인천광역시교육청(교육감 이청연 www.ice.go.kr)은 안전한 교육환경을 만들기 위해 망분리 시스템을 도입해 학생들의 개인정보를 사이버 공격으로부터 안전하게 보호하고 있다. 인천시교육청은 공공기관 망분리 의무화 대상 기관은 아니지만, 개인정보를 노리는 지능형 타깃 공격이 기승을 부리면서 개인정보를 보호해야 할 요구가 높아졌기 때문이다.
진교권 정보지원과 정보보호팀 주무관은 “교육행정업무를 진행하다보면 사용자 PC에 학생들의 개인정보나 중요정보가 저장되는데, PC에 악성코드가 감염되면 이러한 정보가 불법적으로 빠져나갈 가능성을 배제할 수 없다”며 “인터넷망을 업무망과 분리해 중요정보가 인터넷을 통해 유출되는 것을 막기 위해 망분리를 도입했다”고 말했다.
학생 개인정보 보호 위해 논리적 망분리 검토
처음 망분리 사업을 시작한 것은 외주인력으로 인한 보안사고 위험을 낮추기 위한 것이었다. 인천교육청은 시스템 개발과 유지보수를 위해 10여명 내외의 외주인력이 상주하고 있는데, 외주인력은 자주 바뀌기 때문에 이들의 업무를 체계적으로 관리하면서 정보유출을 막을 수 있는 방법이 필요했다.
외주인력 PC를 관리하기 위한 방법으로 물리적 망분리를 고민했으나, PC나 시스템 내에 보관된 학생들의 개인정보와 교육행정 정보 등 내부에서 관리하는 정보에 대해서도 보호해야 할 필요가 있어서 논리적 망분리를 구축하기로 결정했다.
진교권 주무관은 “업무가 복잡해지면서 내외부 조직과 협업해야 할 일이 많아져 사용자 PC에 문제가 생겨서 자료가 사라지거나 유출됐을 경우 조직이나 프로젝트 전체에 영향을 미칠 수 있다는 우려도 있었다”며 “사용자 PC에 저장된 정보 뿐 아니라 서버에 저장된 정보도 함께 보호하기 위해서는 인터넷망을 분리해 정보 유·손실이 발생하지 않도록 막아야 했다”고 설명했다.
인천시교육청은 물리적 망분리와 SBC·CBC 방식의 논리적 망분리 기술을 검토한 후 논리적 망분리가 교육청 환경에 적합하다고 판단했다. 그 후 논리적 망분리 솔루션을 다각도로 검토해봤으나 인천교육청이 요구하는 것에 적합한 솔루션을 찾기 어려웠다.
인천교육청은 클라우드 스토리지 개념을 채택한 망분리 환경을 원했다. 해킹으로부터 중요정보를 보호하는 것 뿐 아니라 외부에서 업무를 수행할 수 있도록 정보에 안전하게 접근할 수 있는 환경도 함께 구현할 수 있기를 바랐다. 중앙 스토리지에 데이터를 저장하고, 그 데이터에 접근할 때에는 인터넷이 연결되도록 하는 방식이 필요했다.
이는 교육청 업무 특성상 인터넷망을 완전히 분리했을 때 업무 생산성이 크게 떨어지기 때문이다. 교육청에서는 업무를 통해 생산한 정보를 교육행정정보시스템(NEIS), 에듀파인 학교회계시스템 등에 업로드해야 한다. PC에서 인터넷 접속을 분리하고 망연계 시스템을 이용해 정보를 업로드하려면 망연계 구간의 병목이 심하고, 결재를 거치는 과정도 복잡해진다. 또한 외부에서 업무를 수행할 때에도 상당히 많은 제약이 따른다.
화이트리스트 기반 인터넷 접속 차단 정책 적용
인천교육청은 전자문서관리 시스템(ECM), 문서중앙화, 데스크톱 가상화(VDI) 등의 기술을 조합해 교육청 업무에 최적화된 시스템을 찾았다. 인천교육청은 이미 업무관리 시스템과 전자결재 시스템을 갖추고 있었기 때문에 화이트리스트 기반 인터넷 접속 허용/차단 정책 구현이 가능한 제품을 중심으로 검토했다.
국내에 공급되는 ECM이나 문서중앙화 제품은 인터넷 망 분리 기능이 없었으며, VDI는 가상PC를 이용해 인터넷/업무망을 분리하는 것이기 때문에 필요한 경우에만 인터넷 연결을 허용하고자 하는 요구에 맞지 않았다. CBC 방식의 망분리 솔루션은 실제 업무 환경에서 업무망과 인터넷망 전환에 상당한 시간이 걸려 업무 생산성에 지장을 초래할 가능성이 있었다.
인천교육청은 넷아이디의 ‘클라우독’에서 제공하는 ‘네트워크락’ 기능이 망분리 요건을 모두 만족시킬 수 있다고 판단했다. 네트워크락은 평소에는 인터넷 접속을 차단한 상태로 업무망 연결만을 지원하다가 관리자가 허용한 인터넷 사이트에 접속할 때 인터넷에 연결하는 기능이다.
진교권 주무관은 “특정한 정부 유관기관과 인터넷 연결로 협업을 해야 하는 인천교육청 업무에 네트워크락 기능은 최적화된 망분리 환경을 구현하도록 도와줄 수 있는 핵심 기능이었다. 클라우독의 네트워크락 기능을 이용해 기존 업무와 거의 비슷한 환경을 유지하면서 망분리 효과를 거둘 수 있었다”고 밝혔다.
보안은 물론 스마트워크 환경도 지원
인천교육청 망분리 사업은 지난해 상반기 검토를 시작해 업무환경 분석과 적용범위 결정, 솔루션 선정 등을 거쳐 11월부터 1월까지 시스템 구축을 완료하고 2개월여간 시범서비스를 거친 후 3월부터 정식 운영하고 있다.
인천교육청은 보통 망분리와는 다른 방식의 망분리 시스템을 구축했기 때문에 초기 구축 과정에서 다소 시행착오를 경험했다. 인터넷망과 업무망 전환에 걸리는 시간을 단축시키고, 기존 계정관리 시스템과 망분리 시스템을 연계하는 과정, 그리고 접속 가능한 웹사이트 리스트를 적용하는 과정 등에서 예상하지 못했던 장애가 발생했다. 넷아이디는 이러한 장애에 즉시 대응해 문제를 해결하면서 망분리 시스템이 안정적으로 구동될 수 있도록 했다.
진교권 주무관은 “인천교육청과 같은 방식의 망분리 환경은 아직 구현된 바 없는 새로운 시도로, 넷아이디에서 적극적인 지원을 통해 예정된 기간 내에 무사히 구축 완료하고, 성공적으로 운영할 수 있었다”며 “망분리와 ECM의 장점을 통합한 이 방식은 보안은 물론 스마트워크 등 자유로운 업무환경을 지원할 수 있는 시스템으로 활용될 수 있을 것”이라고 말했다.
인천교육청은 새로운 교육감이 부임하면서 조직을 개편하는 과정에서 망분리 효과를 톡톡히 볼 수 있었다. 기존 환경에서는 직원 개개인의 PC에 중요정보가 저장돼 있으며, 이러한 정보가 제대로 관리되지 못했기 때문에 조직개편을 진행한다면 업무 변화에 따라 정보관리 체계를 새롭게 정비하는데 상당한 시간과 노력이 필요했을 것이다.
망분리 사업을 진행하면서 중요 정보를 모두 중앙서버에 저장하도록 했으므로, 해당 정보에 접근할 수 있는 권한에 대한 접근정책만 변경하면 개편된 조직 환경에서도 안전하고 편리하게 업무를 진행할 수 있었다.
또한 이메일이나 USB로 자료를 전달하지 않아도 되며, 권한 내에서 접근할 수 있는 정보는 언제 어디서나 접근할 수 있기 때문에 외부 조직과의 협업이나 교육청 외부에서도 업무를 쉽게 진행할 수 있었다. 사용중인 PC에 장애가 발생했을 때에도 PC 백업 없이 다른 PC에서 업무를 할 수 있기 때문에 업무 연속성을 보장할 수 있다는 장점도 있다.
진교권 주무관은 “클라우드 스토리지를 기반으로 망분리가 진행됐기 때문에 자신의 계정만으로 언제 어디서나 필요한 정보에 접근할 수 있어 스마트워크 환경 구현이 가능해졌다.수시로 교육기관에 출장을 가는 감사담당관이나 장학사도 학교 현장에서 직접 업무를 수행할 수 있기 때문에 이동시간을 줄이면서 업무를 완료할 수 있어 생산성과 업무 만족도가 높아졌다”고 설명했다.
업무 환경 맞는 망분리 방식 선택해야
인천교육청이 채택한 형태의 망분리는 공공·금융기관의 망분리 의무화 요건에 맞는 방식은 아니다. 공공·금융기관의 망분리는 인터넷망을 업무망으로부터 완전히 분리하고, 망연계 시스템을 통해 망간 자료전송이 가능하도록 해야 한다. 클라우드 스토리지 기반 망분리는 관리자가 허용하는 웹사이트에는 인터넷 연결을 허용해 직접 자료를 전송할 수 있도록 했기 때문에 망분리 요건에 맞지 않는다. 그러나 규제준수 요건이 없다면 이와 같은 방식의 망분리 환경을 구성하는 것도 효과적인 방법이라고 진 주무관은 설명한다.
그는 “망분리는 보안을 강화할 수 있지만, 사용자의 불편이 가중돼 생산성을 저하시킬 수 있다. 클라우드 스토리지 기반 망분리는 업무 불편을 최소화하면서 보안을 강화할 수 있는 방법으로, 망분리 규제 대상이 아닌 기업/기관이라면 충분히 검토해 볼 수 있을 것”이라고 조언했다.
예를 들어 중요한 기술문서가 핵심 자산인 중소기업이나 연구소, 많은 개인정보를 보호해야 하는 기업 등은 기존 망분리보다 이와 같은 방식의 망분리가 효과적일 수 있다는 설명이다.
진 주무관은 “정보보호는 보안 솔루션이 아니라 정책으로 이루는 것”이라며 “망분리를 검토하는 기업은 ‘망분리’ 자체가 목적인지, 중요한 정보와 시스템을 보호하는 것이 목적인지 명확히 한 후 목적에 맞는 기술을 적용하고 현업의 불편을 최소화 할 수 있는 방법을 찾아야 한다”고 말했다.
