정보유출 원천봉쇄, 망분리

  밤이 길어지고 낮이 추워질수록 ‘이불 밖은 위험해!’라는 말이 문득 떠오르곤 한다. 밖은 정글과도 같은 위험이 도사리고 있으니 내 한 몸 뉘일 곳은 포근하고 따뜻하고 안락한 이불밖에 없다는 가벼운 표현일 것이다. 허나 연이어 발생한 각종 포털, 온라인, 카드사의 고객 정보 유출로 위험한 이불 밖에 온갖 민감한 정보가 떠돌아 다니는 사태가 발생했다.  

각종 정보 유출 사고로 민감한 정보가 떠돌아 다니고 있다

  개인정보 유출에 대한 고객의 불안과 고객 정보 관리 소홀에 대한 지적의 목소리가 높아지자 해당 DB에 외부 침입을 막기 위한 ‘망분리’의 필요와 수요가 증가하고 있다. 망분리란 말 그대로 외부 인터넷망과 내부 업무망을 분리하는 것을 뜻한다. 업무 관련 중요 정보에 대해 허가 받지 않은 외부 접속자를 차단하여 사이버테러로 인한 대형 보안사고를 예방하고 네트워크 상에서의 정보 유출을 방지하는 것이 목적이다.

  망분리의 방식은 크게 물리적 망분리와 논리적 망분리로 분류되고, 논리적 망분리는 다시 두 가지 방식으로 구분된다. 먼저 물리적 망분리란 간단하게 업무용 PC와 인터넷용 PC를 따로 사용하여 두 영역을 근본적으로 나누는 것이다. 이 방법은 외부 인터넷망에서 업무망으로의 직접적인 접속 자체가 불가능하기 때문에 매우 높은 수준의 보안이 가능하다. 다만 망분리를 위해 추가 PC 구입과 이중망 구축이 필수적이기 때문에 도입 비용 부담이 크며 운용하는 장비가 증가하고 관리해야 하는 보안 이슈 또한 늘어난다. 게다가 업무 중에 인터넷 접속이 필요할 경우 업무 PC의 자료를 인터넷 PC로 이동하기 위해 보조 저장장치를 이용하게 돼 물리적 경로로 정보유출이 될 가능성이 있으며, 업무망 접속의 공간적 제약으로 인해 스마트오피스 구축이 원천적으로 불가능해진다.

물리적 망분리는 업무서버와 인터넷을각각의 PC로 접속한다

  논리적 망분리는 이러한 공간 제약에서 비교적 자유롭다. 1대의 PC로 분리된 업무망과 인터넷망에 접속이 가능하다. 가상화 대상에 따라 서버기반가상화의 SBC(Server Based Computing)방식과 클라이언트기반가상화의 CBC(Client Based Computing)으로 분류된다.

  SBC방식은 물리적 망분리에서의 업무용 PC가 가상화된 서버를 통해 인터넷망 접속이 가능해진 것이라 생각할 수 있다. 물론 반대의 경우로 인터넷용 PC가 가상화된 서버를 통해 업무망에 접속하도록 구축할 수도 있다. 업무망이 가상화될 경우 서버에서의 인터넷 접속이 제한되며 인터넷망이 가상화될 경우 서버에서의 업무망 접속이 제한된다. SBC방식의 구축을 위해서는 서버 팜 구성을 위한 서버, 스토리지 등의 장비 구입 비용이 소요되며, 서버 성능에 따라 단기간의 접속 증가로 인한 부하 발생 가능성이 있다. 또한 가상화 서버 공격으로 인해 네트워크 단절이 일어날 경우 데이터 저장이나 접근이 제한돼 업무 중단 위험이 있다. 그러나 접속이 서버로 일원화되므로 관리 및 통제가 용이하다는 장점이 있다.  

               SBC방식은 기존 PCP에서 업무 혹은 인터넷을 가상화된 서버로 이용한다

  반면에 CBC방식은 업무에 사용하는 단말기에 인터넷 전용 가상 클라이언트를 구성해 업무망과 인터넷망을 분리하는 것이다. 네트워크 구간에서 업무 트래픽은 기존의 업무망으로 전송하고, 인터넷 트래픽은 망분리 게이트웨이를 통해 인터넷망으로 분리하여 전송한다. 따라서 별도의 장비 구축 비용이 크지 않고 설치가 쉽고 간편하다. 그러나 다양한 PC 환경으로 인해 호환성과 중앙관리가 어렵다는 점이 한계로 분석된다.

                    CBC방식은 PC의 부분 가상화로 인터넷과 업무 영역을 분리한다

  정부는 2012년부터 망분리 도입에 적극적으로 나서고 있다. 공공기관과 일정 규모 이상의 기업에 인터넷 망분리 도입을 의무화했다. 공공기관의 경우 국가정보원의 ‘국가정보보안기본지침’에 따라 중앙행정기관, 지방자치단체 및 소속 산하기관, 국·공립학교 등을 포함한 공공기관이 망분리 의무 대상이다. 즉, 모든 공공기관이 이에 해당된다고 볼 수 있다. 고객의 금융정보를 소지하고 있는 금융기관도 망분리 대상으로 금융회사와 전자금융업자가 모두 포함된다. 이들의 경우 전산센터의 망분리는 2014년말까지, 은행 본점 및 영업점은 2015년말까지였으며, 올해 말까지 그 외의 모든 기관은 올해까지 망분리를 완료해야 한다. 또한 정보통신법에 적용을 받는 일반회사도 일부 대상에 포함되는데, 전년도 말 기준 직전 3개월간 개인정보를 저장하고 있는 이용자수가 일 평균 100만명 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억이상일 경우가 해당된다. 정부는 시행 초기 의무화 대상에 물리적 망분리를 권고했으나 클라우드 특별법 시행과의 충돌 이슈 등이 불거지자 논리적 망분리를 허용하도록 규제를 완화했다. 최근에는 스마트워크 도입으로 클라우드 서비스를 기반으로 하는 서버 기반의 망분리 구축이 선호되는 추세다. 

인프라뿐 아니라 개인의 분리 실천이 중요하다

  망분리의 목적은 침입 위험이 높은 인터넷망을 각종 정보를 저장하는 업무망과 분리하여 중요 정보에 대해 외부에서의 접근을 차단하는 것이다. 그러나 망분리 구축과 더불어 주의해야 할 것이 내부에서의 외부 자료 전송이다. 업무망과 인터넷망을 아무리 분리한들, 외부 서버로 관련 정보를 전송할 경우 해당 정보는 안전지대를 벗어나게 된다. 실제로 힐러리 클린턴은 선거 내내 국무장관 재직 시절 개인 이메일 서버로 업무를 처리한 이메일 스캔들로 곤혹을 치렀다. 국가의 고위공직자로서 공공기록물의 외부 유출은 국익에 치명적인 영향을 끼치거나 혹은 개인에게만 막대한 이익을 창출할 수 있다는 점에서 허용되어서는 안 되는 일이기 때문이다. 따라서 조직 네트워크 특징에 알맞은 망분리 인프라 구축과 더불어 내부에서의 개인의 분리 실천에도 주의를 기울여야 할 것이다.