IT강국이라는 말이 무색할 정도로 잇따른 정보유출 사고를 경험하는 사이 우리의 정보는 이미 ‘공공재’와 다름없다는 말을 농담처럼 내 뱉는 상황이 됐다. 물론 사건 사고가 터질 때마다 매번 새로운 대응책이 신속하게 적용됐지만 효과는 미비했다.
최근 화두가 되면서 더욱 익숙한 클라우드 기반의 ‘사물인터넷’(Internet of Things, 이하 IoT) 은 주변의 사물이 인터넷에 연결돼 정보를 교류하는 것을 의미한다. 이 같은 상황에서 오늘날 지루하게 여겨질 정도로 만연한 보안사고로부터 우리의 정보가 안전하다고 확신할 수 있을까?
그렇기에 이용자의 금융 정보 또는 사회 활동의 기본이 되는 신상에 관련된 중요한 내역은 타인 또는 악용할 가능성이 있는 곳에는 절대로 유출되지 않도록 치밀한 관리가 필요하다. 뒤늦게 마련된 재발방지 대책의 일환으로 정부는 지난 2012년부터 공공기관과 일정 규모 이상을 지닌 기업을 대상으로 '인터넷 망분리' 적용을 의무화 시킨 바 있다.
‘망분리’는 쉽게 말해 업무환경을 내부 업무망와 외부 인터넷망으로 이원화 시켜 중요한 정보에 대해 허가받지 않는 자의 외부 접근을 원천 차단하겠다는 논리다. 이론상으로는 흠잡을 수 없는 완벽한 대책이지만 현장에서의 혼선은 계속되고 있다. 가령 서두에서 지적한 IoT 기반의 산업이 화두가 되어가는 최근의 추세를 거스르는 모양새가 되는 것과 함께 기업 입장에서는 이를 위한 예산 마련도 부담이다..
그렇다보니 실무 담당자의 고충은 시간이 지날수록 깊어지고 있다. 금융권을 시작으로 적용 범위가 확대되어 가는 ‘인터넷 망분리 의무화’ 제도는 어느 덧 2년 차에 접어들었지만 해결책은 요원한 상태다. 창과 방패의 싸움과도 비교될 정도로 보안에 대해 100% 대책이 없다고 한다면 가장 효율적인 방법을 선택하는 것이 현명한 선택일 수 있다. <자료제공: 에이텐코리아>
금융권 일몰 시한 코앞으로
망분리는 지난 2012년 정부에서 클라우드법을 개정한 이후 의무화라는 명분이 더해지면서 더욱 영향력이 막강해졌다. 게다가 2013년에 발생된 ‘3.20 전산사태’로 인해 필요성이 한층 탄력을 받으면서 금융 전산망 분리 가이드라인까지 연달아 구축된 상태다.
이 같은 분위기 속에서 2015년 제 1금융권이 먼저 망분리를 매듭지었고 제2금융권은 2016년 안으로 사업을 마무리 지어야 한다. 물론 공공기관도 도입이 한창이다.
하지만 이를 시행하는 현장의 모습은 연일 혼선의 연속이다. 하루가 머다 하고 열리는 세미나와 컨퍼런스에서는 ‘자사의 솔루션이 우세하다’는 내용만 반복하고 있기에 선택의 실마리가 되기에는 여전히 부족하다. 지난해 사업을 마무리한 제1금융권의 적용 사례를 기준으로 삼기에는 미흡한 부분이 너무 많다.
게다가 ‘효율’과 ‘비용’이라는 조건에 ‘사후관리’까지 충족시켜야 하기에 섣불리 선택할 수도 없는 것. 어느덧 사업종료 시기는 6개월 앞으로 좁혀진 상태다. 자칫 촉박한 일정에 맞춰 졸속으로 처리하다보면 망분리의 본래 도입 취지를 무색하게 만들 보안 이슈가 머지않아 번복될 가능성도 무시할 수 없다.
망분리 의무화 물리적 vs 논리적
망분리는 인터넷이 연결된 외부망과 사무 환경이 될 내부망을 효율적으로 분리하는 것이 핵심이다. 크게 두 가지 방법이 있는데 먼저 물리적인 망분리는 KVM 스위치와 같은 물리적인 솔루션을 도입해 내부망과 외부망을 나눈다. 반면 논리적 망분리는 가상화 소프트웨어를 이용해 각각의 영역을 분리하는 방법이다.
정부의 가이드라인은 은행 전산센터의 경우 물리적 망분리를, 본점과 지점은 물리적 혹은 논리적 망분리의 최종 결정권은 은행별 재량으로 넘겼다. 이에 따라 공공기관을 비롯해 비교적 높은 보안 등급이 요구되는 특수 은행이 ‘물리적 망분리’로 기운 상태다.
이 방법은 망분리의 도입 취지에 가장 완벽하게 부합함과 동시에 외부망과 내부망을 명확히 분리한다. 내부와 외부 네트워크에 연결될 2대의 PC를 별도의 KVM 스위치를 이용하는 것으로 망분리 환경 구축 완료. 무엇보다 KVM 스위치의 경우 다양한 주변기기 호환성과 전환이 빠르게 이뤄지는 것이 망분리 기술의 핵심인데 에이텐(ATEN)의 제품은 이 부분에서 우수한 경쟁력을 지녔다고 평가받고 있다.
반면 논리적 망분리는 좀 더 복잡하다. 구현 가능한 방식도 두 가지로 나뉘는데 중앙 서버를 중심으로 가상화 환경이 구현되는 서버기반컴퓨팅(SBC) 방식과 한 대의 PC를 일반 영역과 가상화 영역으로 나눠 동작시키는 클라이언트기반컴퓨팅(CBC) 방식이다.
초기 CBC 방식은 비용절감(구축·운영) 효과가 크다는 것과 기존에 사용하던 PC 환경과 흡사하기에 사용하기 편리하다는 장점으로 주목을 받았으나 이후 관리 문제(PC가 독립된 개체로 움직이는 클라이언트 기반으로 관리자의 부재가 곧 작업 지연으로 이어지는 부작용)가 불거지면서 시장 확대에 어려움을 겪고 있다.
그렇다보니 중앙 서버에서 일괄적으로 관리 및 통제가 이뤄지는 SBC 방식이 논리적 망분리 방식으로는 더 나은 기술력으로 주목받고 있다.
도입 초기단계…누가 더 유리한가?
지금까지의 적용 사례를 분류하면 비교적 보안 등급이 높은 국책은행 및 공금융 성격이 강한 은행은 물리적으로, 그 외 은행은 논리적 망분리의 손을 들었다. 예를 들어 기업은행, 산업은행, 한국은행을 비롯 특수한 목적을 지닌 대형 은행이 물리적 망분리를 도입했으며 일반 은행 중에는 전북은행이 초기 논리적 망분리의 손을 들었으나 실제 적용되는 시점에는 물리적 망분리로 선회했다.
다만 물리적 망분리는 사무망과 인터넷망을 완전히 분리한 방식으로 보안에서 우수하다는 장점과 달리 구축비용이 비싸다는 지적 또한 함께 존재한다. 하지만 시간이 지날수록 관련 하드웨어 장비의 전반적인 가격 하락이 이뤄지면서 도입 여건이 많이 개선된 것.
그렇다면 논리적 망분리가 무조건 적인 대안이 될 수 있을까? 물론 ‘논리적 망분리가 물리적 망분리 대비 상대적으로 보안성이 열악한가?’에 대한 질문에 무작정 ‘그렇다’고 답하긴 어렵다. 그렇지만 논리적 망분리의 이점은 분명하다. 초기 구축단계에서 가장 크게 체감할 수 있는 강점은 비용절감이다.
추후 디지털 업무(스마트워크) 환경 도입을 계획하고 있는 금융권도 논리적 망분리가 좀 더 유리하다. 이는 주도권이 가상화 솔루션에 있는 논리적 망분리 형태에 따른 것으로 다만 이를 위해서는 최적화된 가상화 솔루션 개발이 필수적인데 높은 개발비용이 소반된다. 신한은행 단 한곳만 자체 개발한 망분리 솔루션을 도입한 것 또한 비슷한 이유에서다.
