망분리가 의무화 된 공공·금융기관 뿐 아니라 의무 대상이 아닌 일반 기업들도 망분리를 구축하면서 망분리 시장에 다시 관심이 쏠리고 있다. 기업/기관들은 지능형 사이버 공격을 방어하는 방법 중 하나로, 인터넷 접점을 제거하고자 하고 있으며, 그 방법 중 하나로 업무망에서 인터넷 연결을 제한하는 망분리를 구축하고자 한다.<편집자>
망분리, 이론적으로 완벽 … 현실서는 보안 취약
이론적으로 망분리는 사이버 공격을 차단하는 가장 높은 수준의 보안 환경으로 꼽힌다. 사이버 사고를 방지하는 가장 완벽한 방법은 인터넷으로부터 시스템을 단절시키는 것이다. 내부 업무 시스템에 외부망을 연결하지 않으면 사이버 공격이 침투할 지점이 없다.
그러나 현실에서 망분리는 이러한 이상과 상당한 거리가 있다. 업무망과 인터넷망을 구분한 후에도 망간 자료 전송이 필요하다. 이 때 관리자의 승인을 받지 않고 현업 담당자의 자율재량으로 자료를 전송하고 있다. 인터넷에서 사용자도 모르게 감염된 자료가 업무망 내부로 유입될 가능성이 있으며, 업무망의 기밀정보가 외부로 유출될 가능성도 배제하지 못한다.
원칙적으로는 망간 자료 전송시 관리자의 승인을 받아야 하지만, 자료를 전송할 때 마다 관리자 결재를 기다리다보면 관리자 업무가 폭증해 업무처리가 제대로 진행되지 않으며 의사결정이 늦어져 비즈니스에 피해를 입히게 된다.
이 때문에 대부분의 경우 사후결재 시스템을 적용하며, 현업의 자율에 맡기면서 자료전송에 대한 로그기록을 남겨 사고가 발생했을 때 사고경위와 책임소재를 파악하게 된다. 그러나 이 방식은 사후대처에 그치지 않는다. 사고를 예방하기위해 사용자의 보안의식에 의존해야 한다는 점 때문에 망분리의 실효성에 대한 의문이 생길 수밖에 없다.
설계 잘못하면 ‘라이선스 폭탄’ 맞아
망분리의 가장 큰 걸림돌은 라이선스 문제다. 망분리는 한 사람이 2개 이상 OS와 응용프로그램을 사용해야 하기 때문에 응용프로그램의 라이선스를 2개 이상 사용하거나 가상화 라이선스를 구매해야 한다.
윈도우 환경에서 SBC 방식으로 망분리를 구축할 때, MS 라이선스는 기본적으로 ▲VM 라이선스 ▲윈도우 라이선스 ▲버추얼 데스크톱 액세스(VDA) 라이선스 ▲망연계 라이선스를 구입해야 한다. VM 라이선스는 SBC 솔루션에 대한 라이선스를 말하며, 윈도우 라이선스는 구축 사이트마다 다르지만, 현재는 동시접속자 기준으로 라이선스를 부과한다.
VDA는 물리적인 PC가 가상PC에 접근하는 권한에 대한 라이선스로, SA 계약에는 포함돼 있지만, EA/GA 계약의 경우 망분리 사용자의 모든 단말에 VDA를 내야 한다. 800명을 대상으로 망분리를 할 때, 800명이 사용하는 PC 뿐 아니라 업무상 사용하는 태블릿PC, 노트북 등에 대해서도 각각 비용이 부과된다.
천차만별 망분리 비용, 합리적 설계 필수
망분리를 구축할 때 비용은 방법에 따라 크게 차이가 난다. 물리적 망분리는 기존 업무망에 인터넷망을 별도로 두는 것으로 네트워크 회선 공사부터, 네트워크 장비, 보안 장비, PC 까지 구축해야 한다. SBC 방식은 가상화 기술을 이용하기 때문에 네트워크와 PC 비용이 들지 않지만, 서버에서 가상PC를 구동시켜 인터넷에 연결해야 하기 때문에 서버, 스토리지 비용이 들며, 업무 데이터가 모두 중앙에서 관리하기 때문에 백업 비용도 소요된다. CBC는 PC를 가상화하기 때문에 상대적으로 비용이 적게 든다.
물리적 망분리를 100이라고 봤을 때 CBC는 절반 정도 비용으로 구축 가능하며, SBC는 작업 내용에 따라 80~120 정도 소요될 수 있다. 하드웨어 리소스를 많이 사용하는 업무를 진행한다면 400 이상으로 늘어날 수도 있지만, VDI에서 인터넷만 사용하는 경우에는 이같은 비용 폭증은 거의 발생하지 않는다.
망분리를 현업에 적용시켰을 때 가장 자주 문제가 발생하는 것은 단말에 설치된 에이전트와 충돌을 일으키거나 장애를 발생시킨다는 것이다. 단말에 설치된 에이전트가 가상환경을 침해로 인식하고 가상환경을 구동시키지 않는 것이 대표적인 예로, CBC 방식의 망분리 환경에서 가장 많이 일어나는 문제이다. 특히 CBC는 윈도우 및 각종 응용프로그램의 업데이트가 발생할 때 마다 충돌 문제를 해결하는데 상당한 어려움을 겪게 된다.
SBC 방식에서는 가상PC에서 액티브X 등 비표준 웹환경이 구동되지 않거나 CBC와 마찬가지로 DLP·DRM 등이 가상환경의 접속을 차단하는 경우가 있다. 특히 SBC 방식으로 가장 많이 사용하는 가상데스크톱인프라(VDI)는 외산솔루션이 많기 때문에 국내의 특수한 상황을 맞추는데 상당한 시간이 걸린다.
VDI 솔루션 기업들은 이미 오랜 기간 국내에서 VDI 사업을 진행해 온 만큼, 국내 환경에 필요한 커스터마이징이 완료됐다고 주장한다. 인터넷뱅킹, 민원사이트 접속을 위한 액티브X 이용이나 DRM·DLP와의 충돌 문제도 해결했다고 강조한다.
VDI 솔루션은 동시접속자 기준으로 라이선스를 책정하는데, 가상PC를 할당받은 사용자가 업무 종료 후 해당 가상PC를 회수시키지 않고 그대로 남겨뒀을 때, 사용하지 않는 가상PC에 대한 관리가 되지 않아 비용이 증가하는 등의 문제가 발생할 수 있다.
VDI 솔루션에서 기본적으로 세션이 만료되면 자동으로 가상PC가 삭제되는 등의 기능을 제공하지만, 가상PC를 관리하는 전용 시스템을 사용하면 관리 업무를 더욱 효율화 할 수 있다. 가상PC가 할당될 때, 사용기한을 지정하면 기간 종료가 다가올 때 사용자에게 알람을 띄우고, 사용자가 추가 요구하지 않으면 자동으로 삭제되는 등의 기능이 관리 시스템에 포함돼 있다. 이 기술은 국내에서 개발돼 해외 VDI 사업에 사용되는 등의 성과를 거둔 예도 있다.
