네트워크 분리로 해킹 원천차단…금융권 도입 잇따라
기존 전산인프라에 따라 논리적 물리적 선택, 혼용도
지난해 한국수력원자력 내부 문건 유출사건 이후 보안에 대한 경각심이 고취되면서 관공서·금융기관은 물론 일반 기업들이 보안 수위를 한층 올리고 있다. 특히 관공서 및 금융기관들은 해킹의 위험을 원천적으로 차단할 수 있는 ‘망분리’에 적극 나서고 있다.
2013년 금융위원회가 ‘금융전산 보안강화 종합대책’을 통해 망분리를 의무화한 데 따른 후속조치다. 이에 따라 국내 PC 업체들과 SI업체들은 이 사업에서 발생할 신규 시장을 잡기 위해 동분서주하는 모습이다.
망분리PC 도입 효과는?
망분리는 말 그대로, 업무용으로 사용하는 내부망과, 인터넷으로 대표되는 외부망을 구분, 분리해서 사용하는 것. 정보유출이 대부분 인터넷을 사용하는 과정에서 브라우저나 오피스 프로그램의 취약점을 악용해 이뤄진다.
이 때문에 업무용으로 쓰이는 내부망은 인터넷에 연결하지 않고 인터넷용으로 사용되는 외부망은 내부망에 접근할 수 없게 하면 정보유출을 원천적으로 차단할 수 있게 된다.
해커스랩 관계자는 해커의 입장에서 망분리의 효용성에 대해 이렇게 설명한다.
“특정 대상을 해킹할 때 가장 먼저 따지고 보는 곳이 바로 '접점'입니다. 즉, 내가 해킹할 대상과 해커 사이에 어떤 경로를 통해서 건 서로 만나는 접점이 존재하는가를 파악하는 것입니다. 예를 들면 인터넷에 연결되어 있지 않으며 어디에 존재하는지도 모르는 컴퓨터는 아무리 실력이 뛰어난 해커라고 해도 절대 해킹이 불가능합니다. 해커와 대상 컴퓨터 간의 접점이 없기 때문입니다. 정보를 유출할 경로도, 대상에 접근할 어떠한 경로도 존재하지 않는다면 말 그대로 완벽한 보안이라고 할 수 있습니다. 물론 물리적으로 완벽히 분리돼 있다는 가정 하에서 입니다”
물리적 망분리 vs 논리적 망분리
망분리 방법은 몇가지가 주류를 이루고 있다. 물리적 망분리와 논리적 망분리다. 물리적 망분리는 PC를 2대 쓰면서, 하나는 인터넷에 연결해 외부 업무용으로 사용하고, 하나는 인터넷에 연결하지 않고 내부 업무용으로만 사용하는 시스템.
실제로 데스크톱 PC를 2대 설치해 사용할 수도 있지만, 그렇게 되면 PC를 추가로 구매해야 하는 데다, 공간 문제, 전력소비, 소음 등등의 이슈로 그다지 호평 받지는 못하고, 기존 업무용 PC에 인터넷용으로 미니PC를 추가로 구입하고 KVM(키보드, 비디오, 마우스) 스위치로 연결해 쓰는 방식과, 2대의 PC와 KVM 스위치를 하나의 세트 안에 내장한 방식이 비교적 선호도가 높은 편이다.
다나와컴퓨터(대표 손건우, www.danawacomputer.com)가 출시한 ‘듀얼나노 트리플’은 2대의 PC와 KVM장치를 내장한 일체형 망분리 PC다. 가로 세로 13Cm 수준의 작은 크기 안에 사용자가 사양을 선택할 수 있는 PC2대와 KVM스위치를 갖췄다. 메모리는 4GB에서 최대 16GB까지 확장 가능하고, SSD도 탑재할 수 있으며 HDMI포트까지 갖춘, 깔끔한 스타일을 자랑한다. 광물자원공사와 가격비교포털 다나와에도 납품해 레퍼런스를 확보했다.
 |
논리적 망분리는 1대의 PC를 활용하되, 데스크톱 가상화(VDI; Virtual Desktop Infrastructure) 기술을 이용하는 것으로, PC를 기반으로 하느냐 서버를 기반으로 하느냐에 따라 CBC, SBC 망분리로 칭한다. 논리적 망분리는 기존 자원을 활용할 수 있다는 점이 장점이지만 초기 인프라 구축비용이 많이 들고 관리의 어려움도 흠이다.
이처럼 물리적 망분리와 논리적 망분리 방식이 서로 장단점을 갖고 있어, 망분리를 적용하려는 수요처에서도 호불호가 나뉘고 있다. 대체적으로 SI부문 연관성이 높은 금융권의 경우 논리적 망분리를 선호하는 편이고, 가볍고 유연하게 구축하려는 쪽은 물리적 망분리에 관심을 기울이고 있다.
최근 식품의약안전처가 발주한 지방청 망분리 사업은 논리적인 방식으로 진행되고 있으며, 인천공항공사가 진행하는 망분리 사업은 총 1200유저 규모 가운데 800유저용은 물리적으로, 400유저용은 논리적으로 구축될 예정이어서 각 기관별로 전산인프라에 따라 단독 또는 혼용으로 구축하는 분위기다.
김명현 다나와컴퓨터 실장은 “관공서나 금융기관 등에서 망분리 PC 도입이 본격적으로 이뤄지고 있다”며 “일반 기업체에서도 보안성을 강화하기 위한 방안으로 물리적 망분리 PC를 도입하려는 움직임이 활발해지고 있다”고 소개했다.
망분리 100% 맹신은 금물
기존 해킹과 정보유출이 대부분 네트워크를 통해 이뤄졌다는 점을 감안하면, 망분리는 확실히 그 어떤 보안수단보다도 강력한 수단인 것은 틀림없다. 하지만 여기에도 허점은 있다.
물리적으로 내부망과 외부망을 구분하였더라도 업무를 보는 직원은 때로는 외부망도 사용해야 하며 때로는 내부망도 사용해야 하기에 100% 완벽하게 망분리를 했다 하더라도 ‘사람’으로 인한 구멍이 생길 수밖에 없다는 점이다.
김찬우 해커스랩 연구원은 “예를 들면 USB 같은 저장 장치를 주로 이용하는데 인터넷망에서 수집한 자료를 USB에 담아 분리된 내부망에 연결하는 경우, 이때는 USB가 해커와 내부 네트워크망 사이의 접점의 역할을 하는 것”이라며 “해커는 해킹하기가 까다로워지고 대상을 특정하기 힘들어지긴 하지만 접점이 존재한다는 사실은 어떤 방법으로 건 해킹이 가능하다”고 말했다.
이 같은 허점을 보완하기 위해서는 결국 ‘사람’ 중심의 보안정책이 수립돼야 하며, 망분리에서 그치지 않고 보안과 관련한 부가적인 기능을 탑재해 시스템간 시너지를 추구하는 것이 바람직하다.
IT조선 온라인뉴스팀