SaaS에 어떻게 보안 정책을 설정하면 좋을까?

SaaS 보안 정책 설정의 중요성을 알아보고, SaaS를 안전하게 사용하기 위해 PoPs에서 지원하는 4가지 보안 정책을 소개합니다.
October 23, 2023
5 min read
Megazone PoPs

들어가며

업무 생산성 향상, 비용 효율성 및 확장성 등의 이유로 SaaS 사용이 증가하고 있습니다. SaaS는 다양한 비즈니스에서 핵심적인 역할을 하고 있지만 보안 문제는 여전히 큰 도전 과제입니다. 기업 내 사용하는 SaaS가 많아지면서 보안 문제에 노출되는 조직도 많아지고 있습니다. SaaS 내 생성되는 민감한 데이터가 해커나 악의적인 내부자 또는 기타 사이버 위협에 의해 손상되지 않고 잘 보호되도록 SaaS 별로 보안 정책을 잘 수립해야 합니다. 특히 금융, 의료, 교육 등 민감한 정보를 다루는 산업이나 IT 관리자, 보안 책임자와 같은 직무에 있는 사람들에게는 조직 내 적절한 보안 정책을 설정하는 것이 필수입니다.

이 글에서는 SaaS 보안 정책 설정의 중요성을 설명하고, SaaS를 안전하게 사용하기 위해 PoPs에서 지원하는 4가지 보안 정책을 소개합니다.

SaaS 보안 정책이란? 

SaaS 보안 정책은 클라우드 기반 소프트웨어 서비스를 안전하게 사용하고 보호하기 위해 설정된 규칙과 절차를 말합니다. 이러한 정책은 데이터 보호, 사용자 접근 제어, 네트워크 보안, 애플리케이션 보안, 컴플라이언스 준수 등을 포함합니다. SaaS 보안 정책은 클라우드 환경에서 데이터를 안전하게 관리하고 외부의 위협으로부터 보호하는 데 필수적인 역할을 합니다.

SaaS 보안 정책의 중요성

1. 데이터 보호

SaaS 애플리케이션은 민감한 기업 데이터를 저장하고 처리합니다. 보안 정책이 없으면 데이터 유출, 손상, 또는 무단 접근의 위험이 커집니다. 보안 정책을 통해 데이터 암호화, 백업, 접근 통제를 구현함으로써 데이터를 보호할 수 있습니다.

2. 규정 준수

다양한 산업 분야에서 데이터 보호와 관련된 법적 규제가 있습니다. 예를 들어, 의료 분야에서는 HIPAA, 금융 분야에서는 SOX, 그리고 유럽연합의 GDPR과 같은 규정이 있습니다. SaaS 보안 정책을 통해 이러한 법적 요구 사항을 충족하고 법적 책임을 피할 수 있습니다. 규정을 준수하지 않으면 기업은 막대한 벌금과 법적 분쟁에 직면할 수 있습니다.

3. 비즈니스 연속성

보안 사고는 기업의 운영에 심각한 영향을 미칠 수 있습니다. 예를 들어, 데이터 유출로 인해 시스템이 마비되거나 랜섬웨어 공격으로 데이터가 암호화될 수 있습니다. 이러한 상황은 비즈니스 연속성을 위협하고, 기업의 신뢰성을 떨어뜨리며, 고객의 신뢰를 잃게 할 수 있습니다. 강력한 SaaS 보안 정책은 이러한 사고를 예방하고 비즈니스의 지속적인 운영을 보장합니다.

4. 비용 절감

보안 사고가 발생하면 복구 비용과 손실이 막대할 수 있습니다. 예를 들어, 데이터 유출 사고가 발생하면 피해 복구, 법적 비용, 고객 신뢰 회복을 위한 추가 마케팅 비용 등이 발생할 수 있습니다. 반면에, 사전 예방적 차원에서 보안 정책을 적절히 설정하고 유지하면 이러한 사고를 예방하고, 장기적으로 비용을 절감할 수 있습니다.

PoPs에서 지원하는 4가지 보안 정책

1. 2단계 인증 정책

2단계 인증이란 아이디와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 애플리케이션 등 추가적인 인증을 거치는 방식입니다. 비밀번호가 노출되더라도 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있습니다. 구글, 인스타그램, 네이버, 카카오 등 많은 서비스에서 2단계 인증을 지원하고 있습니다.

PoPs의 2단계 인증 정책은 조직 단위를 기반으로 합니다. 모든 조직에는 최초의 최상위 조직 단위에 2단계 인증을 옵션으로 하는 정책이 적용됩니다. 2단계 인증을 옵션으로 적용하면 사용자가 필요에 따라 직접 2단계 인증을 사용할 수 있습니다. 2단계 인증을 필수로 적용하면 사용자는 반드시 2단계 인증을 거쳐 로그인해야 합니다.

PoPs에서 2단계 인증 정책을 설정하는 방법은 다음과 같습니다.

먼저, 보안 → 2단계 인증 정책 메뉴로 이동합니다.

2단계 인증 정책을 설정하는 PoPs 화면
2단계 인증 정책을 설정하는 PoPs 화면

2단계 인증 정책을 설정할 조직 단위를 선택한 뒤, 해당 조직 단위에 속한 사용자들에게 적용할 2단계 인증 필수 여부를 설정합니다.

특정 조직 단위가 대상인 경우 설정할 조직 단위를 선택한 뒤 2단계 인증 필수 여부를 선택하여 [재정의]합니다.

상위 조직 단위와 하위 조직 단위로 이어져 있는 여러 조직 단위가 속한 범위가 대상인 경우, 정책을 설정하려는 범위에서 가장 상위 조직 단위의 설정값을 지정하여 [저장]하고, 나머지 조직 단위는 상위 조직 단위를 [상속]하도록 설정하면 해당 범위의 조직 단위에 동일한 정책이 적용됩니다.

2. 세션 타임아웃 정책

세션 타임아웃은 인터넷뱅킹이나 주요 기관 사이트에서 많이 보셨을 텐데요, 사용자가 로그인 후 정해진 세션 시간이 지나면 로그아웃시킬 수 있는 정책입니다. 세션 타임아웃을 설정하지 않으면 공격자가 계속 접속을 유지 중인 세션을 악용할 여지가 생기므로 보안을 위해 기본적으로 설정해야 하는 것 중 하나입니다.

PoPs에서 세션 타임아웃 정책 설정도 마찬가지로 조직 단위를 기반으로 합니다. 모든 조직에는 최초에 아래 기본값으로 설정된 정책이 적용됩니다.

- 최대 세션 시간: 만료되지 않음

- 비활성 세션 시간: 만료되지 않음

세션 타임아웃 정책을 설정하는 PoPs 화면
세션 타임아웃 정책을 설정하는 PoPs 화면

세션 타임아웃 정책을 설정할 조직 단위를 선택한 뒤, 해당 조직 단위에 속한 사용자들의 세션 정책을 설정합니다.

특정 조직 단위가 대상인 경우 설정할 조직 단위를 선택한 뒤 세션 정책을 선택하여 [재정의]합니다.

상위 조직 단위와 하위 조직 단위로 이어져 있는 여러 조직 단위가 속한 범위가 대상인 경우 정책을 설정하려는 범위에서 가장 상위 조직 단위의 설정값을 지정하여 [저장]하고, 나머지 조직 단위는 상위 조직 단위를 [상속]하도록 설정하면 해당 범위의 조직 단위에 동일한 정책이 적용됩니다.

3. 네트워크 정책

PoPs는 조직에서 사용할 IP를 등록하고 해당 IP 주소를 통한 액세스만 허용하도록 관리할 수 있습니다. IP 주소 제한은 데이터 보안을 강화할 수 있는 가능성을 높입니다. 사용자가 허용된 개별 IP 주소 목록에서 네트워크 및 앱에 대한 액세스를 승인할 수 있으므로 데이터 유출 및 원치 않는 액세스의 위험을 줄일 수 있습니다. 또한 악성 IP 주소에서 발생하는 트래픽을 차단하고 무차별 암호 대입 공격을 방지합니다.

PoPs에서 IP 제한 정책을 적용하려면 보안 → 네트워크 정책 메뉴로 이동합니다.

네트워크 정책을 설정하는 PoPs 화면
네트워크 정책을 설정하는 PoPs 화면

마찬가지로 네트워크 정책을 설정할 조직 단위를 선택한 뒤 해당 조직 단위에 속한 사용자들의 허용 IP 대역을 설정합니다.

IP 주소를 기반으로 PoPs 어드민에 대한 액세스를 제한할 수 있어 내부 정보를 보호하고 의도하지 않은 액세스를 최소화하는 등 보안 강화에 힘을 실을 수 있습니다.

4. 비밀번호 정책

PoPs를 통해 조직 관리자는 비밀번호 길이, 비밀번호 변경 주기, 비밀번호의 복잡도 등 비밀번호 관련 정책을 조직 차원에서 설정하고 사용자에게 적용할 수 있습니다.

보안 → 비밀번호 관리 메뉴로 이동하면 체크박스 선택을 통해 조직 내 비밀번호 규칙을 쉽게 설정할 수 있습니다. 또한 이전 비밀번호 재사용을 제한하고 비밀번호 만료 주기 설정이 가능해 내부 사용자와 시스템을 보호할 수 있습니다.

비밀번호 정책을 설정하는 PoPs 화면
비밀번호 정책을 설정하는 PoPs 화면

많은 사이버 공격이 약한 비밀번호나 재사용된 비밀번호를 통해 발생합니다. 비밀번호 관리 정책은 내부 사용자에게 강력한 비밀번호 사용의 중요성을 교육하고, 보안 인식을 높이며, 조직 전체의 보안 강화를 촉진합니다.

마치며

디지털 트랜스포메이션 시대에 인터넷 브라우저를 통해 최종 사용자에게 애플리케이션을 제공하는 SaaS는 비즈니스에 필수 도구가 되었습니다. SaaS 내 민감한 데이터를 보호하기 위해 제품 내 보안 정책을 적용하는 것은 필수입니다. 하지만 사용하는 SaaS가 늘어나며 관리해야 할 포인트도 증가했습니다. IT 부서나 보안 담당자는 제한된 리소스로 많아진 관리 업무를 감당해야 합니다. 

PoPs는 한 번에 전사 보안정책을 적용할 수 있습니다. 2단계 인증, 세션 타임아웃, IP 제한, 비밀번호 관리를 세팅할 수 있는 환경을 하나의 콘솔에서 제공합니다. SaaS마다 보안 정책을 설정하지 않고 PoPs로 한 번에 한 곳에서 관리할 수 있습니다.

PoPs가 어떻게 안전한 업무 환경을 세팅할 수 있게 돕는지 구체적인 내용이 필요하시다면 언제든지 문의 바랍니다. 👉PoPs 데모 신청하기

SaaS 사용 현황을 파악해야 할 때입니다.
데모를 신청하시면 PoPs를 통해 조직에서 사용하는 SaaS를 어떻게 통합하고 관리하는지 알 수 있습니다.
데모 신청하기
Megazone PoPs

유용한 SaaS 관리 콘텐츠가
업데이트될 때마다 알림을 받아보세요.

구독해주셔서 감사합니다.
이메일 주소를 다시 확인해주세요.
"구독하기" 버튼을 눌러 이메일을 제출하시면 마케팅 활용을 위한 광고성 정보 수신 동의한 것으로 간주하며 이는 선택사항으로 미 동의시에도 MegazonePoPs 서비스 이용에는 지장이 없습니다.
[필수] 개인정보 수집·이용 동의 안내
PoPs는 아래 내용에 따라 귀하의 정보를 수집 및 활용합니다. 다음의 내용을 숙지하시고 동의하는 경우 체크 박스에 표시해 주세요.
1. 개인정보 수집자 : 메가존클라우드㈜
2. 수집 받는 개인 정보
[필수]이메일
3. 수집/이용 목적
- PoPs 뉴스레터 제공
4. 보유 및 이용 기간 : 개인정보 수집일로부터 3년(단, 고객 동의 철회 시 지체없이 파기)
※ 개인정보 이용 철회 방법
- 안내 문자 등의 동의 철회를 이용하는 방법 : 이메일 수신 거부 링크 클릭 또는 안내 문자 내 수신거부 연락처를 통한 수신 거부 의사 통보
- 개인정보 처리 상담 부서
- 부서명: Offering GTM Team
- 연락처:offering_gtm@mz.co.kr
※ 동의거부권 및 불이익
귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.

[선택] 개인정보 수집·이용 동의 안내 (마케팅 활용 및 광고성 수신 정보 동의)
PoPs는 아래 내용에 따라 귀하의 정보를 수집 및 활용합니다. 다음의 내용을 숙지하시고 동의하는 경우 체크 박스에 표시해 주세요
1. 개인정보 수집자 : 메가존클라우드㈜
2. 수집 받는 개인 정보
[필수]이메일
3. 수집/이용 목적
- PoPs 뉴스레터 제공
※ 본 동의문에는 이메일을 활용한 광고성 수신 동의 내용이 포함되어 있습니다.
4. 보유 및 이용 기간 : 동의 철회 시 까지
※ 개인정보 이용 철회 방법
- 안내 문자 등의 동의 철회를 이용하는 방법 : 이메일 수신 거부 링크 클릭 통한 수신 거부 의사 통보
- 개인정보 처리 상담 부서
- 부서명: Offering GTM
- 연락처: offering_gtm@mz.co.kr
※ 동의거부권 및 불이익
귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.
목록으로

SaaS 비용 최적화를 실현해보세요.

중앙화된 관리로 SaaS 사용 가시성을 확보하면 새는 비용이 보입니다.
데모 신청하기
영업일 기준 3일 안에 회신
조직 내 SaaS 통합 및 관리 시연