통제되는가, 그리고 데이터가 불필요하게 공유·처리되지 않는가입니다. 망분리가 제공하던 '데이터가 외부로 흐르지 않는' 효과를, SaaS 환경에서는 데이터 흐름 자체를 보는 통제로 대체해야 합니다.

Vision One은 Zero-Trust 기능으로 이를 다룹니다. DLP를 통해 중요 정보의 유출을 모니터링하고 차단하며, 클라우드 앱으로의 업로드 차단 등으로 SaaS 내 데이터가 불필요하게 공유·처리되는 것을 막습니다. 이로써 '중요정보 입력·처리·유출 모니터링 및 통제'와 'SaaS 내 데이터의 불필요한 공유·처리 방지' 두 항목을 함께 충족합니다.

외부 통신 통제 — 허용된 SaaS 외의 길을 막다

예외 허용은 '특정 SaaS'에 대한 것이지 '인터넷 전반'에 대한 것이 아닙니다. 따라서 허용된 SaaS 외의 외부 인터넷 접근을 통제하고, SaaS를 이용하는 네트워크 구간 자체도 암호화 등으로 보호해야 합니다.

Vision One의 Zero-Trust Internet Access 기능은 불필요한 외부 통신을 제어해, 허용된 SaaS 이외의 경로로 데이터가 빠져나가거나 위험한 외부 자원에 접속하는 것을 막습니다. 또한 VisionOne과의 통신은 TCP 443 기반의 암호화 통신으로 이뤄져, SaaS 이용 네트워크 구간의 보호대책(암호화) 요건에 대응합니다.

로그·모니터링과 추가 기능 통제 — 보이지 않으면 증명할 수 없다

자율보안·결과책임 체계에서 '증명'의 기반은 로그입니다. 누가 언제 접속했고 어떤 설정을 바꿨는지 남지 않으면, 통제가 작동했다는 사실 자체를 입증할 수 없습니다.

Vision One은 Audit Log로 접속과 설정 변경 이력을 관리해, '접속·이용 모니터링 및 로그 수집' 요건을 충족합니다. 여기에 더해 허용된 기능 외의 추가 기능, 예컨대 제3자 앱·플러그인의 접속·이용을 통제하는 요건은 콘솔 권한 설정으로 메뉴·기능 단위 접근을 제어하고, API Key 발급 시 특정 IP에서만 접근하도록 제한하는 방식으로 대응합니다.

상시 관리 — 한 번의 점검이 아니라 지속되는 통제

별표7 성격의 통제는 도입 시점의 일회성 점검이 아니라, SaaS 정보보호 통제를 위한 상시 관리 체계를 요구합니다. 위협과 SaaS 환경은 계속 변하므로, 통제 역시 멈추지 않고 갱신되어야 합니다.

Vision One은 SaaS 특성상 실시간 업데이트와 상시 관리 기능을 제공해, 통제 정책과 위협 대응이 지속적으로 최신 상태를 유지하도록 합니다. 이는 '도입했으니 끝'이 아니라 '운영하면서 계속 통제한다'는 규제의 기대에 부합하는 운영 모델입니다.

가디언넷이 함께하는 것 — 통제의 '설계와 구축'

별표7 성격의 통제는 항목 하나하나가 서로 다른 영역(단말, 인증, 데이터, 통신, 로그, 운영)에 걸쳐 있어, 제품을 도입한다고 자동으로 충족되지 않습니다. 어떤 항목을 어떤 기능으로 매핑하고, SaaS 자체의 평가 전제와 솔루션이 메우는 통제를 어떻게 구분하며, 운영 단계에서 무엇을 상시 점검할지를 설계해야 합니다. 가디언넷은 트렌드마이크로 Vision One 파트너로서, 이 매핑과 설계·구축, 그리고 도입 이후의 상시 관리까지 금융 SaaS 환경에 맞게 함께 만들어 갑니다.