3.20 전산망 장애 이후 '망분리' 화두

일반입력 :2013/03/29 08:40    수정: 2013/03/30 08:35

송주영 기자

3.20 금융권, 방송사 전산망 장애를 계기로 망분리가 화두로 재등장했다. 지난 2011년 농협 사태 이후 한동안 망분리의 중요성이 강조됐지만 금융기관의 망분리는 아직 시범 도입하는 수준이다. 그러나 이번 전산망 장애 사건 이후 금융기관의 망분리 도입이 늘어날 전망이다. 보안 및 가상화 업체들도 최근 망분리 마케팅에 열을 올리고 있다.

29일 관련업계에 따르면 금융기관의 망분리는 아직 초기 단계에 머물고 있다. 망분리를 이용해 보안을 강화해야 한다는 사실은 알지만 비용 문제와 시스템 사용 편의성이 떨어지기 때문이다. 다행인지 불행인지 전산장애를 겪은 이후 망분리에 대한 인식이 높아졌다. 보안을 위한 필수 덕목으로 여겨지기 때문이다.

지난 전산망 장애 때 KBS, MBC 등은 악성코드 사태에 전사가 들썩였지만 방송서비스는 중단이 없었다. PC, 그룹웨어 등이 마비된 상태에서 방송, 송출 시스템은 제 기능을 발휘했다. 망분리 덕분이었다. 당시 MBC, KBS 등 방송사 관계자는 “방송, 송출시스템은 외부망과는 별도의 내부망을 이용한다”며 “이 때문에 핵심시스템으로 악성코드가 유입되는 것을 막을 수 있었다”고 설명했다.

■금융기관 망분리 “필요성은 알지만…”

농협은 PC, 단말기 감염이 확산되자 수동으로 망분리를 했다. 인터넷 연결선을 뽑아버리는 초보적인 방식이었다. IT업계에서 말하는 망분리와는 전혀 다른 조치이지만 망분리가 확산을 막을 수 있음을 보여주는 사례다.

신한은행처럼 아예 주전산시스템이 감염된다면 또 다른 문제이지만 이 경우도 PC를 이용해 외부망을 타고 들어왔다면 망분리를 통해 막을 수 있었다는 지적이다.

업계 관계자는 “정부에서도 망분리를 강조하기 시작했다”며 “백신이나 침입탐지시스템 등을 설치할 수도 있겠지만 확산을 막으려면 망을 분리해 운영해야 한다”고 설명했다. 금융감독당국 관계자도 “망분리를 포함해 금융기관 보안 정책도 다시 봐야할 것”이라고 말했다. 망분리란 시스템에 따라 네트워크망을 분리해 운영하는 것을 의미한다. 내, 외부 회선을 구분해 외부에서 악성코드가 들어와도 내부망에 연결된 시스템에는 영향을 미치지 않도록 한다.

망분리가 감염 자체를 막을 수는 없지만 보안 측면에서 대안으로 제시된다. 백신 업데이트 서버를 타고 방화벽을 뚫고 들어오는 악성코드는 시스템에 영향을 미치지만 영향을 최소화할 수 있다.

그동안 금융기관에는 전사적인 망분리에 대한 필요성이 제기됐다. 다만 망분리는 비용이 너무 많이 들어 도입은 지지부진했다. 최근 전산장애를 입은 신한은행, 농협뿐만 아니라 대부분 금융권이 이제 막 시범도입을 시작한 단계다.

■내부 반발 예상…IT부서부터 순차 도입

망분리 도입이 지지부진한 이유 중에는 시스템 편의성이 떨어진다는 단점이 있다. 외부망을 이용할 수 있는 시스템을 별도로 둬야 한다. 금융기관 관계자는 “망분리를 한다면 인터넷이 꼭 필요한 부서에만 외부망에 접속된 시스템을 설치해야 한다”며 “인터넷이 보편화된 시대에 내부 반발이 있다”고 설명했다.

망분리 중 가상화를 이용하는 경우는 네트워크망을 타고 내 정보, 내 애플리케이션에 접근할 수 있어 속도가 떨어진다는 단점도 지적된다.

이에 따라 망분리를 도입한 금융기관들은 IT에 대한 이해가 높아 상대적으로 반발이 적은 IT본부부터 시범 적용한다.

최근 공격을 받은 농협, 신한은행 등도 IT부서만큼은 망분리를 하고 있다. 농협 관계자는 “IT분사는 망분리가 됐다”고 설명했다. 신한은행 관계자도 “개발부분은 망분리가 돼 있다”며 “다른 은행과 비슷한 수준”이라고 말했다.

■망분리 구현 방법 가지가지

망분리는 크게 3가지 방식으로 구현한다. 물리적, 논리적 망분리다. 논리적 망분리는 다시 컴퓨팅 기반, 가상화 방식 등으로 구분한다.

이중 보안성이 가장 높은 망분리 방식이 물리적인 구현이다. 물리적 망분리는 2개의 컴퓨터를 사용하는 방식이다. 내부망을 사용하는 업무시스템용 PC, 외부망을 이용하는 인터넷용 PC를 별도로 둔다.

최근 은행권이 IT부서를 중심으로 도입을 시작한 방식이 물리적 망분리다. KB국민은행, 농협 등의 IT부서를 가보면 인터넷을 사용할 수 있는 전용 PC가 따로 있다. 이 PC만 외부망에 접속됐고 개발팀이 사용하는 망은 외부 영향을 받지 않는다.

지난 2011년 농협 사태가 외주 개발인력의 노트북을 통한 침해사고라는 발표가 나오면서 개발부서의 망분리를 실행했다. 이 방식은 사용자가 불편하고 비용이 많이 든다는 단점이 있다.

가격이 비싼 서버, 스토리지 등이 외부망용, 내부망용으로 똑같이 한 대씩 필요하기 때문이다. 기반 인프라 구축 비용이 2배로 올라간다.업계 관계자는 “다만 이 방식은 검색 서비스 등을 이용하기 위해서는 자리를 떠나 인터넷 PC로 가 내용을 적고 다시 자리로 돌아와 일해야 하는 등 불편한 점이 많다”고 지적한다.

■논리적 망분리, 가격은 싸지만 보안성 낮아

가격을 낮추고 편의성을 높이고자 등장한 방식이 논리적 망분리다. 이 방식은 시스템을 영역별로 나눈다. 외부망 영역, 내부망 영역으로 구분해 서로 영향을 미치지 않도록 하는 구조다.

가격도 싸고 동일한 시스템에서 외부망, 내부망을 이용할 수 있어 사용자도 물리적 망분리에 비해서는 편리하다. 가격 장점 때문에 금융기관 일부가 망분리를 위해 도입했다.

다만 이 방식은 자칫 잘못해서 구분된 영역의 시스템이 자칫 서로 영향을 줄 수 있어 100% 안전한 방식은 아니라는 지적이다. 이외에 대수가 많은 PC의 경우 유지보수가 어렵다는 단점도 지적된다. 이같은 방식을 제공하는 대표 기업으로는 마이크로소프트, 안랩 등이 있다.

가상화(VDI)를 이용한 방식 구축비용은 물리적 망분리와 CBC, SBC의 중간 정도다. 가상화는 2가지 방식으로 또 다시 구분된다.

가상화란 말 그대로 가상의 시스템을 만든다. 중앙에 서버나 PC를 두고 내가 사용하는 시스템에서 원격으로 가상의 서버, PC를 내 시스템처럼 사용한다. 가상화 방식에는 또 2가지가 있다.

데디케이트, 풀 방식이다. 데디케이트 방식은 사용자별로 가상화된 PC의 지정 역역을 주도록 한다. 내가 접근할 수 있는 영역은 중앙의 PC, 서버에 정해졌다. 풀 방식은 중앙의 통제시스템이 별도의 영역을 두지 않고 모든 서버, 모든 PC를 관리하도록 한다.

관련기사

데디케이트 방식을 사용하면 설치한 애플리케이션, 정보를 계속해서 자신의 시스템 안에 있는 것처럼 이용할 수 있다. 문제점은 가상화 서버, PC의 일정 영역이 악성코드에 감염되면 여기에 연계된 모든 시스템이 영향을 받을 수 있다는 점이다.

풀 방식은 가상화 공간의 영역이 별도로 지정돼 있지 않아 내 정보를 남겨둘 수 없다는 단점이 있다. 반면 중앙의 PC나 서버가 청정하게 시스템을 관리할 수 있다는 장점이 있다. 가상화 솔루션을 제공하는 업체는 시트릭스, VM웨어 등이다.