2015.12.21

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

강은성 | CIO KR
'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다.

기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다.
"Air gaps still a cheap and effective defense for critical networks: Kaspersky
- Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.")

카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다.

카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.
  

<그림1> 원전망 구성도  


출처: 한국수력원자력 보도자료 2014.12.24

<그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(제어망, SCADA) 순으로 있다. ‘물리적으로 분리된 네트워크’는 바로 이 제어망이 다른 망과 물리적으로 분리되어야 함을 뜻한다. 제어망에 인터넷과 연결되는 지점이 없어야 함은 물론이다. 하지만 <그림1>에서 보듯 제어망에 아무런 연결도 없는 것은 아니다. 제어망과 업무망이 연결되어 있지만, 제어망에서 업무망으로 일방향으로만 되어 있고, 그 반대 방향으로는 제어와 데이터가 흐를 수 없게 막아 놓았기 때문에 제어망으로의 침입이 불가능하다고 말하는 것이다.

이것은 정보보호 관리체계(ISMS) 인증 심사기준에서 규정한 ‘네트워크 영역 분리’와 비슷하다. ISMS 인증 심사기준 중 '10.4.1 네트워크 접근'의 '통제 목적'에는 "네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내∙외부 네트워크를 분리하여야 한다."고 하고, 그 하위의 점검항목 설명에 "핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다."고 하면서 구체적으로 DMZ, 서버팜, DB팜, 운영환경, 개발환경, 외부자, 기타(업무망)을 예를 들고 있다. (*사실 인증심사기준의 강제 효력은 통제항목(10.4.1)까지 있는 것이지, 점검항목이나 설명은 인증심사원의 편의를 위한 것이라는 것이 KISA의 설명이어서 반드시 이걸 해야 하는지 이견이 있을 수 있다. 하지만 KISA가 공개한 ISMS 인증 심사기준 파일에 포함되어 있어서 인증심사원들도 중요하게 생각할 것이기 때문에 무시하기는 어려울 것이다.)

이러한 내부망(업무망)의 영역 분리는 보안을 강화하는 데 큰 효과가 있다. 내부망을 웹서버존, 애플리케이션 서버(WAS 등)존, DB존, 개발존(개발서버, 개발용 DB), 외부 연동존 등으로 분리하고, 각 영역(Zone) 사이에 강력한 접근 통제를 하면 범행자가 여러 경로를 통해 내부망의 한 존에 침입해 들어왔다 하더라도 다른 존으로 이동하기가 매우 어려워진다. 경계선 방어도 잘 해야 하지만, 지능형 표적공격은 이미 공격이 우리 내부에 들어와 있다는 것을 가정하고 방어 전략을 짜야 하는데, 내부망의 영역 분리는 이러한 공격을 방어하거나 지연시키는 데에 매우 유용하다.


내부망 영역 분리를 할 때에는 다음과 같은 표를 그리고 각 존에서 다른 존으로 누가(어떤 그룹이) 어떤 권한을 갖고 접근할 수 있는지, 누구는 확실히 접근 불가능한지 정리하면 도움이 된다.

 
<표1> 내부망 영역(존)별 접근 통제표 



하지만 초기에 이러한 내부망의 영역 분리를 확실히 해 놓았다 하더라도 개발자가 적절한 통제 없이 개발서버를 운영서버로 전환할 수 있다면 보안에 구멍이 생길 수 있다. 서버의 추가, 기존 서버의 용도 전환, 접근통제 규칙(Rule)의 변경, 담당 인력 변경 등 관리자들이 알지 못하는 사이에 보안취약점이 생길 수 있는 요인은 많다. 철저한 관리, 지속적인 모니터링과 주기적인 점검이 필요하다. 이는 제어망에서도 마찬가지다.

이제 정보통신망법의 관련 규정을 살펴 보자. 우리가 흔히 '망 분리'라고 부르는 것은, 앞에서 살펴본 망 분리가 아니라 개인정보취급자 컴퓨터의 인터넷 접속 차단(정보통신망법 시행령 제15조 제2항 제3호)이다. (*'개인정보의 기술적ㆍ관리적 보호조치 기준'(방송통신위원회 고시)에서는 직접 '망 분리'라는 용어를 쓰고 있으나, 내용은 시행령의 그것과 다르지 않다.)

<그림2> 정보통신서비스 사업자의 망 구성 개념도


<그림2>는 정보통신망법이 적용되는 정보통신서비스 사업자의 전형적인 망 구성 개념도이다. 이 그림에서 개인정보처리 시스템이 업무망에 있고, 개인정보취급자 컴퓨터가 업무접근망에 있다고 하면, '개인정보취급자 컴퓨터의 인터넷 접속 차단'은 경로 ①과 ②를 차단하는 것을 뜻한다. 정보통신서비스 사업자라면 고객이 인터넷을 통해 이용하는 서비스를 제공하므로, 업무망(내부망)에 있는 웹 서버나 애플리케이션 서버, DB서버에는 인터넷에서 접근하는 경로(③)가 존재하기 마련이다. 따라서 ③의 모든 경로(인바운드, 아웃바운드)를 파악하여 철저하게 접근 통제를 해야 DB에 저장된 고객정보 등 핵심 정보를 보호할 수 있다.

예를 들어 업무접근망의 PC에서 업무망에 있는 한 서버에 접속했는데, 거기에서 운영DB 접속이 가능하고 혹시 sendmail이 있는 서버에도 접근할 수 있다면 그것을 통해 고객정보를 외부로 유출할 수 있게 된다. (엄청난 불편과 불평을 감수하고) 개인정보취급자 PC의 인터넷 접속 차단을 해 놓았는데, 엉뚱한 곳에서 보안이 뚫릴 수 있다는 말이다.

콜센터나 외부에서의 신속한 장애대응 등을 이유로 사람이 외부에서 가상사설망(VPN)이나 전용선을 통해 업무망에 접근할 수 있는 경우(④)도 철저하게 관리해야 한다(이에 관한 설명은 망 분리는 만병통치약인가?(2)를 참고하기 바란다).

끝으로, PC의 인터넷 접속 차단은 '망 분리 솔루션' 이외에도 여러 가지 방법으로 할 수 있다는 점과 이 차단은 개인정보처리 시스템(또는 중요 자산)에 대한 범행의 한 경로를 방어하는 효과가 있지만 한계도 있다는 점 또한 이해하고 다른 경로에 대한 보안 조치가 있어야 한다는 점을 강조하고 싶다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2015.12.21

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

강은성 | CIO KR
'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다.

기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다.
"Air gaps still a cheap and effective defense for critical networks: Kaspersky
- Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.")

카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다.

카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.
  

<그림1> 원전망 구성도  


출처: 한국수력원자력 보도자료 2014.12.24

<그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(제어망, SCADA) 순으로 있다. ‘물리적으로 분리된 네트워크’는 바로 이 제어망이 다른 망과 물리적으로 분리되어야 함을 뜻한다. 제어망에 인터넷과 연결되는 지점이 없어야 함은 물론이다. 하지만 <그림1>에서 보듯 제어망에 아무런 연결도 없는 것은 아니다. 제어망과 업무망이 연결되어 있지만, 제어망에서 업무망으로 일방향으로만 되어 있고, 그 반대 방향으로는 제어와 데이터가 흐를 수 없게 막아 놓았기 때문에 제어망으로의 침입이 불가능하다고 말하는 것이다.

이것은 정보보호 관리체계(ISMS) 인증 심사기준에서 규정한 ‘네트워크 영역 분리’와 비슷하다. ISMS 인증 심사기준 중 '10.4.1 네트워크 접근'의 '통제 목적'에는 "네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내∙외부 네트워크를 분리하여야 한다."고 하고, 그 하위의 점검항목 설명에 "핵심 업무영역의 네트워크는 위험평가를 통해 물리적 또는 논리적으로 영역을 분리하고 영역간 접근통제를 하여야 한다."고 하면서 구체적으로 DMZ, 서버팜, DB팜, 운영환경, 개발환경, 외부자, 기타(업무망)을 예를 들고 있다. (*사실 인증심사기준의 강제 효력은 통제항목(10.4.1)까지 있는 것이지, 점검항목이나 설명은 인증심사원의 편의를 위한 것이라는 것이 KISA의 설명이어서 반드시 이걸 해야 하는지 이견이 있을 수 있다. 하지만 KISA가 공개한 ISMS 인증 심사기준 파일에 포함되어 있어서 인증심사원들도 중요하게 생각할 것이기 때문에 무시하기는 어려울 것이다.)

이러한 내부망(업무망)의 영역 분리는 보안을 강화하는 데 큰 효과가 있다. 내부망을 웹서버존, 애플리케이션 서버(WAS 등)존, DB존, 개발존(개발서버, 개발용 DB), 외부 연동존 등으로 분리하고, 각 영역(Zone) 사이에 강력한 접근 통제를 하면 범행자가 여러 경로를 통해 내부망의 한 존에 침입해 들어왔다 하더라도 다른 존으로 이동하기가 매우 어려워진다. 경계선 방어도 잘 해야 하지만, 지능형 표적공격은 이미 공격이 우리 내부에 들어와 있다는 것을 가정하고 방어 전략을 짜야 하는데, 내부망의 영역 분리는 이러한 공격을 방어하거나 지연시키는 데에 매우 유용하다.


내부망 영역 분리를 할 때에는 다음과 같은 표를 그리고 각 존에서 다른 존으로 누가(어떤 그룹이) 어떤 권한을 갖고 접근할 수 있는지, 누구는 확실히 접근 불가능한지 정리하면 도움이 된다.

 
<표1> 내부망 영역(존)별 접근 통제표 



하지만 초기에 이러한 내부망의 영역 분리를 확실히 해 놓았다 하더라도 개발자가 적절한 통제 없이 개발서버를 운영서버로 전환할 수 있다면 보안에 구멍이 생길 수 있다. 서버의 추가, 기존 서버의 용도 전환, 접근통제 규칙(Rule)의 변경, 담당 인력 변경 등 관리자들이 알지 못하는 사이에 보안취약점이 생길 수 있는 요인은 많다. 철저한 관리, 지속적인 모니터링과 주기적인 점검이 필요하다. 이는 제어망에서도 마찬가지다.

이제 정보통신망법의 관련 규정을 살펴 보자. 우리가 흔히 '망 분리'라고 부르는 것은, 앞에서 살펴본 망 분리가 아니라 개인정보취급자 컴퓨터의 인터넷 접속 차단(정보통신망법 시행령 제15조 제2항 제3호)이다. (*'개인정보의 기술적ㆍ관리적 보호조치 기준'(방송통신위원회 고시)에서는 직접 '망 분리'라는 용어를 쓰고 있으나, 내용은 시행령의 그것과 다르지 않다.)

<그림2> 정보통신서비스 사업자의 망 구성 개념도


<그림2>는 정보통신망법이 적용되는 정보통신서비스 사업자의 전형적인 망 구성 개념도이다. 이 그림에서 개인정보처리 시스템이 업무망에 있고, 개인정보취급자 컴퓨터가 업무접근망에 있다고 하면, '개인정보취급자 컴퓨터의 인터넷 접속 차단'은 경로 ①과 ②를 차단하는 것을 뜻한다. 정보통신서비스 사업자라면 고객이 인터넷을 통해 이용하는 서비스를 제공하므로, 업무망(내부망)에 있는 웹 서버나 애플리케이션 서버, DB서버에는 인터넷에서 접근하는 경로(③)가 존재하기 마련이다. 따라서 ③의 모든 경로(인바운드, 아웃바운드)를 파악하여 철저하게 접근 통제를 해야 DB에 저장된 고객정보 등 핵심 정보를 보호할 수 있다.

예를 들어 업무접근망의 PC에서 업무망에 있는 한 서버에 접속했는데, 거기에서 운영DB 접속이 가능하고 혹시 sendmail이 있는 서버에도 접근할 수 있다면 그것을 통해 고객정보를 외부로 유출할 수 있게 된다. (엄청난 불편과 불평을 감수하고) 개인정보취급자 PC의 인터넷 접속 차단을 해 놓았는데, 엉뚱한 곳에서 보안이 뚫릴 수 있다는 말이다.

콜센터나 외부에서의 신속한 장애대응 등을 이유로 사람이 외부에서 가상사설망(VPN)이나 전용선을 통해 업무망에 접근할 수 있는 경우(④)도 철저하게 관리해야 한다(이에 관한 설명은 망 분리는 만병통치약인가?(2)를 참고하기 바란다).

끝으로, PC의 인터넷 접속 차단은 '망 분리 솔루션' 이외에도 여러 가지 방법으로 할 수 있다는 점과 이 차단은 개인정보처리 시스템(또는 중요 자산)에 대한 범행의 한 경로를 방어하는 효과가 있지만 한계도 있다는 점 또한 이해하고 다른 경로에 대한 보안 조치가 있어야 한다는 점을 강조하고 싶다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X