2015.06.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(2)

강은성 | CIO KR
이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다.

<그림> 물리적ㆍ논리적 망 분리 방식의 개념도


출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT.
망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다.


위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다.

그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다.

수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할 수 있기 때문이다. 예외 없는 법칙이 없다는 영어 속담이 여기에서도 적용된다.

따라서 이러한 예외를 어떻게 최소화하고 관리하느냐가 망 분리 성공의 관건이라 할 수 있다. 사고는 예외에서 터지기 때문이다. 정보보안 업무에서 '예외 관리 5원칙'은 다음과 같다.

(1) 적절한 승인 절차: 적절한 승인 프로세스를 통해 예외가 필요한 당사자뿐 아니라 상위 책임자 역시 자신에게 예외 허용의 책임이 있다는 점을 분명히 인식하고 정보보안 조직에 예외를 요청하도록 한다.

(2) 제한적 허용: 반드시 특정한 사람에게 특정한 권한만을 부여해야 한다. 사람을 특정하지 않고 공통 아이디나 팀 전체에게 예외를 허용하면 안 된다. 또한 허용 권한 역시 '모든 권한'이 아니라 '읽기 권한'과 같이 꼭 필요한 권한만 특정해서 허용해야 한다.

(3) 한시적 허용: 꼭 필요한 시한까지만 예외를 허용해야 한다. 시한이 지나면 예외를 제거한다. 3달이 넘어가는 예외는 사실 예외라고 말하기 어렵다.

(4) 주기적 점검: 허용된 예외는, 시한이 지나서 제거했는지, 사용하고 있는 기간이 길다면 지금도 여전히 필요한지, 허용했지만 실제로 사용하지 않고 있는지 주기적으로 점검하는 것이 필요하다. 점검하지 않으면 예외가 원칙이 된다.

(5) 지속적인 모니터링: 승인 받은 예외를 승인된 목적대로 사용하는지, 허용된 예외를 통해 보안 사고가 발생하는 건 아닌지 모니터링 하고 문제 발생 시 신속하게 대응할 수 있는 대책을 세워 시행해야 한다. 승인 절차를 통해 본인과 상위 결정권자에게 책임이 있음을 분명히 하긴 했지만, 사고는 역시 예방이 최선이다.

예외를 원천적으로 줄이는 가장 좋은 방법은 업무망에 접근하는 PC를 최소화하는 것이다. '개인정보의 기술적ㆍ관리적 보호조치 기준'(방통위 고시)에서는 “개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터”(제4조 제6항)를 인터넷 접속 차단 대상으로 규정했고, 전자금융감독규정(금융위 고시)에서는 “내부통신망과 연결된 내부 업무용시스템”과 “전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기”(제15조)를 인터넷 등 외부 통신망과 (물리적으로) 분리할 대상으로 정의했다.

법적 기준과 기업 내부의 필요를 기반으로 개인정보취급자나 중요 정보취급자 등을 최소화하도록 해야 한다. 이후 운영 단계에서 예외 관리를 철저하게 하면 업무망에 불필요하게 접속하려는 사용자를 줄이는 효과도 얻는다. 보안 문제뿐 아니라 정보보안팀의 운영 업무도 줄어들 수 있다.

망 분리에서 한 가지 빠뜨리지 말아야 할 것이 있다. 바로 외부에서의 업무망 원격 접속에 관한 것이다. 금융회사에서는 이를 원천적으로 차단한 회사가 상당 수 있지만, 인터넷 기반 사업을 갖고 있는 일반 기업에서는 장애 대응과 같은 긴급한 처리를 위해 원격 접속을 허용하는 경우가 많다.

재택근무가 가능한 고객지원 센터에서 개인정보처리시스템에 원격 접속하는 것 역시 마찬가지 경우다. 이것은 망 분리를 한 상태에서 회사 외부의 인터넷 접속 가능 PC에서 업무망에 접근할 수 있는, 가장 위험한 경로를 열어 주는 것이다. 외부 접속 VPN 계정의 철저한 관리(예외 관리), VPN 그루핑을 통한 접근 서버의 제한, 2단계 인증의 사용, 접속 시간 제한, 이상 징후 탐지 등 다양한 보안 기제를 통해 철저히 관리할 필요가 있다. 잘못하면 긴급 대응을 위한 경로가 호시탐탐 보안 취약점을 노리는 범행자의 범행 경로가 될 수 있다.

논리적 망 분리의 기반은 가상화 기술이다. 게스트 OS에서 호스트 OS 공격이 불가능하다는 가정으로 보안에서 사용하고 있다. 그런데 게스트에서 다른 게스트에 대한 공격이 가능한 취약점(CVE-2014-7188)이 작년 10월에 발표되었다. 1차적으로 논리적 망 분리 솔루션 업체가 정보를 수집하고 패치를 제공하겠지만, 발주업체에서도 가상화 솔루션에 관한 정보를 주기적으로 수집하고, 긴급한 상황이 발생할 경우를 대비하여 망 분리 솔루션 업체와 협업하여 프로세스를 수립해 놓을 필요가 있다.


실무자들이 참고할 수 있는 망 분리 안내서로는 <국가기관 망 분리 구축 가이드>(2008.5)와 <‘국가ㆍ공공기관 업무전산망 분리 실무매뉴얼>(2007.4), <금융전산 망분리 가이드라인>(2013.9), <정보통신서비스 제공자 등을 위한 외부 인터넷망 차단조치 안내서>(2013.2)가 있다. 이러한 실무 안내서는 잘 정리되어 있어서 망 분리 업무를 수행하는 데 큰 도움이 되긴 하지만, 실제 망 분리를 구축하고 운영하다 보면 부딪히는 문제는 여전히 많다. 감독당국에 문의하든지, 같은 업계의 보안담당자들의 경험을 공유하면 큰 도움이 된다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2015.06.22

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(2)

강은성 | CIO KR
이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다.

<그림> 물리적ㆍ논리적 망 분리 방식의 개념도


출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT.
망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다.


위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다.

그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다.

수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할 수 있기 때문이다. 예외 없는 법칙이 없다는 영어 속담이 여기에서도 적용된다.

따라서 이러한 예외를 어떻게 최소화하고 관리하느냐가 망 분리 성공의 관건이라 할 수 있다. 사고는 예외에서 터지기 때문이다. 정보보안 업무에서 '예외 관리 5원칙'은 다음과 같다.

(1) 적절한 승인 절차: 적절한 승인 프로세스를 통해 예외가 필요한 당사자뿐 아니라 상위 책임자 역시 자신에게 예외 허용의 책임이 있다는 점을 분명히 인식하고 정보보안 조직에 예외를 요청하도록 한다.

(2) 제한적 허용: 반드시 특정한 사람에게 특정한 권한만을 부여해야 한다. 사람을 특정하지 않고 공통 아이디나 팀 전체에게 예외를 허용하면 안 된다. 또한 허용 권한 역시 '모든 권한'이 아니라 '읽기 권한'과 같이 꼭 필요한 권한만 특정해서 허용해야 한다.

(3) 한시적 허용: 꼭 필요한 시한까지만 예외를 허용해야 한다. 시한이 지나면 예외를 제거한다. 3달이 넘어가는 예외는 사실 예외라고 말하기 어렵다.

(4) 주기적 점검: 허용된 예외는, 시한이 지나서 제거했는지, 사용하고 있는 기간이 길다면 지금도 여전히 필요한지, 허용했지만 실제로 사용하지 않고 있는지 주기적으로 점검하는 것이 필요하다. 점검하지 않으면 예외가 원칙이 된다.

(5) 지속적인 모니터링: 승인 받은 예외를 승인된 목적대로 사용하는지, 허용된 예외를 통해 보안 사고가 발생하는 건 아닌지 모니터링 하고 문제 발생 시 신속하게 대응할 수 있는 대책을 세워 시행해야 한다. 승인 절차를 통해 본인과 상위 결정권자에게 책임이 있음을 분명히 하긴 했지만, 사고는 역시 예방이 최선이다.

예외를 원천적으로 줄이는 가장 좋은 방법은 업무망에 접근하는 PC를 최소화하는 것이다. '개인정보의 기술적ㆍ관리적 보호조치 기준'(방통위 고시)에서는 “개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터”(제4조 제6항)를 인터넷 접속 차단 대상으로 규정했고, 전자금융감독규정(금융위 고시)에서는 “내부통신망과 연결된 내부 업무용시스템”과 “전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기”(제15조)를 인터넷 등 외부 통신망과 (물리적으로) 분리할 대상으로 정의했다.

법적 기준과 기업 내부의 필요를 기반으로 개인정보취급자나 중요 정보취급자 등을 최소화하도록 해야 한다. 이후 운영 단계에서 예외 관리를 철저하게 하면 업무망에 불필요하게 접속하려는 사용자를 줄이는 효과도 얻는다. 보안 문제뿐 아니라 정보보안팀의 운영 업무도 줄어들 수 있다.

망 분리에서 한 가지 빠뜨리지 말아야 할 것이 있다. 바로 외부에서의 업무망 원격 접속에 관한 것이다. 금융회사에서는 이를 원천적으로 차단한 회사가 상당 수 있지만, 인터넷 기반 사업을 갖고 있는 일반 기업에서는 장애 대응과 같은 긴급한 처리를 위해 원격 접속을 허용하는 경우가 많다.

재택근무가 가능한 고객지원 센터에서 개인정보처리시스템에 원격 접속하는 것 역시 마찬가지 경우다. 이것은 망 분리를 한 상태에서 회사 외부의 인터넷 접속 가능 PC에서 업무망에 접근할 수 있는, 가장 위험한 경로를 열어 주는 것이다. 외부 접속 VPN 계정의 철저한 관리(예외 관리), VPN 그루핑을 통한 접근 서버의 제한, 2단계 인증의 사용, 접속 시간 제한, 이상 징후 탐지 등 다양한 보안 기제를 통해 철저히 관리할 필요가 있다. 잘못하면 긴급 대응을 위한 경로가 호시탐탐 보안 취약점을 노리는 범행자의 범행 경로가 될 수 있다.

논리적 망 분리의 기반은 가상화 기술이다. 게스트 OS에서 호스트 OS 공격이 불가능하다는 가정으로 보안에서 사용하고 있다. 그런데 게스트에서 다른 게스트에 대한 공격이 가능한 취약점(CVE-2014-7188)이 작년 10월에 발표되었다. 1차적으로 논리적 망 분리 솔루션 업체가 정보를 수집하고 패치를 제공하겠지만, 발주업체에서도 가상화 솔루션에 관한 정보를 주기적으로 수집하고, 긴급한 상황이 발생할 경우를 대비하여 망 분리 솔루션 업체와 협업하여 프로세스를 수립해 놓을 필요가 있다.


실무자들이 참고할 수 있는 망 분리 안내서로는 <국가기관 망 분리 구축 가이드>(2008.5)와 <‘국가ㆍ공공기관 업무전산망 분리 실무매뉴얼>(2007.4), <금융전산 망분리 가이드라인>(2013.9), <정보통신서비스 제공자 등을 위한 외부 인터넷망 차단조치 안내서>(2013.2)가 있다. 이러한 실무 안내서는 잘 정리되어 있어서 망 분리 업무를 수행하는 데 큰 도움이 되긴 하지만, 실제 망 분리를 구축하고 운영하다 보면 부딪히는 문제는 여전히 많다. 감독당국에 문의하든지, 같은 업계의 보안담당자들의 경험을 공유하면 큰 도움이 된다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X