Offcanvas

��� ������

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(3) - 실효성 있는 보안을 위해

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

CISO 카스퍼스키 강은성 보안 아키텍트 정보통신망법 망 분리 네트워크 영역 분리

2015.12.21

'망 분리'에 관한 칼럼을 두 번이나 쓰고, 이번으로 마무리하려고 기사를 검색하다가 우연히 한 기사를 발견했다. '망 분리'를 의무화한 것이 보안 공격을 막겠다는 취지는 좋으나 업무가 번거롭고 불편하게 됐다는 '실무자들의 하소연'이 늘었는데, 보안업계의 유명 인사인 카스퍼스키사의 유진 카스퍼스키가 호주에서 열린 한 컨퍼런스에서 "망 분리는 전력시설이나 기타 산업시스템 등을 보호할 때 여전히 매우 좋은 아이디어"라고 했다는 거였다. 기사원문을 찾아봤더니 카스퍼스키가 ‘물리적으로 분리된 네트워크’가 산업망 같은 핵심적인 네트워크를 보호하기 위해 싸고 효과적인 대책이라고 말한 것으로 나와 있었다. (제목이 다음과 같다. "Air gaps still a cheap and effective defense for critical networks: Kaspersky - Physically-separate networks aren't always the rule for industrial networks these days, said Eugene Kaspersky, but they should be.") 카스퍼스키가 말한 '망 분리'와 정보통신망법에서 규정하고 있다고 생각해서 보통 '망 분리'라고 하는 것은 실제로는 동일한 것이 아니다. 카스퍼스키가 말한 '물리적 망 분리'는 IT에서 하는 망 분리(Separation of network)의 범주에 포함된다. 마침 카스퍼스키가 말한 산업망의 예에 적합한 구성도를 한국수력원자력에서 공개한 것이 있어서 인용한다.    <그림1> 원전망 구성도   출처: 한국수력원자력 보도자료 2014.12.24 <그림1>을 보면 맨 오른쪽에 인터넷이 있고 인터넷망(외부망), 업무망, 원전제어시스템(...

2015.12.21

강은성의 보안 아키텍트 | 망 분리는 만병통치약인가(2)

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

CSO 망 분리 시큐리티 아키텍트 보안 아키텍트 강은성 공격 CISO 규제 PC 예외

2015.06.22

이번 칼럼을 시작하기 전에 앞 칼럼에서 봤던 개념도를 다시 인용한다. <그림> 물리적ㆍ논리적 망 분리 방식의 개념도 출처: 다우기술, "데스크탑 가상화 활용 사례 : 금융권 망분리 이야기 첫 번째", Shared IT. 망 분리 방법의 핵심 개념을 명확하게 보여주는 탁월한 그림이다. 위 그림의 ①이 ‘물리적 망 분리’이다. 그림에서 보는 바와 같이 업무시스템을 접근하는 네트워크와 인터넷을 접근하는 네트워크를 분리한다. 네트워크 자체를 물리적으로 분리하기 때문에 망 분리 방식 중 보안 수준이 가장 높다. 하지만, 주로 일정 규모 이상의 기업이 망 분리를 하므로, 한 건물의 여러 층이나 여러 건물을 사용하는 경우 스위치 같은 네트워크 장비의 추가 비용이 상당히 들어간다. 그래서 물리적 망 분리를 하려다가 ‘물리적 PC 분리’만 하는 경우가 생긴다. 즉 망 분리 대상자에게 PC를 2대 지급하여 한 대는 ‘업무 접근망’에 접속하고, 다른 하나는 ‘인터넷 접근망’에 접속하도록 하는 것이다. (업무 접근망과 인터넷 접근망에 관해서는 바로 앞 칼럼을 읽어 보시기 바란다) 이 경우에 인터넷 접근망과 업무 접근망은 보안장비를 통해 논리적으로 분리되기 때문에 네트워크 단에서는 논리적 망 분리와 유사한 구성이 된다. 물리적 PC 분리는 논리적 망 분리에 비해 PC가 하나 더 추가되므로 비용 상의 단점이 있는 반면에 PC의 성능이 중요한 회사에서는 고려할 만한 선택지일 수 있다. 수사기관에 따르면 망 분리한 회사에서도 해킹 범죄가 발생한다고 한다. 망 분리를 해서 전반적인 보안 수준이 높아진 것은 분명하나 완전하지는 않다는 점은 실제 망 분리를 수행해 본 보안실무자들은 다 안다. 물리적 방식이든 논리적 방식이든 업무 접근망과 인터넷 접근망 사이의 데이터 이동, 정책적ㆍ관리적ㆍ기술적 문제로 인한 업무 접근망 PC의 인터넷 접속이 발생할...

2015.06.22

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6