2015.06.04

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가? (1)

강은성 | CIO KR
2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다.

'망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다.

2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다.

물리적ㆍ논리적 망 분리 방식의 개념도


출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 이 그림에서 보면 '논리적 망 분리'가 이미 IT 분야에서 많이 사용해 왔던 가상화 기술을 보안에 적용한 것임을 알 수 있다. 

먼저 '망 분리'를 좀더 명확하게 정의할 필요가 있다. 법규에서 정의한 '망 분리'는 임직원 관점에서 보면 업무망(또는 내부망) 접근 가능 PC(또는 단말)의 인터넷 접속을 차단하는 것이고, 기업 네트워크 측면에서는 사용자 PC가 연결되어 있는 접근망을 업무(내부) 접근망과 인터넷 접근망으로 분리하는 것이다. 작년 H사가 자사망이 접근망 - 업무망 - 제어망으로 '망 분리'되어 있고, 원전시설을 제어하는 제어망은 인터넷과의 연결이 없는 폐쇄망이어서 외부에서 해킹이 불가능하다고 할 때의 망 분리와는 내용이 다르다는 것을 알 수 있다. (이러한 '망 분리' 역시 정보보안에서 중요한데, 이것은 다음에 다루려고 한다)

접근망 내부를 분리하는 방법에는 위 그림과 같이 물리적 망 분리와 논리적 망 분리가 있는데, 먼저 논리적 망 분리에 관해 간단하게 정리해 보자. 그림의 ③과 ④는 PC의 실 시스템의 인터넷 접속을 차단하고, PC에서 실행한 가상 시스템을 통해서만 인터넷을 접속하도록 하는 논리적 망 분리 구조를 보여 준다. 가상 시스템에서는 업무망 접근이 차단되어 있어서 인터넷을 통해 가상 시스템에 악성 프로그램이 침투하더라도 업무망에 있는 중요 시스템이나 데이터를 보호할 수 있다. 망 분리의 법적 요건에 딱 들어 맞는 구조다.

이렇게 접근망을 인터넷 접근망과 업무 접근망으로 분리했다 하더라도 업무 접근망의 PC에 있는 제품 소개 자료를 외부에 보내는 경우와 같이 두 영역 사이에서 데이터가 이동할 필요가 생긴다. 적절한 승인 절차를 통해 두 영역 사이에서 파일을 전송할 때 악성 프로그램이 (특히) 업무 접근망으로 이동하는 것은 차단해야 한다. 망 분리 솔루션과 함께 판매되는 망 연계 솔루션에서 보통 제공하는 기능이긴 하나 망 연계 지점이 망 분리 구조에서 핵심적 위치를 차지하므로, 보안성, 프로세스, 성능, 가용성 등을 꼼꼼히 따져 보는 게 좋다.

③, ④ 방식의 논리적 망 분리를 했다고 해서 망 분리 대상 PC 실 시스템의 인터넷 접속이 항상 차단되어 있는 것은 아니다. 업무나 정책 상의 이유, 기존 소프트웨어의 충돌 같은 기술적인 이유로 어쩔 수 없이 예외 처리를 해 주는 경우가 발생한다. 조직 개편으로 발생하는 신규 차단 대상을 보안조직에서 사전에 파악하지 못하거나 임직원이 의도적으로 망 분리 적용을 회피함으로써 (일시적으로) 인터넷 접속이 가능할 수도 있다. 유선 연결은 차단했지만 무선인터넷(Wi-Fi)이나 테더링(Tethering)을 통해 차단 대상 PC가 인터넷에 접속하거나 USB나 CD 등 오프라인 이동 저장 매체를 통해 PC에 저장된 데이터가 유출될 수도 있다. 그 어떤 경우든 차단되지 않은 업무 접근망 PC를 통해 보안 사고가 발생할 가능성이 생긴다. 결국 망 분리의 목적이 단지 법규 준수가 아니라면 구축 이후에 운영 단계에서 해야 할 일이 많다는 말이 된다.

또 인터넷 차단 PC에서도 여러 경로를 통해 악성 프로그램이 유포될 수 있으므로, 안티바이러스나 패치 업데이트 등 기본적인 보안 기제를 갖춰야 한다. 소프트웨어 개발자 같이 PC 성능에 민감한 사용자들이 가상 시스템을 실행했을 때 PC 속도가 느려진다고 하는 불평에 적절히 대응하는 것도 정보보안 조직의 몫이다.

위 그림의 ②에서는 PC의 실 시스템이 인터넷에 접속하고, 가상 시스템에서 회사 업무망에 접속한다. ③, ④와는 정반대의 구조다. 작업한 모든 결과는 업무망 시스템에만 남기 때문에 접근망 PC에는 중요 정보가 저장되지 않는다. 아예 PC의 실 시스템에 오피스나 업무용 애플리케이션을 설치하지 않음으로써 별도의 문서를 만들지 못하게 하기도 한다. 이미 여러 기업에서 사용하고 있는 중앙문서관리시스템(EDMS)이나 도면관리 시스템에서 사용하는 구조다. 산업기밀 같은 중요 정보 유출을 차단하는 데 유용하다.


하지만 이러한 방식은 외부 공격에 취약할 수 있다. 예를 들어, 인터넷을 통해 PC 실 시스템이 악성 프로그램(키로거)에 감염되면 가상 시스템을 실행하여 작성하는 자판 입력이 외부로 유출될 수 있다. 당연히 가상 시스템의 아이디와 비밀번호가 유출될 수 있다. 따라서 이러한 구조에서는 PC 실 시스템에 대한 보안이 매우 중요하다. ③, ④의 구조에서 본 것과 같이 인터넷 접근망과 업무 접근망 사이의 연계나 예외 처리에 관한 문제 역시 발생한다. (다음 칼럼에서 계속)

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2015.06.04

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가? (1)

강은성 | CIO KR
2011년 3월 전 세계를 덮친 후쿠시마 원자력 발전소 사고의 공포가 아직 생생하던 작년 12월, 에너지 공기업 H사의 해킹 사태가 온 나라를 강타했다. 일반 국민은 전혀 몰랐던 원전에 관한 고급 정보를 여러 차례 인터넷에 공개하면서 해킹을 통해 원전을 중단시키겠다는 범인들의 협박으로 인근 주민뿐 아니라 많은 국민이 불안해 하던 때에 H사가 '망 분리'가 되어 있기 때문에 원전이 해킹으로부터 안전하다고 설명하여 ‘망 분리’가 사회적 관심사가 되었다.

'망 분리'는 2007년 국가정보원의 주도로 정부기관의 시범사업으로 처음 시작했다. “해킹 등 주요 사이버 공격으로부터 국가 기밀 등 중요 자료의 유출을 근본적으로 차단"(국정원 등, 국가기관 망 분리 구축 가이드, 2008.5)하기 위한 목적으로 시작된 망 분리는 지금은 주요 공기업까지 광범위 하게 적용되었다. 민간기업에서 대규모 개인정보 유출 사건이 발생하면서 "전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상"인 정보통신서비스 사업자의 망 분리를 의무화한 정보통신망법이 2013년 2월에 시행됨으로써 망 분리는 이후 민간기업으로 확대되었다.

2013년 3월 20일에 금융회사와 언론사에 대한 대규모 해킹 사태가 발생한 뒤 금융위원회에서는 같은 해 7월에 ‘금융전산 보안강화 종합대책’을 발표하며 금융회사의 망 분리에 나섰다. 전산센터의 망 분리는 2014년 말까지 완료하고, 본점과 영업점은 은행은 2015년 말, 그 외 2016년 말까지 단계적으로 추진하는 것으로 추진 일정을 잡았다. 이에 따라 망 분리는 공공ㆍ금융ㆍ민간부문 모두에서 핵심적인 보안수단으로 자리잡았다.

물리적ㆍ논리적 망 분리 방식의 개념도


출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 이 그림에서 보면 '논리적 망 분리'가 이미 IT 분야에서 많이 사용해 왔던 가상화 기술을 보안에 적용한 것임을 알 수 있다. 

먼저 '망 분리'를 좀더 명확하게 정의할 필요가 있다. 법규에서 정의한 '망 분리'는 임직원 관점에서 보면 업무망(또는 내부망) 접근 가능 PC(또는 단말)의 인터넷 접속을 차단하는 것이고, 기업 네트워크 측면에서는 사용자 PC가 연결되어 있는 접근망을 업무(내부) 접근망과 인터넷 접근망으로 분리하는 것이다. 작년 H사가 자사망이 접근망 - 업무망 - 제어망으로 '망 분리'되어 있고, 원전시설을 제어하는 제어망은 인터넷과의 연결이 없는 폐쇄망이어서 외부에서 해킹이 불가능하다고 할 때의 망 분리와는 내용이 다르다는 것을 알 수 있다. (이러한 '망 분리' 역시 정보보안에서 중요한데, 이것은 다음에 다루려고 한다)

접근망 내부를 분리하는 방법에는 위 그림과 같이 물리적 망 분리와 논리적 망 분리가 있는데, 먼저 논리적 망 분리에 관해 간단하게 정리해 보자. 그림의 ③과 ④는 PC의 실 시스템의 인터넷 접속을 차단하고, PC에서 실행한 가상 시스템을 통해서만 인터넷을 접속하도록 하는 논리적 망 분리 구조를 보여 준다. 가상 시스템에서는 업무망 접근이 차단되어 있어서 인터넷을 통해 가상 시스템에 악성 프로그램이 침투하더라도 업무망에 있는 중요 시스템이나 데이터를 보호할 수 있다. 망 분리의 법적 요건에 딱 들어 맞는 구조다.

이렇게 접근망을 인터넷 접근망과 업무 접근망으로 분리했다 하더라도 업무 접근망의 PC에 있는 제품 소개 자료를 외부에 보내는 경우와 같이 두 영역 사이에서 데이터가 이동할 필요가 생긴다. 적절한 승인 절차를 통해 두 영역 사이에서 파일을 전송할 때 악성 프로그램이 (특히) 업무 접근망으로 이동하는 것은 차단해야 한다. 망 분리 솔루션과 함께 판매되는 망 연계 솔루션에서 보통 제공하는 기능이긴 하나 망 연계 지점이 망 분리 구조에서 핵심적 위치를 차지하므로, 보안성, 프로세스, 성능, 가용성 등을 꼼꼼히 따져 보는 게 좋다.

③, ④ 방식의 논리적 망 분리를 했다고 해서 망 분리 대상 PC 실 시스템의 인터넷 접속이 항상 차단되어 있는 것은 아니다. 업무나 정책 상의 이유, 기존 소프트웨어의 충돌 같은 기술적인 이유로 어쩔 수 없이 예외 처리를 해 주는 경우가 발생한다. 조직 개편으로 발생하는 신규 차단 대상을 보안조직에서 사전에 파악하지 못하거나 임직원이 의도적으로 망 분리 적용을 회피함으로써 (일시적으로) 인터넷 접속이 가능할 수도 있다. 유선 연결은 차단했지만 무선인터넷(Wi-Fi)이나 테더링(Tethering)을 통해 차단 대상 PC가 인터넷에 접속하거나 USB나 CD 등 오프라인 이동 저장 매체를 통해 PC에 저장된 데이터가 유출될 수도 있다. 그 어떤 경우든 차단되지 않은 업무 접근망 PC를 통해 보안 사고가 발생할 가능성이 생긴다. 결국 망 분리의 목적이 단지 법규 준수가 아니라면 구축 이후에 운영 단계에서 해야 할 일이 많다는 말이 된다.

또 인터넷 차단 PC에서도 여러 경로를 통해 악성 프로그램이 유포될 수 있으므로, 안티바이러스나 패치 업데이트 등 기본적인 보안 기제를 갖춰야 한다. 소프트웨어 개발자 같이 PC 성능에 민감한 사용자들이 가상 시스템을 실행했을 때 PC 속도가 느려진다고 하는 불평에 적절히 대응하는 것도 정보보안 조직의 몫이다.

위 그림의 ②에서는 PC의 실 시스템이 인터넷에 접속하고, 가상 시스템에서 회사 업무망에 접속한다. ③, ④와는 정반대의 구조다. 작업한 모든 결과는 업무망 시스템에만 남기 때문에 접근망 PC에는 중요 정보가 저장되지 않는다. 아예 PC의 실 시스템에 오피스나 업무용 애플리케이션을 설치하지 않음으로써 별도의 문서를 만들지 못하게 하기도 한다. 이미 여러 기업에서 사용하고 있는 중앙문서관리시스템(EDMS)이나 도면관리 시스템에서 사용하는 구조다. 산업기밀 같은 중요 정보 유출을 차단하는 데 유용하다.


하지만 이러한 방식은 외부 공격에 취약할 수 있다. 예를 들어, 인터넷을 통해 PC 실 시스템이 악성 프로그램(키로거)에 감염되면 가상 시스템을 실행하여 작성하는 자판 입력이 외부로 유출될 수 있다. 당연히 가상 시스템의 아이디와 비밀번호가 유출될 수 있다. 따라서 이러한 구조에서는 PC 실 시스템에 대한 보안이 매우 중요하다. ③, ④의 구조에서 본 것과 같이 인터넷 접근망과 업무 접근망 사이의 연계나 예외 처리에 관한 문제 역시 발생한다. (다음 칼럼에서 계속)

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X