2009년 7.7 디도스 대란, 2011년 농협 전산망 마비, 2013년 3.20 사이버테러에 이어 지난해 말 한국수력원자력 내부문건 유출에 이르기까지 보안 위협은 더 이상 특정 기관이나 기업에 한정된 문제가 아니다. 이렇듯 정보보호에 대한 관심은 전 국민적으로 높아지고 있으나, 일시적인 반향만을 일으킬 뿐 적극적인 투자로 이어지고 있지는 못하고 있는 것이 현실이다. 창조경제라는 슬로건 아래 새로운 ICT 기술은 쏟아져 나오고 있으나, 그에 걸맞는 보안 역량이 뒤따라주지 않으면 싹이 자라기도 전에 망가질 것은 불 보듯 뻔하다. ‘정보보호 2015’ 기획을 통해 날로 고도화되고 있는 보안 위협과 이에 대응해 진화하는 보안 기술의 현주소를 짚어보고, 정보 안심사회 구현을 위한 과제는 무엇인지를 점검해 본다. <편집자주>
[IT조선 노동균] 지난해 말 한국수력원자력 내부문건 유출 사건과 관련해 업계는 이 사건이 이미 망분리가 완료된 환경에서 발생했다는 점에 주목했다. 한수원은 망분리를 통해 내부 업무망과 외부 인터넷망, 원전 제어망을 분리해 운영하고 있었으나, 다른 경로로 직원용 PC가 악성코드에 감염되면서 내부 정보와 자료가 유출된 것으로 보고된 바 있다.
망분리 환경에서의 보안 원칙 준수가 우선
어떻게 이런 일이 가능할까? 업계는 망분리 환경만 구축했다고 해서 외부 유입 파일에 대한 피해를 원천적으로 피할 수 있는 것이 아니라고 지적한다. 망분리 가이드에 따라 업무망과 인터넷망의 파일 복사가 차단되고, 업무망에서 인터넷 접속이 불가능하더라도 다양한 경로를 통해 인터넷망의 파일이 업무망으로 쉽게 유입 가능하다는 것이다.
대표적인 경로가 USB다. 업무망과 인터넷망을 분리한 탓에 직원들은 업무상 필요한 자료를 인터넷을 통해 내보내거나, 반대로 인터넷상의 자료를 업무망으로 들여와야 할 때 USB에 의존할 수밖에 없다. 때문에 USB를 통한 악성코드 유입이나 USB 자체를 도난 및 분실할 수 있다는 점이 위험성으로 지적돼왔다.
특히 지능형지속위협(APT) 공격과 같이 단순히 네트워크에 한정되지 않고 다각도로 공격 루트를 형성하는 침투 시도에 있어 망을 분리하는 것만으로는 부족하다는 것이 업계의 중론이다. 한수원 사건과 관련해 김승주 고려대 사이버국방학과 교수는 “최근 망분리를 우회해 사이버 공격을 하는 기법과 악성코드들이 다수 보고되고 있어 망분리와 함께 내부 보안을 강화할 수 있는 2중 보안 시스템을 갖출 필요가 있다”고 강조했다.
망분리는 기본적으로 PC와 같은 클라이언트단에서부터 메일, 패치관리 시스템(PMS), 네트워크 접근제어(NAC), 보조기억장치, 프린터서버를 아우르는 광범위한 영역에 걸쳐 있다. 각각의 요소마다 업무망과 인터넷망을 구분해야 망분리 환경이 갖춰졌다고 할 수 있다.
국내 망분리 솔루션 업체로는 안랩, 틸론, 미라지웍스, 컴트루테크놀로지, SGA 등이 대표적이며, 글로벌 업체로는 VM웨어, 시트릭스, MS 등이 있다. 글로벌 업체들이 주로 서버 가상화(SBC) 방식의 망분리를 주력으로 공급하는 반면, 국내 업체들은 클라이언트 가상화(CBC) 방식과 SBC 방식을 두루 공급하고 있다.
도입처의 규모와 업무 성격에 따라 어떤 방식의 망분리 도입을 고려하든 보안 강화라는 대전제는 동일하다. 그러나 아직까지 망분리 구축은 공공기관과 금융권을 중심으로 진행돼왔다. 일반 기업에서도 일부 대규모의 개인정보를 취급하는 종합쇼핑몰, 유통, 운송, 의료분야 등에서 망분리에 관심을 보이고 있지만, 구축사례는 흔치 않다.
가장 큰 장벽은 비용 문제다. 업계 관계자는 “망분리는 하드웨어와 소프트웨어에 걸쳐 다양한 솔루션을 기반으로 하기 때문에 대기업이 아닌 일반 기업의 경우 비용 부담이 적지 않다”며 “무엇보다 여전히 보안에 대한 일반 기업들의 인식이 투자 개념보다 최소한의 법 준수를 위한 수단에 머물러 있는 점도 걸림돌이다”라고 설명했다.
실제로 최근 안랩이 국내 기업들의 지능형 위협 대응 솔루션 도입 현황을 조사한 결과에 따르면, 대부분의 실무자들이 네트워크 레벨에서 엔드포인트 영역까지 광범위한 대응이 필요하다는 것에는 동의했으나, 전체 응답자의 68.3%가 지능형 대응 솔루션을 운영하지 않고 있다고 답해 아직 많은 기업에서 지능형 위협 방어 실행이 제대로 이뤄지지 않은 것으로 나타났다.
아울러 업계에서는 망분리 구축 이후에도 지속적으로 모니터링을 통해 보안 정책이 잘 준수되고 있는지 점검하는 등 관리자뿐 아니라 전사적인 보안 의식 개선이 뒤따라야 한다고 강조한다. 100% 안전을 보장하는 보안 솔루션이 존재하지 않듯 망분리 또한 맹신의 대상은 아니라는 지적이다.
보안 강화에서 업무 효율까지 모두 잡아라
망분리로 인한 업무 환경 변화도 고려하지 않을 수 없다. 이에 망분리와 함께 부각되고 있는 것이 망연계 솔루션이다.
공공기관과 금융권을 중심으로 망분리가 의무화됨에 따라 업무의 연속성을 보장하기 위한 방안으로 망연계 솔루션이 대두되면서 도입 논의가 확대되고 있다. 금융전산 망분리 가이드라인에서도 내부망과 외부망의 데이터 전달을 위한 망연계를 제한적으로 허용하는 내용을 명시하고 있다.
망연계 솔루션은 데이터를 업무망에서 접근할 수 있는 디스크 볼륨에 쓰고, 볼륨 복제 기능에 의해 인터넷망에서 접근 가능한 디스크 볼륨을 읽는 스토리지 방식과 LAN을 이용해 방화벽을 거쳐 TCP 암호화 전송을 하는 소켓 방식, IEEE 1394 구간을 통한 단방향으로 암호화 전송을 하는 시리얼 인터페이스 방식으로 크게 구분된다. 이와 함께 하드웨어와 소프트웨어를 통합한 어플라이언스나 별도의 소프트웨어를 결합한 형태로 공급되기도 한다.
국내 망연계 솔루션 시장은 파수닷컴, 소프트위드솔루션, 퓨쳐시스템, 에스큐브아이, 크리니티, 소프트캠프, 지란지교시큐리티, 다우기술, 한싹시스템 등의 업체들이 경쟁하고 있다. 망분리 솔루션 공급 업체가 함께 납품하는 경우도 있지만, 망분리를 도입한 기업에서 필요에 의해 추가로 망연계 솔루션을 도입하기도 한다. SBC 기반 망분리에 집중하고 있는 글로벌 업체들은 가상 데스크톱 인프라스트럭처(VDI)를 기반으로 보안성과 함께 유연한 업무 환경 구현을 강조한다.
보안 업계는 지난해 하반기부터 망분리 사업을 본격적으로 준비해온 제 2 금융권을 비롯해 대기업 계열사 등이 올해 본격적으로 망분리를 도입하게 되면 망연계 솔루션도 시장을 대폭 확대할 것으로 내다보고 있다.
망연계 솔루션은 업무 효율뿐만 아니라 망분리의 연장선상에서 분리된 내부망과 외부망 간의 통신을 체계화하고, 데이터 접근 및 반출에 대한 보다 강력한 정책을 적용할 수 있다는 점에서 보안성 강화 목적도 함께 갖고 있다. 망연계 솔루션이 경계보안, 문서보안, 메일보안 등을 아우르는 이유다. 망분리로 침입자가 넘어야 할 울타리는 높아졌지만, 일단 울타리를 넘기만 하면 기존과 마찬가지로 무방비나 다름없기 때문이다.
특히 최근의 지능형 공격은 업무 소통을 위해 가장 보편적으로 사용하는 커뮤니케이션 수단을 루트로 활용하는 사례가 늘어나면서 협업 공간이 중요한 망연계 포인트로 부각되고 있다. 대표적인 것이 스피어피싱 메일이다. 한수원 직원 PC가 악성코드에 감염된 것도 공격자가 직원 메일 계정을 도용해 악성코드가 첨부된 문서를 메일로 뿌렸기 때문에 가능했던 것으로 알려져 있다.
정종철 다우기술 상무는 “최근 여러 보안유출사고 사례들로 인해 기업 내부 메일 보안의 중요성이 나날이 증가하지만, 정작 대다수의 기업이 보안사고 대응을 위한 노력과 준비가 아직 미흡한 실정”이라며 “기업들은 철저한 내부 보안정책 수립 및 실행뿐만 아니라 다양한 보안 이슈에 효율적 대응이 가능한 보안 솔루션 도입이 그 어느 때보다 필요할 것”이라고 말했다.
노동균 기자 yesno@chosunbiz.com