국내에서 보안 업무를 하다보면 빈번하게 듣는 질문이 있습니다.
"망분리 어떻게 하셨어요?"
오늘은 이 망분리가 무엇이고 어떨때 적용되는지와 구축방식에 대해 조사했습니다.
1. 망분리
망분리란 공공기관이나 기업에서 인터넷과 완전히 격리된 환경에서 업무를 볼 수 있도록 네트워크를 분리하는 것입니다. 망분리 환경에서는 인터넷과 연결되지 않은 폐쇄적인 망에서 업무를 수행하게 됩니다.
사이버 공격으로 보안 사고가 발생하는 것을 방어하고자 보안의 한 방법으로 망분리 기술이 적용되었습니다. 해커가 내부 직원의 PC에 침입에 성공하더라도 주요 정보가 담긴 시스템에는 접근하지 못하도록 네트워크를 분리한 것입니다.
2, 망분리 법률
망분리 법령은 개인정보보호위원회의 ‘개인정보의 기술적·관리적 보호조치 기준’, 금융위원회의 ‘금융금융감독규정’에 따릅니다.
[개인정보의 기술적·관리적 보호조치 기준] 제4조(접근통제) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. |
[전자금융감독규정] 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다. 1. 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위한 정보보호시스템 설치 및 운영 2. 해킹 등 전자적 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항에 대하여 즉시 보정작업 실시 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다) |
3. 망분리 대상
‘개인정보의 기술적·관리적 보호조치 기준’에 지정한 망분리 대상자입니다.
구분 | 대상기준 |
사업자 (정보통신서비스 제공자등) | – 전년도말 기준 직전 3개월간 개인정보가 저장․관리되고 있는 이용자수가 일일평균 100만명 이상 |
– 정보통신서비스 부문 전년도 매출액이 100억원 이상 |
개인정보 취급자 | – 개인정보 다운로드 가능자 |
– 개인 정보 파기 가능자 |
– 개인정보 접근권한 설정 가능자 |
* 개인정보의 단순 열람, 수정 권한만을 가진 개인정보취급자는 의무 대상은 아니지만, 개인정보의 유노출에 대해 엄격히 제한해야 합니다.
4. 망분리 구축 방식
망분리 기술은 물리적 망분리와 논리적 망분리로 나뉩니다. 물리적 망분리는 물리적으로 망을 분리하는 것으로 사용자가 PC 두 대를 사용합니다. 논리적 망분리는 가상화 기술을 이용해 하나의 PC를 사용하되 망을 가상적으로 분리한 것을 의미합니다.
물리적 망분리는 원천적으로 인터넷망과 내부망이 분리되어 있기 때문에, 아주 안전합니다. 그러나 별도의 망을 구축해야 하기 때문에 추가적으로 네트워크 장비와 PC 등이 필요해 비용이 많이 듭니다. 특히 사용자는 PC 2대를 사용하게 되어 업무를 하는데 상당히 불편함이 있습니다.
이에 비해 논리적 망분리는 기존 자원을 그대로 사용하고 추가 도입 장비를 최소화할 수 있어 도입하는데 비용이 적게 들고, 사용자는 하나의 PC로 업무를 처리할 수 있어 물리적 망분리보다 편합니다. 다만 가상화 기술을 이용하려면 별도의 솔루션을 도입해야 합니다.
구분 |
물리적망분리 | 논리적 망분리 |
서버가상화 기반 망분리 (SBC) | 클라이언트 기반 망분리 (CBC) |
운영방법 | 2대의 PC 사용 업무용 pc와 인터넷용 pc 물리적 분리 | 인터넷 망은 서버를 통해 업무망은 pc로 분리 (반대로 구축 가능) | pc 부분 가상화를 통해 인터넷 영역과 업무 영역 분리 |
도입 비용 | 높음 (추가 pc, 이중망 구축) | 보통 (서버 팜 구축) | 낮음 (추가 장비 최소화) |
추가 장비 | 추가 pc 1대 라이선스(OS, Office) 네트워크(스위치, 방화벽) | 서버팜(서버, 스토리지 등) 네트워크(스위치) 가상화 소프트웨어 | 네트워크(게이트웨이) PC기반 솔루션 |
보안 | 높음 (근본적 분리) | 높음 (서버에서 인터넷 사용) | 높음 (PC에서 인터넷 사용) |
장점 | 해커의 직접적인 접근 차단 | 문서 보안 등 높은 보안성 PC대비 업무환경TCO우수 BYOD/스마트오피스 최적 | 도입비용 최소화 쉽고 간편한 설치 |
단점 | 비효율성 (비용, 유지/관리 등) 스마트 오피스 불가 | 최초 도입비용 높음 WAN 구간 작업이나 다수 접속 시 성능저하 | 고장발생 시 복구 어려움 |
대표 제품 | 네트워크 및 PC업체 | WMware VM view Citrix의 XenDesktop 등 | 안랩의 트러스존 미라지웍스의 아이데스크 |
< 표와 그림 출처: [1] 망분리 관련법과 망분리 방안, https://duddal.tistory.com/40>
-----
[1] 망분리 관련법과 망분리 방안
https://duddal.tistory.com/40
[2] ITWorld 용어풀이 | 망분리
https://www.itworld.co.kr/news/84683
[3] 전자금융감독규정
https://www.law.go.kr/LSW//admRulLsInfoP.do?admRulId=2050888&efYd=&admRulNm=%EC%A0%84%EC%9E%90%EA%B8%88%EC%9C%B5%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95
[4] (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
https://www.law.go.kr/LSW/admRulLsInfoP.do?admRulSeq=2100000192070
