‘망분리’에 대해서 알아보자. 망분리는 내부 네트워크망과 외부 네트워크망을 분리하여 외부로의 침입을 막고 내부 정보의 유출을 막는 것을 목적으로 한다. 최근 청와대에서 보안강화를 이유로 망분리를 완료했다는 기사가 난 이후에 이에 대한 관심이 대중적으로 늘고 있다. 사실 망분리는 지난 2007년부터 국가정보원이 중심이 되어 공공기관에 도입되는 정부차원의 프로젝트이다. 올해까지 20여개 정부기관에 도입하는 것으로 목표로 진행되고 있다. 망분리 방법에는 몇 가지가 있으나 정부에서는 물리적 망분리를 금융권에서는 SBC(Server-based Computing)형태의 망분리를 도입하고 있는 것으로 알려지고 있다.
그림 1 단일망에서 발생하는 해킹의 위협
물리적 망분리는 말 그대로 물리적으로 네트워크망을 분리한다. 다음 그림과 같이 외부의 네트워크와 내부의 네트워크를 별도로 구축하는 것이다. 이 방법의 장점은 물리적으로 분리가 되어 있기 때문에 가시성이 확보되어 분리된 상태를 눈으로 직접 확인할 수 있고 시스템 적으로 완전하다는 것이다. 특별한 기술이 필요하지 않기 때문에 충분히 검증된 기술로 구축할 수 있고, 프로젝트를 수행할 수 있는 업체가 많다는 것도 장점이다. 단점으로는 각 망 별로 PC가 필요하기 때문에 1명당 PC를 두 대 지급해야 하여야 하는 비용문제와 각 PC를 오가면서 작업을 해야 하는 불편함이 지적되고 있다. 하지만, 뒤에서 언급되는 논리적 망분리 방법인 SBC방법의 경우 오히려 초기 비용이 높은 것으로 알려져 있다. 물리적 망분리가 완벽한 망분리를 제공하는 장점을 생각하면 나쁘지 않은 선택이라고 판단된다. 두 번째 단점인 불편함은 모든 방분리 방법도 유사한 불편함이 있으니 장/단점을 따지는 것은 무리라고 생각된다. 이 점에 대해서는 뒤에서 다시 언급하겠다.
그림 2 내부 네트워크망와 외부 네트워크망의 물리적 분리
두 번째 망분리 방법인 SBC(Server-based Computing)은 2~30년 전에 시작되어 10년째(?) 떠오르고 있는 기술인 가상화 기술을 기반으로 하고 있다. SBC 망분리는 다음 그림과 같은 형태로 구축된다. VMWare와 같은 가상머신을 탑재한 서버를 중앙에 두고 각 단말이 중앙 서버에 접속하여 업무를 처리하는 방식이다. 사용자PC는 업무처리를 위하여 업무용 가상 머신 서버에 접속하여야만 하며 생성되거나 조회한 문서는 중앙서버를 벗어날 수 없기 때문에 문서의 외부 유출을 막을 수 있다. 이 방식은 물리적으로 PC가 한 대만 있으면 되고, 각 업무환경을 중앙 서버에서 통제함으로써 유지보수에서 특별한 장점을 가진다. 예를 들면 PC의 하드디스크가 물리적으로 망가진 경우를 생각해 볼 수 있다. 지금처럼 주요 데이터나, 작업 중인 문서들이 있는 경우 PC에 문제가 생기면 당장 업무 수행이 불가능 해지고, 심각한 경우 데이터 전체가 소실될 위험이 있다. 게다가 PC를 수리하고 OS 재 설치하고 업무용 어플리케이션을 다시 설치하는데 있어 많은 시간이 소요되고 이 시간 동안 업무는 마비되게 된다. 하지만 SBC의 경우 PC가 물리적으로 영구적인 손상을 입는다 하여도 옆 사람의 자리에서 또는 새 PC를 지급받는 즉시 업무가 가능하다. 모든 자료와 업무 환경이 서버에 이전 상태로 보존되어 있기 때문이다. 또 다른 장점은 서버에 접속만 하면 되기 때문에 단말이 꼭 PC가 아니어도 된다는 장점이 있다. 모바일 단말에서도 얼마든지 동일한 환경에서 업무를 처리 할 수 있다. 단점으로는 물리적 망분리에 비해서 가시적이지 않다는 것과 초기이기 때문에 충분히 검증된 기술이 아니라는 점이 있다. 게다가 서버 기반이기 때문에 고성능 CPU나 3D카드와 같은 PC의 하드웨어 자원을 사용할 수 없다는 단점도 있다. 이는 캐드와 같은 설계나 애니메이션, 게임 개발과 같이 PC의 하드웨어 자원이 중요한 분야에는 적용될 수 없다라는 것을 뜻한다.
그림 3 SBC(Server-based Computing)방식의 망분리 방법 1
아래는 거꾸로 인터넷 접속용 PC를 가상 머신 서버에서 운용하는 경우이다. 사용자는 보통의 업무를 자신의 PC상에서 처리하며 인터넷에 접속할 때는 인터넷 접속용 가상 머신 서버에 연결하고 가상 머신 서버를 통해서 인터넷에 접속하도록 하는 방식이다. 이는 지금의 환경과 크게 다르지 않기 때문에 앞서의 방법에 비해서 투자 비용이 적을 수 있고, PC의 하드웨어 자원을 전부 사용할 수 있다는 장점이 있다.
그림 4 SBC(Server-based Computing)형태의 망분리 방법 2
세 번째 망분리 방법은 데스크탑에서의 가상화방법이다. 이는 SBC와 같이 가상화 기술을 기반으로 하지만 가상 머신이 PC에서 동작한다는 것이 차이점이다. NIC(랜카드)를 두 개 사용하여 호스트 운영체제와 가상머신에 각각 할당하고 분리된 망으로 연결하거나 VPN을 통하여 내부망으로 접속하도록 함으로써 망분리를 실현한다. 두 번째 SBC방법과 비교해 볼 때 중앙에 데이터가 집중됨으로써 얻는 장점이 없는 반면에 PC의 하드웨어 자원을 전부 사용할 수 있는 장점이 있다. 이 방법의 단점으로는 PC의 하드웨어가 가상 머신을 구동할 수 있을 정도로 충분한 성능을 가지고 있어야 한다는 것이다. 듀얼 코어에 램 2G 정도 라면 문서처리와 같은 웬만한 업무는 처리할 수 있다.
그림 5 외부 접속용 가상머신을 PC 상에서 운용하는 방법
네 번째 방법은 데스크탑 가상화의 일종인 OS레벨에서의 가상화를 사용하는 방법이다. 이 방법은 앞서의 방법과 달리 OS를 추가적으로 필요하지 않는다. 현재 사용되고 있는 OS상에 가상의 공간을 생성하고, 가상 공간에서 실행된 어플리케이션만 인터넷에 접속되도록 함으로써 망분리를 실현한다. 이 방법은 앞서의 방법과 달리 특별한 하드웨어가 필요하지 않고, 시스템 자원을 많이 소비하지 않기 때문에 기존의 PC에 얼마든지 적용할 수 있기 때문에 최소한의 비용으로 망분리를 구축할 수 있다는 장점이 있다. 단점으로는 OS레벨에서 구현된 프로그램을 공격하는 특별한 악성코드가 제작될 수 있다는 잠재적 걱정(?)거리가 있다.
그림 6 OS레벨 가상화 기술을 사용한 망분리 방법
각각의 방법이 장단점을 가지고 있는 만큼 꼼꼼히 살펴 요구사항에 부합되는 기술을 채택하여야 할 것이다. 설왕설래 말이 많지만 개인적인 판단으로 국정원에서 물리적 방법을 사용하여 망분리를 추진하는 것은 적절한 판단이었다라고 생각된다. 망분리를 함에 있어 단순하고 완벽하게 분리하며, 기존에 충분히 검토된 기술을 사용하고 있고 기술적 난이도가 높지 않아 시행할 수 있는 업체가 많이 있다는 것은 정부기관 프로젝트에서는 중요한 점이라고 판단된다. 금융이나 보험기관에서 SBC를 주로 SBC의 도입을 추진하는 것은 노트북과 같이 외부에서의 접속하는 단말을 통합하여 관리하는 것이 가장 중요한 이슈이기 때문일 것이다. 노트북과 같이 정보의 유출이 취약한 부분에 적용하여 데이터를 서버에 집중함으로써 정보의 유출을 막을 수 있으며, 노트북이 고장나는 경우에도 새로운 노트북을 지급하거나 다른 단말을 사용하여 업무연속성을 확보할 수 있다. 저렴한 도입비용으로 기존 보다 훨씬 높아진 보안성을 제공받아 현실적인 위협에 대한 대처가 목적이라면 네 번째 기술을 채택한 제품을 도입하는 것이 적절하다 할 수 있다.
지금까지 망분리를 실현할 수 있는 네 가지 기술에 대해서 개략적으로 살펴보았다. 내부 네트워크망과 외부 네트워크 망을 분리함으로써 내부 정보의 유출을 막고 외부 해킹의 위협을 차단할 수 있다. 하지만, 이것으로 완전한 것이 아니다. 이제 첫 걸음을 걸은 것이다. 예를 들어 보자. 직원 한 명이 집에서 쉬고 있는데 좋은 아이디어가 떠올랐다. 이 직원은 집에 있는 PC로 기안을 작성하고 USB메모리에 담아서 출근했다. 직원은 내부망에 연결된 업무용 PC에 USB메모리를 연결할 것이다. 자, 이제 내부망은 악성코드로 오염되었다. 집에 있는 PC에 USB메모리나 워드 프로그램을 공격하는 악성코드가 있다면 얼마든지 발생할 수 있는 일이다. 망분리 이후에 발생하는 위협은 이와 같이 사용자에 의하여 외부망에서 내부망으로 들어오는 문서라던가 혹은 뭔가에 의한 것이다. 망은 분리되었지만 다양한 시나리오에 의해서 외부망의 뭔가가 내부망으로 들어올 수 밖에 없다. 망분리와 함께 이에 대한 보안 대비책이 필요하다. 이런 문제 때문에 망분리 이후에도 내부망에 설치된 보안제품을 걷어 낼 수 없고, 이전과 동일하게 계속 업그레이드 해 나가야 한다.
공공기관에서 수행된 망분리는 사용자 실수에 의한 정보의 유출과 해킹에 대해서 훌륭한 대비책이 될 것이다. 각 기업에서도 도입한다면 소기의 효과를 얻을 수 있을 것이라 생각된다. 그러나, 이전의 GS칼텍스의 경우와 같은 내부인에 의한 정보 유출에는 큰 효과는 없을 것이다. 내부인을 통한 정보유출을 차단하기 위해서는 사용자의 철저한 교육과 시스템의 지원이 함께 필요하다. 시스템과 사용자가 서로를 감시(?) 통제(?)할 수 있을 때 내부인을 통한 정보 유출을 막을 수 있다. 인기있는 미국 드라마 ‘24’를 보면 미국의 주요 정보기관에서 실행될 것 같아 보이는 보안방법을 엿볼 수 있다. 등장인물 들은 각 레벨 별로 접근 가능한 데이터가 나누어져 있고, 각 레벨 별로 인증체계가 다르다. 데이터에 접근한 모든 행위는 로그로 남아 있어서 사후에 라도 법적 조치가 가능하다. 비록 드라마 상이긴 하지만 모든 사용자 들이 보안에 대한 교육이 철저하게 되어 있고 수행되는 것을 볼 수 있다. 그럼에도 불구하고 드라마 상에선 내부인의 정보 유출을 통해 백악관이 공격 당하고 하긴 하지만, 현실적으로 아주 효과가 클 것이다. 보안 시스템의 도입과 함께 철저한 교육을 통한 사용자의 인식전환이 필수이다. 이번 망분리 사업에는 이 부분이 소홀한 것 같아 아쉽다.@
 | [저자] 프로그래머 황용석 | |
 |
현재 인터넷을 통하여 알게 모르게 이루어지는 공격에 대응하기 위하여 시스템 가상화를 통하여 단말의 보안성을 높이기 위한 연구를 진행하고 있다. 새롭게 “안랩 칼럼니스트”에 합류하게 되었으며, 최근에 관심분야는 Virtualization, Behavior Detection, Parallel Computing이다. |
※ 보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로, 무단 도용 및 배포를 금합니다.
==============================================================================
'★ 기술 지원 ★' 카테고리의 다른 글
| Realtek PCIe GBE Family Controller 드라이버 업데이트 (0) | 2010.07.23 |
|---|---|
| 카스퍼스키 2010 CF2, 윈도우 7 정식 지원!! (0) | 2009.11.18 |
| XP SP2 & 오피스 2003 8월까지 업데이트 목록 (0) | 2008.08.24 |
| USB 메모리 '디스크 쓰기 금지 오류' 해결 방법 (0) | 2008.07.25 |
| Windows XP SP3 이전 패치 내역 - SP2 최종 (0) | 2008.07.12 |