I D G T e c h F o c u s 망분리 도입을 위한 도전 과제와 방안 그동안 꾸준히 거론되어오던 망분리가 금융감독위원회의 보안강화 종합대책 발표로 인해 급속도로 진행되고 있다. 지금 까지 정부 및 공공기관에만 적용되던 망 분리를 금융기관들도 모두 적용해야 한다는 것이다. 그러나 망분리에 대한 과제 는 생각보다 상당히 많다. 구축 비용 절감 방안에서부터 구축 범위와 방법 선정, 그리고 구축 방법과 운영 노하우도 함께 고려해야 한다. 망분리 도입 관련 다양한 도전 과제와 대안을 알아보고 실질적인 도입 방안을 제시한다. Market Trend 선택이 아닌 필수가 된 망분리 도입, 그 현황과 과제 Tech Trend 망분리 도입, 왜 간단하지 않은가? Tech Guide 망분리 도입, 어떻게 접근할 것인가? Sponsored by 무단 전재 재배포 금지 본 PDF 문서는 IDG Korea의 프리미엄 회원에게 제공하는 문서로, 저작권법의 보호를 받습니다. IDG Korea의 허락 없이 PDF 문서를 온라인 사이트 등에 무단 게재, 전재하거나 유포할 수 없습니다.
Market Trend I D G T e c h F o c u s 선택이 아닌 필수가 된 망분리 도입, 그 현황과 과제 이대영 기자 ITWorld 바야흐로, 망분리 시장이 임계점에 다다랐다. 보안 컴플라이언스 시장은 정부의 법적 규제 시한과 내용, 강도에 따라 시장 성장과 규모가 좌우된 다. 개인정보보호법 개정안 시행 2년동안 DB 보안 시장이 만개한 것에 비해 정 보통신망법 개정과 금융위원회의 금융전산 망분리 가이드 배포 등으로 대폭 성 장할 것으로 기대했던 망분리 시장은 예상보다 지지부진한 상황이었다. 그러나 2013년 하반기에 들어서면서 시장 상황이 급변했다. 사이버 금융거래가 발달함 에 따라 금융거래가 편리해지는 것과 함께 보안 위협도 나날이 증가하고 있으며 최근 사이버 공격의 동시 다발적 반복적으로 발생, 근본적인 보안 강화 조치가 필요한 시점에 다다른 것이다. 망분리 시장 배경 망분리 보안 시장에서는 물리적 망분리 시장을 경쟁 시장으로 보지 않는다. 물 리적 망분리 시장은 네트워크 장비 시장일뿐 보안 시장으로 분류되지 않을뿐더 러 현재까지 망분리 시장은 물리적 망분리를 중심으로 형성되어 있었다. 원래부터 망분리 사업은 정부정책에 따른 공공시장, 물리적 망분리에서부터 진행됐다. 정부는 행정망을 비롯한 주요 내부망 보호를 위해 2006년부터 해킹 대처 방안을 수립, 망분리 시범사업을 거쳐 2008년 18개 기관, 2009년 3개 기 관, 2010년에는 27개 국가기관의 물리적 망분리가 진행된 것이다. 2011년 사 업을 확대하는 과정에서 불가피한 경우에만 허용하던 논리적 망분리를 본격적 으로 허용했다. 또한 2012년 8월, 정부는 정보통신망법을 개정하면서 1,000만 명 이상의 개 인정보를 보유하거나 정보통신 매출이 100억 원이상인 사업자와 기업의 경우 무조건 망분리를 도입, 시행토록 했다. 이 법 시행에 따라 2013년 2월 18일부터 금융업체뿐만 아니라 통신, 포털, 쇼 핑몰, 게임업체 등 개인정보를 대량으로 보유한 업체들은 모두 의무적으로 망분 리를 해야 한다. 그럼에도 불구하고 일부 금융권과 기업을 제외한 대부분은 차 일피일 망분리 도입을 미루고 있는 상황이었다. 2013년 3월, 농협과 신한은행, KBS, MBC, YTN 등 방송 금융 6개사 전산망 이 마비되어 인터넷 뱅킹과 영업점 창구 업무, ATM 사용이 2시간 가량 중단되 는 사태가 발생했다. 이 사고는 인터넷을 통해 내부시스템에 접근이 가능한 운 IT World 1
망분리의 의미와 종류 망분리란 조직의 임직원이 사용하 는 업무망과 외부 인터넷망 자체를 2 중으로 분리 운용하는 방식으로, 공격 자가 인터넷을 통해 임직원의 PC에 침입하더라도 내부 업무망에는 침입 하지 못하도록 하는 것이다. 망분리 기술은 물리적 망분리와 논 리적 망분리로 나눌 수 있는데, 물리적 망분리는 네트워크 카드를 2개 이상 탑재하거나 전환스위치를 이용해 스 위칭하는 방법으로, 한 마디로 한 사용 자가 PC를 두 대를 쓰는 것이다. 논리적 망분리는 또다시 두 가지로 나뉘는데, 클라이언트 기반의 망분리 와 서버 기반의 망분리가 바로 그것이 다. 이는 데스크톱 가상화(VDI)와 클라 이언트 기반의 논리적 망 분리 방식으 로 나누기도 한다. 물리적 망분리는 물리적으로 인터 넷망과 내부망이 연결되어있지 않기 때문에, 높은 보안성을 갖고 있다. 그 러나 물리적 망분리는 별도의 망을 구 축해야 하기 때문에 추가적인 PC, 네 트워크 장비 등이 필요해 비용이 많이 든다. 특히 사용자는 PC 2대를 사용함 으로써 업무 효율성을 저하시키는 단 점을 갖고 있다. 논리적 망분리는 물리적 망분리의 단점을 보완하기 위한 방법으로, 물리 적으로 같은 공간에 존재하는 자원을 가상화 방법으로 분리함으로써 서로 접근하지 못하도록 구성하는 방법이 다. 논리적 망분리는 기존 자원을 그 대로 사용하고 추가 도입 장비를 최소 화해 도입 비용이 낮고 사용자는 하나 의 PC로 업무 처리를 할 수 있어 업무 효율성이 높다. 그러나 물리적으로 사내망과 인터 넷망이 연결되어 있기 때문에 격리성 에 있어서는 상대적으로 낮다. 또한 일 정 수준 이상의 격리성을 보장하기 위 해서는 높은 가상화 기술력이 필요한 데, 이는 기업 스스로 구성하기 힘들 다. 표 망분리 종류에 따른 특성 구분 운영 방법 도입 비용 추가 장비 보안성 장점 단점 물리적 망 분리 업무용 PC와 인터넷용 PC 물리적 분리 높음 (추가 PC, 망 구축) 추가 PC 1대, 라이선스 (운영체제, 오피스 등), 네트워크(스위치, 방화벽) 높음 (근본적 분리) 공격자의 직접 접근 차단 고비용 및 비효율성 논리적 서버 기반 서버에서 인터넷을 사용, PC는 사용 화면만 출력 보통 (서버 및 스토리지 구축) 서버, 스토리지, 네트워크(스위치), 서버 기반 솔루션 보통 (서버에서 인터넷 사용) 관리 용이 (중앙 서버에서 통제) 내부망의 트래픽 증가 망 분리 PC 기반 PC 가상화를 통해 인터넷 영역과 업무 영역을 분리 낮음 (추가 장비 최소화) 네트워크(게이트웨이), PC 기반 솔루션 낮음 (PC에서 인터넷 사용) 도입비용 최소화 호환성 부족 그림 망분리 기술 유형 2 IT World
영 단말기 등이 악성코드에 감염되어 정보유출 및 자료파괴를 초래하는 해킹 공 격의 경로로 이용된 것이다. APT 등 나날이 진화하는 사이버 공격에 대해 현재 보안 대응체제로는 방어가 힘들다고 판단한 금융감독위원회는 2013년 7월 11일 금융전산 보안강화 종합대 책을 마련해 전산센터에 대해서는 2014년 말까지 내부 업무망과 외부 인터넷망 을 원천적으로 차단하는 물리적 망분리를 의무화했다. 또한 본점과 영업점의 경우 단계적 선택적으로 추진키로 했는데, 은행권은 2015년 말까지, 2금융권은 2016년말까지로 잠정 확정했다. 망분리 시장 현황 현재 망분리 시장에는 기존 물리적 망분리 업체뿐만 아니라 보안업체, 가상 화 업체까지 모두 뛰어든 상황이다. 다우기술뿐만 아니라 굿모닝아이텍, 틸론, 백업코리아, SGA, 안랩, 컴트루테크놀로지 등이 관련 솔루션을 내놓고 경쟁에 나섰다. 2012년 국내 망분리 솔루션 시장은 총 200~300억 원대 수준이었지만 2013 년 400억 원대로 가파른 상승세를 보였지만 기대치보다는 낮은 것으로 분석된 다. 특히 2014년 금융 IT 시장에서 망분리는 최대의 화두로 자리잡을 전망이다. 지난해 7월 금융위원회가 발표한 금융전산 보안강화 종합대책에 따라 금융권에 서는 적극적인 검토 작업에 나섰다. 금융전산 망분리 의무 유예 기간이 예상보 다 1년 더 연장되면서 시장이 한풀 꺾인 듯했으나 이미 많은 금융업체들이 망분 리 도입을 결정한 것으로 알려졌다. 현재 물리적 망분리 업체로는 SGA, 제이씨현이 있으며, SBC(Server-based Computing) 방식으로 VM웨어, 시트릭스, 마이크로소프트 등 가상화 업체 가 VDI(Virtual Device Interface) 솔루션을 제시하고 있으며, CBC(Clientbased Computing) 방식으로는 안랩, 미라지웍스 등이 포진해 있다. 또한 가상화 시장의 맏형격인 다우기술은 다수의 가상화 프로젝트에서 다진 풍부한 경험을 바탕으로 망분리 시장에 진출했다. 컴트루테크놀로지는 망분리 신제품을 출시하고 자사의 다양한 보안 제품과의 연동을 적극 강조하고, 굿모 닝아이텍이 망분리 인프라를 단일 어플라이언스로 통합한 신제품을 출시했다. 망분리에 있어 문제점 원천적인 보안 전략이라고 기대했던 망분리 또한 그리 안전하지 못했다. 가 장 완벽하게 보안을 보장할 것이라 생각했던 물리적 망분리마저도 도입 이후 여 러 보안 문제들이 발생했다. 물리적 망분리 구축 이후 불거져 나온 문제점들은 다음과 같다. IT World 3
사용자의 망 혼용 사용 PC 두 대를 사용하는 직원이 고의 또는 실수로 원래 허용한 망이 아닌 다른 망을 연결, 사용하는 경우다. 내부 업무망에 연결된 PC를 인터넷망과 연결하거 나 인터넷망과 연결된 PC를 내부망과 연결한 상황이 발생한다는 것이다. 내부 업무 PC가 인터넷에서 감염되어 원래 내부망으로 돌아온다면 업무망 전체를 감 염시킬 수 있다. 소프트웨어 패치 관리 불가능 망분리를 통해 인터넷망과 분리된 PC의 경우 소프트웨어의 온라인 패치를 받 을 수 없다는 점이 문제가 됐다. 특히 그간 공격에 자주 이용되는 윈도우 운영체 제와 자바, 어도비 등의 보안 업데이트가 불가능해지기 때문에 한번의 외부 침 입에 매우 취약한 형태다. 자료 전달 방식의 보안 한 사용자가 두 대의 PC를 사용하다 보니 업무 PC와 인터넷 PC 간 자료를 전 달해야 하는 경우가 많다. 자료 전달 방식에 있어서 대부분 USB를 통해 전달했 는데, 이 USB의 보안이 제대로 되지 않는다면 망분리의 목적 자체가 사라진다. 무선 인터넷 접속 내부 업무망을 완벽하게 인터넷망으로 유지하기란 쉽지 않다. 특히 무선LAN 을 통해 사용자가 실수나 혹은 임의로 설치하는 경우가 발생함에 따라 내부망이 외부에 노출되기도 한다. 인터넷망 보안 위협 상존 내부 업무망을 인터넷망과 분리한 것과는 별개로 인터넷망은 안전이 보장되 지 않는다. 직원 가운데서는 업무 대부분이 인터넷에서 이뤄지는 경우도 있다. 인터넷망은 그간의 보안 위협에 그대로 노출되어 있으며, 이 영역에서의 보안 이슈는 그대로 남아 있다. 보안성과 업무 효율성의 접점 인터넷망과 업무망이 완전히 분리됐다는 의미는 네트워크 정보가 완전히 분 리되어 있어야 한다. 또한 업무망 PC와 인터넷망 PC가 완전히 분리되기 위해 서는 운영체제, MBR(Master Boot Record), 파일시스템, 프로세스, 메모리가 완전히 분리되어 있어야 한다. 논리적 망분리 도입시 검토 사항 안정성 논리적 망분리 검토에 있어서 액티브-X 등 충돌 문제로 인한 인터넷뱅킹, 증 4 IT World
명서 인터넷 발급 등 인터넷 사용 제약, 보안모듈 및 소프트웨어 충돌 문제로 인 터넷망 보안정책 적용 제약 및 업무 소프트웨어 사용 제약이 없어야 한다. 또한 액티브 디렉토리 등 인증 서버나 싱글사인온(SSO) 연동 문제 등 연동 호환성 문 제에서 자유로워야 한다. 편의성 논리적 망분리 구축을 위해 추가적인 인프라 구축 및 증설, 업무환경 변화를 최소화해야 하고, 중앙 집중 관리가 가능해 야 한다. 가상 PC가 실제 PC의 리 소스를 사용하므로 가상 PC 사용 시 불편함이 없도록 리소스를 최소한으로 사 용하면서 사 용자가 속도에 대한 변화를 체감할 수 없는 제품이어야 한다. 또 외부로부터 해킹 등의 공격이나 악성코드 감염으로 인한 장애 시 복구가 편리 해야 한다. 경제성 초기 구축비용뿐만 아니라 향후 인프라 환경 개선이나 사용자 확대 시에도 추 가 비용이 경제적이어야 한다. IT World 5
Tech Trend 망분리 도입, 왜 간단하지 않은가? 박승규 팀장 다우기술 가상화컨설팅팀 가상화 & 클라우드 컴퓨팅 에반젤리스트 담당자들이 망분리 도입이라는 명제와 마주하는 순간, 이 과제가 쉽지 않 음을 짧은 시간에 눈치챈다. 이런 어려움의 근본적 원인를 파악하기 위 해서는 망분리 도입 이전 알아야 할 9가지를 통해 도입 과정에서의 문제와 잘못 된 선택으로 인해 발생할 수 있는 폐해를 살펴보고, 이에 따른 망분리 방법 선정 이 어려운 원인을 살펴봐야 한다. 그림 1 망분리 확산의 3가지 관점 망분리 확산의 3가지 관점 국내 망분리 도입은 2007년 국가정보원의 국가 공공기관 망분리 지침 시행을 통해 시작된 아주 오래된 일이다. 하지만 망분리가 많은 사람들에게서 회자되기 시작한 시점은 컴플라이 언스 준수, 현실적 문제, 기술의 변화라는 3가지 관점에서 비롯 되었다고 해도 과언이 아니다. 컴플라이언스 측면 2011년부터 최근까지 개정된, 개인정보보호법, 전자거래기 본법, 정보통신망법 시행과 함께 최근 발표된 금융감독원 망 분리 가이드 와 같이 구체적 방안 제시로 인해 모든 기업과 기관이 서둘러 검토 하고 있다. 망분리 검토 시에는 산업군(공공, 금융, 유통, 통신 등)별 대표 상급기관에서 제시하는 법규 검토만으로도 충분하지만, 망분리 시행 측면에서 살펴보면, 각 종 관련 기본법, 보호법, 진흥법, 법률, 규정, 기준, 조건, 시행령, 조치 등 충 표 1 법규에 따른 국내 망분리 추진 현황 국가기관 해킹 대처방안 수립 및 시범 사업 1차/2차 국가기관 망분리 (물리적 망분리) 논리적 망분리 시범 금융기관 및 일반기업 확대 2006~2007 2008~2009 2010~2011 2012~ 국가 정보보안 기본지침 보조기업매체보안관리지침 인터넷 업무망 분리대상 기관 확정 국가기관 망분리 시범사업 추진 1차 국가기관 망분리 사업(총 21 개 국가기관) 2차 국가기관 망분리 사업(총 4 개 국가기관) 논리적 망분리 시작(2010.04) 3개 국가기관 논리적 망분리 시범사업(국립환경과학원, 국가기록원, 국립수산과학원) 금융기관/민간기업 망분리 사업 확대 정보통신망법이 시행되면서 망분리 조치 의무화 6 IT World
분한 검토가 이뤄져야만 규범 준수뿐만 아니라 시행에 따른 혜택을 함께 누릴 수 있다. 특히 개인정보보호 정책 수립 및 정보보호관리체계(ISMS) 인증과 같은 개인 정보 관리 및 보안수준 평가 개선을 위해 망분리 도입이 함께 검토되는 경우, 보 안통제 단계에 따라 적용할 우선 순위가 달라지기도 하므로, 전사적 정보보호 관점에서 망분리 검토가 이뤄져야 한다. 결국 단순 망분리 지침을 따르기 위한 조치인지, 정보보호 측면에서 다각도 로 검토되는 지에 따라 망분리의 접근 방법과 적절한 예산 수립 및 집행이 가능 하다고 말할 수 있다. 현실적 문제 기업 비즈니스 및 공공 서비스는 이미 전산시스템을 통해 운영되거나 제공되 고 있다. 이로 인해 과거의 물리적 보안뿐만 아니라, 전산화된 환경에 대한 정보 보호를 위해 방화벽, 접근제어, 침입탐지, 백신, 패치관리, 매체제어 등을 적용 해 왔다. 하지만 이런 많은 투자에도 불구하고 조직들은 새로운 공격 패턴과 사 무환경의 변화로 인해 여전히 위험에 노출되어 있으며, 빈번한 보안 사고에 대 해 실질적이고 합리적인 대응 마련에 고심하고 있다. 이에 주요 시스템에 대한 원천적 접근을 망분리라는 방법으로 해결하려 하지 만, 망분리 도입으로 가능한 것인지, 어떤 망분리가 더 현실적인지에 대해 많은 검토가 이뤄지고 있다. 현실적으로 보안을 강화하려면 시스템을 통해 이뤄지는 업무에서부터 살펴봐 야 한다. 내부 담당자 입장에서는 업무를 잘 알고 있지만 전문 기술에 대한 변 별력이 부족하고, 외부 전문가 입장에서는 특정 기술은 잘 알고 있으나 업무 유 형에 대한 이해가 부족함에 따라 해당 기술이 문제를 해결해 줄 것이라고 장담 하기 어려운 것이 현실이다. 표 2 산업군별 망분리 대상 및 적용 범위 산업군 망분리 대상 적용 형태 적용 범위 근거(법규/규범) 국가기관 공공 정부부처 및 산하기관 공기업 지자체 및 산하기관 공공기관 및 비영리단체를 포함한 물리적 또는 논리적 망분리 국정원 CC 인증 필수 (보안적합성 검사 면제) 행정망 시스템 접속자 대민 서비스, 행정 업무 시스템 접속자 국가, 공공기관 망분리 지침 (2007.04): 국가정보원 개인정보보호법(2011.09): 행정안전부 모든 350만 사업자까지 확대 금융 기존 대상(은행/보험/증권/카드) 에서 금융권 협회, 상호저축은행, 여신전문금융권까지 강제화 확대 (2011.10) 해킹 방지 대책 강제화 국기기관의 평가/인증을 받은 장비 사용 개인정보취급자 금융회사 IT인력(5%) IT보안 인력(5%) IT보안 예산(7%) 전자거래법 전자금융감독규정(2011.10): 금융위원회, 금융감독원 통신 외 정보통신서비스 사업자, 전기통신사업자 포털, 통신 등 대부분 인터넷 및 통신 사업자 매출액 100억 원 이상, 개인정보 100만 이상 취급자 개인정보취급자 정보통신망법(2012.08): 방송통신위원회, 한국인터넷진흥원 IT World 7
기술의 변화 새로운 기술의 발전으로 인해 망분리에 대한 접근 방법 또한 다양해졌다 할 수 있다. 2007년 초기 망분리 방안은 특정 업무 혹은 전체에 대해 네트워크를 물리적으로 분리함으로써 인터넷 접속에 대한 원론적 차단을 망분리 수단으로 사용했다. 또한 가상화 및 클라우드 컴퓨팅 환경 확산 및 도입 성공사례가 증가하면서, VDI(Virtual Desktop Infrasturcture) - SBC(Server Based Computing)라 고 부르기도 한다 - 기술을 사용한 논리적 망분리가 시범적으로 적용하기 시작 했으며, 2010년 논리적 망분리 도입이 허용되면서부터 서버 가상화/VDI, SBC/ PC 가상화라는 두 가지 방안을 도입하는 사례가 증가하기 시작했다. 논리적 가상화 관련 제품 가운데 검토 대상 목록을 작성할 경우 적게 4가지 이 상의 제품이 거론되고 있으며, 기술, 성숙도, 호환성, 비용, 편의성 등을 살펴볼 때 아직까지 객관적 지표가 마련되지 않고 있다. 이처럼 법규 준수, 현실적이고 합리적 대응 그리고 다양한 접근 방법의 등장 이라는 3가지 이유로 국내 IT는 망분리 도입이라는 숙제를 두고 머리를 싸매고 있는 것이다. 망분리 적용을 위한 3가지 영역 필자는 얼마 전 A고객사로부터 망분리 상담 요청을 받은 적이 있었다. 해당 담당자가 망분리에 대해 궁금한 것이 있어서 라고 말을 꺼냈지만, 정작 질 그림 2 망분리의 기술적 영역 인터넷망 업무망 사 용 자 영 역 패치 관리 백신 접근 제어 망분리 기술 영역 패치 관리 백신 접근 제어 매체 제어 침입 방지 방화벽 침입 탐지 정보보호기술 영역 망연계 서버 망연계 서버 침입 방지 방화벽 침입 탐지 정보보호기술 영역 전 산 센 터 망중계 서버 망중계 서버 메일 망연계 기술 영역 메일 주요 업무 시스템 백본 인터넷 8 IT World
문의 요지는 VDI 기술에 대한 질문이 대부분이어서 당황스러운 적이 있었다. 망분리 기술 영역에서 VDI 기술을 검토하는 것은 당연한 것이지만, 망분리 사 업의 전체를 살펴보는 질문은 아니다. 엄밀히 말하면 정보보호시스템 영역, 망분리 기술 영역, 망연계/중계 기술 영 역이라는 3가지 영역을 합리적으로 개선할 때, 안전하고 효과적이며, 불편을 최 소화할 수 있는 망분리가 됐다고 말할 수 있다. 이에 정보보호시스템, 망분리 기술, 망 연계/중계 기술 등 3가지 영역에 대해 간단히 설명하면 다음과 같다. 정보보호시스템 영역 망분리 도입 관점에서 정보보호시스템 영역에서 요구되는 시스템은 4가지 시 스템으로 분류할 수 있다. 침입 탐지/방지 시스템(방화벽, IPS, IDS), 망관리 및 접근제어 시스템 (NAC_IP 및 MAC을 이용한 네트워크 접근제어), 패치관리 시스템(PC 및 관 련 인프라 패치), 매체 제어/관리 시스템(이동형 저장장치 권한제어 및 보안 USB) 등으로 구성된다. 이런 정보보호시스템은 전산센터 측면에서 외부 공격에 의한 시스템 파괴 및 정보유출에 대한 대응과 사용자 측면에서의 PC 감염에 의한 데이터센터 확산 방지 및 정보유출 방지를 위한 제어를 목적으로 적용된다. 특히 전산센터 내의 시스템 가운데 외부(인터넷)에서 직접 접속 가능한 시스템(예, 웹서버, 메일서 버, 패치관리시스템 등)일 경우, 인터넷 영역과 내부 영역으로 시스템을 분리하 는 것을 권장하고 있다. 정보보호시스템 영역은 전통적으로 정보보호팀의 전문 분야다. 이런 이유로 망분리 영역에서 어렵지 않게 대응할 수 있지만, 망분리 적용에 따른 환경 변화 에 따라 확대, 축소돼야 하는 시스템을 선정하고, 내부 정보보호 로드맵 및 보 안수준 평가 결과에 따른 우선 순위별로 적용함으로써 예산이 비효율적으로 집 행되는 것을 막을 수 있다. 망분리 기술 영역 가장 많은 고민을 토로하는 영역이 바로 망분리 기술인데, 적용 기술로 살펴 보면 크게 물리적 망분리, 논리적 망분리로 나눠진다. 또한 적용 대상으로 나눠보면 데이터센터 및 PC 사용자 영역으로 분리되며, PC 사용자 영역의 경우 본사, 지역본부, 지점 등 지리적 환경 및 업무 형태의 경 우 IT업무, 내근직, 외근직, 계약직, 아웃소싱, 상담/콜센터 등 특성을 반영해 적합한 기술을 선정한다. 물리적 망분리의 경우 격리된 별도의 네트워크 생성하는 방법으로, 대규모 사 업장의 경우 데이터센터 대상 물리적 망분리 및 일부 부서/업무를 대상으로 부 분적으로 진행하거나, 대부분 소규모 망분리 환경을 위해 적용하는 것이 일반 적 추세다. IT World 9
하지만 대규모 사업장의 경우 비용도 중요하지만, 기술의 지속 가능성, IT 로 드맵과의 일치 여부, 많은 예산 집행에 따른 기회비용 상실에 염려 등으로 인해 물리적 망분리보다는 논리적 망분리를 선호하거나 우선 검토하고 있다. 또한 다수의 내부 직원을 대상으로 사업이 수행된다는 특성에 의해 적절치 못 한 기술을 적용한다면 이후 작은 결함에도 동시다발적 불만이 발생하는 상황을 경험하기도 한다. 이런 폐해는 검증 기간이 부족하거나, 검증해야 할 항목을 정 확히 인식하지 못해 발생하는 문제로 사전에 검토돼야 하는 많은 영역을 소수 의 보안 담당자만으로 검증해야 한다는 현실적 한계로 인해 발생된다는 점을 인 식해야 한다. 특히 망분리 기술은 기술과 감성이라는 두 마리 토끼를 함께 잡아야 한다. 이 는 검증 과정에서 기술적 수치는 합격점을 줄 수 있으나, 업무환경의 변화에 따 른 기존의 PC 사용에 대한 감성을 보존하고, 자연스럽게 변화를 수용할 수 있도 록 관리 방법도 망분리 도입 성공의 중요한 지표로 작용한다. 망연계/중계 기술 영역 망분리 기술 검토가 어느 정도 진척되면, 보안사업 검토시 모두가 고민하는, 망분리 후 불편해지는 환경을 어떻게 해결할 것이냐, 즉 편의성 확보에 대한 고 민이 뒤따라 온다. 이미, 정보유출 방지를 위해 보안USB를 이용한 PC간 파일 교환하고 있는 경 우가 대부분이며, 망분리 이후에도 동일한 방법으로 파일 교환을 해도 크게 문 제되지 않을 것으로 판단한다. 하지만 망분리 이후 인터넷 영역에서 외부 자료 검색 후 업무망 반입, 외부 메 일을 통해 전해 온 첨부파일을 내부로 전달하는 일 등은 망분리 이후 더욱 빈번 하게 이뤄진다는 점을 감안할 때, 기존의 보안USB를 이용한 파일 교환은 불편 함을 가중하게 될 것이다. 사용자 편의성을 확보하기 위해 망연계 시스템에 대한 보안성 및 편의성이 충 그림 3 망분리 후 망간 데이터 프로세스 업무망 사용자 전송 수신 결과 팝업 (파일 리스트업) 수신 정보 복호화/저장 인터넷망 사용자 승인자 10 IT World
분히 검토돼야 하며, 인터넷이 끊어진 환경 하에서의 외부 연계 방안도 고려돼 야 한다. 정리하자면, 망분리는 외부 공격 및 침입에 대한 보완을 위한 정보보호시스 템, 자사에 적합하고 합리적인 망분리 기술 선정 그리고 분리 이후 편의성 확보 를 위한 망연계/중계를 함께 고려해야 하는 통합적 접근이 필요하다. 그림 4 내외부 분리에 따른 업무 유형 망분리 도입 시 변화되는 3가지 측면 모든 IT 환경 변화에는 공통적으로 변화되는 3가지 측면이 존재하며, 특히 새로운 트랜드 혹은 기술 도입 시 더욱 더 뚜렷 하게 나타나는데, 가상화 및 클라우드 컴퓨팅을 도입, 고려한 적이 있다면 많이 공감할 것이다. 특히 VDI를 논리적 망분리 방안으로 고려할 경우 동일한 과정을 겪는다. 기술적인 측면 물리적 망분리를 고려하는 경우는 그리 변화가 많지 않다. 다만 논리적 망분리를 고려하고 있다면, 앞에서 언급했듯이 새 로운 기술에 대한 사전 조사와 검증이 필요하다. 새로운 기술이 등장하게 되면 성능, 호환성, 편의성, 안정 성, 보안 등을 검토하게 되며, 이중 망분리 검토 시 가장 어려워하는 부분은 호 환성 검증이라 할 수 있다. 호환성 검증은 크게 4가지 영역으로 나눠 검증하며, 이를 통해 솔루션에 대한 적합성 및 성숙도를 확인하는데, 이는 업무망을 분리 하는 것이 적합한지, 인터넷망을 분리하는 것이 적합한 지를 판단하는 중요한 지표가 된다. 조직적인 측면 망분리 도입을 검토한 실무자라면, 기술 검토 또한 어렵지만, 무엇보다도 조 직내의 반감을 상쇄시키고 객관적으로 증명하는 것이 더더욱 어렵다는 것에 공 감할 것이다. 망분리의 도입은 단순한 시스템을 도입하는 것이 아니라 변화의 과정이며 이 런 과정에서의 의사 결정은 많은 연관조직과 협의해야 하는 경우가 대부분이다. 프로젝트 특성상 정보보호팀에서 주관하는 경우가 많으며, IT기획, 시스템 운 영, 네트워크, IT지원, 자산관리 등 서로 다른 부서와의 책임과 역할에 있어 애 매모호한 상황이 연출되기도 한다. 이로 인해 차선책으로 일시적 전담부서(TFT)를 구동해 본 경험이 있을 것이 다. 그러나 전담부서의 수년간 노력에도 불구하고 어떠한 결론도 내리지 못하고 전담부서를 해산하는 경우도 적지 않다. 이 역시 앞에서 언급한 가상화 혹은 클 라우드 컴퓨팅 도입 시와 동일한 현상이다. 과연 역할과 책임을 어떻게 조율하 며, 어떻게 조직 변화를 줘야 할까? IT World 11
그림 5 망분리 TFT에서의 이해 관계도 예산! 비용! 효용성? 로드맵? 현실성? 적합도? 관리! 안정성? 성능? 현실적 보안! 네트워크? 스토리지? 망분리 Task Force Team 편의성! 성능! 통제? 변화? 자원? 자산관리? 호환성? 2년 이상 절차적인 측면 지금까지 기술적인 검토와 조직과의 협의도 끝났다고 가정해 보자. 최적의 망 분리 방안을 선택하고 프로젝트를 성공적으로 마쳤다. 그렇다면 변화된 시스템 그리고 연관된 조직이 원활하게 운영되기 위해, 현재의 운영, 관리, 지원, 유지 절차로 가능할까? 아마도 그렇지 않다는 것을 직감할 수 있을 것이다. 새로운 환경 및 시스템 변화에 맞는 정책과 절차가 필요하다. 결국, 망분리를 도입한다는 것은 IT의 모든 영역을 송두리째 바꾸는 것이다. 그래서 망분리를 성공으로 이끄는 일은 생각보다 어려운 작업인 것이다. 망분리 방법 선정이 어려운 원인 망분리 방법 선정이 어려운 점은 망분리 이슈가 국내에서만 진행됨에 따라 다양한 성공사례가 부족해, 자사에 적절히 참고하기 어렵다는 이유를 들 수 있 다. 망분리 담당자들이 토로하는 어려움은 다음과 같다. - 발표된 가이드라인이 구체적이지 않아 해석이 모호하다. - 어떤 지침과 법규를 준수해야 하는지 구체적이지 않다. - 자사에 가장 효율적인 망분리 방안은 무엇인가? - 기존 정보보호시스템(보안 소프트웨어)과 중복으로 투자되는 것은 아닌가? - 다양한 신기술 출현에 따른 측정 기준 및 방법에 대한 확신이 없다. - 전문가 도움없이 객관적이고 합리적 평가가 어렵다. - IT기획, 서버, 네트워크, 보안, IT지원 등 복잡한 이해관계를 어떻게 해결할 것인가? - TFT를 구성했으나 결론 도출에 어려움이 있다. - 망분리 도입 범위와 대상은 적절한가? - 불법 접근과 내부 정보유출 차단에 대한 대응은 완벽한가? 12 IT World
- 망분리 후 데이터 및 메일 전송에 대한 편의성 확보는 어떻게 할 것인가? - 성능, 호환성 등에 대한 사용자 불만은 제거할 수 있는가? 이렇게 망분리 담당자들의 다양하고 많은 고민들을 모아 정리해보면, 핵심 공 통 영역이 도출되는데 다음과 같이 7가지로 귀결된다. - 지침 해석의 어려움 - 기존 보안 환경에 대한 중복 투자 및 비용 효율성 - 다양한 기술에 따른 적합성 판단의 어려움 - 내부 이해관계자 의견 수렴 및 중점사항 도출 - 실질적 보안 강화 방안 - 환경 변화에 대한 불편 최소화 - 방향성 수립 시간 부족 및 그에 따른 단기 사업 진행 테크놀로지 및 비즈니스 의사 결정을 위한 최적의 미디어 파트너 기업 IT 책임자를 위한 글로벌 IT 트렌드와 깊이 있는 정보 ITWorld의 주 독차층인 기업 IT 책임자들이 원하는 정보는 보다 효과적으로 IT 환경을 구축하고 IT 서비스를 제공하여 기업의 비즈니스 경쟁력을 높일 수 있는 실질적인 정보입니다. ITWorld는 단편적인 뉴스를 전달하는 데 그치지 않고 업계 전문가들의 분석과 실제 사용자들의 평가를 기반으로 한 깊이 있는 정보를 전달하는 데 주력하고 있습니다. 이를 위해 다양한 설문조사와 사례 분석을 진행하고 있으며, 실무에 활용할 수 있고 자료로서의 가치가 있는 내용과 형식을 지향하고 있습니다. 특히 IDG의 글로벌 네트워크를 통해 확보된 방대한 정보와 전세계 IT 리더들의 경험 및 의견을 통해 글로벌 IT의 표준 패러다임을 제시하고자 합니다. IT World 13
Tech Guide I D G T e c h F o c u s 망분리 도입, 어떻게 접근할 것인가? 박승규 팀장 다우기술 가상화컨설팅팀 가상화 & 클라우드 컴퓨팅 에반젤리스트 망분리 도입을 고려하는 모든 담당자는 7가지 항목에 대해 고민하고 있으 며, 중요도와 준비 현황 또한 모두 다르리라 생각한다. 이런 고민을 현재 하고 있거나, 시간이 어느 정도 흐른 후 나타나는 고민도 있을 것이다. 7가지 고민을 해결하기 위한 방법은 결국 6가지 영역을 통해 고민의 대부분을 해결할 수 있는데, 이 6가지 영역에 대해 살펴보자. 3가지 영역에 대한 종합적 검토 망분리 기술 및 망연계 기술 선택에 따라 기존 정보보호시스템에서 사용되 던 DRM, DLP, 매체제어 등의 사용이 불필요하거나 축소되는 경우가 발생하 게 된다. 또한 망분리 이후 데이터센터 메일 분리, 개발/운영자/현업 등의 외 부 접속 문제 해결에 따른 망연계 기술의 추가 및 성능 보장을 위한 요건이 달 라지게 된다. 이런 이유로 망분리 기술 검토, 망연계 기술 검토, 정보보호시스템 추가 구 매 등은 기술의 연관성 및 중복투자 관점에서 따로 검토하지 않고 종합적 관점 에서 검토해야 한다. 그림 1 망분리 도전과제와 시사점 도전 과제 시사점 1 지침 해석의 어려움 A 3가지 영역에 대한 종합적 검토 (정보보호기술, 망분리 기술, 망연계 기술) 2 투자 효율성 B 사례 분석 및 특성 이해(적합성 분석) 3 4 5 기술 선정의 어려움 내부 협력의 어려움 현실적 보안 강화 C D 내/외부 협력이 중요 (신기술 분석, 내부 이해관계 조율) 객관적 자료를 통한 선정 (종합적 분석, 이해관계자 확인) 6 불편 최소화 방안 E 업무 중심의 기술 검토 (업무 분석과 기술 검토가 동시에) 7 시간 부족 F 변화관리가 중요 (사용자, 정책, 운영/관리) 14 IT World
사례 분석 및 특성 이해 2006년 이후부터 다양한 망분리 사례가 존재하며, 그러한 사례를 분석하고 참조하는 것은 의미가 있다. 하지만 어떤 기술이 선택했느냐는 그 당시의 기술 성숙도, 지침 변화, 인프라 환경, 업무 특성, 예산 등 다양한 변수가 고려되어 선정됐다. 유사기관의 사례를 도입 사례로 참고하는 것도 좋지만, 자사와 어떠 한 차이점이 있는 지를, 왜 이런 선택을 했는지에 대한 배경을 살펴보는 것은 매우 중요하다. 내/외부 협력 넓은 범위와 다양한 변수를 점검해야 하는 사업의 특성 상 외부 전문가의 의 견을 수렴하는 것이 필요하다는 것은 모두 공감할 것이다. 망분리 기술에 대한 세밀한 점검도 중요하지만 2~3년간 걸쳐 단계적으로 진행되는 사업인 만큼, 결 국 방향성과 로드맵이다. 이러한 이유에서 망분리 방향성 수립 및 검증을 위한 전문 컨설팅을 받아보는 것은 많은 도움이 될 것이다. 또한 다양한 내부 이해관계와의 협력, 정보 수집, 범위 설정, 역할 정의, 의 견 조정 등이 요구되며 필요에 따라 조직 및 정책에 대한 변화가 요구되기도 하 다. 한편으로는 내부 협력으로 보여지지만, 이런 협력이 쉽지 않을 경우, 내부의 목소리를 하나의 방향으로 이끌기 위한 외부 전문가의 도움이 필요할 것이다. 객관적 자료를 통한 선정 방향성 수립, 적합성, 비용 효율성, 변화 관리, 편의성 확보, 보안 강화 등 어 느 것 하나 중요하지 않은 것이 없다. 이러한 복잡한 의사결정 요소에 대한 공 감대 형성은 중요도 및 영향을 정형화하는 것이 중요하다(이런 결과를 도출하 기 위해 사전 검증이 중요하고 객관화를 위한 사전 검증은 후단에서 좀더 상세 히 다룬다). 업무 중심의 기술 검토 망분리를 통해 이루려는 결과는 결국 업무 환경에 대한 변화다. 이런 관점에 서 기술 검토는 반드시 업무 환경에 대한 조사/분석이 먼저 이뤄진 후, 후보 기 술들이 이를 수용할 수 있는지를 검토해야 한다. 많은 담당자들이 기술 비교 검 증에 많은 시간을 사용할 수 밖에 없다. 하지만 실무 환경에 적용 시 예상치 못한 문제점들이 발생한다. 이 문제들은 기술 검토 미비가 아니다. 업무 분석이 사전에 진행되지 않음으로써 발생하는 것 이다. 아이러니하게도 이는 해당 기술이 어떤 업무에 어떠한 영향을 주는지 모르 기 때문에, 어떤 업무를 집중적으로 살펴봐야 하는 지 모르는 문제이기도 하다. 기술 분석이 먼저일까? 업무 분석이 먼저일까? 그렇다. 기술을 아는 전문가 라면 업무 중심의 기술 분석을 해야 한다. IT World 15
변화 관리 계획, 검증, 이행, 운영 단계 중 이행 및 운영 단계에서 변화 관리가 더 많이 요구된다. 변화 관리 요소를 살펴보면, 보안 정책, 마이그레이션, 사용 환경, 운 영 절차, 관리 방안, 모니터링 방안, 지원 방안, 자산 관리 등 다양한 영역에서 변화가 발생한다. 새로운 기술 도입으로 인해 기술적인 변화뿐만 아니라 모든 영역에서 전사적 변화가 일어난다. 이미 망분리를 진행한 사례에서도 변화관리의 중요성을 드러 나고 있으며, 그것을 반영하듯이 최근 망분리 사업 제안 요청서에 변화관리 컨 설팅이 포함되는 사례가 늘고 있다. 모든 영역을 상세히 다루기에는 지면상의 한계가 있다. 하지만 그 가운데 놓 치기 쉬우나 매우 중요한 객관적 자료를 통한 선정 에 대해 상세히 살펴본다. 객관적 자료를 통한 선정(망분리 프로젝트 사전 검증) 다양한 망분리 사업을 살펴보면 기술 선정 과정에서, PoC, BMT 등의 과정 을 통해 어떤 기술이 적합한지를 사전에 검증하기도 하고, 또한 시범 사업 형태 로 소규모 프로젝트를 통해 본 사업을 대비해 사전에 문제점을 파악하려 한다. 신기술이 도입되는 경우, 혹은 전사에 영향을 미치는 경우라면 사전 검증은 더더욱 중요하다. 검증은 When, Who, What, Why, How라는 5가지를 잘 살 펴야 효과를 높일 수 있다. 우선 When, Who, What에 대해 살펴보면 다음과 같이 설명할 수 있다. When: 언제 무엇을 검증해야 하나? When은 검증 시기를 말하며, 이것은 검증 형태로도 나타난다. 즉, 파일럿(Pilot) 컨설팅, 시범 사업, 본 사업 포함된 컨설팅의 형태로 각각의 시기는 검토 단계, 시범 사업 단계, 본 사업 단계에서의 검증이라 말할 수 있다. 파일럿 컨설팅은 제품 선정 이전 기술의 적합성을 판단하는데 목적을 두고 수 행하며, 시범 사업의 경우 제품 선정 이후 적절한 대상을 통해 문제점을 사전에 파악하기 위함이며, 본 사업에 포함된 컨설팅의 경우 호환성 및 아키텍처 결정 에 치중하고 있다. 특히 이미 제품이 선정된 상태에서 수행되는 시범 사업의 경우 해당 제품이 가 지고 있는 한계에 의해 문제점을 발견한다 하더라도 해결할 수 없는 경우도 발 생하며, 특히 특정 IT부서 혹은 콜센터를 대상으로 수행할 경우 전사적 도입 시 문제점을 발견하는 데에도 한계가 있다. H중공업 VDI 도입 성공사례를 보면 파일럿 컨설팅을 통한 사전 검증은 적합 한 제품 선정뿐만 아니라 후속 사업의 기간을 단축시키는 효과를 가져다 주는 좋 은 사례이며 검증 시기는 제품 선정 전에 수행하는 것을 권장한다. 16 IT World
Who: 과연 어떤 대상자를 선정하는 것이 적합할까? 검증 시 대상자 선정은 매우 중요하다. 간혹 시범 사업을 특정 부서 혹은 특 정 지역을 대상으로 수행함으로써 본 사업에서 다른 문제점이 발생해 곤혹을 치르는 경우가 있는데, 이런 경우가 대상 선정의 부적절에서 발생되는 결과다. 대상자 선정은 지역, 업무 형태, PC 능숙도를 고려해 10개 그룹, 50명 내외 가 적절하다. VDI의 경우 네트워크 영향도가 높으므로, 전국에 흩어진 다른 네트워크 환경을 가진 영역에 근무하는 대상자를 선정하는 것이 바람직하다. 또한 IT운영/개발자, 내근직, 외근직, 텔레마케터 등 직군에 따른 분류와 UC(Unified Commuication) 등을 이용한 정기적 비즈니스 미팅을 수행하 는 경우처럼 규칙적 특정 애플리케이션을 많이 사용하는 대상이나 불규칙적 이지만 특정 시간대에 대량 출력 작업을 하는 업무 업무 특성상 특수 장치를 사용하거나, 업무를 위해 특정 외부 기관에 반드시 접속해야 하는 업무 애플 리케이션, 장치를 기준으로 다양한 업무 유형을 가진 대상자 선정을 권장한다. 이때 PC 능숙자가 대상자일 경우, 문제점 발견이 더욱 용이하며, 향후 본 사 업시 거점별 전도사 역할 수행이 가능하다는 이점도 있다. What: 어떠한 요소를 검증해야 하는가? 흔히 호환성 검증을 위해 다양한 애플리케이션과 액티브(Active)X 등을 검사 한다. 만약 A라는 사이트를 접속해 업무를 수행해야 한다면 기본적으로 로그인, 입력, 출력 등에 대한 검증이 필요하다. 액티브X가 설치가 되지 않는 경우, 혹 은 설치는 되나 로그인 시 패스워드가 입력되지 않는 경우, 특정 페이지에서 키 보드 입력 문제, 읽기는 가능하나 출력 시 출력이 안되거나 일부만 출력되는 경 우 등 예상치 못한 문제가 발생하기도 한다. 만약 개발하거나 직접 구매해 사용하는 경우라면 제조사의 협조를 통해 문제 를 해결할 수 있지만, 유관 기관 접속 시 내려받은 액티브X에 문제가 발생한다 면 해당 문제를 풀기 어려운 경우가 발생한다. 검증 결과에 따라 망분리 방식, 제품, 대상이 바뀌는 경우가 발생하기 때문에 무엇보다도 기술 호환성이 아닌 업무 중심의 기술 검토가 중요하다. 이런 사전 검증이 중요한 이유는 외부의 성공 사례가 존재하더라도, 업무 환 경, 인프라 환경 등이 각 사마다 다르므로 유사 산업군의 사례만으로 우리의 문 제가 해결될 수 있다는 확신할 수 없기 때문이다. 효율적이고 효과적인 망분리 접근 절차 앞서 언급했듯이 성공적 망분리 도입을 위해서는 6가지 영역에 대해 어떻 게 접근하느냐가 중요하고, 이런 6가지 영역은 계획 및 검증 단계에 집중된다. 망분리 접근은 계획 및 검증 단계에서 집중적이고 종합적인 검토가 이뤄져야 하며, 사업의 특성 이해 및 객관적 지표를 통한 방향성을 수립하고, 업무 중심 IT World 17
그림 2 성공적인 망분리 도입을 위한 6가지 영역 접근 방법 3가지 영역에 대한 종합적 검토 사례 분석 및 특성 이해 변화관리가 중요 계획 검증 이행 운영 객관적 자료를 통한 선정 업무 중심의 기술 검토 내/외부 전문가 협력 의 기술 검증을 적합한 제품 선정을 통해 시범 사업과 본사업에서 발생할 수 있 는 문제점을 제거해 나갈 수 있다. 다우기술은 가상화 시장을 선도하는 기업으로 국내 시장에 가상화 기술을 보 급하는데 기여해왔다. 망분리 및 VDI 관련 방향성 수립, 파일럿, 디자인 컨설팅 을 P생명, B카드, L카드, K은행, G쇼핑, H중공업 등을 통해 수행함으로써 국 내 시장에 부족한 계획 및 검증 영역의 경험과 성공사례를 축척해왔다. 업무 및 인프라 분석을 통한 단계별 로드맵 확보가 최우선 현재 많은 기업과 기관이 망분리 프로젝트를 추진하고 있거나, 이를 적극적 으로 고려 중이다. 성공적 망분리 구현을 위해서는 업무 및 IT인프라 특성 분석 을 통한 단계별 로드맵을 확보해야 한다. 또한 다면적이고 객관적인 검증을 통 해 적합한 기술과 솔루션을 선택해야 한다. 이런 과정은 경영진에게 합리적 비 용과 방법임을 입증하고, 정보보호팀에게는 현실적 보안 방안이 돼야 하며, IT 기획팀의 IT로드맵과 부합하는 지속 가능한 전략이어야 하며, 운영관리팀에게 성능, 안정성, 편의성을 제공하며, 그리고 가장 중요한 현업 사용자에게 보안 강 화에 따른 불편함을 최소화해야 한다. 망분리 도입 단계별 특화된 서비스는 이 런 해답을 찾도록 도움을 준다. 지금까지 자사는 망분리 준비 과정에서 어디까지 준비됐으며, 무엇을 더 준비 해야 하는지 한번 더 생각해보자. 스스로 준비 현황을 점검해 봤다면, 본격적인 망분리 구축을 위해 망분리 전 영역에 걸친 계획, 검증, 이행, 운영 단계별 해법을 원한다면 전문가에게 컨설 팅을 받아보는 것도 좋은 방안이 될 수 있다. 좀더 상세한 망분리 전문 상담이 필요하다면 다우기술 가상화 컨설팅팀(v_consulting@daou.co.kr)으로 연락 하길 바란다. 18 IT World