망분리 기술의 가장 큰 취약점은 사용자
상태바
망분리 기술의 가장 큰 취약점은 사용자
  • 최형주 기자
  • 승인 2019.10.16 09:32
  • 댓글 0
이 기사를 공유합니다

망분리 구축 네트워크 보안 사고는 전부 이용자 실책

[CCTV뉴스=최형주 기자] 망을 분리해 인트라넷을 구축한다는 것은, 집단 내 개인의 부주의만 없다면 최고의 보안 솔루션으로 작용한다.

인터넷의 첨부파일 형식 등을 통해 전파되는 랜섬웨어, 악성코드가 민감한 정보를 담고 있는 서버에 전파될 수 없기 때문이다.

하지만 망분리가 완벽한 것은 아니다. 망분리의 허와 실에 대해 알아본다.

정부 주도로 추진된 망분리

2006년 국가정보원은 ‘국가정보보안기본지침’을 통해 모든 공공기관이 별도의 망을 써야 한다고 규정했다. 이때부터 정부는 해킹 대처방안을 수립했고, 2008년부터 2009년까지는 국토해양부, 지식경제부, 대통령실, 대검찰청, 방송통신위원회 등 공공기관에서 물리적 망분리 시범사업을 시행했다. 2010년 기관들은 1인 2PC를 사용하는 물리적 망분리를 완료했다.

2010년부터는 가상화 기반의 논리적 망분리 방식 적용도 추진했다. 국가기록원과 국립수산과학원, 국립환경과학원 등이 조달청을 통해 네트워크 분리 사업의 입찰을 실시한 것이다. 우리나라의 망분리 사업은 이렇게 확산되기 시작했다.

그러다 2013년 3월 금융권 및 방송사의 전산에 동시다발적인 장애가 발생한다. 장애는 인터넷을 통해 내부시스템에 접근이 가능한 운영단말기 등이 악성코드에 감염되며 일어났다. ActiveX의 취약점을 이용해 정보유출 및 자료 파괴를 초래한 이 사건이 일어난 이후, 정부는 같은 해 7월 금융기관을 대상으로 보안강화 종합대책을 발표하게 된다.

종합대책의 내용은 금융전산 위기대응 체계 강화, 금융회사의 전자금융기반시설 보안 강화, 금융회사의 보안조직과 인력 역량 강화, 금융 이용자 보호 및 감독 강화, 금융회사의 자율적 보안노력 지원 등이다.

대책 발표 직후인 9월엔 정부가 ‘금융전산 망분리 가이드라인’을 배포했다. 가이드라인은 2014년까지 금융회사 전산센터 망분리 일정을 제시했고, 은행 본점과 영업점은 2015년 말, 2016년엔 제2금융권의 망분리 일정을 제시했다.

가이드라인은 업무용PC의 인터넷망과 외부메일을 원칙적으로 차단하고, 인터넷과 외부메일 이용 시 문서편집은 불가한 읽기전용 PC를 구축할 것을 명시하고 있다. 또한 망분리의 불편해소를 위해 망 간 중계서버를 이용한 파일 송수신을 가능하게 했으며, 업무망에서는 금융회사 내부 메일만 사용하고 외부 메일은 인터넷 PC를 따로 두어 이용할 수 있게 했다.

보안 업데이트 파일을 설치·관리해 주는 패치관리 시스템도 인터넷과 분리해 오프라인 방식으로 운영하게 했다. 또한 PC와 노트북 등의 비인가 기기가 접속할 수 없도록 통제했다.

망분리는 정부와 지자체, 금융기관 뿐만 아니라 100만 이상 개인정보 보유 사업자들도 의무적으로 시행하도록 했다. 대기업을 비롯한 방위산업체도 정부의 주도 아래 망분리 의무화(2013년 2월 18일 시행)에 동참했다.

 

망분리는 완벽하지 않다

하지만 망분리를 적용했음에도 악성코드 공격이 성공한 사례가 있다. 지난 2010년 6월 발견된 스턱스넷 악성코드는 이란의 핵 시설을 공격하며 ‘역사상 최대의 기술 블록버스터’라고 불리기도 했다.

당시 스턱스넷에 의해 이란 부셰르 원전과 나탄즈 우라늄 농축시설의 가동이 멈췄다. USB 메모리를 통해 원전 제어시설을 감염시킨 스턱스넷은 원심분리기를 조작해 핵 시설을 파괴했다. 이때 약 1천 개 이상의 원심분리기가 파괴됐다.

분리된 망을 침투한 사건은 한국에서도 일어났다. 한국수력원자력(이하 한수원)는 지난 2012년 물리적 망분리를 추진해 내부망을 구축했고, 원전제어망·인터넷망·업무망의 총 3개 망으로 나눴다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.