해외 주요국, 데이터 중요도 평가 및 비슷한 등급 그룹핑 후 차별화된 보안 정책 적용
우리나라는 전체 시스템 내 중요도 높은 데이터 기준 일률적 적용...활용성 저하 문제 발생
망 보안 정책 개선...업무 효율성 증대, 보안 강화, 행정 서비스 개선 등 가능
[보안뉴스 김영명 기자] 국가정보원은 국가정보보안 기본지침 제40조에 의거해 망 분리 의무화를 규정하고 있다. 망 분리 정책 도입 배경 및 경과를 보면 2006년 공공기관 망 분리 의무화를 시행했으며, 2007년에는 행정안전부와 국가정보원이 업무 전산망 분리 지침을 발표했다. 2008년에는 18개 국가기관을 대상으로 1차 망 분리 사업을, 2010년에는 27개 국가기관 대상 2차 망 분리 사업을 추진했다.
[이미지=GettyImage]
민간분야 망 분리는 개인정보 보호에 초점을 맞춰 진행됐다. 2011년 3.4 디도스 공격으로 일주일간 금융거래가 마비된 이후 2012년 ‘정보통신망법 시행령’ 개정으로 개인정보 보유 PC의 망 별도 분리를 의무화했다. 2013년 3.20 사이버테러로 2시간 동안 금융업무가 중단된 이후에는 같은 해 7월에 금융전산 보안 강화 종합대책을 발표하고 업무망·인터넷망 분리를 의무화했다.
이러한 가운데 국가보안기술연구소(NSR) 양승제 책임연구원이 최근 ‘망 보안 정책 이슈’에 대해 상세하게 발표해 주목을 받았다. 한국정보처리학회가 주최한 ‘IT21 글로벌 컨퍼런스’에서 양승제 책임연구원은 망 분리 정책 도입 배경과 주요국의 망 분리 정책들과 함께 망 분리 정책 개선방향을 제시했다.
NSR 양승제 책임연구원은 “금융 분야에서는 3·20 사태로 망분리 의무화가 시행된 이후 2013년의 전산망 마비와 같은 피해가 없었다”며 “2017년 워너크라이 랜섬웨어 및 2022년 로그4J 공격에서도 국내 공공기관 및 금융권에 대한 피해가 드물었는데, 이는 망 분리 정책의 효과가 빛을 발했다”고 말했다.
망 분리는 크게 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망 분리는 2개 PC(업무용, 인터넷용)를 사용하는 것, 1개 PC 사용(망 전환장치 이용), 폐쇄망 구성(SOC 등)이 있다. 또한 논리적 망 분리는 CBC 방식(PC 가상화), SBC 방식(서버 가상화)으로 나눌 수 있다.
물리적 망 분리는 업무망과 인터넷 망을 물리적으로 분리, 망간 접근경로를 차단하는 것이며, 논리적 망 분리 중 SBC(Server-Based Computing)는 서버기반 가상화 컴퓨팅으로 업무용 PC에서 별도의 원격 접속 프로그램을 이용하는 인터넷망 접속 기술을 의미한다. CBC(Client-Based Computing)는 클라이언트기반 가상화 컴퓨팅으로 업무용 PC의 가상영역을 인터넷용 PC로 사용해 버추얼 PC(Vertual PC) 형태로 인터넷 망에 접속하는 기술이다.
양승제 책임연구원은 “물리적 방식과 논리적 방식을 살펴보면 물리적 망 분리는 가장 안전하지만, 사용자당 PC 2대와 내·외부망 스위치, 방화벽, 통신회선 구축이 필요하다”고 말했다. 이어 “논리적(가상화) 망 분리는 다양한 사양의 OS 환경 구축이 가능하고 SBC보다는 구축비용은 낮지만, 사용자 수만큼 생성 계정에 대한 높은 라이선스 비용이 발생하고, PC마다 직접 가상화 기술을 적용해야 하며 PC 사양에 따라 성능이 결정된다는 단점도 있다”고 설명했다.
주요 국가별 망 분리 정책을 비교해보면, 미국은 ‘연방정보 보안 관리법(FISMA)’으로 민감정보와 일반 정보의 논리적·물리적 분리, 클라우드 서비스 이용시 강력한 보안 인증 요구, 지속적인 보안 평가 및 모니터링의 특징이 있다. 영국의 ‘국립 사이버 보안 전략(NCSC)’은 민감정보의 분리 저장 및 처리, 클라우드 서비스에 대한 보안 인증 요구, 정기적인 보안 점검 및 교육 시행 등을 목표로 한다. 오스트레일리아의 경우 ‘오스트레일리아 사이버 보안 전략’은 정부기관의 네트워크 분리 및 보호 강화, 클라우드 및 외부 서비스 이용 시 보안 요구사항 강화, 국가 사이버 보안센터(MSCS) 주도 하에 정책 시행 등으로 요약할 수 있다.
미국 등 해외 국가 망분리 정책은 △데이터의 중요도를 평가한 후 △비슷한 중요도의 데이터를 그룹핑하고 △분류된 데이터들에 대해 서로 다른 보안 정책(망 분리 및 클라우드 포함) 적용으로 진행돼 데이터 중요도에 따른 망 분리가 체계화됐다. 양승제 책임연구원은 “우리나라는 데이터 그룹핑 과정이 생략된 채 시스템 내 가장 중요도가 높은 데이터를 기준으로 전체 시스템의 중요도 등급을 결정해 활용성이 떨어진다”며 “특히 최근 사이버 공격 위협이 고도화·지능화되면서 데이터 등급에 따른 차별 정책을 망 보안 정책에 적용시켜야 한다”고 강조했다.
망 보안 정책, 어떻게 개선해 나가야 하나
▲국가보안기술연구소 양승제 책임연구원[사진=보안뉴스]
현재 망 분리 정책의 개선점은 획일적인 업무망 보안 정책으로 높은 보안 수준이 일괄 적용돼 정보 개방에 대한 무조건 거부 등의 잘못된 인식이 팽배해 있다는 것이다. AI·클라우드 등 신기술 서비스 연계의 한계로 업무망·인터넷망 차단 정책에 따른 신기술 활용성이 미흡하고, 망 분리가 공공데이터 개방 거부 논리로 활용돼 소극적 자세를 지향하게 되며 망 분리를 원인으로 전가하는 등의 폐해가 있다는 지적이다. 또한 폐쇄적 업무 환경에 따른 효율성 저하로 AI 및 최신 정보업무 도구의 활용성이 떨어지며, 개별 법령에 의한 공공데이터 공유의 한계로 AI 등에 필요한 고부가·유가치한 데이터가 대부분 민간 영업비밀 등으로 외부 공유가 제한된다는 점이 있다.
국가·공공기관 망 보안 정책 개선의 목표는 △획일적인 망 분리체계에서 차등화된 망 보안 정책으로 변화 △업무망에서 AI·클라우드 활용으로 보안성·편의성·효율성을 반영한 정책 시행 △다양한 통제기술 기반 다층 보안체계 보안대책 강구 △정보환경 변화에 맞는 관련 법령 및 제도 정비 추진 등이다.
NSR 양승제 책임연구원은 ”업무망·인터넷망 분리는 다층보안체계(MLS : Multi Level Security)로 개선을 목표로 해야 한다“며 ”이는 등급별 망 영역 분리 및 보안체계 차등화를 통해 데이터를 C(Classified, 기밀정보), S(Sensitive, 민감정보), O(Open, 공개정보) 등으로 분류하는 것“이라고 밝혔다. 이어 ”망 보안 정책이 개선된다면 AI 및 클라우드 기술을 보다 효율적으로 활용해 업무 처리 속도와 효율성 향상, 보안을 유지하면서도 최신 기술을 도입할 수 있는 환경 조성, 행정 서비스 개선으로 보다 신속하고 정확한 행정 서비스 제공 등의 효과가 있을 것“이라고 강조했다.
[김영명 기자(boan@boannews.com)]
우리나라는 전체 시스템 내 중요도 높은 데이터 기준 일률적 적용...활용성 저하 문제 발생
망 보안 정책 개선...업무 효율성 증대, 보안 강화, 행정 서비스 개선 등 가능
[보안뉴스 김영명 기자] 국가정보원은 국가정보보안 기본지침 제40조에 의거해 망 분리 의무화를 규정하고 있다. 망 분리 정책 도입 배경 및 경과를 보면 2006년 공공기관 망 분리 의무화를 시행했으며, 2007년에는 행정안전부와 국가정보원이 업무 전산망 분리 지침을 발표했다. 2008년에는 18개 국가기관을 대상으로 1차 망 분리 사업을, 2010년에는 27개 국가기관 대상 2차 망 분리 사업을 추진했다.
[이미지=GettyImage]
민간분야 망 분리는 개인정보 보호에 초점을 맞춰 진행됐다. 2011년 3.4 디도스 공격으로 일주일간 금융거래가 마비된 이후 2012년 ‘정보통신망법 시행령’ 개정으로 개인정보 보유 PC의 망 별도 분리를 의무화했다. 2013년 3.20 사이버테러로 2시간 동안 금융업무가 중단된 이후에는 같은 해 7월에 금융전산 보안 강화 종합대책을 발표하고 업무망·인터넷망 분리를 의무화했다.
이러한 가운데 국가보안기술연구소(NSR) 양승제 책임연구원이 최근 ‘망 보안 정책 이슈’에 대해 상세하게 발표해 주목을 받았다. 한국정보처리학회가 주최한 ‘IT21 글로벌 컨퍼런스’에서 양승제 책임연구원은 망 분리 정책 도입 배경과 주요국의 망 분리 정책들과 함께 망 분리 정책 개선방향을 제시했다.
NSR 양승제 책임연구원은 “금융 분야에서는 3·20 사태로 망분리 의무화가 시행된 이후 2013년의 전산망 마비와 같은 피해가 없었다”며 “2017년 워너크라이 랜섬웨어 및 2022년 로그4J 공격에서도 국내 공공기관 및 금융권에 대한 피해가 드물었는데, 이는 망 분리 정책의 효과가 빛을 발했다”고 말했다.
망 분리는 크게 물리적 망분리와 논리적 망분리로 나뉜다. 물리적 망 분리는 2개 PC(업무용, 인터넷용)를 사용하는 것, 1개 PC 사용(망 전환장치 이용), 폐쇄망 구성(SOC 등)이 있다. 또한 논리적 망 분리는 CBC 방식(PC 가상화), SBC 방식(서버 가상화)으로 나눌 수 있다.
물리적 망 분리는 업무망과 인터넷 망을 물리적으로 분리, 망간 접근경로를 차단하는 것이며, 논리적 망 분리 중 SBC(Server-Based Computing)는 서버기반 가상화 컴퓨팅으로 업무용 PC에서 별도의 원격 접속 프로그램을 이용하는 인터넷망 접속 기술을 의미한다. CBC(Client-Based Computing)는 클라이언트기반 가상화 컴퓨팅으로 업무용 PC의 가상영역을 인터넷용 PC로 사용해 버추얼 PC(Vertual PC) 형태로 인터넷 망에 접속하는 기술이다.
양승제 책임연구원은 “물리적 방식과 논리적 방식을 살펴보면 물리적 망 분리는 가장 안전하지만, 사용자당 PC 2대와 내·외부망 스위치, 방화벽, 통신회선 구축이 필요하다”고 말했다. 이어 “논리적(가상화) 망 분리는 다양한 사양의 OS 환경 구축이 가능하고 SBC보다는 구축비용은 낮지만, 사용자 수만큼 생성 계정에 대한 높은 라이선스 비용이 발생하고, PC마다 직접 가상화 기술을 적용해야 하며 PC 사양에 따라 성능이 결정된다는 단점도 있다”고 설명했다.
주요 국가별 망 분리 정책을 비교해보면, 미국은 ‘연방정보 보안 관리법(FISMA)’으로 민감정보와 일반 정보의 논리적·물리적 분리, 클라우드 서비스 이용시 강력한 보안 인증 요구, 지속적인 보안 평가 및 모니터링의 특징이 있다. 영국의 ‘국립 사이버 보안 전략(NCSC)’은 민감정보의 분리 저장 및 처리, 클라우드 서비스에 대한 보안 인증 요구, 정기적인 보안 점검 및 교육 시행 등을 목표로 한다. 오스트레일리아의 경우 ‘오스트레일리아 사이버 보안 전략’은 정부기관의 네트워크 분리 및 보호 강화, 클라우드 및 외부 서비스 이용 시 보안 요구사항 강화, 국가 사이버 보안센터(MSCS) 주도 하에 정책 시행 등으로 요약할 수 있다.
미국 등 해외 국가 망분리 정책은 △데이터의 중요도를 평가한 후 △비슷한 중요도의 데이터를 그룹핑하고 △분류된 데이터들에 대해 서로 다른 보안 정책(망 분리 및 클라우드 포함) 적용으로 진행돼 데이터 중요도에 따른 망 분리가 체계화됐다. 양승제 책임연구원은 “우리나라는 데이터 그룹핑 과정이 생략된 채 시스템 내 가장 중요도가 높은 데이터를 기준으로 전체 시스템의 중요도 등급을 결정해 활용성이 떨어진다”며 “특히 최근 사이버 공격 위협이 고도화·지능화되면서 데이터 등급에 따른 차별 정책을 망 보안 정책에 적용시켜야 한다”고 강조했다.
망 보안 정책, 어떻게 개선해 나가야 하나
▲국가보안기술연구소 양승제 책임연구원[사진=보안뉴스]
현재 망 분리 정책의 개선점은 획일적인 업무망 보안 정책으로 높은 보안 수준이 일괄 적용돼 정보 개방에 대한 무조건 거부 등의 잘못된 인식이 팽배해 있다는 것이다. AI·클라우드 등 신기술 서비스 연계의 한계로 업무망·인터넷망 차단 정책에 따른 신기술 활용성이 미흡하고, 망 분리가 공공데이터 개방 거부 논리로 활용돼 소극적 자세를 지향하게 되며 망 분리를 원인으로 전가하는 등의 폐해가 있다는 지적이다. 또한 폐쇄적 업무 환경에 따른 효율성 저하로 AI 및 최신 정보업무 도구의 활용성이 떨어지며, 개별 법령에 의한 공공데이터 공유의 한계로 AI 등에 필요한 고부가·유가치한 데이터가 대부분 민간 영업비밀 등으로 외부 공유가 제한된다는 점이 있다.
국가·공공기관 망 보안 정책 개선의 목표는 △획일적인 망 분리체계에서 차등화된 망 보안 정책으로 변화 △업무망에서 AI·클라우드 활용으로 보안성·편의성·효율성을 반영한 정책 시행 △다양한 통제기술 기반 다층 보안체계 보안대책 강구 △정보환경 변화에 맞는 관련 법령 및 제도 정비 추진 등이다.
NSR 양승제 책임연구원은 ”업무망·인터넷망 분리는 다층보안체계(MLS : Multi Level Security)로 개선을 목표로 해야 한다“며 ”이는 등급별 망 영역 분리 및 보안체계 차등화를 통해 데이터를 C(Classified, 기밀정보), S(Sensitive, 민감정보), O(Open, 공개정보) 등으로 분류하는 것“이라고 밝혔다. 이어 ”망 보안 정책이 개선된다면 AI 및 클라우드 기술을 보다 효율적으로 활용해 업무 처리 속도와 효율성 향상, 보안을 유지하면서도 최신 기술을 도입할 수 있는 환경 조성, 행정 서비스 개선으로 보다 신속하고 정확한 행정 서비스 제공 등의 효과가 있을 것“이라고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
