솔루션

망분리 구축 전 고려해야 할 사안은 무엇?

이민형

[디지털데일리 이민형기자] 지난해 7월 금융당국이 발표한 ‘금융전산 보안강화 종합대책’에 따라 금융권의 망분리가 본격화되고 있다. 현재 주요 은행들은 전산센터를 포함한 전 지점에 시스템 망분리 사업을 완료했거나 진행중이다.

공공기관들과 금융회사들이 망분리를 구현하는데 있어 가장 중요하다고 생각하는 요소는 ‘가상머신(VM) 용량산정’과 ‘망연계의 범위’, ‘개인인증서 보관소’ 등으로 꼽혔다.

가상머신 용량산정의 경우 성능과 비용의 이슈를 모두 가지고 있기 때문에 기획 단계에서 이를 반드시 해결하고 실구축에 착수해야 한다. 업무망과 인터넷망간 연계에 있어서도 어디까지 허용할지에 대한 정책도 수립돼야 하며 업무에 필수적으로 사용되는 개인 파일들을 어디에 저장할 지에 대한 고민도 필요하다.

◆금융회사의 망분리, 체크포인트는?=이병주 K은행 차장은 27일 프라자호텔에서 열린 ‘내부정보보호의 새로운 패러다임, 시스템 망분리’ 세미나에서 서버기반 인터넷 망분리 시스템 구축 사례를 발표했다. K은행은 최근 시트릭스의 가상데스크톱(VDI) 방식으로 논리적 망분리를 구현했다.

이 차장은 “보안침해 및 위협 증가, 망분리 의무화 시행, 현업 업무 연손성, IT업무 연속성 등과 같은 이슈를 한번에 해결할 수 있는 기술로 망분리에 주목했다”며 “망분리 구축으로 개인정보유출 사고 방지, 외부 침입 방지를 비롯해 업무시스템 위험 최소화 등의 효과를 누릴 수 있게 됐다”고 설명했다.

그는 망분리 구축 전 고민했던 여러가지 사안을 공유했다. 이 차장이 가장 강조한 부분은 VM의 용량산정과 디스크에 대한 부분이다.

이 차장은 “가상환경에서 사용할 디스크의 크기를 너무 작게 잡을 경우 성능에 대한 문제가 발생할 수 있고, 반대로 디스크의 크기를 크게 잡거나 VM의 갯수를 너무 많이 잡을 경우 불필요한 예산을 소모할 수 있다. 이 때문에 기획 단계에서 VM 용량산정과 디스크 크기에 대한 고려가 필요하다”고 말했다.

업무망과 인터넷망간 연계시 그 범위에 대한 고민도 필요하다고 이 차장은 설명했다. 그는 “어떤 방식으로 공유를 할 것인지, 사용자 접속 정책은 어떻게 수립할 것인지, 인사DB와 연계를 시킬 것인지, 파일·프린터 등과 연계를 시킬 것인지에 대한 논의를 해야한다”고 전했다.

무엇보다도 업무 연속성을 보장하기 위해 사용자들의 요구사항을 적극적으로 반영할 수 있어야 한다고 이 차장을 설명했다. 특히 개인인증서를 사용할 수 있도록 다양한 변수를 고려해야 한다는 지적이다.

이 차장은 “프로젝트를 진행하기 전 충분한 업무 분석이 필요하며, 금융 및 공공기관의 인증서 프로그램에 대응할 수 있도록 검토를 마쳐야 한다”며 “아울러 변경사항에 따른 위험요소를 방지하기 위해 시스템통합(SI) 업체나 서드파티 솔루션 업체와의 원활한 의사소통과 협조를 해야한다”고 재차 강조했다.

◆국민연금공단은 어떻게 망분리를 구현했나=최근 국민연금공단은 개인의 연금 지급 이력과 재산 정보, 가족 이력, 계좌번호 등 개인의 민감한 정보를 보호하기 위해 논리적 망분리 사업을 완료했다.

공단은 인터넷과 업무망의 연계 서버를 통한 안전한 데이터 처리 환경을 구현했으며, 사용자가 인터넷을 사용할 때 서버를 통해 접근하도록 해 인터넷을 통해 감염되는 각종 악성코드 유입을 차단했다.

이와 함께 공단은 가상화 기술을 통해 정보자원이 개인의 PC가 아닌 중앙 서버에 저장되도록 해 내부 직원들이 외부로 자료를 유출할 수 없도록 했다.

김상우 타임게이트 부장은 “VDI 방식으로 논리적 망분리를 구축했으며 데스크톱 풀드를 채택해 사용자가 PC에서 로그오프하거나 리셋을 할 때 초기화되도록 했다”며 “이는 개인정보유출과 악성코드의 감염을 사전에 차단할 수 있는 방식”이라고 설명했다.

공단은 본부 전체 부서 800명에 대한 망분리 시스템을 구축했다. 이를 위해 타임게이트는 전체 인원의 70% 수준인 560개의 VM을 생성해 운영할 수 있도록 구축했다. 이는 인원 증감에 대한 유연성을 고려했기 때문이다.

김 부장은 “400명의 동시접속을 감당할 수 있도록 구축됐으며, 초기화 방식이라도 혹시나 모를 위험에 대응하기 위해 사용자 접속 로그를 남기도록 했다”며 “성능에 대한 문제를 방지하기 위해 솔리드스테이트디스크(SSD)를 채택했다”고 말했다.

공단은 망분리 시스템 이용시 직원들이 느낄 수 있는 불편을 해소하는데 신경을 썼다. 기존 망분리 시스템의 경우 망간의 이동이나 연계 서버 추가 등으로 인해 망에 접속시 인증절차를 여러 번 거쳐야 한다. 하지만 공단은 원클릭시스템을 구축해 한 번의 아이디와 비밀번호 입력만으로도 접속이 가능하도록 이를 개선했다.

이와 관련 김 부장은 “가상화 관리 포털 통합 인터페이스를 구현해 세 번의 인증 절차를 한 번으로 대폭 줄였으며, 인사DB와 연동해 입사자와 퇴사자의 계정을 자동으로 관리할 수 있도록 했다”며 “특히 사용자 편의를 돕기 위해 업무용 인터넷 사이트에서 사용되는 액티브엑스(Active-X) 등 플러그인을 모두 VM 이미지에 탑재했다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널