지난 7월 11일 금융위원회는 최근 잇따라 발생한 금융권 전산망 공격의 대안으로 ‘금융전산 보안 강화 종합 대책’을 발표했다. 날로 대형화, 지능화gk는 보안 위협에 대응하기 위한 대응 체계로 업계의 가장 큰 주목을 받은 사안은 단연 ‘금융 전산 망분리 의무화 추진’이었다.
9월 14일 서울여대에서 열린 제 2회 Lemon-APNG 정보보안 컨퍼런스에서는 서울여대 안은희 학생의 ‘금융권의 망분리 보안 대책’에 관한 발표가 진행되었다. 아래는 주요 내용.
스파이처럼 침투해 스폰지처럼 감염되고 때를 기다리는 숨바꼭질형 악성코드. 바로 APT 공격이다. 해커는 목표물을 먼저 조사한 뒤 내부 직원이 접속할 만한 시스템을 악성코드에 감염시킨다. 내부 직원이 웹 서핑을 하다가 악성코드를 다운로드하면 악성코드가 내부 직원 컴퓨터에 들어오게 된다. 이때부터 악성코드는 때를 기다리는 숨바꼭질을 한다. 악성코드는 서버 인프라 구조를 파악하고 회사와 관련한 모든 정보를 천천히 시간을 들여 살펴본다. 그리고 흔적을 남기지 않고 은밀히 활동하면서 회사 내의 보안 서비스를 무력화하고 유유히 정보를 유출한다. 따라서 공격을 당한 기업은 한참 뒤에야 해킹 사실을 알게 된다.
올해 초 문제가 되었던 방송사, 금융사 3.20 해킹 사태에서도 공격자가 백신, Active-X로 위장한 악성코드를 이용해 업무용 PC, ATM, 내부 서버를 공격했다. 이 사태로 망 분리의 외면이 피해를 키웠고 망 분리가 제2의 3.20 사태를 막을 것이라며, 기존 단일 망에서 발생되는 공격의 위험을 막기 위한 대응책으로 망 분리 기술이 대두되었다.
망 분리란?
망 분리란 내부 정보 유출 방지 외부로부터의 침해를 차단하기 위해 컴퓨터를 업무 영역과 인터넷 영역으로 나누는 것으로 외부 해킹사고 발생 감소, 악성코드 내부 망 침투 방지, 침해에 따른 업무 손실 최소화, 중요자료 유출 및 훼손 방지와 같은 효과를 기대할 수 있다.
망 분리 기술은 다음과 같이 분류된다.
복수PC는 업무PC와 인터넷PC를 별도 제공하는 명확한 개념의 망 분리로 물리적 망 분리에 주로 사용된다. 사용자의 부주의 및 악의적 의도로 두 PC간 자료 이동 시 보조기억장치를 통해 인터넷PC에 감염된 악성코드가 업무PC 유입할 수 있는 위험이 존재한다. 네트워크 전환장치는 전환장치를 통해서 내부 망과 외부 망 분리하는 기술이다. 서버기반 가상화는 한 대의 PC를 업무PC로 사용하는 동시에 가상화 서버를 이용하여 인터넷 사용하는 기술로 업무서버로만 접속할 수 있으므로 문서의 외부 유출을 방지할 수 있다. 업무와 인터넷 모두 각각의 중앙 서버에서 통제하므로 유지보수에 용이하지만 인터넷 수집 자료를 PC에 저장 시 해킹의 우려가 있다. 또 가상서버 구축 비용을 필요로 한다. SBC는 통합서버를 여러 사용자가 같이 사용하는 방식으로, 사용자에게는 망으로 화면만 전송되는 방식이다. 각각의 사용자들은 사용자간 환경과 프로그램을 공유하기 때문에 같은 환경과 프로그램을 사용하게 된다. VDI의 경우 개인별 인터넷 PC를 통합된 서버에 개별적으로 설치하게 되어 사용자 별로 개별 OS와 프로그램을 사용할 수 있다. PC기반 가상화는 기존 PC에 가상화된 인터넷 영역 생성하는 방식으로 가상화 서버를 따로 구축하지 않아도 되므로 비용 면에서 가장 효율적이다. 그러나 인터넷 영역과 업무 영역간의 자료이동간 정책을 필요하고 사용자의 부주의 및 악의적 의도로 두 보조기억장치를 통한 정보유출 및 악성코드 감염의 위험이 있다. CBC는 하나의 PC를 두 개의 별도 PC로 OS를 분리하는 방식이다.
망 분리 추진 현황과 추진 방향
금융당국은 강화된 금융IT보안정책을 통해 금융사의 전산센터에는 물리적 망 분리를 의무화하고 업무의 경우 물리적과 논리적 망 분리를 선택할 수 있는 방안을 제시했다.
현재 업종별 망분리 선택 방법을 살펴보면 물리적 망 분리 방식이 전체의 37%에 달하는 모습을 보인다. 은행, 카드, 캐피탈과 같은 다수의 지점과 직원을 가진 업종에서는 논리적 망 분리 방식이 우세를 띄었고 증권, 보험에서는 균등한 비율을, 금융 공기업에서는 물리적 망 분리 방식이 우세를 보이고 있다. 보안성이 가장 우수한 물리적 망 분리가 대규모의 구축 비용과 업무환경 연계 효용성이 극히 낮은 것을 고려하여 업종 상황에 맞는 방식을 채택하고 있음을 알 수 있다. 앞으로의 망 분리는 한 대의 PC속에 가상의 PC를 소프트웨어로 구현해, 기존 ‘1인 2PC’ 방식보다 비용이 저렴하고 PC에서 배출하는 이산화탄소와 각종 유해화학물질을 줄일 수 있는 친환경적인 PC 가상화 기술을 활용하여 단말표준환경(AD)에 인터넷 전용 PC를 추가 제공하는 형태로, 분리 요건을 실행하면서도 기존 인터넷 사용방식과 업무화면 변경이 최소화될 수 있도록 추진되고 있다.
향후 망 분리 사업 추진 시 고려 사항
현재 금융권이 발표한 ‘금융전산 보안 강화 종합대책’은 금융업종의 특수성과 업무 프로세스가 반영되지 않은 상태이다. 망 분리 세부 대책 가이드의 보안이 필요하고 한국 정보화 진흥원, 한국 인터넷 진흥원이 주도적으로 가이드를 배포할 필요성이 있다. 또한 망 분리 사업이 많은 비용을 필요로 하는 만큼 망 분리의 세부 요건의 기준을 명시하고 배포할 필요가 있다.
망 분리의 의무화에 대한 정부의 정책으로 망 분리 사업이 재조명되고 있다. 각 은행 및 기업들이 발 빠르게 망 분리 도입에 속도를 올리고 있다. 그러나 망 분리 시스템이 구축되어서 해결될 문제는 아니다. 앞에서 소개했던 다양한 망 분리 기술은 각각의 장단점을 가지고 있지만 어느 하나 완벽한 보안성을 가진 기술은 없다. 이는 사용자의 보안의식 없이는 어느 것도 안전할 수 없다는 것을 말해준다. 망 분리의 의무화가 이루어지더라도 제2의 3.20사태를 막기 위해서는 그에 따른 교육이 필수적이다. 앞으로의 망 분리 사업의 발전과 함께 신뢰성이 높으면서 구축 비용이 적게 들고 업무적용에 용이한 창의적인 망 분리 기술의 개발을 기대해 본다. Ahn
대학생기자 김지원 / 이화여대 컴퓨터공학과
'현장속으로 > 세미나' 카테고리의 다른 글
안전하고 개방된 사이버 공간을 위해 개발된 기술 (0) | 2013.10.20 |
---|---|
취업 시즌, IT 전공자가 선택할 수 있는 SW 업무들 (1) | 2013.09.30 |
손미나, 삼성전자 연구원이 말하는 실패와 열정 (1) | 2013.09.25 |
개콘 '황해'가 내 일이 되지 않게 하려면 (0) | 2013.09.23 |
10개 대학 정보보호 동아리가 뭉친 까닭은 (0) | 2013.09.17 |