상세 컨텐츠

본문 제목

[인터넷 망분리 1탄] 정보유출 방지 위한 효율적인 대책

IT/과학/리뷰/벤치

by 위클리포스트 2017. 2. 10. 23:02

본문



[ 기획 / 인터넷 망분리 ]
정보유출 방지 위한 효율적인 대책
‘인터넷 망분리’ 의무화 점검



▲‘인터넷 망분리’이대로 괜찮은가? ⓒ김현동



- 잇따른 정보유출 사고, 우리의 정보는 이미‘공공재’
- 2012년 부터 도입 시작한 ‘인터넷 망분리’ 적용 의무화
- 업무환경을 내부/외부로 이원화 시킨다는 논리에 혼선

글·사진 : 김현동(cinetique@naver.com)


[2016년 05월 20일] - IT 강국이라는 말이 무색할 정도로 잇따른 정보유출 사고를 경험하는 사이 우리의 정보는 이미 ‘공공재’와 다름없다는 말을 농담처럼 내 뱉는 상황이 됐다. 물론 사건 사고가 터질 때마다 매번 새로운 대응책이 신속하게 적용됐지만, 효과는 미비했다.

최근 화두가 되면서 더욱 익숙한 클라우드 기반의 ‘사물인터넷’(Internet of Things, 이하 IoT) 은 주변의 사물이 인터넷에 연결되어 정보를 교류하는 것을 의미한다. 이 같은 상황에서 오늘날 지루하게 여겨질 정도로 만연한 보안사고로부터 우리의 정보가 안전하다고 확신할 수 있을까?

그렇기에 이용자의 금융 정보 또는 사회 활동의 기본이 되는 신상에 관련된 중요한 명세는 타인 또는 악용할 가능성이 있는 곳에는 절대로 유출되지 않도록 치밀한 관리가 필요하다. 뒤늦게 마련된 재발 방지 대책의 하나로 정부는 지난 2012년부터 공공기관과 일정 규모 이상을 지닌 기업을 대상으로 ‘인터넷 망분리’ 적용을 의무화시킨 바 있다.


‘망분리’는 쉽게 말해 업무환경을 내부 업무망과 외부 인터넷망으로 이원화시켜 중요한 정보에 대해 허가받지 않는 자의 외부 접근을 원천 차단하겠다는 논리다. 이론상으로는 흠잡을 수 없는 완벽한 대책이지만 현장에서의 혼선은 계속되고 있다. 가령 서두에서 지적한 IoT 기반의 산업이 화두가 되어가는 최근의 추세를 거스르는 모양새가 되는 것과 함께 기업 입장에서는 이를 위한 예산 마련도 부담이다.

실무 담당자의 고충은 시간이 지날수록 깊어지고 있다. 금융권을 시작으로 적용 범위가 확대되어 가는 ‘인터넷 망분리 의무화’ 제도는 어느덧 2년 차에 접어들었지만, 해결책은 요원한 상태다. 창과 방패의 싸움과도 비교될 정도로 보안에 대해 100% 대책이 없다고 한다면 가장 효율적인 방법을 선택하는 것이 현명한 선택일 수 있다.


금융권 일몰 시한 코앞으로
3.20 전산 새태로 필요성 대두
사업 마무리 2016년 종료



‘망분리’는 지난 2012년 정부에서 클라우드 법을 개정한 이후 의무화라는 명분이 더해지면서 더욱 영향력이 막강해졌다. 게다가 2013년에 발생한 ‘3.20 전산 사태’로 인해 필요성이 한층 탄력을 받으면서 금융 전산망 분리 가이드라인까지 연달아 구축된 상태다. 이 같은 분위기 속에서 2015년 제1금융권이 먼저 망분리를 매듭지었고, 제2 금융권은 2016년 안으로 사업을 마무리 지어야 한다. 물론 공공기관도 도입이 한창이다.


하지만 이를 시행하는 현장의 모습은 연일 혼선의 연속이다. 하루가 멀다고 열리는 세미나와 콘퍼런스에서는 ‘자사의 솔루션이 우세하다.’는 내용만 반복하고 있기에 선택의 실마리가 되기에는 여전히 부족하다. 지난해 사업을 마무리한 제1금융권의 적용 사례를 기준으로 삼기에는 미흡한 부분이 너무 많다.

게다가 ‘효율’과 ‘비용’이라는 조건에 ‘사후관리’까지 충족시켜야 하기에 섣불리 선택할 수도 없는 것. 어느덧 사업종료 시기는 6개월 앞으로 좁혀진 상태다. 자칫 촉박한 일정에 맞춰 졸속으로 처리하다 보면 ‘망분리’의 본래 도입 취지를 무색하게 만들 보안 이슈가 머지않아 번복될 가능성도 무시할 수 없다.


‘망분리 의무화’이슈
물리적 vs 논리적의 오묘한 대결
누가(어떻게) 더 유리한가?



망분리는 인터넷이 연결된 외부망과 사무 환경이 될 내부망을 효율적으로 분리하는 것이 핵심이다. 크게 두 가지 방법이 있는데 먼저 물리적인 망분리는 KVM 스위치와 같은 물리적인 솔루션을 도입해 내부망과 외부망을 나눈다. 반면 논리적 망분리는 가상화 소프트웨어를 이용해 각각의 영역을 분리하는 방법이다.


정부의 가이드라인은 은행 전산센터의 경우 물리적 망분리를, 본점과 지점은 물리적, 혹은 논리적 망분리의 최종 결정권은 은행별 재량으로 넘겼다. 이에 따라 공공기관을 비롯해 비교적 높은 보안 등급이 요구되는 특수 은행이 ‘물리적 망분리’로 기운 상태다.


이 방법은 ‘망분리’의 도입 취지에 가장 완벽하게 부합함과 동시에 외부망과 내부망을 명확히 분리한다. 내부와 외부 네트워크에 연결될 2대의 PC를 별도의 KVM 스위치를 이용하는 것으로 ‘망분리 환경’ 구축 완료. 무엇보다 KVM 스위치의 경우 다양한 주변기기 호환성과 전환이 빠르게 이뤄지는 것이 망분리 기술의 핵심인데, 시장 점유율 1위인 ATEN 의 제품은 이 부분에서 가장 우수한 경쟁력을 지녔다고 평가받고 있다.

반면 논리적 망분리는 좀 더 복잡하다. 구현 가능한 방식도 두 가지로 나뉘는데, 중앙 서버를 중심으로 가상화 환경이 구현되는 서버기반컴퓨팅(SBC) 방식과 한 대의 PC를 일반 영역과 가상화 영역으로 나누어 동작시키는 클라이언트 기반컴퓨팅(CBC) 방식이다.

초기 CBC 방식은 비용절감(구축?운영) 효과가 크다는 것과 기존에 사용하던 PC 환경과 흡사하기에 사용하기 편리하다는 장점으로 주목을 받았으나 이후 관리 문제(PC가 독립된 개체로 움직이는 클라이언트 기반으로 관리자의 부재가 곧 작업 지연으로 이어지는 부작용)가 불거지면서 시장 확대에 어려움을 겪고 있다.

그렇다 보니 중앙 서버에서 일괄적으로 관리 및 통제가 이뤄지는 SBC 방식이 논리적 망분리 방식으로는 더 나은 기술력으로 주목받고 있다.


아직은 도입 초기 단계
높은 보안 등급에 유리한 물리적 분리
솔루션에 의존하는 논리적 망분리



지금까지의 적용 사례를 분류하면 비교적 보안 등급이 높은 국책은행 및 공금융 성격이 강한 은행은 물리적으로, 그 외 은행은 논리적 망분리의 손을 들었다. 예를 들어 기업은행, 산업은행, 한국은행을 비롯해 특수한 목적을 지닌 대형 은행이 물리적 망분리를 도입했으며, 일반 은행 중에는 전북은행이 초기 논리적 망분리의 손을 들었으나 실제 적용되는 시점에는 물리적 망분리로 선회했다.

다만 물리적 망분리는 사무망과 인터넷망을 완전히 분리한 방식으로 보안에서 우수하다는 장점과 달리 구축비용이 비싸다는 지적 또한 함께 존재한다. 하지만 시간이 지날수록 관련 하드웨어 장비의 전반적인 가격 하락이 이뤄지면서 도입 여건이 많이 개선된 것.


그렇다면 논리적 망분리가 조건 없는 대안이 될 수 있을까? 물론 논리적 망분리가 물리적 망분리 대비 상대적으로 보안성이 열악한가? 에 대한 질문에 무작정 ‘그렇다’라고 답하긴 어렵다. 그렇지만 논리적 망분리의 이점은 분명하다. 초기 구축단계에서 가장 크게 체감할 수 있는 강점은 비용절감이다.

추후 디지털 업무(스마트워크) 환경 도입을 계획하고 있는 금융권도 논리적 망분리가 좀 더 유리하다. 이는 주도권이 가상화 솔루션에 있는 논리적 망분리 형태에 따른 것으로 다만 이를 위해서는 최적화된 가상화 솔루션 개발이 필수적인데 높은 개발비용이 수반된다. 신한은행 단 한 곳만 자체 개발한 망분리 솔루션을 도입한 것 또한 비슷한 이유에서다.

그 외 은행은 외주 솔루션 공급자에 의지하는 논리적 망분리 방식을 채택했다. 그 결과 솔루션 공급업체에 종속될 수밖에 없는데 이 경우 보안 이슈가 발생했을 경우 은행 내부 시스템을 외주 업체에 의뢰하여 관리하는 모양새가 연출될 수 있다.

망분리의 도입취지가 ‘보안성 강화’인데 문제가 발생하면 문제를 해결하기 위해 취지를 거스르는 형국이다. 그렇기에 핵심 정보를 지니고 있는 은행 전산센터에 물리적 망분리 적용을 의무화시킨 정부의 결정은 ‘망분리’ 도입 취지를 가장 명확히 설명하는 부분이다.


결국 ‘예산’이 선택의 관건
그렇다면 사후 관리 비용은?
반드시 따져봐야 할 핵심 조건



담당자 입장에서는 ‘예산’을 무시할 수 없다. 여기에는 장비를 구매하는데 드는 비용과 솔루션을 구매할 때 드는 비용 그리고 추후 사후 관리 비용까지 포함된다.

환경에 따라 차이는 있지만, 물리적인 방식은 내부와 외부 업무 환경을 완벽하게 이중화하기 위해서 PC를 2대 구매하는 비용에 별도의 KVM 스위치 구매 비용이 발생한다. 여기에 PC를 동작시키는 데 필요한 운영체제 라이선스 구매 비용이 추가로 발생한다.

최근에는 개방형 OS를 비롯 라이선스 비용이 무료에 가까운 소프트웨어가 다양하게 출시되고 있어 대안을 이용하면 비용 절감을 상당 부분 꾀할 수 있다. PC 가격 또한 정책 구축 초기와 달리 많이 내려간 상태다. 특히 금융권에서 주로 이뤄지는 웹서핑과 문서작성, 온라인 뱅킹이 주 용도라면 가장 저렴한 기본 사양으로도 충분하다.


논리적인 방식은 다소 복잡하다. 업무용 PC에 가상화 솔루션 프로그램을 설치해야 하며 이 경우 설치 수량에 따라 라이선스 구매 비용이 추가로 발생한다. SBC 방식을 예로 들면 ▲가상화 머신(VM) 라이선스 ▲운영체제(OS) 라이선스 ▲버추얼 데스크톱 액세스(VDA) 라이선스 ▲망연계 라이선스가 기본 품목이다.

여기에서 언급되는 VM 라이선스는 SBC 방식으로 망분리를 진행할 경우 기본으로 갖춰야 하는 핵심 소프트웨어 사용권에 해당한다. 단말기마다 설치가 되어야 하는 VDA 라이선스는 물리적인 PC가 가상 PC에 접근할 때 필요한 권한으로 망분리 사용자의 모든 단말기가 대상이다.

가령 담당자가 노트북을 추가로 사용해야 할 경우 해당 노트북에 사용 가능한 VDA 라이선스를 추가로 구매해야 한다. 최근 사용 비중이 늘어나고 있는 스마트 단말기로 접속이 이뤄질 경우에도 여기에 사용 가능한 라이선스를 추가로 확보해야 한다.

그렇다 보니 논리적 망분리가 물리적 망분리 대비 저렴하다는 주장이 점차 설득력이 잃어가는 것. 물리적 망분리를 구축하는 데 필요한 하드웨어의 가격은 시간이 지날수록 점차 내려가는 것이 극히 정상이며, 초기 1회 구매로 사용 연한 또한 영구적인 사용을 보장받는다.

반면, 논리적 망분리에 필요한 라이선스 비용은 애초에 결정되어 진행되며 사용자 수와 사용 기간에 따라 정기적인 갱신도 이뤄져야 하기에 시간이 지날수록 지출은 늘어나는 구조다. 오히려 가상화 솔루션 공급자 입장에서는 제법 괜찮은 수익원이 새롭게 창출되는 형국이다.

ⓒ no.1 media rePublic '위클리포스트' (www.weeklypost.org) / 보도자료 cinetique@naver.com

관련글 더보기