[펌] 공공기관 망분리로 보안 및 관리수준 한 단계 상승

http://www.boannews.com/media/view.asp?idx=16564&kind=0

공공기관 망분리로 보안 및 관리수준 한 단계 상승


공공기관 망분리를 통한 정보보안 강화

망분리는 해킹을 원천 차단하고, 기밀 정보의 외부 유출을 방지하기 위해 업무망과 인터넷망 분리를 목적으로 하고 있다. 사용자 입장에서는 하나의 PC에서 업무 및 인터넷을 동시에 사용하는 환경에서 망분리를 통해 기존 PC는 업무용으로만 사용하고, 새롭게 도입되는 인터넷 PC에서는 인터넷 사용이 가능하도록 환경이 달라지는 것이다.

공공기관의 네트워크 분리 사업은 작년부터 본격적으로 사업이 진행되어 19개 기관을 순차적으로 완료하고 2010년까지 30여 국가 주요 기관까지 확대할 계획이다.

망분리의 방법에는 물리적인 분리 뿐 아니라 SBC 기반 논리적인 분리도 있다. 하지만 여기에서는 국가 망분리 사업에 적용되는 물리적인 분리에서의 보안 강화 방안을 알아보고 망분리 사업시 적용되는 보안 솔루션에 대해서 알아보고자 한다. 또한 망분리 사업에서 개선해야 할 사항에 대해서 언급하고자 한다.

망분리 사업은 기존 업무망과 별도의 인터넷망을 추가로 구성하게 된다. 따라서 신규로 구성되는 인터넷 구간에는 내·외부 접속 정책을 정의하는 침입차단시스템, 내부 중요자료의 외부 유출을 감시 및 차단하는 내부정보유출방지시스템이 필요하고, 인터넷망과 업무망의 사용자 PC 혼용 방지를 위해서 네트워크 접근제어시스템, 사용자 PC의 보안을 위한 PC 보안 관리 시스템, 업무 자료 이동 시 보안을 위한 보안USB관리시스템 등의 보안 솔루션 구축이 필요하다. 각 솔루션별 구성 및 기능에 대해 알아보도록 하자.

침입차단시스템

신규로 구성되는 인터넷 구간에는 기본적으로 방화벽을 설치한다. 인터넷 구간은 웹서비스 등 외부로 제공하는 서비스가 없이 내부의 PC가 인터넷을 접속하기 위한 구간이기 때문에 방화벽의 정책은 단순한 설정이 가능하다. 즉, 외부에서 내부로의 접속은 모두 차단하고, 내부에서 인터넷 접속에 대한 정책만 허가해주면 되는 것이다. 침입차단시스템의 주요 기능은 다음과 같다.

● NAT 기능을 통한 인터넷 접속 허가

● 불법적인 접근 시도에 대한 차단

• 외부 인터넷에서 내부로의 불법적인 접근 시도 차단
• 비정상 트래픽(DDoS, 웜) 차단

내부정보유출방지 시스템

망분리의 가장 큰 이유 중 하나가 내부의 중요 정보가 외부로의 불법 유출을 막고자 하는 것이다. 따라서 외부로의 연결 통로인 인터넷 구간에서 내부정보유출방지시스템은 필수적인 보안솔루션이라 할 수 있겠다. 내부정보유출방지시스템은 다음과 같은 기능을 제공한다.

● 내부정보 유출 방지 기능

• 비인가 접속 차단(불법 사이트 차단, 메신저/원격 제어 차단 등)
• 키워드에 의한 콘텐츠 차단
• 주민번호, 신용카드, 계좌번호 등 주요 쪾 개인정보 유출 차단

● 정보 유출에 대한 실시간 모니터링 기능

• 차단 이력 로깅
• 정보 유출에 대한 실시간 확인

네트워크접근제어 시스템

망분리를 통해 인터넷용 PC와 업무용 PC를 분리했다. 이는 인터넷용 PC는 업무망 접속을 차단하고, 업무용 PC는 인터넷망 접속이 되지 않도록 하기 위해 물리적으로 분리된 2개의 LAN 케이블을 사용하는 것이다. 따라서 IP를 인터넷용으로 변경한 후 LAN 케이블을 바꿔 연결함으로써 업무망 PC에서 인터넷 접속이 가능할 수도 있다는 것이다.

이러한 가능성에 대한 차단 방법이 네트워크접근제어를 통한 인증 기능을 사용하는 것이다. 인터넷망과 업무망에 각각 시스템을 설치하여 인가 PC에 대한 인증 기능을 제공한다.

따라서 업무용 PC는 업무망에 설치된 시스템을 통해서만 인증이 허가되며 인터넷망으로 연결할 경우는 인터넷망의 시스템을 통해 비인가 PC로 판별되어 네트워크 접속이 차단되는 것이다. 네트워크접근제어시스템은 다음과 같은 기능을 제공한다.

● 인터넷과 업무망의 자원 공유 방지

• 보안인증 PC의 정상적인 네트워크 연결
• 비인가 PC의 네트워크 접근 차단

● 보안정책 준수

• 보안정책 위반 PC에 대한 네트워크 격리 및 복원
• 무결성 실패 PC의 네트워크 격리 및 복원

PC보안관리시스템

PC보안의 기본적인 솔루션으로서 OS, 상용 SW 및 각종 애플리케이션의 보안취약점에 대한 패치 자동 업데이트와 악성코드로부터의 사용자 PC 보호 기능을 제공한다. 간단한 PC 보안은 개인이 Windows 업데이트 기능 설정을 통해서도 패치 업데이트가 가능하지만 업데이트 오류 및 업데이트 시 속도 저하, 사용자 불편 등으로 설정을 해제하여 놓는 경우가 많다. 따라서 PC보안관리시스템을 통한 일괄 보안 관리가 가능하도록 한 것이다. PC보안관리시스템의 기능은 다음과 같다.

● 패치 관리 기능

• 패치 미적용 PC에 대한 강제 적용
• 윈도우 자동 업데이트 수행

● 사용자 PC 보안

• PC 방화벽 설치 및 공유 폴더 제어, 화면 보호기 적용
• 특정 SW 설치 유도, 불법 SW 검사 및 제어

보안USB관리시스템

망분리 시 필수적인 보안솔루션 중 하나가 보안USB관리시스템이다. 업무 수행 시 많은 부분이 인터넷을 사용해야 하는 경우가 발생하는데, 이 때 업무상 내부의 자료를 외부로 보내야 하는 경우가 발생할 수 있다. 이러한 경우 업무용 PC의 자료를 인터넷 PC로 옮길 때 보안USB를 사용한다. 보안USB는 일반 USB와 달리 접속 시 인증 절차를 거쳐야 하고 보안USB를 통한 자료의 이동은 모두 별도의 저장 공간에 이력을 남기도록 되어 있다.

따라서 불법 유출 등이 발생한 경우 추적 관리가 가능하다. 즉, 일반 USB는 허가 및 등록된 경우만 사용이 가능하고, 기타 비인가 보조기억매체는 매체 제어 기능을 통해 차단한다. 보안USB관리시스템은 다음의 기능을 제공한다.

● 국가정보원 보조기억매체 보안관리 지침에 따른 기능 제공

• 사용자 인증 및 식별
• 지정데이타 암복호화
• 저장된 자료의 임의복제 방지
• 분실시 지정데이타 보호를 위한 삭제 기능

● 보안USB 관리 기능

• 보안USB에 의해 저장되는 데이터의 원본 저장 및 로깅
• 보안USB 분실시 데이터 삭제
• 허가된 사용자에 한해 보안USB 사용
• 보안USB를 제외한 보조기억매체 제어 및 포트 차단
• 외부로의 반·출입 관리 기능

공공기관 망분리 사업의 궁극적 목적은 ‘국가 기밀 자료 유출 방지’

이상으로 공공기관 망분리 사업 시 적용되는 보안시스템에 대해 알아보았다. 보안은 아무리 많은 보안시스템을 구축하고 강화한다고 하여도 완벽하다고 자부할 수 없을 것이다. 본 사업을 통해서도 적은 예산으로 다양한 보안시스템을 구축하려다 보니 부족하거나 아쉬운 부분이 생기게 마련이다. 이 부분을 몇 가지 짚어보고자 한다.

단일 구성에 의한 네트워크 단절 우려

기존 업무망은 네트워크 장비, 보안장비 모두 이중화로 구성되어 있어 네트워크 연속성을 보장하고 있으나, 신규로 구성된 인터넷망은 백본스위치, 방화벽 등의 신규 도입된 장비들은 단일 구성이어서 장애 발생 시 전체 인터넷 구간이 단절될 우려를 안고 있어 이중화 구성이 시급하다.

소속기관으로의 조속한 확대 필요

현재까지 진행되고 있는 사업은 각 공공기관 본부 위주로 진행되고 있어 소속기관은 여전히 업무망을 통해 인터넷 사용과 업무를 동시에 보고 있다. 따라서 소속기관은 본부와 내부망으로 연결되어 있기 때문에 기존 보안문제를 그대로 안고 있는 실정이다. 후속 사업으로 지속적인 확대가 필요하다.

내부사용자들의 보안 인식 교육 강화

가장 중요한 부분이라 생각된다. 08년 국가정보원 정보보호백서의 보안사고 사례를 보면 망분리 된 이후에도 내부자에 의한 보안사고가 발생한 경우를 볼 수 있다. 이는 2대의 PC를 사용하고, 보안 USB를 통해서 자료 이동을 해야 하는 등 사용자 입장에서 번거로울 수밖에 없는 상황에서 자칫 편리성을 위해 보안을 망각하게 되면 내부정보 유출 등의 사고가 여전히 발생할 수 있다는 것을 시사하는 것이다. 따라서 기술적인 보안 조치 이외에 직원의 보안 교육 등의 관리적 보안이 절실히 요구된다.

공공 기관 망분리 사업은 그동안 논리적 분리 배제 논란, 업무 및 비용의 비효율성, 보안USB의 보안 이슈 등 많은 논란이 있어왔다.

하지만 궁극적인 목적인 국가 기밀 자료가 유출되는 보안 사고를 막고자 수백억 원의 예산을 투입하여 사업을 추진하고 있고 소기의 성과를 거두고 있는 만큼, 이와 같은 보안 강화 사업을 통해 해마다 늘어나고 있는 공공기관에 대한 해킹 사고를 줄이고 정부와 공공기관의 보안 및 관리 수준을 한 단계 높이는 큰 걸음을 내딛게 되길 기대해 본다.

<글 : 조평현 시큐아이닷컴 컨설팅팀 차장(philip.cho@samsung.com)>

[월간 정보보호21c 통권 제105호 (info@boannews.com)]