SBC 대비 효율적 망분리 구축은?

KISA가 선정한 10대 정보보호 기술 중 ‘망분리’ 주목해야

KISA(한국인터넷진흥원)는 16일 진화하는 사이버위협에 효과적으로 대비하기 위해 향후 2∼3년 내 산업적 수요가 늘어날 것으로 예상하는 ‘산업체가 주목해야 할 정보보호 10대 기술’을 발표했다.

한국인터넷진흥원(KISA)은 지난 1년 간 발생한 보안위협, 국내외 정책 및 기술동향에 대한 분석을 바탕으로 고려대 이희조 교수, 카이스트 김용대 교수 등 산·학·연 전문가 220여명의 의견 수렴 및 설문조사를 토대로 시급성과 파급 효과 등을 종합적으로 평가해 최종 선정했다.

이번에 선정된 정보보호 기술은 ‘사이버사기 등 사회적 문제 해결을 위한 국민안심기술’, ‘사이버위협 예방을 위한 기관 및 기업보안기술’, ‘국가·공공 인프라 등 안전사회 기반기술’의 3가지 분야다.

안전사회 기반기술에서 ‘사회 기반시설 해킹을 방지하는 산업용 방화벽 등 접근제어 및 망분리 기술’이 선정됐다.

망분리 기술은 지능형 사이버 공격을 방어하는 방법 중에 하나로, 업무망과 인터넷망을 분리하는 방법이다.

최근 진화하는 사이버위협에 효과적으로 대비하기 위해 망분리가 의무화 된 공공기관·금융회사 뿐 아니라 의무 대상이 아니지만 업무자료 보호를 위해 일반 기업들도 망분리에 대한 준비를 진행중이다.

◆망분리, 전 산업군 확장되며 시장 활성화 = 2013년 발표된 금융전산 망분리 가이드라인에 따라 제1금융권은 지난해까지 전산센터에 대한 물리적 망분리를 완료했다.

본점 및 영업점은 올해 말까지 완료해야 하고, 제2금융권은 내년까지 망분리를 구축해야 한다.

제1금융권의 망분리 사업은 이미 구축 완료했거나 진행중이며, 증권·보험 등 제2 금융권은 내년이 망분리 의무 시점으로 망분리 방안을 준비중에 있다.

대부분의 공공기관도 망분리 사업에 박차를 가하고 있다.

중앙정부와 주요 기반시설은 망분리 환경을 구축했고, 산하기관과 공기업, 지방청 등에 망분리가 확대되고 있다.

정보통신망법에 따라 개인정보를 보관하고 있는 시스템을 인터넷망에서 분리 운영해야 하는 기업에서도 망분리를 구축, 사용 중이다.

망분리 의무화 대상이 아닌 기업도 사이버위협으로부터 업무망을 보호하기 위해 망분리 사업을 준비하고 있다.

제1금융권의 망분리 사업은 어느 정도 마무리 되어가는 시기지만, 제2금융권의 망분리 의무화가 내년까지 완료돼야 하기 때문에 제2금융권에서도 망분리 구축 사업을 서두르고 있다.

더불어 기밀정보를 다루는 기업에서도 보안을 위해 망분리를 도입하고 있는 추세다.

망분리는 2006년부터 공공기관의 해킹 방어를 위해 의무화가 시작됐으며, 2012년 정보통신망법과 개인정보보호법에서 주요 개인정보 관리 시스템에 대한 망분리를 의무화 또는 권장하면서 일반 기업으로 확산됐다.

2013년에는 금융기관 망분리 가이드라인이 발표되면서 망분리 시장이 활성화됐다.<그림1 ‘망분리 시스템의 필요성’ 참조>

▲ 그림1 ‘망분리 시스템의 필요성’

금융권은 2013년 금융위원회의 망분리 가이드라인 발표 후에 현실성 없는 규제라고 반발했고, 개선방안을 계속 요구했다.

이에 금융감독원은 관련 업계 의견을 수용, 2015년 9월 망분리 예외기준을 마련하고 전자금융감독규정 시행세칙을 개정해 발표했다.

망분리 규정 기준 중에 논란의 소지가 있던 부분은 명확하게 결론을 내린 것이다.

보험설계사, 외주직원의 단말기로 금융사 내부 업무망에 연결될 때에는 반드시 망분리 해야 하고, 그룹에 속한 금융사가 다른 계열사와 그룹웨어·이메일 등을 이용할 때에는 망분리를 적용해야 한다.

이슈가 됐던 망연계 시스템(자료전송, 스트리밍, 이메일 등)은 의무 설치는 아니라고 밝혔다.

망연계 시스템이나 방화벽을 통해 외부기관과의 연결을 구성해도 된다고 결론 내렸다.

◆망분리, 방법은? = 망분리는 보통 2가지 방식이 있다.

물리적으로 네트워크와 PC를 분리하는 물리적 망분리, 가상화 기술을 이용하여 업무망과 인터넷망을 나누는 논리적 망분리가 있다.

논리적 망분리는 다시 2가지로 분류되는데 서버에 가상데스크톱을 생성, 접속하는 SBC(서버기반 컴퓨팅) 방식과 PC에 샌드박스와 같은 가상화영역을 만드는 CBC(클라이언트기반 컴퓨팅) 방식으로 나뉜다.

물리적 망분리는 2대의 PC를 사용하거나 망분리 전환장치를 이용해 2개의 랜선을 이용하는 방법으로 사용자 불편이 증가하고, 중앙관리가 불가능하다.

논리적 망분리 CBC방식은 비용측면에서 논리적 망분리 SBC방식에 비해 설치비용이 적게 투입되지만, 고객별로 맞춤관리가 필요해 추가비용이 소요되고 프로젝트가 연장되는 단점이 있다.

이에 비해 SBC 방식은 모든 작업을 중앙 서버를 이용하기 때문에 보안과 관리, 스마트워크까지 효율적으로 운용할 수 있는 장점이 있다. <그림2 ‘망분리 구성 방법’ 참조>

▲ 그림2 ‘망분리 구성 방법’

그럼 망분리 방법에 따라 어떤 기능 특장점이 있는지 살펴보자.<그림3 ‘망분리 비교’ 참조>

▲ 그림3 ‘망분리 비교’

물리적 망분리는 네트워크 회선 공사, 네트워크 장비, 보안 장비, PC까지 구축해 높은 비용이 들게 된다.

SBC 망분리 방식은 가상화 기술을 이용하기 때문에 네트워크와 PC 구매는 필요 없지만 서버와 스토리지 구매가 필요, 이 역시 많은 비용이 요구된다.

그러나 관리 용이성과 사용 편의성 그리고 스마트워크에 강점을 가지고 있다.

CBC 망분리 방식은 상대적으로 비용이 적게 들지만 각종 응용프로그램의 업데이트가 발생할 때마다 변경이 필요하여 점유율이 계속 감소하고 있다.

그러면 망분리 환경을 보다 안전하고 기존 SBC 방식에 비해 저렴하게 운영할 수 있는 방법을 알아보자.

◆기존 SBC에 비해 비용 절감과 안정성을 확보한 SCAF-G RED = 데스크톱(인터넷/업무) 환경은 끊임없이 변화하고 있다.

굿모닝아이텍의 SCAF-G RED는 인터넷 전용 VDI로 기존 VDI가 가졌던 설계상의 부조화를 해결하고자 서버인프라, 백신, 스토리지 등 하드웨어와 소프트웨어의 일원화를 통해 안정성과 구축 비용절감의 효과를 제고했다.

특히 별도의 망분리 서버를 설치해 물리적 망분리 수준의 완벽한 망분리 및 보안성을 확보한 것도 특징이다.

보안이면 보안, 관리면 관리, 스마트워크면 스마트워크에 맞는 각 기업사정에 고려한 VDI구축이 바람직하다. 기존의 VDI에 비해 저렴하고 안정성을 확보하고자 한다면 SCAF-G RED가 해법이 될 수 있다.<그림4 ‘SCAF-G RED의 설계 고려사항’ 참조>

▲ 그림4 ‘SCAF-G RED의 설계 고려사항’

SCAF-G RED는 Simple Cloud Architecture platForm을 지향하고 있다. Just Smiple! Simple is Best!라는 철학을 가지고 업계 최고의 리더로 구성된 H/W와 S/W를 선정하여 사전 테스트 및 검증된 최적의 솔루션 플랫폼이다. <그림5 ‘SCAF-G RED의 설계 철학’ 참조>

▲ 그림5 ‘SCAF-G RED의 설계 철학’

현재의 필요와 목적에 부합하고, 미래 확장성에 초점을 맞추어 유연한 아키텍처로 설계됐다.

중견·중소기업(SMB)부터 대형기업에 맞는 안정성과 신뢰성을 제공하고, 장애 없는 빠른 구축 및 운영이 가능하게 해준다.

디스크는 SSD나 SAS로 구성이 가능하고, 관리서버를 가상머신으로 구성한다. 보안 향상을 위한 Stateless 구성으로 기존 보안 인프라 변경이 불필요하고, DMZ와 사내망에 대한 완벽한 분리로 보안에 대한 안정성을 확보한다.<그림6 ‘SCAF-G RED 구성방안’ 참조>

▲ 그림6 ‘SCAF-G RED 구성방안’

▲ 그림6 ‘SCAF-G RED 구성방안’2

SCAF-G RED는 저렴한 구축비용으로 가상 데스크톱의 구축에 대한 고객 부담을 덜어준다.

그리고 올인원(All-In-One)으로 구성해 모니터링, 보안, 가상화 솔루션, 서버, 스토리지, 네트워크를 모두 1블럭(Block)에 통합된 어플라이언스(Appliance)로 제공한다.

가상화 솔루션의 경우, 서버 가상화와 가상 데스크톱 가상화의 글로벌 업계 1위 VM웨어로 선정해 성능과 안정성을 보장한다.

보안의 경우, 클라우드와 가상화 보안 솔루션 분야에서 트렌드마이크로(Trend Micro)를 사용한다.

‘가상패치’를 통한 취약점 대책을 통해, 번거로운 패치관리에 대한 IT관리자의 부담을 줄이고 취약점을 노린 공격코드를 네트워크 레벨에서 차단, 보안을 강화한다.

보다 깊이 있는 보안(Deep Security)은 VM웨어와 5년간 공동 작업을 통해 최초의 에이전트리스 방식의 보안 플랫폼이다.

그리고 VM웨어가 제공하는 v쉴드 엔드포인트(Shield Endpoint)와 연동해 가상 어플라이언스 형태로 제공되며 각각의 가상 머신에 백신을 설치하지 않아도 설치된 것과 동일한 기능을 수행한다.

이를 바탕으로 기존 백신의 문제점 안티 바이러스 스톰(Anti-Virus Storm)을 획기적으로 줄여준다.

데이터센터부터 클라우드 환경까지 모두 지원하는 최초의 유일한 보안제품으로 하이퍼바이저 통합 모니터링이 가능하다.

가상 데스크톱 운영은 가상화, 사용자 관리 등에 대한 전문 지식이 필요하다.

그리고 사용자에 대한 관리를 제공하기 때문에 운영 업무가 증가하고, 관리 및 모니터링에 어려움이 있다. 이를 방지 하기 위해서 SCAF-G RED는 굿모닝아이텍에서 자체 개발한 ClovirVDI 관리포털을 제공한다.

사용자 ‘셀프 서비스 포탈(Self-Service Portal), 관리자 포털 통해 VDI 인프라의 자동화 관리 및 효율적인 운영 관리가 가능하다.

▲ 그림6 ‘SCAF-G RED 구성방안’3

기존의 VDI에 비해 저렴하고 안정성을 확보하는 SCAF-G RED로 구축, 망분리를 준비해 보는 것도 비교적 합리적 투자라는 생각이다.

<굿모닝아이텍 클라우드컨설팅 사업본부 윤상기 차장>sgyoon@goodmit.co.kr