Home > 전체기사
[망연계 리포트] 지자체 망분리 ISP로 제2의 전성기 온다
  |  입력 : 2020-05-04 01:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행정안전부, 지자체 망분리를 위한 ‘2020년 망분리 정보화전략계획’ 발표
본지 설문조사 결과, 응답자 57.5% “1년 내 망분리/망연계 솔루션 도입할 것”


[보안뉴스 원병철 기자] 행정안전부가 지난 3월 발표한 ‘지방자체단체의 망분리를 도입하기 위한 정보화전략계획(ISP : Information Strategy Planning)’에 따르면 2020년 지자체별 최적의 망분리 방안을 마련하고 2021년부터 본격적인 망분리에 착수한다.

[이미지=iclickart]


지방자치단체에 적용하려고 하는 ‘망분리’란, 말 그대로 ‘업무용 PC’에서 ‘인터넷 망’을 ‘분리’해 외부(인터넷)와 연결되지 않도록 하는 것을 말한다. 이는 외부(인터넷)에서 각종 공격이 들어오는 것을 실질적으로 차단하고, 내부(서버/PC)에서 중요한 자료가 유출되는 것을 막기 위해서다. 하지만 인터넷의 발전으로 업무를 볼 때 인터넷 연결이 필수가 되면서 별도로 인터넷이 연결된 ‘인터넷 PC’가 필요했고, 결국 각각의 PC가 필요하게 됐다. 이 때문에 인터넷이 연결된 ‘인터넷 PC’와 인터넷이 연결되지 않은 ‘업무용 PC’를 각각 사용하기에 이르렀다.

문제는 PC를 2대 사용하는 것이 비용이 2배가 드는데다, 인터넷 PC로 인터넷을 통해 받은 자료를 다시 업무용 PC에 옮기는 것도 일이었다. 상황이 이렇게 되자 사람들은 1대의 PC를 물리적 스위치나 소프트웨어를 통해 망을 분리하는 연구를 시작했고, 또 안전하게 파일을 주고받을 수 있는 방안 마련에 나섰다. 이때 등장한 것이 바로 ‘보안 USB’였는데, 뛰어난 보안성과 사용성에도 불구하고 ‘분실’ 등의 문제와 일반 USB에 비해 너무나 높은 ‘가격’은 보안 USB가 대중화되지 못하는 이유 중 하나가 됐다. 그리고 ‘망연계 솔루션’이 등장했다.

국내 망분리/망연계 솔루션 도입의 시작
망분리와 망연계는 주로 우리나라에서 사용되는 솔루션으로 특히 초기에는 국가정보원(NIS)과 국군기무사령부 등 군을 중심으로 구축된 것으로 알려졌다. 2007년 4월 국가공공기관 망분리 지침과 함께 사업이 추진되면서 본격화 됐으며, 2008년 국정원 망분리 가이드와 2010년 국가·공공기관의 안전한 자료전송 가이드라인이 나오면서 공공기관에서도 도입하기 시작했다. 또한, 2013년 금융전산망분리 가이드 발표로 제1금융권이 망분리를 시작했고, 이어 제2금융권까지 진행됐다. 2016년에는 국정원에서 방위산업체도 망분리를 하라는 규정을 발표하면서 군과 공공, 금융권을 중심으로 망분리가 차근차근 도입됐다.

망분리가 이슈가 된 것은 우리나라가 꾸준하게 큰 보안위협을 겪으며 큰 피해를 입었기 때문이다. 2003년 1.25 인터넷 대란으로 ‘해킹’이 전국적인 이슈가 됐고 이에 대한 대책으로 한국정보보호진흥원 인터넷침해사고대응지원센터(krCERT)가 설립됐다. 또한, 산업별로 정보 공유 및 분석 센터(Information Sharing and Analysis Center), 즉 ISAC들이 생겨났다. 2008년 GS칼텍스와 옥션, LG텔레콤 등에서 회원정보가 유출되는 대형사건들이 발생했고, 2009년에는 7.7 디도스 대란으로 보안에 대한 관심이 높아졌다. 2011년에는 개인정보보호법이 제정됐으며, 3.4 디도스 대란이 발생했다. 2014년에는 한수원 해킹사건과 카드3사 개인정보유출 사건이 벌어졌고, 2017년에는 워너크라이(WannaCry)로 전 세계가 랜섬웨어 공포로 이어졌다.

이처럼 대형 사건사고들이 꾸준하게 발생하면서 정부와 기관, 기업들은 그 대안으로 망분리를 선택했다. 문제는 인터넷 중심의 세상에서 인터넷을 통하지 않으면 어떤 사업도 할 수 없다는 사실이었다. 이에 따라 사람들은 ‘망분리’로 망을 분리시켜 놓고도 다시 망을 연결할 수 있는 ‘망연계 솔루션’을 찾을 수밖에 없었다.

망분리/망연계 솔루션, 인피니밴드와 클라우드가 핫이슈
그렇다면 업계에서는 현재 망연계 솔루션 시장규모를 어떻게 파악하고 있을까? 아쉽게도 정확한 시장규모는 업계에서도 파악하지 못하고 있다. 조달시장을 제외하면 금융과 국방, 민간 시장은 집계가 되지 않기 때문이다. 게다가 망분리와 망연계, 구축과 유지보수를 일괄로 수주하기 때문에 분야별로 구분하기란 쉽지 않다. 이에 망연계 솔루션 업체들은 저마다의 계산법으로 시장규모를 추정하는데, 조달시장은 약 150~250억원 규모로 압축되고, 조달시장을 포함한 전체 망연계 솔루션 시장은 최대 500~600억원대 규모로 보고 있다.

망연계 솔루션은 보안 수준이 서로 다른 영역의 서버나 PC를 보안정책에 따라 안전하게 연결해 자료 등을 전송해주는 솔루션이다. 망연계 솔루션은 ①외부에서 멀웨어 등 보안위협이 업무용 PC에 들어오는 것을 막아주는 것은 물론, ②내부의 중요한 자료가 외부로 무단 반출되지 않도록 하는 기능을 갖고 있다.

망연계 솔루션은 크게 두 가지로 구분된다. 첫 번째는 서버간에 실시간으로 데이터를 전송하는 ‘스트림 연계 방식(Streaming Service)’이고, 두 번째는 사용자 PC간에 파일을 전송하는 ‘파일 연계 방식(File Transfer)’이다. 두 방식 모두 안전하고 빠르게 데이터와 파일을 전송하는 데 초점을 맞췄으며, 특히 자체 프로토콜이나 안티멀웨어를 이용해 악성코드나 바이러스 등이 침입하지 못하도록 했다.

연결하는 방식도 구분된다. 처음에는 ‘스토리지(Storage)’를 서버와 서버 사이에 연결시켜 파일을 공유하는 방식을 사용하다 ‘네트워크 카드(NIC)’와 ‘IEEE1394’, 그리고 최근 ‘인피니밴드(Infini Band)’ 등 케이블을 이용하기에 이르렀다.

또한, 최근 공공기관과 금융기관, 기업들까지 클라우드를 도입하기 시작하면서 클라우드에서 망분리/망연계를 하는 기술도 등장했다. 클라우드 방식은 사용자 환경과 보안 솔루션 모두 클라우드로 적용하는데, 여기에 보안 솔루션만 물리적인 형태로 도입하는 하이브리드 방식도 생겼다. 일반적으로 클라우드는 망분리와 상반되는 개념이지만, 최근 망분리 환경에서 인터넷망을 클라우드로 연결해 사용하거나, 업무망에서 원격근무 등을 위해 클라우드 업무 환경으로 연결을 허용하는 등 새로운 방식의 망분리/망연계가 도입되고 있다고 업계 전문가들은 설명하고 있다.

필드에서 활약 중인 망연계 솔루션 주요 기업
지금까지 망분리/망연계에 대한 설명과 함께 현재 어떤 기술들이 있는지 살펴봤다. 그렇다면 현재 필드에서는 어떤 기업들이 움직이고 있을까? 먼저 망분리와 망연계는 마치 ‘바늘과 실’처럼 두 개지만 하나인 것처럼 움직이고 있다. 보안을 위해 망분리를 하면서도 어떻게든 인터넷이 필요하기 때문이다. 국내 기업들은 특히 망연계 솔루션에서 기술력을 뽐내고 있는데, 현재 망연계 솔루션 분야에서는 △소프트위드솔루션 △시큐에버 △앤앤에스피 △에스큐브아이 △한싹시스템 △휴네시온 등의 기업(가나다 순)들이 두각을 나타내고 있다.

소프트위드솔루션_CrossNet
CrossNet 망연계솔루션은 망연계채널로 전용케이블 형식의 고속시리얼 인터페이스인 IEEE1394 매체를 사용한 CrossNet V2.0과 고속 전송 매체인 인피니밴드(Infiniband)를 사용하는 CrossNetV4.0으로 구분된다. CrossNet V4.0은 자료전송시스템인 ‘CrossNet DataTransfer V4.0’과 스트림 연계시스템인 ‘CrossNet Secure Tunnel V4.0’의 통합 솔루션을 의미한다. 이미 200개 이상의 은행, 보험, 카드, 캐피탈 등의 금융기관과 중앙부처 및 지자체 등의 기관들에서 CrossNet 제품의 자료전송시스템과 CrossNet 스트림 연계시스템을 사용하고 있다.

시큐에버_reverseWall-MDS, reverseWall-pTo
시큐에버의 망간자료 전송제품인 reverseWall-MDS는 CC등급 중 최고보안의 EAL4 인증을 받았으며, 응용계층 프로토콜 분석을 통한 중계 프로토콜 통제(동종업체 최대 9개) 및 일방향 전용 프로토콜(HSUP-High Speed Unidirectional Protocol) 국정원 검증필 암호화 모듈이 탑재(KLIV 2.1)되어 있는 망연계 제품이다. 또한, 중계망 통합 보안 제품인 reverseWall-pTo는 사용자/그룹 정책 관리를 통해 트래픽 통제, 어플리케이션 사용 통제, QOS 제어가 가능하며, 어플리케이션 프로토콜(L7 Layer) 분석을 통해 통제 및 백도어(Back door)를 차단한다.

에스큐브아이_Net-Protect
에스큐브아이의 Net-Protect는 고성능 I/O 장비 간의 연결에 사용하는 인피니밴드(Infiniband)를 적용, 기존 망연계 방식(Storage, IEEE1394)에 비해 데이터 전송의 안정성을 높이고 광대역 폭으로 고속 및 대량의 데이터 전송이 가능하다. 자료 전송 시 전송구간의 모든 데이터는 암호화 처리해 데이터 유출을 방지하며, 최신의 보안기능 적용과 바이러스 백신을 통해 유해 데이터로부터 고객의 인프라 환경을 보호한다. 또한, 웹쉘 보안 엔진을 탑재해 웹쉘 및 악성 스크립트 탐지/차단이 가능하며, 고객사 운영 환경에 따른 추가적인 보안제품과의 연계를 지원한다.

한싹시스템_SecureGate
한싹시스템의 시큐어게이트(SecureGate)는 망분리 환경에서 안전한 자료 교환과 서비스 연계를 제공하는 솔루션이다. Non TCP/IP 기반의 자체 개발된 프로토콜 암·복호화 과정을 통해 전구간 암호화된 연계 서비스를 제공한다. 내부망으로 파일 반입 시 백신 검사를 통한 악성코드 침입 차단과 외부망 파일 반출 시 승인을 통한 내부정보 유출방지를 지원한다. 아울러 시큐어게이트는 보안기능 및 취약성 최고 보증 수준인 CC인증 최상위 보안 등급 EAL4를 획득했으며, 국정원 검증필 암호모듈 MagicCrypto와 CC인증된 백신, 전 구간 암호화를 적용했다.

휴네시온_i-oneNet
휴네시온의 망연계 솔루션 아이원넷(i-oneNet)은 분리된 망에 위치한 서버간 서비스를 연계하고, 사용자 PC간 파일 전송 기능을 제공하여 망분리 환경의 보안성은 유지하고 높은 업무편의성을 제공하는 솔루션이다. 아이원넷은 기업의 업무환경 변화에 맞춰 클라우드 망간 혹은 온프레미스와 클라우드간 안전하게 파일을 전송하고 내부정보 유출을 방지한다. 아이원넷은 AWS, KT Cloud, NHN TOAST, MS Azure 등 다양한 클라우드 서비스 플랫폼에서 망연계 서비스를 제공하고 있다. 아이원넷 디디(i-oneNet DD)는 최고의 보안 수준이 요구되는 제어망의 데이터 활용을 위해 외부망에서 제어망으로의 연결을 물리적으로 차단, 보안성을 보다 강화한 연계 기능을 제공하는 물리적 일방향 망연계 솔루션이다.

[망분리/망연계 정보화전략계획 수립에 따른 이슈대응 간담회]
“지자체 망분리 정보화전략, 5~6월까지 예타 준비”


▲망분리/망연계 정보화전략계획 수립에 따른 이슈대응 간담회[사진=보안뉴스]


앞서 거론한 것처럼 행정안전부는 지방자치단체 대상 ‘2020년 망분리 정보화전략계획’을 수립·진행하겠다고 발표했다. 그동안 지자체는 중앙부처와 달리 외부 인터넷망과 내부 업무망이 분리돼 있지 않아 사이버 공격에 취약하다는 지적을 받아왔다. 실제로 지자체를 대상으로 하는 사이버 공격이 2015년 8,700여건에서 2019년 2만 2,000여건으로 증가하는 등 매년 약 26%의 증가세를 보이고 있어 보안 강화를 위한 근본적 대책이 필요한 시점이었다. 이에 따라 행안부는 올해 중 지자체별 다양한 환경을 고려한 최적의 망분리 방안을 마련하고, 내년부터 본격적인 망분리에 착수할 계획이라고 밝혔다.

행안부는 다양한 망분리/망연계 방식과 지자체의 다양한 환경을 조사하기 위해 컨설팅을 진행 중이다. 아직 예산책정이 안됐기 때문에 이번 조사를 바탕으로 예타(예비타당성 조사제도)를 준비하겠다는 것. 이 때문에 이번 지자체 망분리/망연계 사업은 총사업비가 최소 500억원 이상(예타 기준)이 될 전망이다.

이에 <보안뉴스>에서는 이번 ‘2020년 망분리 정보화전략계획’에 대한 논의를 위해 ‘망분리/망연계 정보화전략계획 수립에 따른 이슈대응 간담회’를 개최해 정부 및 지자체, 망분리/망연계 전문기업의 의견을 청취했다. 간담회에는 계획의 실무를 담당한 한국지역정보개발원 권영우 본부장과 유경진 책임을 비롯해 서울특별시의 망분리/망연계 실무를 맡은 김재엽 주무관이 참석했다. 또한, 망분리/망연계 업계를 대표해 소프트위드솔루션 김태현 대표, 앤앤에스피 김일용 대표, 한싹시스템 이주도 대표, 휴네시온 정동섭 대표, 에스큐브아이 임삼규 부사장, 시큐에버 최광호 이사가 참석했다.

보안뉴스 바쁘신 와중에도 이번 간담회에 참석해주신 여러분께 깊은 감사를 드립니다. 먼저 망분리 정보화전략계획의 실무를 맡고 있는 한국지역정보개발원의 권영우 본부장님의 말씀을 듣도록 하겠습니다.

한국지역정보개발원 권영우 본부장 한국지역정보개발원은 지역균형 발전과 지역정보화 촉진을 위해 설립된 기관으로 이번 2020년 망분리정보화전략계획에서 행정안전부와 함께 실무를 맡고 있습니다. 2020년 망분리 정보화전략계획은 현재 계획수립과 예산책정을 위해 컨설팅 등의 사전준비를 하고 있습니다. 오는 5월말부터 6월 사이에 예타와 망분리/망연계 방식 등을 확정하기 위해 노력하고 있습니다. 특히, 이번 지자체 망분리 및 망연계 사업은 예산이 많이 수반되는 사업이고, 망분리와 망연계의 방식에 따라 장단점이 다른데다, 각 지자체마다 처한 사정도 다른 만큼 논의할 것이 많습니다. 이에 다양한 방면으로 자료를 수집하고 전문가 의견을 수렴하는 등 준비를 철저하게 하고 있습니다.

보안뉴스 대한민국 대표 지자체인 서울시는 현재 망분리가 얼마만큼 됐는지, 또한 앞으로 어떤 계획을 갖고 있는 지 궁금합니다.

서울시 김재엽 주무관 서울시는 이미 2018년 데이터센터에서 시민 대상 홈페이지와 내부 업무용 데이터를 물리적으로 분리했습니다. 2019년에는 본청의 8개 부서를 시범적으로 망분리를 하려고 했는데, 자가망을 운영하는 서울시의 특성상 본청만 망분리를 하는 것보다 전체를 다 하는 것이 좋겠다고 판단해 현재 정보화전략계획을 수립하고 있습니다. 마침 행안부에서 이번에 지자체 망분리 정보화전략계획을 추진한다고 해서 그 결과를 지켜보려고 합니다.

보안뉴스 산업계를 대표하는 기업들도 많이 참석하셨는데요, 이번 행안부 망분리 정보화전략계획에 대해 어떻게 생각하시는지를 듣고 싶습니다.

소프트위드솔루션 김태현 대표 이번 행안부의 지자체 망분리 계획은 분명 산업측면이나 보안측면에서 매우 중요한 일이라고 할 수 있습니다. 다만, 사업이 완료된 후에도 원활하게 잘 운용될 수 있으려면 유지보수를 맡을 솔루션 기업들이 잘 유지되어야 합니다. 그러기 위해선 표준화된 규격과 적절한 유지보수비용 책정이 필요합니다. 특히, 서울시를 비롯한 수도권이 아닌 지역의 지자체는 인력이나 장비, 예산 등이 부족한 경우가 있습니다. 이러한 불균형을 잘 잡을 수 있도록 정책에 잘 반영해주셨으면 좋겠습니다.

앤앤에스피 김일용 대표 지자체 입장에서는 폐쇄망이 제일 낫지만 여러 여건상 망분리와 망연계를 추진해야 한다고 생각합니다. 문제는 지자체별로 주로 사용하는 데이터의 특성과 보안의 중요도에 따라 망분리와 망연계가 이뤄져야 하는데, 그게 안 될 경우 큰 문제가 될 수 있습니다. 특히, 지자체의 경우 데이터를 제공하는 대국민 서비스가 많은데, 그러한 특성을 생각하지 않고 일률적으로 솔루션을 적용한다면 문제를 생길 수 있다고 봅니다.

한싹시스템 이주도 대표 김태현 대표님이 말씀하신 것처럼 솔루션 기업들이 잘 유지돼야 유지보수 등 후속조치가 잘 이뤄질 수 있다고 생각합니다. 이를 위해 통합발주나 통합유지보수 업체가 아닌 분리발주가 시급하다고 봅니다.

휴네시온 정동섭 대표 이번 사업에 있어서 망분리도 중요하지만 특히나 망연계의 중요성은 이루 말할 수 없습니다. 문제는 이번 사업명도 망연계가 빠져 있는 등 사업의 초점이 망분리에만 맞춰져 있는 것 같아 안타깝습니다. 망연계 부분에 대한 보다 구체적인 논의가 필요할 것 같습니다.

에스큐브아이 임삼규 부사장 현재 컨설팅을 진행 중이라고 말씀하셨는데, 컨설팅이 끝난 후가 아닌 중간에 업체 의견을 수렴했으면 좋겠습니다. 또한, 망분리와 망연계가 주로 공공과 금융쪽에서 진행되다보니 규격이 좀 많은 편인데, 이에 대한 명확한 기준이나 가이드라인이 제시됐으면 좋겠습니다.

시큐에버 최광호 이사 망분리/망연계 분야는 유독 많은 방식의 기술과 솔루션이 있습니다. 컨설팅을 하면서 작은 기업들이 소외되지 않도록 정부에서 잘 배려해 주셨으면 좋겠습니다. 또, 망분리/망연계 솔루션은 주로 우리나라에서 사용되는 만큼 동향이나 기술 등 정보를 공유할 수 있는 자리를 만들어주셨으면 좋겠습니다.

권영우 본부장 정부기관이 행정을 잘한다면, 기업은 기술과 제품의 전문가라고 할 수 있습니다. 당연히 컨설팅 기간 중간에 기술동향 분석을 할 때 기업들의 의견에 귀를 기울이겠습니다. 또한, 앞에서 건의해주신 것처럼 관련기업이 끝까지 유지보수를 잘 담당할 수 있도록 충분히 검토하도록 하겠습니다.

보안뉴스 망분리/망연계 시장은 공공과 금융권이 어느 정도 도입을 완료하면서 소강상태를 보이고 있었습니다. 하지만 최근 보안위협이 증대되고, 특히 행정안전부가 전국 지자체에 망분리/망연계 계획을 발표하면서 한 번 더 시장이 성장할 것으로 예측됩니다. 이에 <보안뉴스>와 <시큐리티월드>는 약 10만 명의 보안뉴스·시큐리티월드 구독자를 대상으로 ‘망분리/망연계 솔루션 기업 선호도’ 설문조사를 실시했는데요, 이번에는 그 결과를 갖고 이야기를 나눠보겠습니다.

우선 응답자의 49.4%는 민간기업 중에 중소기업 업체 담당자입니다. 그리고 21.8%는 대기업 담당자이고, 21.2%는 공공기관과 공기업 담당자입니다. 중앙부처와 지자체 담당자도 4.9%가 참가하셨습니다. 설문조사에서 응답자의 47.5%는 아직 망분리/망연계 솔루션을 이용해 본적이 없으며, 그중에서 21%는 도입 예정이라고 답했습니다. 특히, 도입 예정인 응답자들은 3개월 내에 도입이 14.6%, 6개월 내 13.7%, 그리고 1년 내 29.2%로 총 57.5%의 응답자가 1년 내에 망분리/망연계 솔루션을 도입할 계획이라고 밝혔습니다. 이러한 응답자의 대답은 소강상태였던 망분리/망연계 솔루션 도입 정황이 이번 행정안전부의 정책과 맞물려 다시 활성화되고 있다는 것을 설명해주고 있습니다.

이와 함께 망분리/망연계 도입을 위한 예산에 대해서도 질문을 드렸는데, 응답자의 45%가 5천만 원 이상 1억 원 미만으로 예산을 잡았다고 대답했습니다. 또한, 1억 원 이상 2억원 미만은 27.4%였고, 2억원 이상 3억 원 미만이 13.2%였습니다. 이와 함께 선호하는 망연계 방식에 대해서도 물어봤는데요. 클라우드 방식이 45.5%로 가장 높았고, 인피니티 방식이 28.6%로 그 뒤를 이었습니다. 전통적인 소켓 방식도 22.9%를 차지했습니다. 이와 관련해 한국지역정보개발원에서는 아직 망분리/망연계 방식에 대해서 고민중이라고 말씀해주셨습니다.

권영우 본부장 지자체 망분리 사업에 있어 어떤 방식을 선택할 것인지에 대해서는 아직 논의 중입니다. 다만 최근 지자체들이 차세대 시스템을 클라우드로 전환하는 걸 논의하고 있기 때문에 이번 망분리 정보화전략계획에서 클라우드에 대한 내용도 논의될 것 같습니다. 지자체별 전수조사까지는 힘들겠지만 규모나 방식 등 몇 가지 기준을 정해 조사를 진행할 계획입니다.

보안뉴스 서울시는 본청을 중심으로 시범사업을 준비하셨다고 들었는데, 혹시 정확한 사업비용이 책정되셨나요?

김재엽 주무관 자체적으로 예산을 잡았고, 실제 시행하지 않아 정확한 금액은 아니지만 1,000억원대 이상으로 예산을 책정했던 것 같습니다. 다만 망분리/망연계가 한 번 구축한다고 해서 끝나는 것이 아니라 예산이 계속 필요한 부분이 있어서 서비스 형태의 망분리/망연계도 고려했습니다.

보안뉴스 그렇다면 업계에서 보시기에 이 금액은 어떻습니까? 실질적인 금액이라 할 수 있을까요?

김태현 대표 응답자가 대기업과 중소기업, 부처와 지자체 등이 섞여 있어 정확한 비용을 산출하기 어렵지만, 망분리/망연계가 사실 구축비용이 낮은 편은 아닙니다. 물리적인 망분리를 하게 되면 1인당 PC가 2대씩 필요하고, 네트워크 장비까지 구축하게 되면 비용이 훨씬 증가하게 됩니다. 망연계 구축은 망분리에 비해 적다고 할 수 있지만, 설문조사 답변은 너무 적은 규모라고 할 수 있습니다.

보안뉴스 설문조사에는 망분리/망연계 솔루션과 서비스 선택기준에 대한 것도 있었는데요. 39.9%에 달하는 많은 분들이 기술력을 선택했고, 16.5%가 풍부한 레퍼런스를 꼽았습니다. 이어서 가격을 선택하신 분도 15.5%가 있었고, 브랜드 파워 12.8%와 SI·관제업체의 추천 11.6%도 있었습니다. 이와 관련해서 소비자 입장인 서울시에서는 어떤 기준이 있으셨는지 궁금합니다.

김재엽 주무관 서울시가 지난해 정보화전략계획을 수립하고, 또 재택근무 시스템을 구축하면서 검토해본 결과, 기관과 담당자 특성이 서로 달라 특정하기는 어려웠습니다. 예를 들면 담당자 입장에서는 유지보수가 중요하지만, 조직 측면에서는 레퍼런스도 중요했습니다. 게다가 계획을 세워도 의회에 예산을 허락받아야 하기 때문에 비용도 무시할 수 없습니다.

권영우 본부장 2020년 망분리 정보화전략계획은 국가 정책적인 면에서 매우 중요한 사업입니다. 이에 대한 이해와 지원이 반드시 필요하다고 생각합니다. 이번 사업과 관련해 각 지자체에서 예산책정을 위한 의회의 이해와 설득이 필요하실 경우 우리 원에서도 적극 지원할 수 있도록 하겠습니다.

보안뉴스 이번 행정안전부의 2020년 망분리 정보화전략계획은 그동안 소강상태를 보이던 망분리/망연계 시장이 다시 활성화될 수 있는 좋은 기회라고 생각합니다. 앞서 소개해드린 것처럼 설문조사를 통해서도 그러한 움직임이 확인됐습니다. 다만 이번 간담회나 설문조사를 통해 건의됐던 망분리/망연계 사업발주시 분리발주를 해줄 것과 계획수립에 업계의 의견을 반영해줄 것, 그리고 실제 의견수렴을 위한 자리를 마련해줄 것 등의 내용은 정부에서도 충분히 검토를 해주셨으면 좋겠습니다. 본지에서도 이번 간담회처럼 보안산업 발전을 위해 계속 노력하겠습니다. 감사합니다.

[국내 망연계 솔루션 주요 업체 제품 리뷰]

소프트위드솔루션
망분리 환경에 필요한 망연계 솔루션 ‘CrossNet Series’


소프트위드솔루션은 망분리 환경에 필요한 망연계 솔루션을 개발 및 공급한다. 주요 제품은 망간 자료 전송(CrossNet Data Transfer), 망간 스트림연계(CrossNet Secure Tunnel)와 망간 메일보안연계(CrossNet MailEx) 솔루션이다. 2001년부터 개발·공급해 중앙부처와 지자체, 공공기관, 은행, 보험, 카드, 캐피탈 등의 금융기관, 개인정보 취급업체, 군·방산업체, 학교, 병원 등 200곳이 넘는 곳에 납품되어 다양한 기관들에서 사용 중이다. CrossNet 제품은 2010년 판매된 이후로 대형/대기업·금융기관에서 선호하는 제품이며, 중앙부처에서도 많이 사용하고 있는 제품으로 망연계 제품의 시장을 선도하고 있다.

특히, 대형 금융기관 및 대기업들이 요구하는 보안, 성능, 안정성 및 기술지원의 4대 요소를 가장 충족하고 있어서 대형 금융기관들이 도입 후 만족도가 높은 제품이다. 초기에 1세트를 도입한 금융기관이 몇 년 후 20세트 이상을 도입하여 망분리 환경의 여러 영역에서 적용/사용하고 있다는 사실이 이를 증명한다. 또한 중앙부처들도 도입후 지속적으로 제품을 사용하고 있다는 점에서 공공기관에서 요구하는 보안성 및 많은 사용자 환경에 적합하다는 것이 검증되었다고 할 수 있다.

아울러 경쟁사들이 보안제품인 망연계 솔루션의 핵심 개발 요소인 암호화 모듈을 자체 개발하지 못하고 ‘상용 암호화 라이브러리’를 구매해 사용하는 방식에 비해 소프트위드솔루션은 원천적인 보안기술 개발을 통해 CrossNetlib V1.0을 개발했고, 국가정보원 검증필암호(KCMVP) 인증을 받았다. 이러한 CrossNetlib V1.0의 암호기술은 CrossNet 제품 전반에 적용됐다. 검증필암호 개발은 소프트위드솔루션의 보안원천기술 개발능력이 높다는 것을 증명하며, 이러한 보안원천기술을 망연계 제품인 CrossNet에 적용함으로써 망연계 솔루션이 작동될 때 더 보안성이 높고 안정적으로 운영될 수 있도록 해, CrossNet 제품을 사용하는 고객사들이안심하고 사용할 수 있다.

▲소프트위드솔루션 CrossNet Series의 주요 특징[자료=소프트위드솔루션]


CrossNet MailEx 제품은 분리된 망간에 보안성을 확보하면서 내부 메일서버와 외부메일 서버를 연계하는 보안 필터 제품이다. 금융위원회의 비조치의견서에는 ‘외부로부터 전송받은 전자메일을 내부업무망 메일서버로 전송할 때, 망연계 시스템을 통해 본문의 스크립트와 악성코드를 제거하고 재조립해 전송하는 것이 망분리 관련 규정에 위배되는지 여부에 대한 답변으로 망분리 규정을 위반하지 않는 것으로 본다’고 명시되어 있다.

즉, 망간자료전송시스템을 이용해 수신된 이메일을 침해행위에 대비하기 위해 악성코드 검사, 본문 텍스트 또는 이미지변환, ‘첨부파일 필터링’, 외부링크 제거 등 적절한 통제 절차를 적용해야 한다고 명시한 것이다. CrossNet MailEx는 이러한 비조치의견의 내용을 모두 충족하는 제품이다.

소프트위드솔루션은 검증필암호모듈인 CrossNetlib V1.0 제품을 기반으로 망연계 제품인 CrossNet Data Transfer(자료전송) 및 CrossNet Secure Tunnel(스트림 연계)와 망간 메일연계를 안전하게 하는 CrossNet MailEx 제품의 높은 보안성을 통해 고객사의 망연계 환경에서 안전하고 가용성 높은 인프라를 구축할 수 있도록 했다.

에스큐브아이
차세대 망연계 고도화 솔루션 ‘Net-Protect’로 제2의 망연계 시장 연다


에스큐브아이의 망연계 솔루션인 넷프로텍트(Net-Protect)는 정보보호 목적으로 내부정보 유출을 원천 방지하기 위해 물리적으로 분리된 망 환경에서 사용자 PC 자료 및 서버 스트림을 보안정책에 따라 안전하게 전송해주는 시스템으로, 전용 프로토콜과 일방향성 통신 세션을 유지해, 데이터 교환의 성능 및 가용성을 보장하며 보안성을 극대화한 솔루션이다.

고성능 I/O 장비 간의 연결에 사용하는 Infiniband를 적용해 데이터 전송의 안정성을 높이고, 광대역 폭으로 고속 및 대량의 데이터 전송이 가능하다. 자료 전송 시 전송 구간의 모든 데이터를 암호화 처리해 데이터 유출을 방지하며, 최신 보안 기능 적용과 탑재된 백신을 통해 유해 데이터로부터 고객의 인프라 환경을 보호한다. 또한, 자체 개발한 웹쉘 보안 엔진을 탑재해 웹쉘 및 악성 스크립트에 대한 탐지와 차단이 가능하다.

자료 전송 사용자 환경에서 Web 방식과 Agent 방식을 모두 지원하며, Web 방식의 경우 HTML 5 기반으로 구현돼 별도의 설치 프로그램 없이 OS에 구애 받지 않고 다양한 Web Browser 환경에서 서비스를 지원한다. Net-Protect는 트래픽의 지속적인 모니터링과 추적 대응으로 다양한 공격 위협으로부터 전 방위적 보호 기능을 제공하며 아래와 같은 특징을 가진다.

망연계 솔루션은 제1세대 방식인 스토리지 방식의 제품을 시작으로 현재 제3세대 방식인 InfiniBand 방식의 제품으로 발전해 오고 있으며, ‘Net-Protect’는 망간 지연 시간을 최소화한 데이터 전송방식인 RDMA(Remote Direct Memory Access) InfiniBand 기반의 자체 프로토콜을 통한 초고속 연계 방식으로 안전한 연계를 위한 보안 등급에 따른 일방향성 데이터 전송을 유지하며 망간 암호화 통신(국정원 검증필 암호화 모듈)을 제공하고 자체 프로토콜을 통해 내외부 연계 정책, 이력 관리 및 초당 15Gbps 이상의 전송 속도를 제공하는 최상의 성능을 제공한다.

▲에스큐브아이 Net-Protect 주요 특징[자료=에스큐브아이]


‘Net-Protect’는 망간 연계를 포함한 모든 통신 구간을 전용 프로토콜을 통해 구현했으며, 데이터 암호화를 포함하고 있기에 외부로의 침입 방지를 위한 자료 기밀성을 더욱 강화하고 있다. 또한 RDMA 기반의 프로토콜을 사용하고 있어 Remote Memory의 Access 권한을 조절하여 보안이 높은 등급에서 낮은 등급으로의 데이터 방향성을 설정하고 있으며, 이는 기존 방식인 스토리지 기반의 망연계 시스템들이 Disk의 접근권한을 가지고 보안성을 유지하던 것을 Memory를 통해 관리하면서 성능과 보안성을 확보했다.

Drive-by download 방지 및 확장자 검사시 중복 및 탐지율을 높이기 위한 검사방식의 하나인 자체 마임타입 검사모듈을 적용하고 확장자 우회방지를 비롯한 최신 망간 연계 시스템 보안 기술을 적용해 제품의 신뢰성을 보다 향상시켰다. 또한, 바이러스 백신을 적용하여 바이러스 및 악성코드의 유입 방지를 기본 기능으로 제공하고 있으며, 자체 개발한 웹쉘 보안 엔진을 탑재해 웹쉘 및 악성 스크립트에 대한 탐지와 차단을 통한 보안성을 강화할 수 있다. 이외에 고객사의 요구에 따라 DRM/DLP/Send box/CDR 등의 3rd party 제품들과 연동하여 다양한 형태로 망간 연계되는 데이터를 보호 및 보안성 유지를 할 수 있다.

향후 개발되는 망분리/망연계 제품은 기존의 물리적으로 분리된 망간의 연계를 목표로 하는 것에 그치지 않고 망간의 연계되는 빅데이터를 분석하여 보안 등급이 낮은 망부터 높은 망으로 가는 데이터 흐름을 파악하고 이상감지를 하는 등 전반적인 네트워크를 제어·관리하는 플랫폼 개념의 차세대 망연계 제품을 출시를 계획하고 있다. 또한 빅데이터 처리를 위한 데이터 관리 프로세스 및 다양한 3rd party 제품들을 연동하여 취약점 및 위험 분석 등을 할 수 있는 표준 API를 제공할 예정이다.

휴네시온
망연계 솔루션 ‘i-oneNet’과 물리적 일방향 망연계 솔루션 ‘i-oneNet DD’


망연계 솔루션 ‘아이원넷(i-oneNet)’은 휴네시온의 주력 제품으로 국내 망연계 솔루션 시장에서 높은 점유율을 차지하고 있다. 아이원넷(i-oneNet)은 분리된 망에 위치한 사용자PC의 자료 및 서버 스트림을 보안 정책에 따라 안전하게 전송해 망분리 환경의 보안성은 유지하면서 업무편의성을 제공하는 보안 솔루션이다. 망간자료전송 분야 CC인증 EAL4등급과 GS인증을 보유하고 있다.

아이원넷(i-oneNet)은 데이터 보안을 위해 전송되는 데이터에 암호화 기능을 지원하고 국정원 검증필 암호모듈을 탑재해 인증이 완료된 제품이다. 클라우드, 개방형OS, 인피니밴드 등 다양하게 변화하고 있는 고객의 업무환경을 지원하는데 탁월하다. 대용량 트래픽 처리를 위해 다양한 연계매체를 지원해 운영 환경별 최적화 구성이 가능하며, 컴플라이언스 및 보안 감사를 만족할 수 있는 보고서를 제공한다.

아이원넷 스트리밍은 분리된 망에 위치한 서버 간 실시간 서비스 연계를 지원한다. 전용 프로토콜을 통한 망간 통신으로 기밀성을 보장하며, HTTP/HTTPS, SFTP, SMTP, Oracle, MySQL 등 TCP/IP 및 UDP 기반의 서비스 연계를 지원하고 멀티백신을 통한 악성코드 검사를 수행한다. 특히, 아이원넷은 경쟁사와 차별화된 기능으로 통합 운영 및 보안을 위한 동작 상태 감시가 가능한 통합 모니터링 기능을 지원한다. 여러 외부기관과 연계 시 다수의 망연계 장비를 운영하게 되는데 통합 모니터링 기능을 통해 관리자의 업무효율성을 높일 수 있다.

휴네시온은 망연계 업계 최초로 클라우드 서비스 확인서를 취득하고 공공기관 클라우드 서비스 마켓 씨앗에 솔루션을 입점시켰다. 기업의 업무환경 변화에 맞춰 클라우드 망간 혹은 온프레미스(기업 자체 보유 전산실 환경)와 클라우드간 안전한 파일전송을 제공하고 내부정보 유출을 방지한다. 아이원넷은 AWS, KT Cloud, NHN TOAST, MS Azure 등 다양한 클라우드 서비스 플랫폼에서 망연계 서비스를 제공하고 있다. 스마트시티, IoT, 클라우드 등 새로운 환경에서 서로 다른 네트워크 간의 데이터 연계 요구가 증가하고 있다. 아이원넷은 인터넷망과 업무망 간 데이터 연계 뿐 아니라 다양한 보안 등급의 네트워크 간 데이터 연계에 활용되고 있다.

▲휴네시온 아이원넷(i-oneNet)의 주요 특징[자료=휴네시온]


가장 높은 수준의 보안을 필요로 하는 제어망, 국방망 등은 일방향 통신만 가능한 망연계 시스템이 필요하다. 아이원넷 디디(i-oneNet DD)는 최고의 보안 수준이 요구되는 제어망의 데이터 활용을 위해 외부에서 제어망으로의 연결을 물리적으로 차단하며 보안성을 보다 강화한 연계 기능을 제공하는 물리적 일방향 망연계 솔루션이다. 아이원넷 디디는 주요정보통신기반시설의 제어망과 외부망 연동지점에서 위치해 외부에서 제어시스템을 실시간 모니터링하거나 외부 반출이 필요한 데이터를 안전하게 전송할 수 있다. 아이원넷 디디는 하드웨어 기반의 물리적 일방향 데이터 연계를 제공한다. 전용 네트워크 인터페이스 장치(NIC)를 탑재한 Tx 장비(송신전용서버)와 Rx 장비(수신전용서버)로 구성해 Tx에서 Rx로의 데이터 송신은 가능하나 반대방향으로는 데이터 송신을 하드웨어적으로 불가능하게 한다.

아이원넷 디디는 안전한 데이터 전송을 위해 3단계를 거친다. Tx 장비는 전송할 제어망 데이터에 대해 파일 변조를 탐지하는 파일확장자 검사 및 악성코드 검사를 수행한다. 송·수신장비간 통신 시, 자체 개발한 전용프로토콜(HDPROTO)을 사용하고 국정원 검증필암호모듈을 적용해 암호화된 데이터를 전송함으로써 기밀성을 보장한다. 또한, Rx 장비는 수신된 데이터의 변조 유무를 확인하여 무결성을 보장한다.

아이원넷 디디는 연계대상 서버 간 상호작용 없이 일방향 전송만 수행하는 HTTP, Database, SNMP(v1/v2 Trap), Syslog 등 다양한 통신 프로토콜과 OPC(UA), OPC(DA), Modbus 등 산업용 프로토콜까지 다양한 세부 프로토콜 연계를 지원한다. 제어망과 업무망 간의 이기종 DBMS 연계도 가능하다. 애플리케이션별 프록시 제작 방식을 적용해 애플리케이션 기능 추가 및 변경 시 유연한 확장성을 제공하는 것도 강점이다.

또한, 이중화 구성을 통해 서비스 안정성을 제공하고, 동일 기관 내에서 설비 라인업이 별도로 구성돼 있는 다중망에서는 제어망별 독립성을 유지하면서 업무망에 일방향 연계가 가능하도록 지원해 비용절감 효과를 누릴 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)