망분리

망분리

공공기관이나 기업에서 인터넷과 완전히 격리된 환경에서 업무를 볼 수 있도록 망(네트워크)을 분리하는 것

망분리 환경에서는 인터넷과 연결되지 않은 폐쇄적인 망에서 업무를 수행한다.

• 망분리는 보안 기법의 일종으로, 외부의 공격으로부터 내부의 중요한 자료를 보호하기 위해 망을 연결하지 않고 분리(separate, isolate)해 두는 것.
• 유사 개념 : 망 세분화/구역 설정(segmentation, zoning) - 라우터 등 네트워크 장비를 통해 하위 망을 구성하고 접근을 통제하나, 망 간 연결성이 유지된다는 점에서는 개념적으로 망분리와 다르다.
• 망이 분리되면 상대적으로 더 안전해지겠지만, 효율성은 그만큼 저하되므로, 이 상충관계를 잘 조절한 보안정책이 필요.

 

망분리는 크게 '물리적 망분리'와 '논리적 망분리'로 나뉜다.

물리적 망분리는 업무망과 인터넷망을 물리적으로 분리할 뿐 아니라 각 망에 접속하는 컴퓨터도 물리적으로 분리해 망간 접근경로를 차단한다. 논리적 망분리는 가상화 기술을 이용해 서버 또는 컴퓨터를 가상화, 논리적으로 업무망과 인터넷망을 분리하는 방식이다.

논리적 망분리(CBC 방식과 SBC방식)

• 이미 구축되어 있는 네트워크를 이용하여 가상화 기술을 접목, 하나의 사용자 PC에서 인터넷의 이용과 내부 업무망 사용을 가능하게 하는 기술이다.
• CBC(Client Based Computing)방식 : PC기반 가상화. 망분리 서비스의 Client가 되는 사용자PC에다 가상화 기술을 적용해 기존 로컬 영역 내 가상머신을 생성하여 OS 영역을 분리하고 VM영역을 통해서는 외부망, 기존 로컬영역을 통해서는 내부망을 사용하는 방식이다.

• SBC(Server-Based Computing)방식 : 외부 물리서버에 가상화기술을 적용해 가상머신을 생성하고 해당 가상머신을 통해 외부망 혹은 내부망 접근이 가능하도록 환경을 구축한 다음 사용자에게는 해당 가상화 서버에 대한 접속계정만 할당해주는 방식. 사용자에게 가상화된 데스크톱 환경을 제공해주는 것이기에  VDI(Virtual Desktop Infrastructure)라고도 부른다.

 

물리적 망분리(2PC 방식)

• 물리적인 망 분리는 모든 하드웨어 자원을 망에 따라 추가로 두어 사용을 하는 것.
• 망을 구성하는 라우터, 스위치 등 네트워크 장비와 방화벽, 정보보안 솔루션 및 통신 케이블(UTP 케이블, 광 케이블)등이 망의 종류에 따라 분리되어 사용이 되며 사용자의 PC도 망 종류에 따라 인터넷 PC 와 업무 PC를 따로 두어 사용하게 된다.
• 장점 : 네트워크상의 연결점이 없어 원천적으로 내부 정보의 인터넷 유출을 방지가 가능하다. 
• 단점 : 모든 IT 시스템의 자원이 이중으로 배치되어 사용되기 때문에 구축비용과 유지비용이 많이 소요. 인터넷을 통한 자료 활용의 불편함으로 업무 효율성 저하 및 선진 IT 시스템 적용이 어렵게 된다. 

해외의 망분리 정책 : 데이터 중요도 따라 민간이 결정, 사후규제 방식

• 해외에서도 망분리는 흔히 사용되는 보안 수단이지만 망분리 도입 여부와 적용범위는 기관, 기업이 결정하는 것이 일반적. 
• 데이터의 중요도에 따른 데이터 분류에 관한 표준이나 가이드라인이 많으며 쉽게 나와 있어, 기업이 이를 참고해 자발적으로 보안 정책을 설정하게끔 조치하는 것. 
• 자율적으로 규제하지만, 정보보호 수준은 도리어 높다. 

 

재택근무와 망분리 

망분리 환경이 재택근무, 클라우드 환경으로 인한 딜레마에 빠졌다.

망분리는 외부 공격을 차단하는 강력한 보안 환경으로, 국내 공공·금융기관에 의무화 돼 있다.

망분리로 인해 재택근무, 클라우드 환경의 업무에 불편함이 늘어나는데 비해, 진화하는 공격에 대응하는 효과는 낮아진다.

공공·금융기관 임직원들도 특정 부서·업무를 제외하고 전면 재택근무가 가능하다.

그러나 외부에서 접속할 때 반드시 VPN을 사용해 업무망에 접속해야 하며, 재택근무용 PC는 VPN으로 업무망에 접속하지 않으면 인터넷 사용을 할 수 없다. 단말기·서비스·콘텐츠 보안 등의 가이드라인도 제시됐지만, 외부망 데스크톱 가상화(VDI) 망분리가 구축된 기관은 출장 중에 업무망 접속이 불가능해 업무 처리의 불편함이 초래되기도 했다.

 

금융업계 망분리 이슈사항

• 안전한 디지털금융 생태계 확립을 위한 명확한 보안원칙과 기준이 「전자금융거래법」 상 존재하지 않음
• 망분리 규제로 인해 데이터와 분석도구가 분리돼 데이터 활용에 비효율적
• 개발 속도 저하로 인건비가 증가하고 인재 유출이 발생

금융위는 두 가지 대책을 제시
1. 금융사의 IT기반 구축, 온라인 모바일 서비스 개발 등 고객 정보와 분리된 업무에 대해서는 망분리 규제를 단계적으로 합리화하는 것을 추진하고 있다. 특히 자체보안평가 등 보안이 우수한 금융회사에 대해 고객정보와 분리된 IT개발업무 등 단계적으로 망분리 규제를 합리화하겠다는 것이다.
2. 기술 제안. 기술에 대한 이해력이 뛰어난 IT기업에서 망분리와 관련된 기술적 대안을 제시해주면 제도 개선하는데 큰 도움이 될 것이라고 강조했다.

---

참조 사이트

https://it.donga.com/31590/

https://blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=gojump0713&logNo=220433591216 

https://www.datanet.co.kr/news/articleView.html?idxno=161252 

https://www.naon.go.kr/content/html/2021/06/04/5aa0a0a5-b133-4ea0-80ea-1a91254be6ae.html

https://byline.network/2021/05/26-151/