세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 보안뉴스 > 기획특집
[8월 주요 보안이슈 되짚어보기] 헷갈리는 망분리, 어떻게 적용해야 하나?
[입력날짜: 2013-08-30 11:25]
     
“네트워크 관점과 사용자OS 관점으로 나눠야”


[보안뉴스 김경애] 최근 망분리가 이슈가 되고 있다. 정보통신망법 제28조에 따라 개인정보가 저장·관리되고, 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원 이상인 사업자는 망분리를 해야 하기 때문이다. 개인정보보호법에서는 제30조에 따라 개인정보에 대한 접근통제 및 접근권한의 제한조치로 망분리가 요구되고 있다.


이러한 망분리는 사내 중요 데이터의 유출방지와 외부로부터의 위협요소 제거, 사용자 PC의 내부 공격에 대해 차단하기 위함이다.


그러나 이에 해당하는 사업자들은 물리적인 망분리를 해야 할지 논리적인 망분리를 해야 할지 고민이 이만저만이 아니다. 비용과 예산 부분, 업무환경에서의 효율성, 보안위협에 대한 안전성 등 솔루션 도입 기준과 함께 여러 가지 사항을 고려해야하기 때문이다.


이와 관련 굿어스의 김정훈 과장은 “많은 기업들이 법령 기준에 맞춰 망분리를 도입하는 것에 대해 제대로 기준점을 잡지 못하고 있는 실정”이라며 망분리 기준에 대해 “네트워크 관점과 사용자OS 관점으로 나눌 것”을 제시했다.

네트워크 관점에서의 망분리는 △물리적 망분리와 △논리적 망분리로 나누고, 사용자OS 관점에서의 망분리는 총4가지 방식으로 △데스크탑 이원화 △완전 VDI △부분 VDI △논리적 분리로 구분해야 한다는 것.


네트워크 관점에서 물리적 망분리는 두개의 망 접점이 없는 네트워크로 구성된다. 다만 망 중계 솔루션으로 특수한 상황에서만 내부 승인절차를 통해 내·외부망에 있는 데이터를 서로 전송 가능하도록 하는 방식이다. 이는 두개의 망이 물리적으로 분리되어 있으므로 보안 측면에서 안정성이 높은 반면, 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷인 DMZ 구간에서의 외부 서비스용 서버 등 업무용 OS에서는 접근이 불가능하다.


네트워크 관점에서 논리적 망분리는 망중계 솔루션을 통해 특수한 상황에서 내부 승인절차를 통해 내·외부 망에 있는 데이터를 전송할 수 있다. 이와 관련 김정훈 과장은 특수한 경우를 제외하고는 일반 기업에서 적용하는 방식이라고 밝혔다.


이 방식은 기업의 보안정책에 따라 보안장비 설정을 바꿀 수 있고, 업무용 OS에서 사내 DMZ에 위치한 외부 서비스용 서버에서도 업무용 OS에 접근이 가능하다. 그러나 보안운영 수준에 따라 보안성에 다소 차이가 있을 수 있다는 게 김 과장의 설명이다.


사용자 OS관점에서의 데스크탑 이원화 방식은 두개의 데스크탑 PC를 사용해 업무망, 인터넷망에 각각 접속할 수 있는 방식이다. 이는 업무용 OS에서 사내 DMZ에 위치한 외부 서비스용 서버에 접근 가능하다. 그러나 한명의 사용자당 2개의 PC를 사용해야 함으로 공간 활용이 불편하고, 두개의 PC에 대한 유지보수가 필요하다. 또한, 데이터 유출 방지를 위해 업무용PC 영역에 대한 매체제어 솔루션 도입이 필요하고, PC단말기의 도난, 분실 시 내부 데이터 유출 위험이 있다.


사용자OS 관점에서 완전 VDI(Virtual Desktop Infra : 가상 테스크탑 인프라) 방식은 사용자의 OS가 물리적으로 분리된 구성이다. 사용자는 가상화 전용 모니터를 통해 업무망, 인터넷망에 각각 접속한다. 가상화 전용 모니터에는 데이터 트래픽이 전송되지 않고, 오직 화면값만 전송한다. 가상화환경이 적용되기 때문에 모니터와 키보드 및 마우스만 사무실에서 사용 가능해 공간 활용이 유용하고, 데이터 유출방지가 가능하다.


사용자 OS관점에서 부분 VDI 분리는 1대의 데스크탑 PC를 사용해 업무망과 인터넷망에 각각 접속이 가능한 구성이다. 가상화 전용 모니터 사용으로 모든 업무 데이터는 가상화 PC에 저장되어 데이터 유출 방지가 용이하고, 사용자는 하나의 데스크탑PC를 사용해 내·외부망 접근이 용이하다. 그러나 가상화 전용 모니터에 비해 성능이 떨어진다는 지적도 나온다.


사용자 OS관점의 논리적 분리는 1대의 PC에 업무망과 인터넷망에 각각 접속할 수 있는 구성 방식이다. 망중계 솔루션으로 특수한 상황에만 내부 승인절차를 거쳐 내·외부망에 있는 데이터에 대해 서로 전송이 가능하다. 이는 1대의 PC로 사용자 OS를 논리적으로 분리 가능하지만 각 PC에 설치된 CBC 솔루션에 대한 유지보수가 필요하다. 또한, 업무용 PC 영역에 대한 매체제어 솔루션 도입이 필요하며 단말기 도난·분실 시 내부 데이터 유출 가능성이 있다.


이와 관련 김정훈 과장은 “각 기업 특성과 업무 환경을 고려해 네트워크 관점과 사용자OS 관점에서 망분리를 구분하고, 업무 효율성 등을 고려해 도입해야 한다”고 설명했다. 

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

       
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)