지난 7월 금융위원회는 최근 잇따라 발생하고 있는 금융권 사이버 테러에 대응하기 위한 금융전산 위기대응 경계 강화 조치를 내놨다. ‘금융전산 보안강화 종합대책’으로 불리는 이 조치는 금융전산 사고방지를 위한 제도적·기술적 보안관리 체계 강화를 골자로 하는데, 업계의 가장 큰 주목을 받은 사안은 단연 ‘금융전산 망분리’ 의무화 추진이었다.

 

올들어 3.20 및 6.25 전산망 대란과 같은 사이버 테러 사고가 더 이상 일부 금융사만의 문제가 아니라는 점을 정부 차원에서 강조하고 나섰다는 점에서 주목된다. 3.20 전산망 대란 당시 피해를 입었던 사례를 보면 외부 인터넷망을 통해 내부망이 감염되는 경우로 밝혀졌으며, 망분리가 적용됐다면 사고를 미연에 방지할 수 있었을 것이라는 주장이다.

 

망분리는 업무망과 인터넷망을 물리적 또는 논리적으로 분리함으로써 내부 시스템을 보호하는 보안 체계를 말한다. 망분리는 보안 강화를 위한 가장 강력한 수단으로 인정받고 있으며 최근 전 세계적으로도 중요 국가 기간시설 및 금융사들을 중심으로 망분리 환경 구축이 활발하게 이뤄지고 있다.

 

국내에서도 사이버 안전을 위한 범정부적 종합대책 마련의 필요성을 인지하고 접근이 용이한 사용자 PC를 대상으로 공격하는 지능화된 공격에 대한 대비와 사고 발생 시에도 내부 정보를 보호하기 위한 방안 마련에 수년째 고심해왔다. 앞서 2012년 8월 18일 시행된 개인정보의 보호조치를 위한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조2항에서도 업무망과 인터넷망 분리를 보안성 강화의 주요 전략 중 하나로 제시한 바 있다.

 

이번 금융전산 보안강화 종합대책에서도 오는 2014년까지 전산센터의 물리적 망분리를 의무화하고, 본점과 영업점은 단계적으로 망분리를 추진할 것을 권고하고 있다. 총 자산과 임직원 수 등 규모별로 단계적으로 추진하되, 물리적 또는 논리적 망분리 방식은 선택 가능하도록 할 방침이다.

 

물리적 망분리, 직관적이고 강력한 보안 수단

 

물리적 망분리는 2대의 PC를 이용해 각각의 PC로 업무망과 인터넷망에 접속해 사용하는 방식이다. 업무용 PC는 내부망을 자유롭게 이용할 수 있기 때문에 기존의 업무 처리에 지장을 주지 않으면서도, 인터넷 작업이나 개인적인 용도의 작업은 별도의 PC로 처리하기 때문에 업무망이 외부로부터의 위험에 노출되는 것을 원천 차단한다.

 

백본망에서부터 사용자 PC까지의 네트워크를 완전히 분리할 수 있다는 점에서 물리적 망분리는 가장 높은 수준의 보안성을 보장한다. 그러나 네트워크 구간별로 보안장비를 적용해야 하고, 2대의 PC 도입과 각각의 PC에 설치하는 소프트웨어 라이선스 비용 등 높은 비용이 발생한다는 점을 고려해야 한다.

 

이러한 비용 문제를 해결하기 위해 한 대의 PC에 망분리 전환 장치를 적용해 사용하는 물리적 망분리 방식도 제시된다. 단, 이 경우에도 업무망과 인터넷망 간에 자료 교환이 잦은 기존의 PC 사용 습관을 고려해 별도의 유출방지 솔루션 등을 추가로 도입해야 하는 등 적지않은 불편함이 남아 있다.

 

무엇보다 기존의 업무 생산성을 유지하면서도 망분리의 높은 보안성을 동시에 추구해야 한다는 점이야말로 물리적 망분리 구축의 최대 과제다. 이에 최근에는 망분리 환경에서 안전하게 데이터를 연계할 수 있도록 해주는 망연계 솔루션을 함께 도입하는 방안도 함께 대두되고 있다.

 

김현정 컴트루테크놀로지 연구원은 “망분리 이슈가 높아지고 있는 가운데 망분리만 진행하면 보안 문제가 해소될 것이라는 의견도 있지만 모든 보안 이슈가 사라지는 것은 아니며, 인터넷 영역과 업무 영역에서 내부 정보 유출에 대한 보안 이슈가 여전히 존재한다”며 “망분리와 함께 데이터 유출 방지(DLP) 솔루션을 추가 구축해 메일 및 메신저를 통한 네트워크 유출 및 매체, 출력물, 문서에 대한 엔드포인트측의 유출을 방지할 필요가 있다”고 강조했다.

 

논리적 망분리, 유연성·중앙집중관리 강점

 

논리적 망분리는 가상화 기술을 이용해 네트워크를 구분해 사용하는 방식이다. 사용자 PC에 가상화를 적용해 한대의 PC에서 업무망과 인터넷망을 오갈 수 있도록 하는 클라이언트 기반 컴퓨팅(CBC)과 중앙 서버에 접속해 가상 PC를 할당받아 사용하는 서버 기반 컴퓨팅(SBC)이 대표적인 논리적 망분리 방식이다.

 

CBC는 PC 자체에 가상화 기술을 적용함으로써 인터넷망은 가상영역에서만 접속할 수 있도록 하는 방식과, 업무용과 인터넷용 2개의 다른 가상 운영체제(OS)를 구동하는 방식으로 나뉜다. 기존 PC를 활용할 수 있다는 점에서 비용이 가장 적게 든다는 장점이 부각되지만, 사용자마다 다른 PC 환경으로 인해 애플리케이션 표준화가 쉽지 않다는 점이 걸림돌이다.

 

반면 SBC는 서버에서 가상 PC를 구동하고 사용자는 씬클라이언트 및 제로클라이언트로 접속해 사용하기 때문에 중앙 집중화된 관리가 가능하다는 점에 최대 강점이다. 또한 사용자에 따라 2개의 클라이언트를 사용하거나, 하나의 클라이언트와 PC를 혼용하는 등 유연한 구축 옵션을 선택할 수 있다.

 

최근에는 스마트워크 환경 구축을 위한 일환으로 시장을 확대해온 데스크톱 가상화(VDI)가 SBC 방식의 논리적 망분리 솔루션으로 각광받고 있다. 특히 VDI 기반의 망분리는 기존 IT 인프라를 최대한 활용하는 방안으로 구축되기 때문에 서버, 스토리지, 네트워크는 물론 기존 PC도 그대로 사용할 수 있다.

 

그러나 SBC는 대량의 네트워크 트래픽이 발생하기 때문에 새로 모든 인프라를 구축해야 하는 경우 초기 투자비용이 다소 부담스럽다는 점이 지적된다. 그만큼 유저 수나 이에 따르는 하드웨어 및 소프트웨어 수요 예측을 비롯해 초기 설계가 중요하다. 또한 기존 PC 사용에 익숙한 사용자들의 거부감을 극복하기 위한 교육과 함께 일관된 내부 보안 정책 적용이 요구된다.

 

업계에 따르면 논리적 망분리 도입을 고려하고 있는 기업들의 다수가 CBC와 SBC의 장점을 결합한 형태를 원하는 것으로 알려졌다. 비용 측면에서는 CBC가 저렴하지만 중앙관리와 다양한 단말 지원, BYOD(Bring Your Own Device) 트렌드에 부합하는 SBC의 장점도 충분히 어필하고 있음을 알 수 있다.

 

이효 VM웨어코리아 이사는 “VDI는 그 자체로 망분리 측면만을 어필하는 것이 아니라 데이터 중앙화 등의 보안 요소가 망분리 기능을 겸하고 있기 때문에 기업 내 모든 자산을 관리할 수 있는 SBC 방식으로 대두되고 있다”며 “단, 전체 비용의 95%가 인프라 비용이라는 점에서 총소유비용(TCO) 측면을 면밀히 고려해 도입을 논의한다면 더욱 성공적인 망분리 도입이 될 것”이라고 말했다.

 

노동균 기자 yesno@chosunbiz.com

상품지식 전문뉴스 IT조선