[Cloud] SaaS형 솔루션 도입 시 기업 보안 담당자가 고려해야 할 보안 검토 사항

 

오랫동안 꿈을 그리는 사람은, 마침내 그 꿈을 닮아간다.
- 앙드레 말로-

0x00 SaaS 솔루션을 도입하려는 이유 🎈

안녕하세요. 루트입니다. 현재 저는 기업 정보보안팀에서 클라우드 보안 관련된 업무를 하고 있습니다. 이번 포스팅을 통해서 SaaS형 솔루션을 도입할 때 어떤 부분을 보안성 검토를 해야 하는지 작성해보려고 합니다.

최근 많은 기업에서 IDC 또는 Private Cloud에 구축되어 있는 시스템을 SaaS형 솔루션으로 전환하고 있는 추세인 것 같습니다. 사례로 들면 최근 대기업에서는 Office 365, Salesforce CRM, 데이터독, 다이나트레이스, 아틀라시안 등 SaaS형 솔루션을 많이 도입하고 있습니다.. 그 이유는 격변하는 IT 환경에서 SaaS를 도입하게 되면 비용 절감, 뛰어난 유연성과 넓은 확장성, 데이터 이동성, 자동업데이트와 쉬운 사용성 등 장점이 있기 때문입니다.

---

0x01 SaaS형 솔루션 도입이 어려운 이유 🎃

[그림1] SaaS 도입을 망설이게하는 요소 : 출처 Finances Oline

파이낸스 온라인(Finances Online)의 조사에 따르면 SaaS 도입을 망설이는 이유가 보안과 컴플라이언스로 가장 높았습니다. 그 이유는 SaaS가 설치형이 아닌 구독형 애플리케이션인 만큼 기업의 중요데이터가 SaaS 업체의 클라우드로 저장되게 되는데 이때 기존 IDC 센터만큼 안전한 보안환경이 구성이 되어 있는가에 대한 고민인 것 같습니다. 또한 기업의 중요한 데이터가 퍼블릭 클라우드망에 올라가게 되므로 유출될 시 비즈니스에 큰 타격을 받을 수 있기 때문입니다.

 

---

0x02 SaaS형 솔루션 도입 시 기업보안 담당자가 검토해야 할 보안 점검 사항 📌

저는 기업 클라우드 보안 담당자로써 SaaS형 솔루션을 도입 시 크게 아래와 같은 사항을 위주로 검토를 하게 됩니다.

 

① 멀티 테넌시 가능여부

  - SaaS 솔루션은 사용자가 속한 테넌트에 구성된 개별 데이터베이스 영역에 대해 사용자를 인증하고 권한 부여하는 메커니즘을 제공해야 한다.

 

② 계정 관리

  - 사내에 구축된 인증서버와 연동하여 SSO, AD 연동이 가능한지 확인한다.

 - 역할별 계정권한부여(RBAC)가 가능한지 확인한다.

 

③ 접근 통제

 - SaaS 솔루션은 사내 구축 환경에 상주하는 인증 서버로 사용자를 인증하고, 요청 시 환경에 상주하는 액세스 제어 데이터로 권한 부여하는 메커니즘을 제공해야 한다.

 

④ 안전한 통신 환경

- 당사의 인프라와 암호화된 통신으로 연결되는지 확인한다.

 

⑤ 취급 정보

  - SaaS 솔루션에 저장되는 데이터를 확인해야하며, 저장되는 정보의 중요도에 따라 SaaS 솔루션 사용 여부를 검토한다.

 

⑥ 데이터 통제권

  - 모든 데이터의 소유권은 당사한테 있으며, 서비스 해지 후 연동되어 있는 모든 데이터 삭제 됨을 계약서에 확인한다.

 

⑦ 로그 관리

  - 계정, 감사, 행위 등에 대한 모든 로그 파일을 CASB 솔루션과 연동하여 모니터링이 가능해야 한다.

 

⑧ 보안 아키텍처 구성도

  - SaaS 제공업체의 보안 수준과 보안 아키텍처 구성현황을 확인한다.

 

⑨ 규정 준수 확인

  - ISO27001, ISO27017, ISO27018 등 글로벌 보안 표준인증을 받았는지 확인한다.

 

---

0x03 보안담당자가 꼭 준수해야 할 비즈니스 마인드 👀

기업에서 정보보안팀의 가장 큰 목표는 보안 침해사고가 발생하지 않게 하는 것입니다. 이를 위해 기밀성을 중요시 생각하는 게 당연한 부분이지만, 보안 편향적인 사고방에서 벗어나기 위해 노력해야만 합니다.

기밀성과 가용성을 모두 고려한 이해하기 쉽고 안전한 방안을 제시할 수 있으면 구성원의 보안 준수 행동에 긍정적인 효과를 끼칠 수 있습니다. 구성원의 입장에서도 정보보안팀이 먼저 모범적인 사례들을 고려하여 업무를 수행한다면 "아! 보안도 어려운 게 아니라 정말 중요한 부분이구나"라는 생각을 하게 되어 긍정적인 선순환구조가 될 수 있다고 생각합니다.

아직 회사생활을 약 8년 정도밖에 하지는 않았지만 사내에서 누구에게나 인정받는 보안담당자로 성장하는 방법은 기밀성, 무결성, 가용성을 고려하여 어느 한쪽으로 치우치지 않는 균형적인 사고방식을 유지하는 게 중요한 마음가짐인 것 같습니다.

---

0x04 참조 문헌 🧾

LG CNS 기술블로그 - SaaS 보안? CASB(Cloud Access Service Broker)로 철통방어! 

DATA ON-AIR 전문가 칼럼 - SaaS 애플리케이션 제공업체를 선택하는 중요한 10가지 기준

DATA-ON-AIR 전문가 칼럼- SaaS(Sofrware as a Service) 애플리케이션의 보안 요구사항 부합하기

Ahnlab - 공공기관의 성공적인 SaaS 도입 방안은?