<저작권자: 보안뉴스(http://www.boannews.com/)> [김경애 기자(boan3@boannews.com)] 2015.2.14
Q. 논리적 망분리의 한계와 물리적 망분리의 적용 현황이 궁금합니다. 망연계시 고려해야 할 사항, 포인트를 요약해 주세요(공공기관 차원에서).
A-1. 논리적 망분리는 한계라기보다는, 하나의 PC에서 가상화 기술을 활용해 논리적으로 PC 영역을 구분하거나 VDI를 통해 서버에서 PC영역을 가상화해 구분하는 것이기 때문에 SW 호환성에 대한 이슈나 사용 환경 변화에 따른 불편함이 큰 것이 구축 및 운영상의 번거로움이라고 할수 있습니다.
현재 공공기관의 망분리 적용 현황은 아직은 2PC 방식보다는 CBC(Client Based Computing)나 SBC(Server Based Computing) 방식의 논리적 분리의 수요가 더 많은 것으로 파악됩니다. 금감원 지침에 명시된 바와 같이, 논리적이든 물리적이든 모두 망분리 방법으로 선택할 수 있지만, 특별히 전산망은 별도로 물리적 망분리를 하도록 되어 있습니다.
망연계 시 고려사항은 명확한 업무 프로세스에 대한 구분입니다. 망분리가 적용된 환경에서 망연계를 통한 내·외부망 연계를 허락하고 있으나, 이는 불가피한 경우에 최소한으로 허용하는 강력한 내부지침을 바탕으로 적용하고 있습니다. 따라서 망연계를 통한 서비스나 파일에 대한 이동은 철저한 승인과 감사가 필요하며 더불어 보안성에 대해서도 바이러스(APT) 검사 등 수준 높은 보안대책이 필요할 것으로 생각됩니다.
(이재국 KB국민은행 정보보호부/jk.lee@kbfg.com)
A-2. 논리적 망분리나 물리적 망분리는 다음 사항을 고려해야 합니다. △인터넷 PC와 인터넷이 차단된 폐쇄망PC 간 업무 데이터 송·수신 보안채널 구축 고려 △USB 등 이동식 매체와 테더링 등 네트워크 통신 차단(폐쇄망의 경우 USB, 블루투스 제거 및 시건 케이스 적용) △폐쇄망PC의 경우 윈도우, 백신 업데이트 등 필수 업데이트 서버 내재화 △PC장애, 부품교체 사유 발생시 처리 프로세스 사전 수립 등입니다.
(강정훈 11번가/jhkang@sk.com)
A-3. 물리적 망분리의 경우 도입비용(추가장비, 이중망 구성)이 많이 드는 편이지만, 보안적인 측면에서 가장 우수합니다. 논리적 망분리의 경우 높은 수준의 보안을 제공하고 있지만, 최초 도입비용이 높고 고장 발생시 복구에 어려움이 있는 편입니다. 망구성의 중요한 포인트로는 필요로 하는 기능과 성능을 잘 구현하는 것이며, 기업의 네트워크 구조를 고려하여 복합적으로 구성하는 것이 바람직합니다.
(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)
A-4. 물리적 망분리는 1인당 업무용과 인터넷용 PC 2대를 이용하는 방법과 1대의 PC를 영역을 나누어 이용하는 망전환 방식이 있으며, 논리적 망분리는 중앙에 가상화 서버를 두고 사용자가 접속해 업무를 처리하는 서버 기반 가상화 방식과 각 PC에 가상화 솔루션을 설치하고 가상공간에서 인터넷을 사용하도록 하는 PC 기반 가상화 방식이 있습니다.
물리적 망분리는 가장 명확한 개념의 망분리이나 PC 및 네트워크를 이중으로 구축해야 하는 비용과 사용 및 유지보수의 불편함이 있으며, 논리적 망분리는 솔루션 구입의 비용이 필요하나 자료를 중앙에 집중화하고 서버 접속만 가능하면 어디서든지 할 수 있고(서버 기반 방식), 각 PC의 호환성 유지가 어렵지만 기존 장비를 이용해 구성할 수 있어서 (PC 기반 방식) 논리적 망분리로 구성하는 곳이 증가하는 상황입니다.
더불어 공공기관 및 금융권의 망분리가 의무화됨에 따라 업무용 자료를 메일로 전달하거나 메일로 전달 받은 자료를 업무에 이용하기 위해서 망연계라는게 필요하게 되었습니다. 망연계를 위해서는 기본적으로 다운받은 자료가 이상이 없는지 확인하기 위해 악성코드 및 바이러스를 검사할 수 있도록 해야 하며, 내부자료가 외부로 유출될 위험성이 있으니 외부 메일 전송 시 상급자나 보안담당자의 승인과정이 추가되어야 합니다.
(박래영 한국CISSP협회 보안연구실/kabuli20@hotmail.com)
A-5. 금융권에서는 전산실과 IT직원들에 대해서는 물리적 망분리를 의무화해 추진 중에 있으며, 일번 업무직원들에 대해서도 물리적 또는 논리적 망분리를 권고하고 있습니다. 망연계 시 고려사항으로는 망연계 방식으로 전용케이블을 사용, 스토리지 방식 사용, 랜케이블 방식 사용인지를 결정해야 하고 자료전성이 가능한지, 메일연계가 가능한지, 내부 PC 인터넷사용 여부, 망간자료 전송에 대한 인증, 파일 및 통신 암호화 등을 고려하여 선정해야 합니다.
(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)
A-6. 논리적 망분리에서 가장 먼저 검토해야 할 부분은 사용 중인 어플리케이션의 망분리 후 호환성으로 이를 만족하지 못할 경우 물리적 망분리로, 만족 시에는 비용측면에서 유리한 논리적 분리로 진행하는 것이 일반적입니다. 망연계 시스템은 논리적 분리, 물리적 분리 어떤 환경에서도 필수요소이며, 특별히 물리적 분리에서는 사용자수, 사용자 트래픽 사용량, web-was.web-db등 서버 디자인, 프린터 공유 등을 고려하게 됩니다. 논리적 분리에서는 이외에 논리적 분리 망분리 시스템과의 연동 부분을 추가로 검토해야 합니다.
(김준환 더보안 엔지니어/theboan@theboan.com)