망분리, 사이버 테러 막는 새로운 대안 될까?
| 주제 | 통신 |
|---|---|
| 칼럼 분류 | 일반기사 |
| 칼럼 작성일 | 2013-06-10 |
| 원본보기 |
2013년 3월 20일, 국내 주요 방송사와 금융사의 전산망이 마비되고 다수의 컴퓨터가 악성코드에 감염되며 큰 피해가 발생했다. 은행 ATM기 상당수가 작동을 멈춰 고객들이 불편을 겪고 방송사 기자들은 손으로 기사를 작성해 내보내는 등 웃지 못할 헤프닝이 이어졌다.
문제는 이런 사이버 테러 사건이 처음이 아니라는 점이다. 이미 지난 2008년에는 인터넷 쇼핑몰 옥션이 해킹을 당해 1,800만 명의 고객 개인정보가 유출된 바 있다. 2011년에는 온라인 커뮤니티 네이트와 싸이월드가 해킹을 당해 3,500만 명의 개인정보가 유출됐고, 현대캐피탈, 삼성카드 등 금융기관도 전문 해커집단의 공격을 받았다.
사이버 테러로 인한 피해를 없애기 위한 방법은 없을까. 정부는 2012년 8월 정보통신망법 개정으로 100만 명 이상 이용자의 개인정보를 보유했거나 정보통신서비스 매출이 100억 원 이상인 정보통신서비스 사업자의 경우 ‘망분리’를 의무적으로 도입할 것을 법으로 의무화했다. 기업들은 보안 강화 차원에서도 망분리가 도움이 될 수 있다고 보고 망분리를 적극 검토하고 있는 추세다.
망분리는 3 · 20 전산망 마비 사건과 같은 해킹을 막을 수 있는 최선의 기술로 주목받고 있다. 망분리란 외부의 침입으로부터 내부 전산자원을 보호하기 위해 네트워크망을 이중화시켜 업무용과 개인용으로 분리하는 것을 말한다.
망분리는 크게 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망분리는 개인 당 두 개의 PC를 사용하거나 전환 스위치로 망을 분리하는 방식, 네트워크 카드를 두개 탑재한 PC를 사용하는 방안 등이 있다. 그동안 대부분의 공공기관들은 보안 등의 이유로 두 대의 PC를 사용하는 물리적 망분리를 실시해 왔다. 완벽한 망분리가 지원돼 내부망의 안전성이 높다고 평가되기 때문이다.
하지만 개인 당 두 대의 PC를 사용하는 것은 비용이 많이 들고, 정부부처 이전이나 청사 이전을 할 경우 구축한 인프라를 재활용 할 수 없다는 단점이 있다. 게다가 PC의 수가 물리적으로 많아지면서 발열로 인해 업무환경도 악화된다.
이에 따라 2011년 우정사업본부를 시작으로 특허청, 남부발전 등의 공공기관들은 논리적 망분리를 선택했다. 2013년에 들어서는 물리적 망분리보다 논리적 망분리를 선호하는 추세다.
논리적 망분리는 일종의 가상화 영역의 망분리로, 개인 당 한 대의 PC에서 내부망과 외부망을 분리하는 방식이다. 때문에 기반환경 구축에 대한 관리 및 운영비용이 물리적 망분리보다 저렴하다. 하지만 웜이나 바이러스 유입이 가능하고 내부망에서 인터넷망으로 바로 연결될 수 있다는 보안의 위험이 있다.
논리적 망분리는 다시 가상화 기술을 이용한 VDI 방식과 PC 운영체제를 분리하는 OS 커널 분리 방식으로 나뉜다. VDI는 데스크톱을 가상화시켜 서버에서 전산자원을 끌어다 사용하는 방식으로 업무용 VDI 전환을 통한 망분리와 개인용 VDI 전환을 통한 망분리로 분류된다.
업무용 VDI 구축의 경우 업무 전체의 전산 자원을 서버에서 가져오는 방식으로 정보자원의 중앙통제를 통한 보안 유지와 언제 어디서나 개인 단말기로 업무를 볼 수 있는 스마트워크, 효율적인 PC관리가 강점이다. 다만 업무용 VDI 전환을 통한 망분리는 전체 업무에 대한 가상화로 비용이 비싸다는 단점이 있다.
이로 인해 나온 개념이 개인용 VDI 전환을 통한 망분리다. 개인용으로 활용하는 부분만을 가상화하는 것이라 상대적으로 비용이 저렴하다. 이 같은 VDI 컨셉트는 우리나라에만 존재하는 것으로 시트릭스나 VDI 구축 벤더들이 만들어 낸 정책이다.
현재 망분리 사업을 진행 중인 대부분의 공공기관들은 망분리 솔루션으로 개인용 VDI를 선택하고 있다. 하지만 VDI의 장점으로 꼽히는 중앙화된 관리나 스마트워크, 보안 등의 혜택은 개인용 VDI에는 해당되지 않는다.
VDI 방식과는 다르게 운영체제를 이중화시켜 논리적으로 망을 분리하는 OS 커널 분리 솔루션도 많이 이용되고 있다. 이 솔루션은 안랩과 미라지웍스가 주로 제공하고 있는데, 업무용과 개인용으로 운영체제를 따라 만들어 네트워크에 연결시키는 방식이다.
OS 커널 분리 솔루션의 경우 VDI를 구축하는 것보다 가격이 훨씬 저렴하다. 특히 VDI는 시스템 장애 시 전체 이용자가 피해를 보지만, OS 커널 분리 방식은 하나의 PC만 장애가 발생하기 때문에 위험 관리 측면에서 우수하다.
하지만 PC의 운영체제가 윈도XP에서 윈도7, 윈도8 등으로 계속해서 업데이트되는 상황에서 OS 분리를 지속적으로 보장해 주느냐의 문제와 PC에 애플리케이션을 추가할 때마다 호환성을 검증해야 한다는 부분은 단점으로 지적된다. 스마트워크 등 유연한 업무 체제로의 전환을 지원하지 못한다는 문제도 있다.
이렇듯 망분리는 각각 장단점을 가지고 있다. 어떤 방식을 택하느냐에 따라 사이버 테러에 대한 위험도가 달라질 수 있기 때문에 신중한 결정이 필요하다. 또한 특정 망분리 솔루션을 유행처럼 똑같이 사용하다 해킹이 한 곳에서 일어날 경우, 다른 곳도 같은 피해를 입을 수 있다. 인류의 컴퓨터 의존도는 점점 높아져 가고 있고 해킹은 날이 갈수록 진화하고 있다. 어떤 방식이든 사이버 테러로 인한 피해가 다시는 발생하지 않도록 최선의 방책을 찾는 것이 급선무다.
글
- 심우 - 과학칼럼니스트