단일망에서 발생하는 해킹의 위협
물리적 망분리는 말 그대로 물리적으로 네트워크망을 분리한다. 다음 그림과 같이 외부의 네트워크와 내부의 네트워크를 별도로 구축하는 것이다. 이 방법의 장점은 물리적으로 분리가 되어 있기 때문에 가시성이 확보되어 분리된 상태를 눈으로 직접 확인할 수 있고 시스템 적으로 완전하다는 것이다. 특별한 기술이 필요하지 않기 때문에 충분히 검증된 기술로 구축할 수 있고, 프로젝트를 수행할 수 있는 업체가 많다는 것도 장점이다. 단점으로는 각 망 별로 PC가 필요하기 때문에 1명당 PC를 두 대 지급해야 하여야 하는 비용문제와 각 PC를 오가면서 작업을 해야 하는 불편함이 지적되고 있다. 하지만, 뒤에서 언급되는 논리적 망분리 방법인 SBC방법의 경우 오히려 초기 비용이 높은 것으로 알려져 있다. 물리적 망분리가 완벽한 망분리를 제공하는 장점을 생각하면 나쁘지 않은 선택이라고 판단된다. 두 번째 단점인 불편함은 모든 망분리 방법도 유사한 불편함이 있으니 장/단점을 따지는 것은 무리라고 생각된다.
내부 네트워크망와 외부 네트워크망의 물리적 분리
두 번째 망분리 방법인 SBC(Server-based Computing)은 가상화 기술을 기반으로 하고 있다.
SBC 망분리는 다음 그림과 같은 형태로 구축된다. 가상머신을 탑재한 서버를 중앙에 두고 각 단말이 중앙 서버에 접속하여 업무를 처리하는 방식이다. 사용자PC는 업무처리를 위하여 업무용 가상 머신 서버에 접속하여야만 하며 생성되거나 조회한 문서는 중앙서버를 벗어날 수 없기 때문에 문서의 외부 유출을 막을 수 있다.
이 방식은 물리적으로 PC가 한 대만 있으면 되고, 각 업무환경을 중앙 서버에서 통제함으로써 유지보수에서 특별한 장점을 가진다. 예를 들면 PC의 하드디스크가 물리적으로 망가진 경우를 생각해 볼 수 있다. 지금처럼 주요 데이터나, 작업 중인 문서들이 있는 경우 PC에 문제가 생기면 당장 업무 수행이 불가능 해지고, 심각한 경우 데이터 전체가 소실될 위험이 있다. 게다가 PC를 수리하고 OS 재 설치하고 업무용 어플리케이션을 다시 설치하는데 있어 많은 시간이 소요되고 이 시간 동안 업무는 마비되게 된다. 하지만 SBC의 경우 PC가 물리적으로 영구적인 손상을 입는다 하여도 옆 사람의 자리에서 또는 새 PC를 지급받는 즉시 업무가 가능하다. 모든 자료와 업무 환경이 서버에 이전 상태로 보존되어 있기 때문이다. 또 다른 장점은 서버에 접속만 하면 되기 때문에 단말이 꼭 PC가 아니어도 된다는 장점이 있다. 모바일 단말에서도 얼마든지 동일한 환경에서 업무를 처리 할 수 있다.
단점으로는 물리적 망분리에 비해서 가시적이지 않다는 것, 서버 기반이기 때문에 고성능 CPU나 3D카드와 같은 PC의 하드웨어 자원을 사용할 수 없다는 단점도 있다. 이는 캐드와 같은 설계나 애니메이션, 게임 개발과 같이 PC의 하드웨어 자원이 중요한 분야에는 적용될 수 없다라는 것을 뜻한다.
SBC(Server-based Computing)방식의 망분리 방법 1
아래는 거꾸로 인터넷 접속용 PC를 가상 머신 서버에서 운용하는 경우이다.
사용자는 보통의 업무를 자신의 PC상에서 처리하며 인터넷에 접속할 때는 인터넷 접속용 가상 머신 서버에 연결하고 가상 머신 서버를 통해서 인터넷에 접속하도록 하는 방식이다. PC의 하드웨어 자원을 전부 사용할 수 있다는 장점이 있다.
SBC(Server-based Computing)형태의 망분리 방법 2
세 번째 망분리 방법은 데스크탑에서의 가상화방법이다.
이는 SBC와 같이 가상화 기술을 기반으로 하지만 가상 머신이 PC에서 동작한다는 것이 차이점이다. NIC(랜카드)를 두 개 사용하여 호스트 운영체제와 가상머신에 각각 할당하고 분리된 망으로 연결하거나 VPN을 통하여 내부망으로 접속하도록 함으로써 망분리를 실현한다. 두 번째 SBC방법과 비교해 볼 때 중앙에 데이터가 집중됨으로써 얻는 장점이 없는 반면에 PC의 하드웨어 자원을 전부 사용할 수 있는 장점이 있다.
이 방법의 단점으로는 PC의 하드웨어가 가상 머신을 구동할 수 있을 정도로 충분한 성능을 가지고 있어야 한다는 것이다.
외부 접속용 가상머신을 PC 상에서 운용하는 방법
네 번째 방법은 데스크탑 가상화의 일종인 OS레벨에서의 가상화를 사용하는 방법이다.
이 방법은 앞서의 방법과 달리 OS를 추가적으로 필요하지 않는다. 현재 사용되고 있는 OS상에 가상의 공간을 생성하고, 가상 공간에서 실행된 어플리케이션만 인터넷에 접속되도록 함으로써 망분리를 실현한다. 이 방법은 앞서의 방법과 달리 특별한 하드웨어가 필요하지 않고, 시스템 자원을 많이 소비하지 않기 때문에 기존의 PC에 얼마든지 적용할 수 있기 때문에 최소한의 비용으로 망분리를 구축할 수 있다는 장점이 있다.
단점으로는 OS레벨에서 구현된 프로그램을 공격하는 특별한 악성코드에는 취약하다는 잠재적 위험이 있다.
OS레벨 가상화 기술을 사용한 망분리 방법
금융이나 보험기관에서 SBC를 주로 SBC의 도입을 추진하는 것은 노트북과 같이 외부에서의 접속하는 단말을 통합하여 관리하는 것이 가장 중요한 이슈이기 때문일 것이다. 노트북과 같이 정보의 유출이 취약한 부분에 적용하여 데이터를 서버에 집중함으로써 정보의 유출을 막을 수 있으며, 노트북이 고장나는 경우에도 새로운 노트북을 지급하거나 다른 단말을 사용하여 업무연속성을 확보할 수 있다. 저렴한 도입비용으로 기존 보다 훨씬 높아진 보안성을 제공받아 현실적인 위협에 대한 대처가 목적이라면 네 번째 기술을 채택한 제품을 도입하는 것이 적절하다 할 수 있다.
정리
내부 네트워크망과 외부 네트워크 망을 분리함으로써 내부 정보의 유출을 막고 외부 해킹의 위협을 차단할 수 있다. 하지만, 이것으로 완전한 것이 아니다. . 예를 들어 보자. 직원 한 명이 집에서 쉬고 있는데 좋은 아이디어가 떠올랐다. 이 직원은 집에 있는 PC로 기안을 작성하고 USB메모리에 담아서 출근했다. 직원은 내부망에 연결된 업무용 PC에 USB메모리를 연결할 것이다. 자, 이제 내부망은 악성코드로 오염되었다. 집에 있는 PC에 USB메모리나 워드 프로그램을 공격하는 악성코드가 있다면 얼마든지 발생할 수 있는 일이다.
망분리 이후에 발생하는 위협은 이와 같이 사용자에 의하여 외부망에서 내부망으로 들어오는 문서라던가 혹은 뭔가에 의한 것이다. 망은 분리되었지만 다양한 시나리오에 의해서 외부망의 뭔가가 내부망으로 들어올 수 밖에 없다. 망분리와 함께 이에 대한 보안 대비책이 필요하다. 이런 문제 때문에 망분리 이후에도 내부망에 설치된 보안제품을 걷어 낼 수 없고, 이전과 동일하게 계속 업그레이드 해 나가야 한다.
댓글