.gif)
디지털 환경 변화, 보안성·유연성 높인 망분리·망연계 솔루션 ‘부각’
[인터뷰] 행정안전부 김성록 과장, 금융위원회 김정현 사무관, 금융보안원 서호진 팀장
[설문조사] ‘망분리·망연계 솔루션 인식 및 선택기준’ 결과
망분리·망연계 대표 솔루션 분석: 휴네시온, 유니와이드, 소프트위드솔루션, 한싹, 멘로시큐리티, 앤앤에스피
[보안뉴스 김경애 기자] “일각에선 망분리·망연계 솔루션은 이미 끝나지 않았나? 도입될 곳은 이미 다 도입돼 사업성이 떨어진다고 생각해요. 하지만 천만의 말씀입니다. 클라우드 등 디지털 대전환 환경에 따라 인터넷 접점이 늘면서 망분리는 계속 확대되는 추세에요. 망분리 환경이 조성됨에 따라 안전하게 데이터를 전송할 수 있는 망연계 솔루션은 갈수록 중요해지고 있어요.”
[이미지=utoimage]
“이미 망분리·망연계 솔루션은 도입될 만큼 도입돼 단물 빠진 시장이다”라는 일부의 시각은 편견이라는 게 보안전문가의 발언이다. 최근 망분리·망연계 솔루션 시장은 신기술 발달과 디지털 환경변화로 떠오르고 있다. 망분리·망연계 솔루션이 뜨는 배경에는 △첫째, 법 개정으로 인한 망분리 의무 대상자 확대 △둘째, 클라우드 이용 활성화에 따른 망분리·망연계 솔루션의 수요 증가 △셋째, 이미 도입한 망분리·망연계 솔루션의 교체 시기 △넷째, 신기술과 디지털 환경변화로 인한 망분리·망연계 솔루션 수요 증가가 있다.
이에 <보안뉴스>에서는 최근 주목되고 있는 망분리·망연계 솔루션에 대해 집중적으로 다뤄보고자 한다. 망분리·망연계 솔루션 탄생 배경을 비롯해 주요 정책 이슈, 행정안전부 망분리 관련 사업인 온북 사업, 망분리·망연계 솔루션의 주요 이슈에 대해 들어 봤다.
망분리·망연계 솔루션 왜 필요한가
망분리는 중요정보를 취급하는 업무망과 외부 인터넷으로 연결된 인터넷망을 분리한 망 환경을 말한다. 망분리는 크게 물리적 망분리, 논리적 망분리로 구분된다. 물리적 망분리는 PC 2대를 물리적으로 분리해 인터넷망과 업무망으로 구분하는 방식이다. 논리적 망분리는 PC 한 대에서 인터넷 접속망과 폐쇄망을 가상화로 망을 분리한 환경이다. 가상화는 CBC, SBC 방식으로 구분되고, SBC는 VDI와 VM으로 구분된다. 클라우드 망분리는 큰 틀에선 논리적 망분리로 구분된다.
이렇게 분리된 망환경에서 망연계 솔루션은 안전하게 데이터를 전송해 준다. 망분리로 기본적인 보안 상태를 유지하며 승인·반출 기능을 제공해 정보유출을 방지한다. APT, DRM, DLP, CDR, 백신 등 보안 솔루션과도 연동해 해킹 등 외부 위협으로부터 중요 업무망을 보호한다. 특히 외부에서 내부망 자료를 볼 때, 내부에서 외부망을 통해 문서를 다운로드 받을 때, 메일을 주고받을 때 등에 활용되면서 업무의 연속성과 편의성을 높여준다.
망분리 최근 시장 동향 및 트렌드
최근 공공·금융기관의 인프라는 빠르게 변화하고 있다. 정책은 코로나19 영향과 디지털 대전환(DX), IT 시스템의 다양화에 따라 클라우드 환경으로 변화하고 있다. 특히 가상화와 클라우드 기반으로 고도화되고 있다. 서비스도 클라우드 기반의 빅데이터, 인공지능, IoT(엣지) 등으로 혁신이 요구되고 있다.
이에 발맞춰 망분리·망연계 솔루션도 소비자의 수요를 반영하며 성장 중이다. 기술적으론 클라우드 개방형 OS에 최적화한 기술 개발과 기술 적용 범위가 넓어지고 있다. 사용자 PC OS는 Windows, macOS, 구름 OS 등 다양하게 지원한다. 기능적으론 업무망 PC와 인터넷망 PC 간의 자료전송, 외부망 서비스 시스템과 내부 업무망 시스템 간의 서비스 연계, 내·외부 연계 서버에 보안 통신 프로토콜 사용, 보안 SW 연동, 제어망 연동 등 다양한 연동 및 활용되고 있다.
이러한 흐름에 망분리·망연계 시장 규모는 꾸준한 성장세를 보인다. 한국정보보호산업협회에 따르면 2020년 약 1,677억원으로 2014년 이후 연평균 31.1% 성장했다. 공공부문 조달청 자료 기준으로 망분리·망연계 솔루션 시장 규모는 2021년 기준 220억원이며, 연평균 14.8% 성장하고 있다.
망분리·망연계 솔루션, 왜 ‘급물살’ 타나
①망분리·망연계 정책 ‘물꼬’ 틔워
망분리·망연계 솔루션 시장의 물꼬는 보안강화를 위한 망분리 정책이 틔웠다. 망분리 정책은 국가정보원, 기무사 등 기밀정보를 다루는 곳에서 먼저 적용해 왔다. 2007년 4월 행정안전부와 국가정보원이 업무 전산망 분리 지침을 발표, 2008년 5월 국가정보원이 국가기관 망분리 구축 가이드를 발표한 이후 망분리 적용은 국가·공공기관으로 점차 확대됐다.
2009년에는 망분리 환경에서 자료 연계를 위한 ‘다중영역구분보안’ 필요성이 인식되며 이에 대한 CC인증이 신설됐다. 이때 ‘망간자료전송’ 개념의 제품이 국가기관과 공공기관의 폐쇄망 간에 중계 용도로 출시됐다. 그리고 2010년 국가·공공기관 안전한 자료전송 가이드라인에 따라 국가기관 망분리 사업이 본격화됐고, 2012년 ‘망간자료전송제품’으로 CC인증 정보보안제품 유형이 변경됐다.
2011년에는 금융위원회가 전자금융감독규정을 발표하며 금융기관의 망분리가 추진됐다. 그러다 2013년 북한 해커조직에 의해 국내 금융 전산망 등이 뚫리는 3.20 사이버테러가 발생하면서 망분리는 의무화됐다. 같은 해 7월 금융 전산 보안강화 대책 발표, 같은 해 9월 금융위원회의 금융전산 가이드라인이 발표되며 제1금융권에서 제2금융권으로 망분리 의무화가 확대됐다. 망분리 구축은 2014년 금융기관 전산센터에 이어 2016년 본점 및 영업점으로 확대됐다.
3.20 사이버테러 이후 망분리 의무 대상 확대를 위해 정보통신망법도 개정됐다. 망분리 의무화는 100만명 이상 이용자의 개인정보를 보유, 정보통신서비스 매출 100억원 이상인 정보통신사업자로 대상이 확대됐고, 2016년 병원, 학교 등 비영리단체로 확대됐다. 2017년 1월에는 국군기무사령부가 방위산업 보안 업무 훈령에 따른 ‘망분리 보안관리 지침(가이드라인)’을 발표했다.
이처럼 망분리·망연계 솔루션 시장은 보안강화라는 공통분모의 정책 변화와 함께 지속 성장하고 있다. 최근에도 정책 측면에서 많은 변화가 있다. 국가정보원은 국가용 보안 요구사항을 전면 개정했다. 2022년 1월부터 망간자료전송 제품 유형에 대해 기존의 CC인증 외에 보안기능 확인서도 인정하기로 했다. 또 2022년 11월 공공분야 IT 보안 제품의 보안 적합성 검증체계가 개편됐다. 보안 적합성 검증체계의 경우 공공기관을 가, 나, 다 그룹으로 구분해, 도입기준에 차이를 두고 있다.
②디지털 환경 변화, 클라우드는 새로운 ‘먹거리’
여기까지 봐선 망분리·망연계 솔루션 시장은 망분리 정책으로 ‘화룡점정’을 찍고 하강 국면에 들어설 것으로 보인다. 하지만 거스를 수 없는 신기술 발달과 디지털 환경변화는 망분리·망연계 솔루션이 도약할 수 있도록 새로운 먹거리와 기회를 제공한다.
그중 망분리·망연계 솔루션이 성장할 수 있는 새로운 먹거리는 단연 클라우드다. 그동안 물리적 망분리가 주를 이뤘던 공공기관과 기업은 구축비용, 공간 등의 문제, 가상화 기술의 발달로 논리적 망분리 적용으로 갈아타는 추세다.
최근에는 클라우드 인프라 서비스인 IaaS, SaaS, DaaS 활용이 늘며 망연계 솔루션이 더욱 중요해지고 있다. 클라우드 환경에서 망분리 환경이 ‘바늘’이라면 망연게 솔루션은 ‘실’로 업무망에서 중요정보를 안전하게 전송할 수 있는 매개 역할로 업무의 효율성과 편이성을 높여준다. 이렇듯 클라우드의 등장으로 망분리·망연계 솔루션 시장이 꽃 피우고 있다.
=======================================================================
[인터뷰 1] 행정안전부 스마트행정기반과 김성록 과장
행정 업무 효율성 향상을 위해 ‘온북’ 사업 추진
기술 발전과 디지털 환경 변화에 따라 정책 기조도 클라우드에 맞추고 있다. 2020년 3월 11일 행정안전부는 국가 정보보안 관리체계 강화를 위해 ‘지방자치단체 망분리 도입 정보화 전략 계획’을 발표했다. 하지만 당시 예산 미확보로 무산되어 현재는 망분리 사업과 관련해 업무용 PC로만 내부망에 접속할 수 있는 온북 사업을 추진 중이다. 2021년 행정안전부는 2025년까지 총 8,600억원을 투입해 1만여 개 공공기관 정보시스템을 클라우드로 전면 전환하는 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진계획’을 발표했다. 이에 망분리·망연계 시장은 온북 사업으로 더욱 탄력받을 전망이다. 본지는 인터뷰를 통해 온북 사업에 대해 들어봤다.
행정안전부에서 추진 중인 온북 사업에 대한 소개 부탁드립니다
2021년 5월부터 관계기관(국정원, 과기정통부, 한글과컴퓨터 등)과 협업해 구름 OS가 탑재된 온북을 개발했어요. 행정안전부 디지털정부국 등 61개 부서 180명을 대상으로 시범 운영(2021년 11월~2022년 10월)을 실시 했습니다. 중앙부처 온북 도입은 윤석열 정부 국정과제로 선정돼 2027년까지 추진될 예정입니다. 2023년 5월 현재 행정안전부를 비롯해 교육부, 국방부, 디지털플랫폼정부위원회 등 4개 기관에서 도입해 운영하고 있습니다.
온북 사업의 추진 배경은 무엇인가요?
첫째, 기존 2PC의 업무·인터넷망 접속이 불편했어요. 구매·관리비의 이중 지출을 비롯해 출장·재택 시 내부 업무자료 접근 제약 등에 대한 업무환경 개선이 필요했습니다. 둘째, 코로나19로 인한 효율적인 업무환경이 필요했습니다. 국민안전, 생활 밀접분야, 보건복지 분야 등에서 현장 인력이 확대되고, 코로나19로 인한 재택근무가 증가하게 되는 등 근무환경이 급변하게 되었어요. 이에 따라 업무 효율성을 향상하고 현장 행정을 강화하는 효율적인 업무환경이 필요해 온북 사업을 추진하게 되었습니다.
현재 온북 사업 추진 현황에 관해 설명 부탁드립니다
그동안 진행된 온북 사업 추진현황은 △2021년 5월~8월 실현 가능 여부, 보안성 확보 여부 등 온북 개발 착수 및 국정원 협의 △2021년 8월~10월 과학기술정보통신부 예산, 착수 회의(2021년 8월 25일) 후 온북 시범 운영 관련 시스템 구축 △2021년 11월~2022년 10월 행정안전부(디지털정부국 등 61개 부서 180명) 온북 시범 운영 △2022년 정부혁신 실행계획 대표추진과제로 선정돼 업무용 PC(오전 9시~오후 6시)의 노트북 전환 △2022년 4월~7월, 100여개 기관 대상으로 온북 설명회 총 3회 진행(300여명 참석) △2022년 3월, 10월 시범 운영 설문조사(사용 만족도 80% 이상, 업무 효율 향상 85%) △2022년 정부 혁신 경진대회(8월) 최우수상 및 범정부 경진대회(10월) 동상 수상, △2022년 9월, 이형석 의원실(보좌관 등 포함), 2022년 10월 이인영 의원실 등 국회 방문 설명(의원·비서관) △2022년 전자정부 우수시스템 100선에 온북 포함 △2022년 12월 온북 시범 운영 종료보고회 △2023년 2월 온북 민관협의체 2기 출범 △2023년 4월부터 행정기관 대상 온북 컨설팅(밀착설명) 추진사업이 진행되고 있습니다.
온북 사업을 통해 기대하는 점은 무엇인가요?
먼저 시공간 제약 없는 업무환경으로 업무 효율성 향상과 현장 행정을 강화하는 것입니다. 이어 보안성과 편의성을 확보한 온북 개발로 SW산업 활성화와 경쟁력을 확보하는 것입니다. 마지막으로 전기세, 종이절약, 기회비용 등 예산 절감 등을 기대하고 있습니다.
지자체 및 중앙 부처에서 온북사업 망분리·망연계와 관련해 문제점은 무엇인가요?
부처의 원활한 온북 확산을 위해서는 기관별로 온북 인프라 구축보다는 국가정보자원관리원과 통합한 온북 공통인프라 구축·운영이 필요(예산확보: 2023, 구축 : 2024)합니다.
앞으로 온북 사업과 관련해 행안부의 다음 행보는 무엇인가요?
민관협의체를 통한 온북 기능을 개선하고, 품질 강화와 확산을 추진할 계획입니다. 또한 국가정보자원관리원 온북 공통인프라를 구축하고 운영(2024~)할 계획입니다.
온북 사업 추진 현황----------------------------
온북 개발 착수 및 국정원 협의(2021년 5월~8월, 실현 가능 여부, 보안성 확보 여부 등)
온북 시범 운영 관련 시스템 구축(2021년 8월~10월, 과기부 예산, 착수 회의(2021년 8월 25일)
온북 시범 운영(2021년 11월~2022년 10월): 행정안전부(디지털정부국 등 61개 부서 180명)
2022년 정부혁신 실행계획 대표추진과제 선정(9-6 업무용 PC의 노트북 전환)
온북설명회(2022년 4월~7월, 3회) : 100여개 기관 300여명 참석
시범 운영 설문조사(2022년 3월, 10월) : 사용 만족도 80% 이상, 업무효율 향상 85%
2022년 정부 혁신 경진대회(8월) 최우수상 및 범정부 경진대회(10월) 동상 수상
국회 방문설명(이형석 의원실(2022년 9월, 보좌관), 이인영 의원실(2022년 10월, 의원·비서관)
2022년 전자정부 우수시스템 100선에 온북 포함
온북 시범 운영 종료보고회(2022년 12월)
온북 민관협의체 2기 출범(2023년 2월)
행정기관 대상 온북 컨설팅(밀착설명) 추진(2023년 4월~)
-------------------------------------------------------
2023년 1월에는 국가 클라우드 컴퓨팅 보안 가이드라인이 개정됐다. 가이드라인에는 공공기관 시스템 중요도에 따라 클라우드 서비스 사용에 대해 정의하고 있다. 새로운 디지털 환경변화에 보안위협이 커진 만큼 각 기관은 기관의 특성과 시스템 중요도에 따라 솔루션을 도입하고 클라우드를 사용해야 한다.
또한, 디지털 서비스의 거래 활성화를 위해 조달청 디지털서비스몰의 CC인증·보안기능 확인서 필수제품군이 GS인증만으로 조달등록이 가능하게 변경됐다. 이는 구매기관에서 도입 제품의 안정성과 인증 기준을 정하고 구매하는 것으로 바뀌었기 때문이다. 따라서 공공기관은 그룹, 서비스 중요도에 따라 탄력적으로 구성할 수 있고, 제품 선정과 구성을 위해 시스템 구성과 보안에 대한 이해도를 높여야 한다.
=======================================================================
[인터뷰 2] 금융위원회 김정현 사무관
혁신금융 서비스 통해 SaaS 클라우드컴퓨팅서비스 내부망 사용 시범 운용
시범 운용 성과 검토해 후속 조치… 보안위협 대응하도록 부가조건 전제로 추진
금융기관은 디지털 신기술 수요를 반영해 ‘전자금융감독규정’을 개정하고 2023년 1월 1일부터 시행에 들어갔다. 개정안은 클라우드 이용 업무의 중요도 평가 기준 마련과 연구·개발 분야의 망분리 규제를 완화하고 있다.
이와 관련해 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’가 발표됐다. 비중요 업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록 샌드박스로 메일 보안을 강화해 망분리 규제가 완화됐다. 본지는 금융위원회 김정현 사무관과 금융보안원 금융혁신지원팀 서호진 팀장과의 인터뷰를 통해 망분리 규제 완화 정책과 보안에 대해 들어봤다.
금융위원회에서 준비하고 있는 망분리 규제 완화 검토는 현재 어디까지 진행됐고, 망분리 규제 완화 확정은 언제쯤 발표될 예정인가요?
망분리 규제 완화는 작년 규정 개정부터 계속 시행 중인데요. 연구·개발 분야에서의 망분리 규제 완화는 2023년 1월 1일부터 시행된 ‘전자금융감독규정’ 개정을 통해 실시 중입니다. 다만 추가로 SaaS 형태의 클라우드컴퓨팅서비스의 내부망 이용은 올해 상반기 내 발표를 목표로 현재 작업 중에 있습니다. 금융기업은 망분리 규제가 완화됨에 따라 추가적인 보안 위협에 대한 보안대책을 수립하는 등 내부 통제를 강화해야 합니다.
망분리 규제 완화를 위해 기업의 요구사항은 어떤 게 있나요?
현재 금융기업은 SaaS 형태의 클라우드컴퓨팅서비스를 내부망에서 더 활발하게 이용할 수 있도록 규제 개선을 기대하고 있습니다.
망분리 규제 완화를 위한 금융위에서 고심하는 점은 무엇인가요?
효율성·편의성과 금융보안 사이에서 최적의 균형점을 찾는 것입니다. 망분리 규제에 따른 금융기업의 비효율 발생과 오픈뱅킹 등 우리 금융의 특수성에 따른 위험 발생 가능성 증대 등이 상충해 양측의 절충점을 찾기 위한 노력을 지속 중입니다.
망분리 규제 완화를 위해 금융위원회에서 준비하고 있는 점은 무엇인가요?
우선 혁신금융 서비스를 통해 SaaS 형태의 클라우드컴퓨팅서비스 내부망 사용 등 망분리 규제 완화를 시범적으로 운용한 뒤 성과 등을 검토해 후속 조치를 할 예정입니다.
망분리 규제 완화로 인한 보안위협에 대해서는 어떤 대안을 강구하고 있나요?
혁신금융 서비스 지정을 통해 SaaS 형태의 클라우드컴퓨팅서비스를 이용할 수 있다는 점을 고려할 때, 혁신금융 서비스 지정시도 보안위협에 충분히 대응할 수 있도록 부가조건을 전제로 추진할 예정입니다. 현재 부가조건은 내부논의 중입니다.
망분리 규제 완화와 관련해 금융권의 망분리·망연계 솔루션 도입 현황은 어떤가요?
기존에도 금융권에서는 ‘전자금융감독규정’ 상의 망분리 의무 준수를 위해 망연계 솔루션을 통한 업무망과 인터넷망간 자료전송 등 업무에 활용했어요. 하지만 이번 연구·개발목적의 망분리 예외가 허용됨에 따라 망연계 솔루션을 추가 도입해 개발 산출물을 전송하는 등의 업무에 활용하는 것으로 알고 있습니다.
망분리 규제 완화와 관련 보안강화를 위해 금융권에서 어려워하는 점은 무엇인가요?
망분리 규제 완화에 따라 각 망의 특성에 따른 적합한 보안대책 적용이 필요한데요. 연구·개발망의 경우 개인신용정보와 같은 중요정보는 없지만 개발 중인 서비스의 소스코드 등의 유출 위험이 있어요. 중요성에 따라 이를 보호하고 유출되지 않도록 관리하는 게 과제가 될 것입니다. 한편, 내부망에서 SaaS 형태의 클라우드컴퓨팅서비스 활용시에도 보안이 유지될 수 있도록 보안대책을 제시해 금융기업이 준수할 수 있도록 안내할 계획입니다.
금융위원회에서 망분리 규제 완화와 보안강화를 위한 두 가지 관점에서 노력하고 있는 점과 앞으로의 계획은 무엇인가요?
금융기업의 애로를 지속적으로 청취하는 한편, 현재 예정 중인 혁신금융 서비스를 통한 SaaS 형태의 클라우드컴퓨팅서비스 내부망 사용 등 실증 사례를 통해 금융소비자인 국민과 공급자인 금융기업 모두에게 도움되는 방안을 강구할 것입니다.
====================================================================
[인터뷰 3] 금융보안원 금융혁신지원팀 서호진 팀장
내부망 이용 및 망분리 규제 완화와 관련해 요구되는 보안사항은 무엇인가요?
망분리는 2013년 3.20 사이버테러 발생에 따른 후속 보안강화 대책의 일환으로 추진되었어요. 금융회사 내부망과 외부 인터넷망을 분리해 각종 전자적 침해로부터 전산시스템 및 중요 자료를 안전하게 보호함을 목적으로 합니다.
망분리가 내부망 보호와 정보유출을 막는데 효과적인 대응책이지만 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 확대되었어요. 이를 안정적으로 뒷받침하기 위해 금융당국은 지난해 망분리 규제 개선방안을 발표하고 단계적으로 제도 개선을 추진하고 있어요.
망분리 규제 적용 예외 시에는 내부망과 외부 인터넷망간 접점(Connection)이 생기게 돼요. 그간 망분리 환경에서는 발생하기 어려웠던 새로운 보안 문제가 초래될 수 있는건데요. 금융 보안사고 예방을 위해 추가 보완조치 마련은 필수입니다. 이에 금융보안원은 현재 망분리 규제가 예외되는 클라우드, 연구·개발 환경 등 필요한 추가 보안대책을 검토해 가이드 등의 형태로 제공하고 있어요. 금융회사 등은 이를 참조해 자사 업무 여건에 맞는 보안대책을 적용해야 합니다.
망분리·망연계 이용과 관련해 금융보안원에서 준비하고 있는 점은 무엇인가요?
금융당국은 금융회사의 책임성 확보 등을 전제로 내부망에서 SaaS 이용 등 현행 망분리 규제를 단계적으로 완화할 계획을 발표했는데요. 금융보안원은 금융당국의 망분리 규제 개선 진행 상황에 맞춰 발생할 수 있는 보안위협과 필요 보안대책을 사전 검토해 이를 금융회사 등에 제공할 계획입니다.
[자료=금융보안원]
===============================================================
③디지털 환경 변화가 곧 ‘기회’ - OT 보안
최근에는 OT망 보안이 화두가 되며 망분리·망연계 솔루션이 필수로 지목되고 있다. 스마트팩토리 전환은 외부 연결을 증가시키고, 스마트제조는 다양한 센서와 주변 장치들이 네트워크로 연결돼 통신으로 데이터를 처리해 보안위협이 높아지고 있다. 또 코로나19 이후 원격근무의 본격화는 생산망·제어망으로의 원격접속을 부추기고, 원격접속 서비스의 보안 취약점과 접속 권한 계정 탈취를 통한 접속 시도의 증가는 보안위협을 가중시키고 있다.
이처럼 OT 환경은 외부와의 연결 접점이 높아 망분리·망연계 솔루션은 필수이며, 수요도 갈수록 증가하고 있다. 특히 OT망에 대한 보안관제, OT망 데이터 활용 등 일방향 망연계를 활용한 제어망 데이터 연계가 증가하는 추세다. 이 외에도 망분리·망연계 솔루션의 수요는 ISMS 인증 취득을 위해 내·외부 메일연계, 모바일망, 출입통제망, 대외기관망, 통합관제망, CCTV망, 스마트시티, 스마트공장, 스마트병원 등 다양한 산업 분야로 확대되고 있다.
[설문조사] 망분리·망연계 솔루션 인식 및 선택기준
업무망 관리, 데이터 유출사고 우려 36.4%
하지만 기관과 기업에선 여전히 망분리 구축이 미흡한 실정이다. 업무망 관리 역시 녹록지 않다. 인터넷망과 업무망이 분리되어 있어도 보안위협은 늘 존재하기 때문이다. 본지는 기업과 기관 보안담당자를 대상으로 지난 5월 10일~15일까지 ‘망분리·망연계 솔루션 인식 및 선택기준에 대한 설문조사’를 통해 망분리 환경에서 자료전송 운영을 어떻게 하는지, 업무망 관리에 가장 우려되는 점은 무엇인지에 대해 알아봤다.
[이미지=보안뉴스]
먼저 ‘망분리 환경에서 자료전송 운영을 어떻게 하나요’란 질문에 23.4%가 ‘인터넷에서 업무망으로 전송 시, 악성코드·실행파일 확장자 1차 점검 후 전송’한다고 답했다. 이어 21.6%가 ‘인터넷망과 업무망이 기본적으로 분리되어 있지 않다’고 답해 여전히 많은 기관과 기업이 보안 사각지대 환경임을 알 수 있다.
‘업무망 관리에서 가장 우려되는 점’에 대해선 ‘개인정보, 기밀자료 등 데이터 유출사고(36.4%)’를 1위로 꼽았다. 이어 ‘외부망에서 내부망에 불법접근’ 21.2%, ‘악성코드 유입’ 19.4%, ‘보안 컴플라이언스 준수 위반’이 16.5% 순으로 나타났다.
[이미지=보안뉴스]
이와 관련해 유니와이드는 “망연계 솔루션이 현재는 공공기관과 금융권에 국한돼 설치 운영되고 있다”며 “기업의 문제점은 기존 IT 자원 이외의 추가적인 비용 및 설비장소 때문에 도입이 소극적이라는 점이다. 현재 개인정보 유·노출이 사회적으로 문제가 되고 있어 보안강화를 위해 적극적으로 대처해야 한다”고 강조했다.
망분리·망연계 솔루션 특장점
이처럼 기관과 기업의 환경은 디지털 환경에 맞게 변화되지 못하고 있다. 하지만 보안성과 업무 효율성 두 마리 토끼를 다 잡을 수 있는 망분리 전략과 망연계로 보안을 강화한다면 외부 접점이 많아지는 디지털 환경의 보안위협에 적절한 대응이 가능하다.
멘로시큐리티, 웹 격리 기술 이용한 망분리 전략 ‘눈길’
멘로시큐리티는 보안성과 업무 효율성을 높인 망분리 전략으로 웹 격리 솔루션인 ‘Menlo Security RBI(Remote Browser Isolation)’를 내세웠다. ‘Menlo Security RBI’는 클라우드 서비스로, 인터넷에 접촉하는 통로인 웹브라우저를 가상화해 격리한다. 웹 격리 적용 후 PC 감염이 발생하면 최대 100만 달러를 보상하는 ‘악성코드 제로 보증제’를 실시할 만큼 우수한 기술력을 자랑한다. 악성코드 차단을 위해 모든 콘텐츠는 악성으로 가정해 처리하는 제로 트러스트 원칙을 적용하고 있다. 이를 통해 외부 해커를 막고, 기존 업무환경에 미치는 영향은 최소화한다. 뿐만 아니라 오토 스케일링을 통해 확장성을 극대화해 제공한다.
멘로시큐리티는 브라우저 격리와 함께 모든 보안 웹 게이트웨이 기능을 단일 클라우드 네이티브 플랫폼에 통합했다. SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), DLP(Data Loss Prevention), 프록시, FWaaS까지 통합해 확장된 API와 정책 관리, 리포팅, 위협분석을 위한 단일 인터페이스를 제공한다.
멘로시큐리티 클라우드 플랫폼은 독자 기술인 아이솔레이션 코어(Isolation Core)를 기반해 많은 사용자도 신속히 온보딩할 수 있도록 탄력적인 확장성을 제공한다. 인력이나 트래픽 규모의 변동이 심해도 별도의 용량 계획이나 복잡한 환경 구성없이 배치할 수 있다. 사용자가 기존 방식대로 업무를 수행하는 한편, 관리자는 감염된 웹 사이트부터 파일 업로드와 다운로드는 물론 알려지지 않은 위협까지 차단할 수 있는 정책을 수립할 수 있다. 사용 정책은 사용자와 부서, 파일 종류, 웹 사이트 분류, 클라우드 애플리케이션에 따라 언제 콘텐츠를 차단할지, 읽기 모드만 허용할지, 원본 콘텐츠를 허용할지 결정할 수 있다.
소프트위드솔루션, 고성능·안정성 검증 양날로 ‘승부’
소프트위드솔루션의 망연계 솔루션 ‘CrossNet’은 결재시스템을 포함한 제품군으로 다수 전송 시 지연되지 않도록 개발된 게 특징이다. 악성코드 검사, 파일 위변조 검사, 객체삽입 검사 등 보안 기능을 자체 개발해 안전한 자료전송 환경을 제공한다.
망간 메일연계는 정책 템플릿을 기반한다. 여러 개의 다른 보안정책을 적용할 수 있어 업무환경에 적합한 메일연계 환경을 쉽게 구성할 수 있다. 메일 본문은 Clean HTML 형태로 안전하게 변환하고, 첨부 파일은 강력한 보안 기능 제공으로 악성코드 및 위변조, 객체삽입 검사 등 반입에 대해 보안 검사가 이뤄진다.
서버 스트림연계는 디도스공격, 3-Way 핸드 쉐이킹(Hand Shaking) 공격 등으로부터 안전한 망간 스트림연계 환경을 제공한다. 이 모든 솔루션은 기술연구소를 통해 지속해 업그레이드되고 있고, 여러 보안기술을 지속 개발해 제품에 탑재하고 있다.
많은 망연계 솔루션 기업은 암호라이브러리를 구매해 사용하는 반면, ‘CrossNet’ 망연계 솔루션은 독자 개발해 인증을 받은 검증필 암호(CrossNetlib V1.0)를 사용하고 있다. 암호 모듈은 외부에 노출되지 않아 보안성이 유지되고, 지속적인 업그레이드 관리가 가능하다. 자료전송은 10,000명 이상의 대형 기업에서 안정적으로 사용하고 있고, 5,000명 이상이 사용하는 사이트도 다수 보유해 안정성, 기능성 및 보안성을 인정받고 있다.
망간 메일연계의 경우 7,000명 이상의 금융사, 공공기관, 대형 기업에서 사용하며, 성능, 안정성, 보안성이 검증됐다. 서버 스트림 연계의 경우도 한 기업에서 초기 1세트에서 20세트로 계속 추가 도입돼 안정성 및 보안성이 검증됐다.
앤앤에스피, Non-IP·Non-MAC 기술로 ‘눈도장’
앤앤에스피의 망간자료전송제품인 ‘nNetDiode’는 2016년 국내 CC 인증을 획득한 제품으로 송신장치와 수신장치로 구성돼 있다. 송신장치는 송신(TX) 회선만 연결되는 물리적 일방향 송신전용 보드를 탑재, 수신장치는 수신(RX) 회선만 연결되는 물리적 일방향 수신전용 보드를 적용하고 있다.
‘nNetDiode’의 물리적 일방향 전용 보드는 일방향 회선 2중화(데이터 라인, 정보 라인)로 구성돼 있다. 수신데이터 오류 시 수신장치에서는 정보 라인을 물리적으로 절체하고, 송신장치는 이를 인식해 오류 데이터를 재전송할 수 있다는 얘기다. 수신장치 장애 시에는 2중화 회선이 모두 절체된다. 송신장치에서는 장애 복구 후 자동으로 재전송할 수 있는 기능을 제공한다.
‘nNetDiode V3.0’은 2023년 4월 국가용 보안요구사항 V3.0을 준수한 보안기능 확인서를 획득했다. 일방향 데이터 전송을 위해 ‘nNetDiode V3.0’은 Non-IP, Non-MAC 기술을 적용해 UDP, IP 스택을 거치지 않고 데이터를 송수신한다. 고속 데이터 전송이 가능하고 IP주소를 갖고 있지 않아 Non-Routable의 보안성을 향상시킨다. 또한, 10Gbps 물리적 일방향 전용 보드를 개발해 nNetDiode E-시리즈에 적용하고 있다.
역일방향 전송솔루션 ‘nNetTrust’는 물리적 역일방향 전송솔루션으로 CC인증 획득 제품이다. 인터넷 등 비보안영역에서 패치 및 업데이트 파일을 수신해 악성코드 등을 검사하고 인가된 안전한 파일만 내부망 등 보안영역으로 일방향 전달하는 기능을 제공한다.
‘nNetTrust’는 기존 솔루션의 문제점을 보완해 송신장치, 클린장치, 수신장치의 분리된 3개 서버를 사용하고 중간 영역인 클린장치에서 보안관리를 하도록 구성한 게 특징이다. 송신장치에서 클린장치로 물리적 일방향, 클린장치에서 수신장치로 물리적 일방향으로 연결돼 있다. 송신장치에서 패치·업데이트 파일을 수집하고, 클린장치에서 멀티 백신으로 악성코드를 검사한다. 수신장치에서 인가된 안전한 패치·업데이트 파일을 내부망으로 전달한다.
유니와이드, 서비스별로 실시간 활용률 파악으로 ‘매료’
유니와이드는 안전한 네트워크 망간 전송 환경구축 방안으로 ‘SafeCon v3.0’을 기업에 제시하고 있다. ‘SafeCon v3.0’은 IT환경의 변화와 증가하는 보안위협 대응을 위해 출시한 인공지능 기반의 망연계 솔루션이다.
‘SafeCon v3.0’ 제품에 적용된 기술 및 특징은 첫째, 로그데이터 AI 자동분류로 주기별·기능별·서비스별로 실시간 활용률을 파악하고 있다. 둘째, 딥러닝 기반 네트워크 이상 탐지로 데이터 클린징 & 전처리한다. 셋째, Warning 사이트 자동 차단 기능으로 실시간 Bot 탐지방식으로 불법 유해 사이트, 위험 사이트를 자동 차단하고 목록관리를 한다. 넷째, 사용자 맞춤 UI서비스가 가능한 통합 모니터링 서비스를 제공한다.
‘SafeCon v3.0’ 제품에 적용된 기술 및 사양은 첫째, 외장 스토리지 방식보다 빠르고 경제적인 FC(Fibre Channel) Direct 방식을 적용하고 있다. 둘째, 서버 구간에 전송되는 패킷을 블록 단위로 읽고 써서 스캔해 침입시도·해킹을 원천 차단한다. 연계 구간은 암호화해 데이터를 전달하고 셋째, 국가정보원 인증 암호체계(ARIA 256bit CBC)를 적용함으로써 키분배, 관리, 폐기에 독자적인 알고리즘을 적용해 보안성을 강화했다. 넷째, 다양한 내·위부 서비스 프로토콜의 중계를 지원한다.
또한, △이중화 지원 △스트리밍 데이터를 파일로 저장 후 파일연계방식으로 연계하는 간접연동방식 지원 △원포인트 조회 대시보드 △AI 기반 자동화된 월간 리포팅 기능 △NAT 기능, 정책백업 및 복구 기능 지원 등이 특징이다.
한싹, 보안성·성능·기술력으로 ‘시선 강탈’
한싹의 망연계 솔루션 ‘시큐어게이트(SecureGate)’는 기술력과 보안성, 성능으로 시장에서 높은 점유율을 확보하며 국내 대표 망연계 제품으로 활약하고 있다. 망연계 방식은 연계 구간과 IT 환경 및 용도에 따라 세분화해 공급하고 망분리의 보안성을 유지하면서 업무 연속성과 편의성을 제공한다.
△자료연계는 외부망으로 파일 반출 시 관리자의 승인을 통해 반출 여부를 확인해 내부정보 유출방지와 반출 이력을 관리한다. 내부로 반입 시 백신 검사, 악성코드 유입방지 기능을 통해 내부정보를 보호한다. △스트림연계는 대국민 서비스 등 데이터를 실시간으로 전송하는 연계 서비스 제공과 함께 고속 데이터 처리 기술을 지원한다. △메일연계는 외부망으로 메일 발송 시 승인, 결재 기능으로 내부 자료 유출을 방지하고, 내부망으로 메일 수신 시 보안이 취약한 첨부파일은 제거 후 메일 본문 내용은 이미지로 변환해 내부 메일로 전달한다. △클라우드 망간자료전송은 프라이빗, 퍼블릭, 하이브리드 클라우드 등 다양한 방식을 지원하며, 클라우드 환경에 최적화된 보안 기능을 제공한다.
보안성은 △CC인증 최상위 보안 등급 EAL4 획득 △국정원 검증필 암호모듈 Magic Crypto 사용 △CC인증된 백신 적용 △전 구간 암호화 △파일 암호화 위한 데이터 압축 △AES 256Bit 암호화 적용 △TCP·IP 통신 구간 암호화 위해 SSL 통신(보안 통신) 제공 △연계 데이터 암호화를 위해 ARIA 256Bit 암호화 적용 △파일 무결성 검증 위해 해시 알고리즘 SHA 512Bit 적용 등이 있다.
기술력과 성능은 △3세대 망연계 인피니밴드(InfiniBand) 방식 개발, 특허 등록, 시장 표준화 △인피니밴드 RDMA 기술을 통한 시스템 간 연계 제공 △10Gbps 720,888TPS 성능 제공 △56Gbps 이상의 높은 대역폭 인피니밴드 채용 △스토리지, 인피니밴드, 소켓, 단방향 방식 등 다중 매체 지원 △다양한 보안 SW 연동 지원 △전국망 네트워크 구축, 교육지원 및 실시간 기술지원 등을 제공하고 있다.
휴네시온, 보안·사용 편의성 살린 연계 서비스로 ‘압도’
휴네시온은 제로트러스트, 클라우드 전환, IT·OT 융합 등 다양하게 변화하는 기업 환경에 최적화한 망연계 솔루션으로 시장변화에 대응하고 있다. △첫 번째로 IT망(인터넷망, 업무망 등) 연계 시 주로 적용되는 ‘아이원넷(i-oneNet)’은 스마트 도시 안전망 서비스, 지능형 교통신호체계, 스마트 홍수관리시스템 등 다양한 국가정책사업을 수주하며 공공조달 망연계 시장에서 활약하고 있다. 최근 ‘아이원넷’은 금융권 서버 간 파일연계 서비스 증가로 악성코드 검사와 승인결재 과정을 통해 보안을 강화한 Server to Server 연계를 지원해 업무 효율성을 높였다.
△‘제로트러스트 아이원넷(ZT i-oneNet)’은 ‘누구도 신뢰하지 않는다’는 제로트러스트 원칙에 기반해 보다 안전하게 자료전송을 제공하고 내부정보유출을 방지한다. 외부 비보안영역에서 내부 보안영역으로 접근 시 Black Core 매커니즘을 도입해 가시성과 투명성을 확보하고, 아키텍처의 단위모델화 실현 및 강력한 접근보안 구축이 가능하도록 적용하고 있다. ‘제로트러스트 아이원넷’은 온프레미스와 클라우드 혹은 다중 클라우드 망간 연계를 모두 지원해 어디나 적용할 수 있다.
△OT·ICS 환경에 최적화된 일방향 망연계 ‘아이원넷 디디(i-oneNet DD)’와 양일방향 망연계 ‘아이원넷 디엑스(i-oneNet DX)’는 물리적 일방향 매체를 적용한 망연계 솔루션이다. 더욱 강력한 보안환경이 있어야 하는 국방, 에너지, 정보통신, 교통 등 국가기반시설에 적용된다. ‘아이원넷 디디’는 OPC 연계, 파일연계, DB연계 등 다양한 프로토콜 연동을 지원한다. 최근 보안관제를 위한 네트워크 패킷 연계, 로그연계 사례가 증가하고 있다.
‘아이원넷 디엑스’는 서로 다른 망간 자료전송 시 양방향 세션 연결 없이 물리적 일방향 매체를 적용해 안전한 데이터 연계를 제공한다. 특히 보안수준이 높은 망에서 일괄 정책관리를 지원, 통합관리를 통한 보안감사가 가능하다.
[이미지=휴네시온]
[망분리·망연계 대표 솔루션 집중분석-1]
휴네시온, 시장점유율 1위 망연계 솔루션 ‘i-oneNet’
클라우드, OT·ICS 환경 위한 망연계 라인업 보유
망분리 환경에서 망연계 솔루션의 역할은 악성코드, 해킹과 같은 외부 위협과 중요 정보의 악의적 반출 등 내부 위협으로부터 업무망을 보호하는 것이다. 코스닥 상장 기업 휴네시온은 망연계 대표 솔루션 ‘아이원넷(i-oneNet)’을 비롯해 일방향 망연계 ‘아이원넷 디디(i-oneNet DD)’, 양일방향 망연계 ‘아이원넷 디엑스(i-oneNet DX)’, 망연계 통합관리 ‘아이원넷 유씨(i-oneNet UC)’까지 다양한 기업 환경을 위한 세분화된 제품 라인업을 갖추고 있다.
망연계 솔루션에 제로트러스트 기술 선제 도입, 업무망 보안 한층 강화
‘아이원넷’은 국내 망연계 공공조달 시장에서 2015년부터 8년 연속 1위(조달정보개방포털 특정품목 조달 내역 기준)를 차지하고 있는 솔루션으로 공공, 지자체, 금융, 기업 등 800여개 레퍼런스를 확보하고 있다. 인터넷망과 업무망으로 분리된 일반적인 망분리 환경부터 VDI, 모바일망, 메일연계, 재택근무, 비대면 시스템, 클라우드, 스마트시티 등 다양한 환경에서 다각적으로 활용되고 있다.
‘아이원넷’은 전용 프로토콜을 통한 망간 통신으로 기밀성을 보장하고, 멀티백신 탑재, 문서 OLE 객체 악성코드 검사, 이미지 디톡스(이미지 파일 내 위협요소 무력화 특허) 등 높은 수준의 보안 기능을 제공한다.
macOS, 개방형 OS 등 다양한 사용자 환경 지원, 메일연계 서비스 등 사용 편의성을 높였다. 또한, 클라우드 서비스 확인제 인증을 획득하고 클라우드 환경에서도 망연계 보안 요구사항을 만족하는 클라우드 망연계 서비스를 제공한다. AWS, MS Azure, NCP, NHN, KT Cloud, 카카오 i 클라우드 등 다양한 클라우드 인프라를 지원하고 있다.
휴네시온은 망연계 업계에서 처음으로 제로트러스트 기술을 적용한 망연계 솔루션 ‘제로트러스트 아이원넷’을 선보였다. 강력한 사용자 인증 체계를 구현해 권한 있는 사용자라도 지속적 검증을 거쳐 업무망 연계가 가능하다.
일방향 망연계로 OT + IT 융합 보안 모델 제시
‘아이원넷 디디(i-oneNet DD)’는 물리적 일방향 매체를 적용한 일방향 망연계 솔루션으로 국가기반시설, 지능형교통체계(ITS), 데이터댐, 스마트시티, 스마트팩토리 등 IT와 OT가 융합된 환경에서 활발하게 적용 중이다.
최근에는 ‘아이원넷 디디’와 자회사 시큐어시스템즈의 ‘시큐어오케스트라’를 연계해 AI 기반 OT 보안관제 아키텍처를 제시했다. 휴네시온은 물리적 일방향 환경을 유지해 보안 규제는 만족하면서 양방향 데이터 전송이 가능한 양일방향 망연계 솔루션 ‘아이원넷 디엑스(i-oneNet DX)’도 보유하고 있다.
[이미지=유니와이드]
[망분리·망연계 대표 솔루션 집중분석-2]
유니와이드, AI 기반 침입탐지 및 로그분석 망연계 솔루션 ‘SafeCon v3.0’ 출시
해킹·침입 대비한 AI 기반의 분석 및 대응으로 안전한 보안 환경 제시
행정·공공기관은 망분리 환경에서 각각의 행정, 기타 공공 서비스 목적 달성을 위해 다양한 외부 및 유관기관과의 연계 필요성이 확대되고 있다. 이러한 IT서비스 인프라 특성의 공공기관 내부 주요 자산을 겨냥한 공격이 증가하고 있다. 이에 따라 내부 중요 자산을 보호하고, 보안위협에 대응하기 위해서는 새롭고 효율적인 체계 확립과 기술 도입이 필수다.
국내 나라장터쇼핑몰 컴퓨터 서버 판매기업이자 하이브리드 클라우드 플랫폼 사업을 진행하고 있는 유니와이드는 IT환경의 변화와 증가하는 보안위협 대응을 위해 인공지능 기반의 망연계 솔루션 ‘SafeCon v3.0’을 출시해 안전한 네트워크 망간 전송 환경구축 방안을 기업에 제시하고 있다.
선제적 보안 위협 대응 시스템 ‘SafeCon v3.0’
‘SafeCon v3.0’은 딥러닝 기반 네트워크 이상 탐지 기능을 통해 네트워크를 분석하고 이상 데이터 및 요소를 분류해 데이터 클린징과 전처리로 선제적인 대응 체계를 제공한다. 이를 통해 기업은 즉각적인 대응이 가능하다. 또한, ‘SafeCon v3.0’은 Warning사이트 자동 차단 기능을 제공해 실시간 Bot탐지방식으로 불법 유해사이트, 위험 사이트를 자동 차단한다.
또 목록관리를 통해 안전하게 관리하고 취약점을 사전에 분류 및 대응해 기업의 IT 환경에 최적화된 보안정책을 제공한다. 실제로 보안 관리자의 가장 큰 어려움 중 하나는 증가하는 신종 위협을 인식하고, 이를 정책으로 설정하는 업무다. 매일 발생하는 수십 가지 새로운 신종 보안위협을 인식 및 분석 후 탐지패턴을 만들어 보안솔루션에 적용하려면 수일에서 최대 일주일의 시간이 소요된다. ‘SafeCon v3.0’은 사용자 맞춤 통합 모니터링 서비스를 통해 신종 위협에 대한 즉각적인 방어체계를 기업에 지원한다.
AI 자동 분류로 실시간 활용률 파악, 자동화된 리포팅 제공 등 선제 대응
‘SafeCon v3.0’은 기업에 망연계 솔루션의 필요성 및 활용에 대한 자동화된 리포팅을 제공해 행정·공공기관의 문제점과 위협을 식별하고 적절한 조치를 할 수 있게 해준다. 기존 유니와이드의 서버와 스토리지 운영기술, 하이브리드 클라우드플랫폼 기술과 연계해 안정적인 기반의 환경을 제공하고 다양한 기능의 탑재를 통해 보안 시장 요구사항에 부합하도록 대응하고자 한다.
하이브리드 및 멀티클라우드 환경에서 ‘제로트러스트’ 보안체계 지원
데이터센터는 빠르게 SDDC(Software Defined Data Center) 기반으로 변경되고 있다. 퍼블릭 클라우드와 프라이빗 클라우드를 혼합해 경제성과 유연성, 보안성을 달성하고자 하는 하이브리드 및 멀티클라우드 전략에 대한 수요가 증대되고 있다. 이러한 가상화된 컴퓨팅, 네트워크 환경에서 ‘제로트러스트’ 보안정책을 적용해 기존의 레거시 환경에서 적용한 보안정책을 수정, 보완해야 한다.
‘SafeCon v3.0’은 하이브리드, 멀티클라우드 환경에서 서비스 연계 시 로그관리, 위협분석(SIEM), 위협대응(SOAR)을 통합으로 제공하는 ‘제로트러스트’ 기반의 보안정책을 지원한다. 유니와이드는 기존 온프레미스 IT 인프라 구축과 운영 경험, 사용한 만큼 과금되는 종량제 하이브리드 클라우드 플랫폼 UNI-CLOUD(유니클라우드)를 통해 컴퓨팅, 스토리지, 네트워크, 보안, 모니터링에 대한 통합 서비스를 제공한다.
[이미지=소프트위드솔루션]
[망분리·망연계 대표 솔루션 집중분석-3]
소프트위드솔루션, 망간 메일보안 연계 솔루션 ‘크로스넷 메일이엑스 5.0’ 출시
클라우드, OT·ICS 환경 위한 망연계 라인업 보유
망분리 환경에서 금융기관과 공공기관은 외부에서 수신한 메일의 첨부파일을 내부로 가져오기 위해 외부 메일에 첨부된 파일을 저장한 후 다시 망간자료전송을 이용해 가져와야 한다. 내부에서 외부로 파일을 메일로 전송하려면 망간자료전송을 통해 외부로 파일을 반출한 후 외부에서 메일을 작성할 때 파일을 첨부해 전송해야 한다. 이처럼 업무의 비효율성이 증가하고 있다. 망간 메일보안 체계를 위한 새로운 망간 메일보안 연계 체계 확립이 필요하다.
국내 망간 메일보안 연계 기업 소프트위드솔루션은 이러한 망간 메일 본문과 첨부파일의 보안 위협에 대응하기 위해, 메일보안 연계 솔루션 ‘크로스넷 메일이엑스(CrossNet MailEx) V5.0’을 출시해 안전한 망간 메일보안 연계 환경 구축 방안을 기업에 제시하고 있다. 망간전송은 CC인증 망연계제품을 사용하고, 메일의 본문을 Clean HTML로 변환한다. 안전한 첨부파일만 메일연계가 되도록 메일 변환 기술과 파일 위변조 및 객체삽입 검사 기능을 제공한다.
메일 본문 보안위협 대응 위한 ‘Clean HTML’ 보안필터링 제공
‘CrossNet MailEx V5.0’은 메일 본문의 숨겨져 있는 보안 위해 요소를 제거해 안전한 메일 본문을 제공한다. 메일 본문 내의 다운로드 이미지에 대한 보안검사 및 변환과 각종 위험한 HTML 태그 및 태그에 숨겨진 위험요소 제거 기능을 제공한다.
따라서 망간 메일연계로 내부망에서 메일을 오픈해도 외부 링크가 없어 인터넷을 통해 위해 요소가 다운로드되지 않는다. HTML 태그 실행을 방지해 안전한 메일 열람이 가능하다. 기존의 스팸차단, 메일 APT 혹은 EDR 솔루션은 위험 계정에 대한 메일 반입 차단, 악성코드 검사 혹은 첨부파일의 위해 요소 검사만 가능했다. 하지만 메일에서 위험한 요소는 HTML 형식으로 메일 열람 시 인터넷을 통해 위험 컨텐츠가 다운로드되거나 실행돼 보안위협은 그대로 남아 있다.
‘CrossNet MailEx V5.0’은 기존 메일보안 솔루션에서 제거하지 못한 보안 위험요소를 메일 본문에서 제거해 안전한 메일 열람 환경을 제공한다.
메일 첨부 파일에 대한 강력한 보안 통제
메일 내에는 여러 첨부파일이 포함된다. 첨부파일은 악성코드가 포함되거나 혹은 파일 위변조를 통한 보안 공격이 많이 포함된다. 이러한 취약점 제거를 위해 고가의 메일 APT 혹은 메일 EDR 솔루션을 구축한다.
‘CrossNet MailEx V5.0’은 첨부파일에 대해 반입 확장자 유형 설정을 통해 유해한 파일 반입 차단이 가능하다. 기본적으로 악성코드 검사와 위변조 검사를 한다. 특히 근래 유행하는 랜섬웨어는 오피스 문서 혹은 한글문서 내의 위험한 실행파일, 배치파일 및 매크로 등을 포함한다. ‘CrossNet MailEx V5.0’은 오피스 문서와 한글문서 내에 실행파일, 매크로, 배치파일을 객체 삽입한 경우 그 파일을 위해 요소로부터 차단해 주는 기능을 제공한다.
[이미지=한싹]
[망분리·망연계 대표 솔루션 집중분석-4]
한싹, 망연계 ‘시큐어게이트(SecureGate)’로 클라우드 대전환 시대 보안 선도
개방형 OS·DaaS·온북 등 다수의 공공 클라우드 전환사업 수주하며 시장 선점
행정·국가기관의 클라우드 전환사업이 본격화되고, 금융권과 민간기업의 클라우드 도입이 확대되는 등 전 산업분야에 클라우드 대전환 시대가 도래하면서 망분리·망연계를 클라우드 환경에 도입하는 수요가 늘고있다. 한싹은 이러한 시장 변화에 신속하고 탄력적으로 대응하기 위해 클라우드 보안 연구센터를 설립하고 클라우드 망연계 솔루션 ‘시큐어게이트(SecureGate)’를 개발해 클라우드 보안 사업 확장에 주력하고 있다.
모든 클라우드 환경 지원하는 국내 대표 망연계 솔루션 ‘시큐어게이트’
‘시큐어게이트’는 보안 등급이 다른 영역 간에 보안성을 유지하면서 데이터를 안전하게 전송하는 망간자료전송 솔루션이다. 윈도, 리눅스, 맥 등 주요 운영체제(OS)와 모바일, 클라우드, 사물인터넷 등 다양한 환경에서 모두 사용 가능한 멀티플랫폼(Multi-Platform) 기술을 기반으로 개발되어 어떤 환경이든 유연하게 적용할 수 있다.
시큐어게이트는 프라이빗(Private), 퍼블릭(Public), 하이브리드(Hybride) 클라우드와 도입 형태에 따른 하이브리드형과 클라우드형 등 다양한 방식을 지원한다. 현재 네이버, NHN, KT, SK, 카카오, 가비아, 아마존웹서비스(AWS), 애저(Azure) 등 국내외 모든 클라우드 플랫폼에 지원 가능하며, 이중 국내 5개 플랫폼에서 구독형 서비스를 제공하고 있다.
주요 기능으로는 클라우드 다중 망간 파일전송 시 백신을 통한 악성코드 탐지, 자체 개발한 전용 프로토콜통신으로 파일전송, 전송 파일 및 데이터 암호화, 파일 위변조 검사, 반출·승인 결재, 클립보드 전송, URL 리다이렉션, 접속 설정 및 이력 관리 등 클라우드 환경에 최적화된 보안 기능을 제공한다. 또한, 공인기관 성능 성적서 기준 기술평가 1위를 기록하고, 국내 유일하게 클라우드 환경에서 Non-TCP를 구현해 차별화된 성능과 보안성을 보장한다.
클라우드 망연계 솔루션을 도입하면, 구축비, 인건비, 유지관리까지 비용 절감 효과를 크게 얻을 수 있다. 자체 전산실을 구축할 필요가 없어 비용 부담으로 인해 보안 솔루션을 도입하지 못했던 중소기업도 합리적인 비용으로 도입할 수 있는 게 장점이다. 또한, 어디서든 편하게 사용할 수 있는 접근성과 편의성으로 재택·원격근무 환경에서도 사용 가능해 업무 생산성과 효율성을 향상시켜 준다.
개방형OS·DaaS·온북 공공 클라우드 전환사업 선점하며 시장 리딩
행정안전부는 2025년까지 공공기관의 인터넷망을 ‘서비스형 데스크톱(DaaS)’으로 전면 교체하는 사업과 2027년까지 국가공무원과 지자체 공무원이 사용하던 62만3천대의 PC를 개방형 OS를 탑재한 DaaS 기반의 업무용 노트북 ‘온북’으로 변경하는 사업을 추진 중이다. 공공 DaaS 시장은 2025년까지 약 3000억원 규모에 달할 전망이며, 행안부는 올해 업무보고를 통해 온북의 전 부처 확산을 2027년까지 90% 달성하겠다는 목표를 제시했다.
한싹은 이러한 공공 시장에 대응하기 위해 클라우드 관련 국책사업과 시범사업에 적극 참여해 클라우드 망연계 솔루션 및 서비스 개발과 기능 고도화에 집중 투자해왔다. 국내외 클라우드 서비스 제공사(CSP)와 클라우드 관리서비스 제공사(MSP), SI 업체들과의 협력을 확대하며 망연계 솔루션 공급은 물론 시스템 유지관리 및 보안관제 서비스에 대한 신규 사업기회를 확보해 나가고 있다. 이를 통해 개방형 OS, DaaS, 온북 등 다수의 공공 클라우드 전환사업을 선점하며 클라우드 보안 시장을 선도하고 있다.
한싹은 공공기관 임직원 1,000여 명의 DaaS 서비스에 클라우드 망연계 솔루션을 안정적으로 공급하며 국내 CSP사들로부터 긍정적인 평가를 받았다. 뿐만 아니라 SK브로드밴드와 손잡고 네이버 클라우드의 공공 DaaS 서비스에 망연계 솔루션을 공급하는 계약을 체결했다. 최근에는 공공기관 1호로 추진된 국방부 온북 구축사업과 대통령 직속 핵심 국가기관의 온북 사업을 수주하면서 유리한 고지를 선점하고 시장 공략에 박차를 가하고 있다.
또한, 한국지능정보사회진흥원(NIA)과 공공기관 자체 사업으로 발주한 한국한의약진흥원과 산업통상자원부 산하기관, 농림축산식품부 산하기관 등 다수의 공공 클라우드 전환사업을 잇달아 수주하는 데 성공하며 클라우드 보안 사업을 순조롭게 확장해 나가고 있다.
SECaaS, SMP 클라우드 플랫폼 비즈니스로 사업 확대
향후 한싹은 망연계를 활용한 클라우드 보안 서비스(SECaaS)와 클라우드 인프라에서 복합 보안 기술의 접근을 제공하는 클라우드 서비스 관리 플랫폼(SMP) 등 클라우드 플랫폼 비즈니스로 사업영역을 확대해 나갈 계획이다.
클라우드 플랫폼 서비스는 클라우드 대전환 시대에서 의무적으로 망분리를 도입해야 하는 공공기관, 금융권, 기업에 망간자료전송 솔루션의 도입을 용이하게 해줄 뿐만 아니라 회사의 매출 구조를 구축 및 유지관리에서 구독형으로 변화시켜 매출 상승과 안정적인 매출 구조 등에 긍정적인 영향을 줄 것으로 기대하고 있다.
한싹의 망연계 솔루션은 공공부문 조달청 자료 기준 5년 전보다 414.8% 가파르게 성장했으며, 5년간 연평균 성장률은 103.7%를 달성했다. 시장 점유율은 37%로 업계 상위 자리를 차지하고 있다. 이를 기반으로 망연계 사업을 다각화하며 더욱 강화해 나갈 계획이다.
[이미지=멘로시큐리티]
[망분리·망연계 대표 솔루션 집중분석-5]
변화를 위한 혁신 솔루션 ‘웹 격리’, 효율적인 망분리 제시
웹격리 기술을 이용한 망분리 전략 가이드
생산성과 효율성 향상을 위해 전쟁을 치르고 있는 기업 환경은 코로나19 팬데믹을 계기로 빠르게 변화하고 있다. 재택근무의 확산으로 사용자 업무 환경은 극히 분산되어 원격 협업이 보편화됐으며, 클라우드 서비스와 SaaS 사용은 급격히 증가했다. 보안위협 역시 다양한 기술로 여러 계층을 전방위적으로 공격하는 방식으로 진화하며 기존 데이터센터 중심의 보안 대응은 한계를 드러내고 있다. 그리고 망분리 시스템은 이런 변화와 혁신의 모든 측면을 거스르는 대표적인 기술이 됐다.
치명적인 공격 루트를 차단하는 웹 격리 기술
웹 격리 기술(Remote Browser Isolation)은 실질적인 웹 활동은 격리된 가상 브라우저에서 실행하고 사용자에게는 안전한 실행 결과를 전달한다. 사이버 공격의 90% 이상이 웹과 이메일을 통해 이루어진다는 점에서 주목한 기술로, 사용자의 실제 웹 브라우저는 인터넷과 직접 접속하지 않아 웹을 통해 침투하는 악성코드를 차단하는 데 효과적이다.
특히, 웹 격리 기술은 사용자 경험에 아무런 영향을 미치지 않아 업무 생산성을 높일 수 있다. 사용자는 기존 웹 브라우저 환경과 동일한 방식으로 웹 서핑이나 이메일 등을 사용하지만, 트래픽은 멘로시큐리티와 같은 웹 격리 솔루션 업체의 격리 플랫폼인 가상 브라우저로 먼저 전달된다.
실제로 외부 웹과 트래픽을 주고받는 시스템은 가상 브라우저다. 격리 플랫폼은 웹 콘텐츠에서 실행 가능한 컴포넌트를 제거하고 웹 리소스를 변경하고 재작성하는 CDR(Content Disarm and Reconstruction) 기능을 수행한다. 가상 브라우저는 악성 스크립트 및 파일을 제거한 안전한 렌더링 정보만 사용자 브라우저에 전달한다.
사용자 브라우저는 격리 플랫폼으로부터 DOM 처리 명령 정보만 다운로드하고, 격리 플랫폼은 사용자 브라우저로부터 키보드와 마우스의 입력 정보만 수신한다. 사용자가 의심스러운 웹 사이트를 방문해도 악성코드는 가상 브라우저에서 걸러 사용자에게 악성코드가 전달되지 않는다. 사용자는 망분리 환경의 VDI보다 빠르고 안전한 업무 환경을 확보할 수 있다.
제로트러스트 인터넷으로 망분리의 현실적인 대안 제시
망분리가 인터넷을 통해 업무망으로 악성코드를 비롯한 웹 위협이 침투하는 것을 방지하기 위한 것이라는 점에서 웹 격리 기술은 망분리 도입을 통해 얻고자 하는 주된 목적을 더 효과적으로 달성할 수 있다. 물론 망분리는 PC 전체를 인터넷과 격리한다는 점에서 웹 격리 기술이 망분리를 완벽하게 대체할 수는 없다.
하지만 적지 않은 도입 및 관리 비용이 드는 망분리 시스템에 대한 의존도를 줄여 비용 절감은 물론, 업무 생산성을 해치지 않는 방식으로 더 많은 사용자가 안전한 업무 환경을 이용할 수 있다. 예를 들어, 현재 가장 많이 활용되는 망분리 방식인 논리적 망분리는 VDI(Virtual Desktop Infrastructure) 솔루션을 이용하는데, 사용자당 라이선스 비용부터 VDI 서비스를 위한 인프라 구축까지 적지 않은 비용이 든다.
이 때문에 논리적 망분리를 조직 전체에 적용하는 건 드물고, 개인정보를 취급하는 등 반드시 망분리 환경이 필요한 사용자 외에는 부서별로 적절한 비율로 할당해 공유하는 방식으로 활용한다. 당연히 사용자의 인터넷 활용은 번거롭고 불편할 수밖에 없다.
웹 격리 솔루션은 규제에 의해 반드시 VDI를 적용해야 하는 사용자를 제외하고 전체 직원에게 적용해 업무 생산성과 보안을 모두 만족하는 환경을 구현할 수 있다. 사용자당 라이선스 비용도 VDI 솔루션의 1/10~1/20 수준이며, 전 직원이 업무를 위해 인터넷을 사용하는 환경을 운영하더라도 망분리 시스템의 비용을 50% 이상 절감할 수 있다. 망분리 시스템에 새로운 시스템을 추가해도 복잡성을 염려할 필요는 없다.
웹 격리 솔루션은 클라우드 기반의 SaaS 서비스라 핵심 처리 기능은 모두 서비스 업체의 데이터센터, 클라우드에 있다. 조직은 사용료만 지불하면 바로 배치할 수 있으며, 사용자는 웹트래픽에 대한 프록시 설정만 변경하면 된다.
웹 격리 기술은 외부 인터넷의 잠재적 위협에 대한 강력한 방어책을 제공한다. 웹 콘텐츠의 위험성을 100% 정확하게 판별하기는 어렵다. 어제 정상이었던 콘텐츠가 오늘은 악성 콘텐츠일 수 있다. 웹 격리 기술은 어떤 웹 콘텐츠도 신뢰하지 않고 모두 무해한 콘텐츠로 변환해 사용자에게 전달해 웹 트래픽의 보안성을 극대화할 수 있다.
멘로시큐리티 웹 격리 솔루션인 ‘Menlo Security RBI(Remote Browser Isolation)’는 인터넷 악성코드를 막기 위해 제로트러스트 전략을 구현하는 데 필요한 가시성과 통제 역량을 제공한다. 오늘날 위협 인자는 전통적인 보안 방어책을 우회하고 최신 브라우저의 표준 기능을 이용해 악성코드를 배포하는 HEAT 공격으로 웹 브라우저를 노린다. 악성코드가 방어책을 악용하는 상황에서 위협을 파악하기보다는 브라우저 격리를 통해 모든 웹 트래픽이 클라우드 기반 원격 브라우저를 먼저 통과하도록 해 안전한 콘텐츠만 최종 사용자에게 전달되도록 하는 게 더 효율적이다.
‘Menlo Security RBI’는 모든 콘텐츠가 악성이라고 가정해 그에 맞게 처리하는 제로트러스트 원칙을 채택하고 있다. 브라우저 격리와 함께 멘로시큐리티는 모든 보안 웹 게이트웨이 기능을 단일 클라우드 네이티브 플랫폼에 통합했다. SWG(Secure Web Gateway)뿐만 아니라 CASB(Cloud Access Security Broker), DLP(Data Loss Prevention), 프록시, FWaaS까지 통합해 확장된 API와 정책 관리, 리포팅, 위협분석을 위한 단일 인터페이스를 제공한다.
멘로시큐리티 클라우드 플랫폼은 독자 기술인 아이솔레이션 코어(Isolation Core)를 기반으로 많은 사용자라도 신속하게 온보딩할 수 있는 탄력적인 확장성을 갖췄다. 인력이나 트래픽 규모의 변동이 심해도 별도의 용량 계획이나 복잡한 환경 구성없이 바로 배치할 수 있다. 사용자는 웹 기반의 정보와 업무 생산성 툴을 장애 없이 이용할 수 있다.
‘Menlo Security RBI’는 100% 네이티브 클라우드 서비스로, 오토스케일링을 통해 서비스 가용성과 확장성을 극대화했다.
[이미지=앤앤에스피]
[망분리·망연계 대표 솔루션 집중분석-6]
앤앤에스피, 차세대 일방향 솔루션 ‘nNetDiode V3.0’, ‘nNetTrust V2.0’ 출시
국가용 보안 요구사항 V3.0 기준 만족하는 물리적 일방향 망연계 선도
미국 송유관 운영사인 ‘콜로니얼 파이프라인’ 사이버 공격, 대만 반도체 업체 TSMC 해킹 등 국가 주요 기반시설뿐만 아니라 산업 기반시설에 대한 공격이 증가하고 있다. 이에 따라 OT 환경의 주요 기반시설을 사이버 위협으로 보호하면서 스마트 제조 혁신에 따른 서비스 연계에 대한 보안성을 보장하기 위한 체계 확립이 필수적이다.
국내 OT 보안 기업 앤앤에스피는 이러한 OT 환경의 변화와 증가하는 사이버 위협에 대응하기 위해 최신 보안 기능과 고성능을 보장하는 일방향 기반 망연계 솔루션 ‘nNetDiode V3.0’과 ‘nNetTrust V2.0’을 출시해 더욱 안전한 OT·IT 융합 보안 환경 구축 방안을 기업에 제시하고 있다.
국내 물리적 일방향 전송 솔루션 ‘nNetDiode’, 역일방향 ‘nNetTrust’ 개발
2014년 이전 대부분의 국가기반시설에서 제어시스템을 폐쇄망으로 유지하기 위해 송신측 송신 회선(TX)과 수신측 수신 회선(RX)만 연결하고 반대 회선은 절단해 수동으로 물리적 일방향 환경을 구성했다. 이에 앤앤에스피는 2014년 중소벤처기업부 과제로 물리적 일방향 전송장비 국산화 개발에 성공해 한국지역난방공사에 ‘nNetDiode’를 시범 적용했다. 2016년 5월 물리적 일방향 전송장비로는 CC인증을 획득하고 현재까지 국내 일방향 전송 솔루션으로 시장을 선도하고 있다.
또한 안전하고 검증된 패치·업데이트 등 공급망 보안을 위해 물리적 역일방향 솔루션인 ‘nNetTurst’를 개발해 2020년 CC인증을 획득했다. ‘nNetTrust’는 국내 패치·업데이트용 역일방향 망연계 솔루션으로 패치·업데이트 파일을 인터넷망에서 내부망으로 전달하는 경우, 기존 USB를 이용한 수동 전달 방식의 보안성을 그대로 유지하면서 자동 전달 환경으로 변화시켜 업무 효율성 및 보안성을 향상하고 있다.
오류·장애 대응 가능한 물리적 일방향 송·수신 전용보드 탑재
일방향 망연계 솔루션은 OSI 7 네트워크 계층 중 물리적 계층에서 단방향 통신만 가능하도록 개발된 장비이다. 양방향 통신이 가능한 범용 GBIC을 이용해 단방향 회선을 구성하는 타사 방식과 달리 앤앤에스피는 국제 수준에 맞춰 물리적 일방향 전용보드를 개발해 탑재하고 있다.
앤앤에스피는 오류 및 장애 대응이 가능한 물리적 일방향 전용보드 기술에 대한 한국 및 미국 특허를 보유해 오류복구코드(ECC)를 이용한 순방향 오류정정(FEC)뿐만 아니라 수신장치 회선 절체 및 송신장치 절체 인식 기술을 통한 오류 재전송 및 장애 버퍼링 기능을 제공해 역방향 오류정정(BEC)까지 지원한다.
국가용 보안 요구사항 V3.0 기반 보안기능 확인서 인증 ‘nNetDiode V3.0’
앤앤에스피는 국내 물리적 일방향 솔루션인 ‘nNetDiode’의 성능을 개선한 V3.0을 출시하고 일방향 기반의 망연계 솔루션으로는 국가용 보안 요구사항 V3.0 기준을 적용해 보안기능 확인서 인증을 획득했다.
앤앤에스피는 다른 경쟁사 일방향 망연계 솔루션들처럼 기존 구버전의 국가용 보안 요구사항 V1.0을 적용한 CC인증을 효력 연장이나 재평가받아 보안기능 확인서를 발급받는 방식이 아니라, 새로운 국가용 보안 요구사항 V3.0 기준을 적용하고 최신 인증 정책에 따라 엄격한 검증을 통해 일방향 기반의 망간자료전송제품으로 보안기능 확인서 인증을 받았다.
기존 ‘nNetDiode V2.0’에서는 U/P-시리즈의 2가지 모델이었으나 ‘nNetDiode V3.0’에서는 S/U/P/E-시리즈의 4가지 모델로 확장해 소형 사이트부터 고성능, 고품질을 요구하는 엔터프라이즈 사이트까지 지원할 수 있도록 모델을 확장하고 있다.
특히, E-시리즈에서는 국내 10Gbps 물리적 일방향 전용보드를 개발해 탑재함으로써 고성능을 지원한다. 대부분의 일방향 망연계 솔루션은 일방향 데이터 전송을 위해 UDP 암호화 방식을 사용한다. 하지만 이 방식은 IP를 사용하는 Routable 프로토콜 특성 때문에 보안성이 떨어진다. 그뿐만 아니라 UDP, IP 프로토콜 스택을 거치면서 전송 지연도 발생한다.
이러한 문제점을 해결한 ‘nNetDiode V3.0’은 Non-IP, Non-MAC 기술을 이용한 암호화 방식을 제공한다. 이 방식은 UDP, IP, MAC 프로토콜 스택을 거치지 않고 응용계층에서 바로 물리계층으로 데이터를 전송해 고속 전송이 가능하다. 또 IP와 MAC 주소를 사용하지 않은 Non-Routable 프로토콜을 지원해 보안성을 높인다.
패치·업데이트 위한 역일방향 망연계 솔루션 ‘nNetTrust V2.0’
국가정보원은 망분리 환경에서 양방향 망연계 시스템, 온라인 패치, 업데이트를 원천 금지했다. 그러다 2021년 국가정보원은 기반시설 보안 강화를 위해 패치, 업데이트하는 일방향 전송장비 도입을 승인했다.
하지만 보안영역에서 비보안영역으로 데이터를 전송하는 기존의 일방향 연계 솔루션을 패치, 업데이트 파일 수집을 위해 반대로 구성하면 보안영역의 보안관리 매니저가 비보안영역에 위치해 보안정책에 위배 된다.
이러한 문제점을 해결한 앤앤에스피의 ‘nNetDiode V3.0’은 국내 패치, 업데이트를 위한 역일방향 망연계 솔루션이다. ‘nNetDiode V3.0’은 외부망에 송신서버, 중간 영역에 클린서버, 내부망에 수신서버로 구성된다. 송신서버는 인터넷 등으로부터 패치, 업데이트 파일을 수집하고, 클린서버는 보안정책을 관리한다.
특히 멀티 백신으로 패치, 업데이트 파일을 검사해 안전성이 검증된 파일만 수신서버를 통해 내부망으로 전달한다. 이처럼 우수한 기능을 제공하고 있는 ‘nNetDiode V3.0’은 국가용 보안 요구사항 V3.0 기준 보안기능 확인서 평가를 진행 중이다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 행정안전부 김성록 과장, 금융위원회 김정현 사무관, 금융보안원 서호진 팀장
[설문조사] ‘망분리·망연계 솔루션 인식 및 선택기준’ 결과
망분리·망연계 대표 솔루션 분석: 휴네시온, 유니와이드, 소프트위드솔루션, 한싹, 멘로시큐리티, 앤앤에스피
[보안뉴스 김경애 기자] “일각에선 망분리·망연계 솔루션은 이미 끝나지 않았나? 도입될 곳은 이미 다 도입돼 사업성이 떨어진다고 생각해요. 하지만 천만의 말씀입니다. 클라우드 등 디지털 대전환 환경에 따라 인터넷 접점이 늘면서 망분리는 계속 확대되는 추세에요. 망분리 환경이 조성됨에 따라 안전하게 데이터를 전송할 수 있는 망연계 솔루션은 갈수록 중요해지고 있어요.”
[이미지=utoimage]
“이미 망분리·망연계 솔루션은 도입될 만큼 도입돼 단물 빠진 시장이다”라는 일부의 시각은 편견이라는 게 보안전문가의 발언이다. 최근 망분리·망연계 솔루션 시장은 신기술 발달과 디지털 환경변화로 떠오르고 있다. 망분리·망연계 솔루션이 뜨는 배경에는 △첫째, 법 개정으로 인한 망분리 의무 대상자 확대 △둘째, 클라우드 이용 활성화에 따른 망분리·망연계 솔루션의 수요 증가 △셋째, 이미 도입한 망분리·망연계 솔루션의 교체 시기 △넷째, 신기술과 디지털 환경변화로 인한 망분리·망연계 솔루션 수요 증가가 있다.
이에 <보안뉴스>에서는 최근 주목되고 있는 망분리·망연계 솔루션에 대해 집중적으로 다뤄보고자 한다. 망분리·망연계 솔루션 탄생 배경을 비롯해 주요 정책 이슈, 행정안전부 망분리 관련 사업인 온북 사업, 망분리·망연계 솔루션의 주요 이슈에 대해 들어 봤다.
망분리·망연계 솔루션 왜 필요한가
망분리는 중요정보를 취급하는 업무망과 외부 인터넷으로 연결된 인터넷망을 분리한 망 환경을 말한다. 망분리는 크게 물리적 망분리, 논리적 망분리로 구분된다. 물리적 망분리는 PC 2대를 물리적으로 분리해 인터넷망과 업무망으로 구분하는 방식이다. 논리적 망분리는 PC 한 대에서 인터넷 접속망과 폐쇄망을 가상화로 망을 분리한 환경이다. 가상화는 CBC, SBC 방식으로 구분되고, SBC는 VDI와 VM으로 구분된다. 클라우드 망분리는 큰 틀에선 논리적 망분리로 구분된다.
이렇게 분리된 망환경에서 망연계 솔루션은 안전하게 데이터를 전송해 준다. 망분리로 기본적인 보안 상태를 유지하며 승인·반출 기능을 제공해 정보유출을 방지한다. APT, DRM, DLP, CDR, 백신 등 보안 솔루션과도 연동해 해킹 등 외부 위협으로부터 중요 업무망을 보호한다. 특히 외부에서 내부망 자료를 볼 때, 내부에서 외부망을 통해 문서를 다운로드 받을 때, 메일을 주고받을 때 등에 활용되면서 업무의 연속성과 편의성을 높여준다.
망분리 최근 시장 동향 및 트렌드
최근 공공·금융기관의 인프라는 빠르게 변화하고 있다. 정책은 코로나19 영향과 디지털 대전환(DX), IT 시스템의 다양화에 따라 클라우드 환경으로 변화하고 있다. 특히 가상화와 클라우드 기반으로 고도화되고 있다. 서비스도 클라우드 기반의 빅데이터, 인공지능, IoT(엣지) 등으로 혁신이 요구되고 있다.
이에 발맞춰 망분리·망연계 솔루션도 소비자의 수요를 반영하며 성장 중이다. 기술적으론 클라우드 개방형 OS에 최적화한 기술 개발과 기술 적용 범위가 넓어지고 있다. 사용자 PC OS는 Windows, macOS, 구름 OS 등 다양하게 지원한다. 기능적으론 업무망 PC와 인터넷망 PC 간의 자료전송, 외부망 서비스 시스템과 내부 업무망 시스템 간의 서비스 연계, 내·외부 연계 서버에 보안 통신 프로토콜 사용, 보안 SW 연동, 제어망 연동 등 다양한 연동 및 활용되고 있다.
이러한 흐름에 망분리·망연계 시장 규모는 꾸준한 성장세를 보인다. 한국정보보호산업협회에 따르면 2020년 약 1,677억원으로 2014년 이후 연평균 31.1% 성장했다. 공공부문 조달청 자료 기준으로 망분리·망연계 솔루션 시장 규모는 2021년 기준 220억원이며, 연평균 14.8% 성장하고 있다.
망분리·망연계 솔루션, 왜 ‘급물살’ 타나
①망분리·망연계 정책 ‘물꼬’ 틔워
망분리·망연계 솔루션 시장의 물꼬는 보안강화를 위한 망분리 정책이 틔웠다. 망분리 정책은 국가정보원, 기무사 등 기밀정보를 다루는 곳에서 먼저 적용해 왔다. 2007년 4월 행정안전부와 국가정보원이 업무 전산망 분리 지침을 발표, 2008년 5월 국가정보원이 국가기관 망분리 구축 가이드를 발표한 이후 망분리 적용은 국가·공공기관으로 점차 확대됐다.
2009년에는 망분리 환경에서 자료 연계를 위한 ‘다중영역구분보안’ 필요성이 인식되며 이에 대한 CC인증이 신설됐다. 이때 ‘망간자료전송’ 개념의 제품이 국가기관과 공공기관의 폐쇄망 간에 중계 용도로 출시됐다. 그리고 2010년 국가·공공기관 안전한 자료전송 가이드라인에 따라 국가기관 망분리 사업이 본격화됐고, 2012년 ‘망간자료전송제품’으로 CC인증 정보보안제품 유형이 변경됐다.
2011년에는 금융위원회가 전자금융감독규정을 발표하며 금융기관의 망분리가 추진됐다. 그러다 2013년 북한 해커조직에 의해 국내 금융 전산망 등이 뚫리는 3.20 사이버테러가 발생하면서 망분리는 의무화됐다. 같은 해 7월 금융 전산 보안강화 대책 발표, 같은 해 9월 금융위원회의 금융전산 가이드라인이 발표되며 제1금융권에서 제2금융권으로 망분리 의무화가 확대됐다. 망분리 구축은 2014년 금융기관 전산센터에 이어 2016년 본점 및 영업점으로 확대됐다.
3.20 사이버테러 이후 망분리 의무 대상 확대를 위해 정보통신망법도 개정됐다. 망분리 의무화는 100만명 이상 이용자의 개인정보를 보유, 정보통신서비스 매출 100억원 이상인 정보통신사업자로 대상이 확대됐고, 2016년 병원, 학교 등 비영리단체로 확대됐다. 2017년 1월에는 국군기무사령부가 방위산업 보안 업무 훈령에 따른 ‘망분리 보안관리 지침(가이드라인)’을 발표했다.
이처럼 망분리·망연계 솔루션 시장은 보안강화라는 공통분모의 정책 변화와 함께 지속 성장하고 있다. 최근에도 정책 측면에서 많은 변화가 있다. 국가정보원은 국가용 보안 요구사항을 전면 개정했다. 2022년 1월부터 망간자료전송 제품 유형에 대해 기존의 CC인증 외에 보안기능 확인서도 인정하기로 했다. 또 2022년 11월 공공분야 IT 보안 제품의 보안 적합성 검증체계가 개편됐다. 보안 적합성 검증체계의 경우 공공기관을 가, 나, 다 그룹으로 구분해, 도입기준에 차이를 두고 있다.
②디지털 환경 변화, 클라우드는 새로운 ‘먹거리’
여기까지 봐선 망분리·망연계 솔루션 시장은 망분리 정책으로 ‘화룡점정’을 찍고 하강 국면에 들어설 것으로 보인다. 하지만 거스를 수 없는 신기술 발달과 디지털 환경변화는 망분리·망연계 솔루션이 도약할 수 있도록 새로운 먹거리와 기회를 제공한다.
그중 망분리·망연계 솔루션이 성장할 수 있는 새로운 먹거리는 단연 클라우드다. 그동안 물리적 망분리가 주를 이뤘던 공공기관과 기업은 구축비용, 공간 등의 문제, 가상화 기술의 발달로 논리적 망분리 적용으로 갈아타는 추세다.
최근에는 클라우드 인프라 서비스인 IaaS, SaaS, DaaS 활용이 늘며 망연계 솔루션이 더욱 중요해지고 있다. 클라우드 환경에서 망분리 환경이 ‘바늘’이라면 망연게 솔루션은 ‘실’로 업무망에서 중요정보를 안전하게 전송할 수 있는 매개 역할로 업무의 효율성과 편이성을 높여준다. 이렇듯 클라우드의 등장으로 망분리·망연계 솔루션 시장이 꽃 피우고 있다.
=======================================================================
[인터뷰 1] 행정안전부 스마트행정기반과 김성록 과장
행정 업무 효율성 향상을 위해 ‘온북’ 사업 추진
기술 발전과 디지털 환경 변화에 따라 정책 기조도 클라우드에 맞추고 있다. 2020년 3월 11일 행정안전부는 국가 정보보안 관리체계 강화를 위해 ‘지방자치단체 망분리 도입 정보화 전략 계획’을 발표했다. 하지만 당시 예산 미확보로 무산되어 현재는 망분리 사업과 관련해 업무용 PC로만 내부망에 접속할 수 있는 온북 사업을 추진 중이다. 2021년 행정안전부는 2025년까지 총 8,600억원을 투입해 1만여 개 공공기관 정보시스템을 클라우드로 전면 전환하는 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진계획’을 발표했다. 이에 망분리·망연계 시장은 온북 사업으로 더욱 탄력받을 전망이다. 본지는 인터뷰를 통해 온북 사업에 대해 들어봤다.
행정안전부에서 추진 중인 온북 사업에 대한 소개 부탁드립니다
2021년 5월부터 관계기관(국정원, 과기정통부, 한글과컴퓨터 등)과 협업해 구름 OS가 탑재된 온북을 개발했어요. 행정안전부 디지털정부국 등 61개 부서 180명을 대상으로 시범 운영(2021년 11월~2022년 10월)을 실시 했습니다. 중앙부처 온북 도입은 윤석열 정부 국정과제로 선정돼 2027년까지 추진될 예정입니다. 2023년 5월 현재 행정안전부를 비롯해 교육부, 국방부, 디지털플랫폼정부위원회 등 4개 기관에서 도입해 운영하고 있습니다.
온북 사업의 추진 배경은 무엇인가요?
첫째, 기존 2PC의 업무·인터넷망 접속이 불편했어요. 구매·관리비의 이중 지출을 비롯해 출장·재택 시 내부 업무자료 접근 제약 등에 대한 업무환경 개선이 필요했습니다. 둘째, 코로나19로 인한 효율적인 업무환경이 필요했습니다. 국민안전, 생활 밀접분야, 보건복지 분야 등에서 현장 인력이 확대되고, 코로나19로 인한 재택근무가 증가하게 되는 등 근무환경이 급변하게 되었어요. 이에 따라 업무 효율성을 향상하고 현장 행정을 강화하는 효율적인 업무환경이 필요해 온북 사업을 추진하게 되었습니다.
현재 온북 사업 추진 현황에 관해 설명 부탁드립니다
그동안 진행된 온북 사업 추진현황은 △2021년 5월~8월 실현 가능 여부, 보안성 확보 여부 등 온북 개발 착수 및 국정원 협의 △2021년 8월~10월 과학기술정보통신부 예산, 착수 회의(2021년 8월 25일) 후 온북 시범 운영 관련 시스템 구축 △2021년 11월~2022년 10월 행정안전부(디지털정부국 등 61개 부서 180명) 온북 시범 운영 △2022년 정부혁신 실행계획 대표추진과제로 선정돼 업무용 PC(오전 9시~오후 6시)의 노트북 전환 △2022년 4월~7월, 100여개 기관 대상으로 온북 설명회 총 3회 진행(300여명 참석) △2022년 3월, 10월 시범 운영 설문조사(사용 만족도 80% 이상, 업무 효율 향상 85%) △2022년 정부 혁신 경진대회(8월) 최우수상 및 범정부 경진대회(10월) 동상 수상, △2022년 9월, 이형석 의원실(보좌관 등 포함), 2022년 10월 이인영 의원실 등 국회 방문 설명(의원·비서관) △2022년 전자정부 우수시스템 100선에 온북 포함 △2022년 12월 온북 시범 운영 종료보고회 △2023년 2월 온북 민관협의체 2기 출범 △2023년 4월부터 행정기관 대상 온북 컨설팅(밀착설명) 추진사업이 진행되고 있습니다.
온북 사업을 통해 기대하는 점은 무엇인가요?
먼저 시공간 제약 없는 업무환경으로 업무 효율성 향상과 현장 행정을 강화하는 것입니다. 이어 보안성과 편의성을 확보한 온북 개발로 SW산업 활성화와 경쟁력을 확보하는 것입니다. 마지막으로 전기세, 종이절약, 기회비용 등 예산 절감 등을 기대하고 있습니다.
지자체 및 중앙 부처에서 온북사업 망분리·망연계와 관련해 문제점은 무엇인가요?
부처의 원활한 온북 확산을 위해서는 기관별로 온북 인프라 구축보다는 국가정보자원관리원과 통합한 온북 공통인프라 구축·운영이 필요(예산확보: 2023, 구축 : 2024)합니다.
앞으로 온북 사업과 관련해 행안부의 다음 행보는 무엇인가요?
민관협의체를 통한 온북 기능을 개선하고, 품질 강화와 확산을 추진할 계획입니다. 또한 국가정보자원관리원 온북 공통인프라를 구축하고 운영(2024~)할 계획입니다.
온북 사업 추진 현황----------------------------
온북 개발 착수 및 국정원 협의(2021년 5월~8월, 실현 가능 여부, 보안성 확보 여부 등)
온북 시범 운영 관련 시스템 구축(2021년 8월~10월, 과기부 예산, 착수 회의(2021년 8월 25일)
온북 시범 운영(2021년 11월~2022년 10월): 행정안전부(디지털정부국 등 61개 부서 180명)
2022년 정부혁신 실행계획 대표추진과제 선정(9-6 업무용 PC의 노트북 전환)
온북설명회(2022년 4월~7월, 3회) : 100여개 기관 300여명 참석
시범 운영 설문조사(2022년 3월, 10월) : 사용 만족도 80% 이상, 업무효율 향상 85%
2022년 정부 혁신 경진대회(8월) 최우수상 및 범정부 경진대회(10월) 동상 수상
국회 방문설명(이형석 의원실(2022년 9월, 보좌관), 이인영 의원실(2022년 10월, 의원·비서관)
2022년 전자정부 우수시스템 100선에 온북 포함
온북 시범 운영 종료보고회(2022년 12월)
온북 민관협의체 2기 출범(2023년 2월)
행정기관 대상 온북 컨설팅(밀착설명) 추진(2023년 4월~)
-------------------------------------------------------
2023년 1월에는 국가 클라우드 컴퓨팅 보안 가이드라인이 개정됐다. 가이드라인에는 공공기관 시스템 중요도에 따라 클라우드 서비스 사용에 대해 정의하고 있다. 새로운 디지털 환경변화에 보안위협이 커진 만큼 각 기관은 기관의 특성과 시스템 중요도에 따라 솔루션을 도입하고 클라우드를 사용해야 한다.
또한, 디지털 서비스의 거래 활성화를 위해 조달청 디지털서비스몰의 CC인증·보안기능 확인서 필수제품군이 GS인증만으로 조달등록이 가능하게 변경됐다. 이는 구매기관에서 도입 제품의 안정성과 인증 기준을 정하고 구매하는 것으로 바뀌었기 때문이다. 따라서 공공기관은 그룹, 서비스 중요도에 따라 탄력적으로 구성할 수 있고, 제품 선정과 구성을 위해 시스템 구성과 보안에 대한 이해도를 높여야 한다.
=======================================================================
[인터뷰 2] 금융위원회 김정현 사무관
혁신금융 서비스 통해 SaaS 클라우드컴퓨팅서비스 내부망 사용 시범 운용
시범 운용 성과 검토해 후속 조치… 보안위협 대응하도록 부가조건 전제로 추진
금융기관은 디지털 신기술 수요를 반영해 ‘전자금융감독규정’을 개정하고 2023년 1월 1일부터 시행에 들어갔다. 개정안은 클라우드 이용 업무의 중요도 평가 기준 마련과 연구·개발 분야의 망분리 규제를 완화하고 있다.
이와 관련해 ‘금융분야 클라우드컴퓨팅서비스 이용 가이드’가 발표됐다. 비중요 업무에 대한 소프트웨어 형태의 클라우드(SaaS)를 내부망에서 이용할 수 있도록 샌드박스로 메일 보안을 강화해 망분리 규제가 완화됐다. 본지는 금융위원회 김정현 사무관과 금융보안원 금융혁신지원팀 서호진 팀장과의 인터뷰를 통해 망분리 규제 완화 정책과 보안에 대해 들어봤다.
금융위원회에서 준비하고 있는 망분리 규제 완화 검토는 현재 어디까지 진행됐고, 망분리 규제 완화 확정은 언제쯤 발표될 예정인가요?
망분리 규제 완화는 작년 규정 개정부터 계속 시행 중인데요. 연구·개발 분야에서의 망분리 규제 완화는 2023년 1월 1일부터 시행된 ‘전자금융감독규정’ 개정을 통해 실시 중입니다. 다만 추가로 SaaS 형태의 클라우드컴퓨팅서비스의 내부망 이용은 올해 상반기 내 발표를 목표로 현재 작업 중에 있습니다. 금융기업은 망분리 규제가 완화됨에 따라 추가적인 보안 위협에 대한 보안대책을 수립하는 등 내부 통제를 강화해야 합니다.
망분리 규제 완화를 위해 기업의 요구사항은 어떤 게 있나요?
현재 금융기업은 SaaS 형태의 클라우드컴퓨팅서비스를 내부망에서 더 활발하게 이용할 수 있도록 규제 개선을 기대하고 있습니다.
망분리 규제 완화를 위한 금융위에서 고심하는 점은 무엇인가요?
효율성·편의성과 금융보안 사이에서 최적의 균형점을 찾는 것입니다. 망분리 규제에 따른 금융기업의 비효율 발생과 오픈뱅킹 등 우리 금융의 특수성에 따른 위험 발생 가능성 증대 등이 상충해 양측의 절충점을 찾기 위한 노력을 지속 중입니다.
망분리 규제 완화를 위해 금융위원회에서 준비하고 있는 점은 무엇인가요?
우선 혁신금융 서비스를 통해 SaaS 형태의 클라우드컴퓨팅서비스 내부망 사용 등 망분리 규제 완화를 시범적으로 운용한 뒤 성과 등을 검토해 후속 조치를 할 예정입니다.
망분리 규제 완화로 인한 보안위협에 대해서는 어떤 대안을 강구하고 있나요?
혁신금융 서비스 지정을 통해 SaaS 형태의 클라우드컴퓨팅서비스를 이용할 수 있다는 점을 고려할 때, 혁신금융 서비스 지정시도 보안위협에 충분히 대응할 수 있도록 부가조건을 전제로 추진할 예정입니다. 현재 부가조건은 내부논의 중입니다.
망분리 규제 완화와 관련해 금융권의 망분리·망연계 솔루션 도입 현황은 어떤가요?
기존에도 금융권에서는 ‘전자금융감독규정’ 상의 망분리 의무 준수를 위해 망연계 솔루션을 통한 업무망과 인터넷망간 자료전송 등 업무에 활용했어요. 하지만 이번 연구·개발목적의 망분리 예외가 허용됨에 따라 망연계 솔루션을 추가 도입해 개발 산출물을 전송하는 등의 업무에 활용하는 것으로 알고 있습니다.
망분리 규제 완화와 관련 보안강화를 위해 금융권에서 어려워하는 점은 무엇인가요?
망분리 규제 완화에 따라 각 망의 특성에 따른 적합한 보안대책 적용이 필요한데요. 연구·개발망의 경우 개인신용정보와 같은 중요정보는 없지만 개발 중인 서비스의 소스코드 등의 유출 위험이 있어요. 중요성에 따라 이를 보호하고 유출되지 않도록 관리하는 게 과제가 될 것입니다. 한편, 내부망에서 SaaS 형태의 클라우드컴퓨팅서비스 활용시에도 보안이 유지될 수 있도록 보안대책을 제시해 금융기업이 준수할 수 있도록 안내할 계획입니다.
금융위원회에서 망분리 규제 완화와 보안강화를 위한 두 가지 관점에서 노력하고 있는 점과 앞으로의 계획은 무엇인가요?
금융기업의 애로를 지속적으로 청취하는 한편, 현재 예정 중인 혁신금융 서비스를 통한 SaaS 형태의 클라우드컴퓨팅서비스 내부망 사용 등 실증 사례를 통해 금융소비자인 국민과 공급자인 금융기업 모두에게 도움되는 방안을 강구할 것입니다.
====================================================================
[인터뷰 3] 금융보안원 금융혁신지원팀 서호진 팀장
내부망 이용 및 망분리 규제 완화와 관련해 요구되는 보안사항은 무엇인가요?
망분리는 2013년 3.20 사이버테러 발생에 따른 후속 보안강화 대책의 일환으로 추진되었어요. 금융회사 내부망과 외부 인터넷망을 분리해 각종 전자적 침해로부터 전산시스템 및 중요 자료를 안전하게 보호함을 목적으로 합니다.
망분리가 내부망 보호와 정보유출을 막는데 효과적인 대응책이지만 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 금융권 수요가 확대되었어요. 이를 안정적으로 뒷받침하기 위해 금융당국은 지난해 망분리 규제 개선방안을 발표하고 단계적으로 제도 개선을 추진하고 있어요.
망분리 규제 적용 예외 시에는 내부망과 외부 인터넷망간 접점(Connection)이 생기게 돼요. 그간 망분리 환경에서는 발생하기 어려웠던 새로운 보안 문제가 초래될 수 있는건데요. 금융 보안사고 예방을 위해 추가 보완조치 마련은 필수입니다. 이에 금융보안원은 현재 망분리 규제가 예외되는 클라우드, 연구·개발 환경 등 필요한 추가 보안대책을 검토해 가이드 등의 형태로 제공하고 있어요. 금융회사 등은 이를 참조해 자사 업무 여건에 맞는 보안대책을 적용해야 합니다.
망분리·망연계 이용과 관련해 금융보안원에서 준비하고 있는 점은 무엇인가요?
금융당국은 금융회사의 책임성 확보 등을 전제로 내부망에서 SaaS 이용 등 현행 망분리 규제를 단계적으로 완화할 계획을 발표했는데요. 금융보안원은 금융당국의 망분리 규제 개선 진행 상황에 맞춰 발생할 수 있는 보안위협과 필요 보안대책을 사전 검토해 이를 금융회사 등에 제공할 계획입니다.
[자료=금융보안원]
===============================================================
③디지털 환경 변화가 곧 ‘기회’ - OT 보안
최근에는 OT망 보안이 화두가 되며 망분리·망연계 솔루션이 필수로 지목되고 있다. 스마트팩토리 전환은 외부 연결을 증가시키고, 스마트제조는 다양한 센서와 주변 장치들이 네트워크로 연결돼 통신으로 데이터를 처리해 보안위협이 높아지고 있다. 또 코로나19 이후 원격근무의 본격화는 생산망·제어망으로의 원격접속을 부추기고, 원격접속 서비스의 보안 취약점과 접속 권한 계정 탈취를 통한 접속 시도의 증가는 보안위협을 가중시키고 있다.
이처럼 OT 환경은 외부와의 연결 접점이 높아 망분리·망연계 솔루션은 필수이며, 수요도 갈수록 증가하고 있다. 특히 OT망에 대한 보안관제, OT망 데이터 활용 등 일방향 망연계를 활용한 제어망 데이터 연계가 증가하는 추세다. 이 외에도 망분리·망연계 솔루션의 수요는 ISMS 인증 취득을 위해 내·외부 메일연계, 모바일망, 출입통제망, 대외기관망, 통합관제망, CCTV망, 스마트시티, 스마트공장, 스마트병원 등 다양한 산업 분야로 확대되고 있다.
[설문조사] 망분리·망연계 솔루션 인식 및 선택기준
업무망 관리, 데이터 유출사고 우려 36.4%
하지만 기관과 기업에선 여전히 망분리 구축이 미흡한 실정이다. 업무망 관리 역시 녹록지 않다. 인터넷망과 업무망이 분리되어 있어도 보안위협은 늘 존재하기 때문이다. 본지는 기업과 기관 보안담당자를 대상으로 지난 5월 10일~15일까지 ‘망분리·망연계 솔루션 인식 및 선택기준에 대한 설문조사’를 통해 망분리 환경에서 자료전송 운영을 어떻게 하는지, 업무망 관리에 가장 우려되는 점은 무엇인지에 대해 알아봤다.
[이미지=보안뉴스]
먼저 ‘망분리 환경에서 자료전송 운영을 어떻게 하나요’란 질문에 23.4%가 ‘인터넷에서 업무망으로 전송 시, 악성코드·실행파일 확장자 1차 점검 후 전송’한다고 답했다. 이어 21.6%가 ‘인터넷망과 업무망이 기본적으로 분리되어 있지 않다’고 답해 여전히 많은 기관과 기업이 보안 사각지대 환경임을 알 수 있다.
‘업무망 관리에서 가장 우려되는 점’에 대해선 ‘개인정보, 기밀자료 등 데이터 유출사고(36.4%)’를 1위로 꼽았다. 이어 ‘외부망에서 내부망에 불법접근’ 21.2%, ‘악성코드 유입’ 19.4%, ‘보안 컴플라이언스 준수 위반’이 16.5% 순으로 나타났다.
[이미지=보안뉴스]
이와 관련해 유니와이드는 “망연계 솔루션이 현재는 공공기관과 금융권에 국한돼 설치 운영되고 있다”며 “기업의 문제점은 기존 IT 자원 이외의 추가적인 비용 및 설비장소 때문에 도입이 소극적이라는 점이다. 현재 개인정보 유·노출이 사회적으로 문제가 되고 있어 보안강화를 위해 적극적으로 대처해야 한다”고 강조했다.
망분리·망연계 솔루션 특장점
이처럼 기관과 기업의 환경은 디지털 환경에 맞게 변화되지 못하고 있다. 하지만 보안성과 업무 효율성 두 마리 토끼를 다 잡을 수 있는 망분리 전략과 망연계로 보안을 강화한다면 외부 접점이 많아지는 디지털 환경의 보안위협에 적절한 대응이 가능하다.
멘로시큐리티, 웹 격리 기술 이용한 망분리 전략 ‘눈길’
멘로시큐리티는 보안성과 업무 효율성을 높인 망분리 전략으로 웹 격리 솔루션인 ‘Menlo Security RBI(Remote Browser Isolation)’를 내세웠다. ‘Menlo Security RBI’는 클라우드 서비스로, 인터넷에 접촉하는 통로인 웹브라우저를 가상화해 격리한다. 웹 격리 적용 후 PC 감염이 발생하면 최대 100만 달러를 보상하는 ‘악성코드 제로 보증제’를 실시할 만큼 우수한 기술력을 자랑한다. 악성코드 차단을 위해 모든 콘텐츠는 악성으로 가정해 처리하는 제로 트러스트 원칙을 적용하고 있다. 이를 통해 외부 해커를 막고, 기존 업무환경에 미치는 영향은 최소화한다. 뿐만 아니라 오토 스케일링을 통해 확장성을 극대화해 제공한다.
멘로시큐리티는 브라우저 격리와 함께 모든 보안 웹 게이트웨이 기능을 단일 클라우드 네이티브 플랫폼에 통합했다. SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), DLP(Data Loss Prevention), 프록시, FWaaS까지 통합해 확장된 API와 정책 관리, 리포팅, 위협분석을 위한 단일 인터페이스를 제공한다.
멘로시큐리티 클라우드 플랫폼은 독자 기술인 아이솔레이션 코어(Isolation Core)를 기반해 많은 사용자도 신속히 온보딩할 수 있도록 탄력적인 확장성을 제공한다. 인력이나 트래픽 규모의 변동이 심해도 별도의 용량 계획이나 복잡한 환경 구성없이 배치할 수 있다. 사용자가 기존 방식대로 업무를 수행하는 한편, 관리자는 감염된 웹 사이트부터 파일 업로드와 다운로드는 물론 알려지지 않은 위협까지 차단할 수 있는 정책을 수립할 수 있다. 사용 정책은 사용자와 부서, 파일 종류, 웹 사이트 분류, 클라우드 애플리케이션에 따라 언제 콘텐츠를 차단할지, 읽기 모드만 허용할지, 원본 콘텐츠를 허용할지 결정할 수 있다.
소프트위드솔루션, 고성능·안정성 검증 양날로 ‘승부’
소프트위드솔루션의 망연계 솔루션 ‘CrossNet’은 결재시스템을 포함한 제품군으로 다수 전송 시 지연되지 않도록 개발된 게 특징이다. 악성코드 검사, 파일 위변조 검사, 객체삽입 검사 등 보안 기능을 자체 개발해 안전한 자료전송 환경을 제공한다.
망간 메일연계는 정책 템플릿을 기반한다. 여러 개의 다른 보안정책을 적용할 수 있어 업무환경에 적합한 메일연계 환경을 쉽게 구성할 수 있다. 메일 본문은 Clean HTML 형태로 안전하게 변환하고, 첨부 파일은 강력한 보안 기능 제공으로 악성코드 및 위변조, 객체삽입 검사 등 반입에 대해 보안 검사가 이뤄진다.
서버 스트림연계는 디도스공격, 3-Way 핸드 쉐이킹(Hand Shaking) 공격 등으로부터 안전한 망간 스트림연계 환경을 제공한다. 이 모든 솔루션은 기술연구소를 통해 지속해 업그레이드되고 있고, 여러 보안기술을 지속 개발해 제품에 탑재하고 있다.
많은 망연계 솔루션 기업은 암호라이브러리를 구매해 사용하는 반면, ‘CrossNet’ 망연계 솔루션은 독자 개발해 인증을 받은 검증필 암호(CrossNetlib V1.0)를 사용하고 있다. 암호 모듈은 외부에 노출되지 않아 보안성이 유지되고, 지속적인 업그레이드 관리가 가능하다. 자료전송은 10,000명 이상의 대형 기업에서 안정적으로 사용하고 있고, 5,000명 이상이 사용하는 사이트도 다수 보유해 안정성, 기능성 및 보안성을 인정받고 있다.
망간 메일연계의 경우 7,000명 이상의 금융사, 공공기관, 대형 기업에서 사용하며, 성능, 안정성, 보안성이 검증됐다. 서버 스트림 연계의 경우도 한 기업에서 초기 1세트에서 20세트로 계속 추가 도입돼 안정성 및 보안성이 검증됐다.
앤앤에스피, Non-IP·Non-MAC 기술로 ‘눈도장’
앤앤에스피의 망간자료전송제품인 ‘nNetDiode’는 2016년 국내 CC 인증을 획득한 제품으로 송신장치와 수신장치로 구성돼 있다. 송신장치는 송신(TX) 회선만 연결되는 물리적 일방향 송신전용 보드를 탑재, 수신장치는 수신(RX) 회선만 연결되는 물리적 일방향 수신전용 보드를 적용하고 있다.
‘nNetDiode’의 물리적 일방향 전용 보드는 일방향 회선 2중화(데이터 라인, 정보 라인)로 구성돼 있다. 수신데이터 오류 시 수신장치에서는 정보 라인을 물리적으로 절체하고, 송신장치는 이를 인식해 오류 데이터를 재전송할 수 있다는 얘기다. 수신장치 장애 시에는 2중화 회선이 모두 절체된다. 송신장치에서는 장애 복구 후 자동으로 재전송할 수 있는 기능을 제공한다.
‘nNetDiode V3.0’은 2023년 4월 국가용 보안요구사항 V3.0을 준수한 보안기능 확인서를 획득했다. 일방향 데이터 전송을 위해 ‘nNetDiode V3.0’은 Non-IP, Non-MAC 기술을 적용해 UDP, IP 스택을 거치지 않고 데이터를 송수신한다. 고속 데이터 전송이 가능하고 IP주소를 갖고 있지 않아 Non-Routable의 보안성을 향상시킨다. 또한, 10Gbps 물리적 일방향 전용 보드를 개발해 nNetDiode E-시리즈에 적용하고 있다.
역일방향 전송솔루션 ‘nNetTrust’는 물리적 역일방향 전송솔루션으로 CC인증 획득 제품이다. 인터넷 등 비보안영역에서 패치 및 업데이트 파일을 수신해 악성코드 등을 검사하고 인가된 안전한 파일만 내부망 등 보안영역으로 일방향 전달하는 기능을 제공한다.
‘nNetTrust’는 기존 솔루션의 문제점을 보완해 송신장치, 클린장치, 수신장치의 분리된 3개 서버를 사용하고 중간 영역인 클린장치에서 보안관리를 하도록 구성한 게 특징이다. 송신장치에서 클린장치로 물리적 일방향, 클린장치에서 수신장치로 물리적 일방향으로 연결돼 있다. 송신장치에서 패치·업데이트 파일을 수집하고, 클린장치에서 멀티 백신으로 악성코드를 검사한다. 수신장치에서 인가된 안전한 패치·업데이트 파일을 내부망으로 전달한다.
유니와이드, 서비스별로 실시간 활용률 파악으로 ‘매료’
유니와이드는 안전한 네트워크 망간 전송 환경구축 방안으로 ‘SafeCon v3.0’을 기업에 제시하고 있다. ‘SafeCon v3.0’은 IT환경의 변화와 증가하는 보안위협 대응을 위해 출시한 인공지능 기반의 망연계 솔루션이다.
‘SafeCon v3.0’ 제품에 적용된 기술 및 특징은 첫째, 로그데이터 AI 자동분류로 주기별·기능별·서비스별로 실시간 활용률을 파악하고 있다. 둘째, 딥러닝 기반 네트워크 이상 탐지로 데이터 클린징 & 전처리한다. 셋째, Warning 사이트 자동 차단 기능으로 실시간 Bot 탐지방식으로 불법 유해 사이트, 위험 사이트를 자동 차단하고 목록관리를 한다. 넷째, 사용자 맞춤 UI서비스가 가능한 통합 모니터링 서비스를 제공한다.
‘SafeCon v3.0’ 제품에 적용된 기술 및 사양은 첫째, 외장 스토리지 방식보다 빠르고 경제적인 FC(Fibre Channel) Direct 방식을 적용하고 있다. 둘째, 서버 구간에 전송되는 패킷을 블록 단위로 읽고 써서 스캔해 침입시도·해킹을 원천 차단한다. 연계 구간은 암호화해 데이터를 전달하고 셋째, 국가정보원 인증 암호체계(ARIA 256bit CBC)를 적용함으로써 키분배, 관리, 폐기에 독자적인 알고리즘을 적용해 보안성을 강화했다. 넷째, 다양한 내·위부 서비스 프로토콜의 중계를 지원한다.
또한, △이중화 지원 △스트리밍 데이터를 파일로 저장 후 파일연계방식으로 연계하는 간접연동방식 지원 △원포인트 조회 대시보드 △AI 기반 자동화된 월간 리포팅 기능 △NAT 기능, 정책백업 및 복구 기능 지원 등이 특징이다.
한싹, 보안성·성능·기술력으로 ‘시선 강탈’
한싹의 망연계 솔루션 ‘시큐어게이트(SecureGate)’는 기술력과 보안성, 성능으로 시장에서 높은 점유율을 확보하며 국내 대표 망연계 제품으로 활약하고 있다. 망연계 방식은 연계 구간과 IT 환경 및 용도에 따라 세분화해 공급하고 망분리의 보안성을 유지하면서 업무 연속성과 편의성을 제공한다.
△자료연계는 외부망으로 파일 반출 시 관리자의 승인을 통해 반출 여부를 확인해 내부정보 유출방지와 반출 이력을 관리한다. 내부로 반입 시 백신 검사, 악성코드 유입방지 기능을 통해 내부정보를 보호한다. △스트림연계는 대국민 서비스 등 데이터를 실시간으로 전송하는 연계 서비스 제공과 함께 고속 데이터 처리 기술을 지원한다. △메일연계는 외부망으로 메일 발송 시 승인, 결재 기능으로 내부 자료 유출을 방지하고, 내부망으로 메일 수신 시 보안이 취약한 첨부파일은 제거 후 메일 본문 내용은 이미지로 변환해 내부 메일로 전달한다. △클라우드 망간자료전송은 프라이빗, 퍼블릭, 하이브리드 클라우드 등 다양한 방식을 지원하며, 클라우드 환경에 최적화된 보안 기능을 제공한다.
보안성은 △CC인증 최상위 보안 등급 EAL4 획득 △국정원 검증필 암호모듈 Magic Crypto 사용 △CC인증된 백신 적용 △전 구간 암호화 △파일 암호화 위한 데이터 압축 △AES 256Bit 암호화 적용 △TCP·IP 통신 구간 암호화 위해 SSL 통신(보안 통신) 제공 △연계 데이터 암호화를 위해 ARIA 256Bit 암호화 적용 △파일 무결성 검증 위해 해시 알고리즘 SHA 512Bit 적용 등이 있다.
기술력과 성능은 △3세대 망연계 인피니밴드(InfiniBand) 방식 개발, 특허 등록, 시장 표준화 △인피니밴드 RDMA 기술을 통한 시스템 간 연계 제공 △10Gbps 720,888TPS 성능 제공 △56Gbps 이상의 높은 대역폭 인피니밴드 채용 △스토리지, 인피니밴드, 소켓, 단방향 방식 등 다중 매체 지원 △다양한 보안 SW 연동 지원 △전국망 네트워크 구축, 교육지원 및 실시간 기술지원 등을 제공하고 있다.
휴네시온, 보안·사용 편의성 살린 연계 서비스로 ‘압도’
휴네시온은 제로트러스트, 클라우드 전환, IT·OT 융합 등 다양하게 변화하는 기업 환경에 최적화한 망연계 솔루션으로 시장변화에 대응하고 있다. △첫 번째로 IT망(인터넷망, 업무망 등) 연계 시 주로 적용되는 ‘아이원넷(i-oneNet)’은 스마트 도시 안전망 서비스, 지능형 교통신호체계, 스마트 홍수관리시스템 등 다양한 국가정책사업을 수주하며 공공조달 망연계 시장에서 활약하고 있다. 최근 ‘아이원넷’은 금융권 서버 간 파일연계 서비스 증가로 악성코드 검사와 승인결재 과정을 통해 보안을 강화한 Server to Server 연계를 지원해 업무 효율성을 높였다.
△‘제로트러스트 아이원넷(ZT i-oneNet)’은 ‘누구도 신뢰하지 않는다’는 제로트러스트 원칙에 기반해 보다 안전하게 자료전송을 제공하고 내부정보유출을 방지한다. 외부 비보안영역에서 내부 보안영역으로 접근 시 Black Core 매커니즘을 도입해 가시성과 투명성을 확보하고, 아키텍처의 단위모델화 실현 및 강력한 접근보안 구축이 가능하도록 적용하고 있다. ‘제로트러스트 아이원넷’은 온프레미스와 클라우드 혹은 다중 클라우드 망간 연계를 모두 지원해 어디나 적용할 수 있다.
△OT·ICS 환경에 최적화된 일방향 망연계 ‘아이원넷 디디(i-oneNet DD)’와 양일방향 망연계 ‘아이원넷 디엑스(i-oneNet DX)’는 물리적 일방향 매체를 적용한 망연계 솔루션이다. 더욱 강력한 보안환경이 있어야 하는 국방, 에너지, 정보통신, 교통 등 국가기반시설에 적용된다. ‘아이원넷 디디’는 OPC 연계, 파일연계, DB연계 등 다양한 프로토콜 연동을 지원한다. 최근 보안관제를 위한 네트워크 패킷 연계, 로그연계 사례가 증가하고 있다.
‘아이원넷 디엑스’는 서로 다른 망간 자료전송 시 양방향 세션 연결 없이 물리적 일방향 매체를 적용해 안전한 데이터 연계를 제공한다. 특히 보안수준이 높은 망에서 일괄 정책관리를 지원, 통합관리를 통한 보안감사가 가능하다.
[이미지=휴네시온]
[망분리·망연계 대표 솔루션 집중분석-1]
휴네시온, 시장점유율 1위 망연계 솔루션 ‘i-oneNet’
클라우드, OT·ICS 환경 위한 망연계 라인업 보유
망분리 환경에서 망연계 솔루션의 역할은 악성코드, 해킹과 같은 외부 위협과 중요 정보의 악의적 반출 등 내부 위협으로부터 업무망을 보호하는 것이다. 코스닥 상장 기업 휴네시온은 망연계 대표 솔루션 ‘아이원넷(i-oneNet)’을 비롯해 일방향 망연계 ‘아이원넷 디디(i-oneNet DD)’, 양일방향 망연계 ‘아이원넷 디엑스(i-oneNet DX)’, 망연계 통합관리 ‘아이원넷 유씨(i-oneNet UC)’까지 다양한 기업 환경을 위한 세분화된 제품 라인업을 갖추고 있다.
망연계 솔루션에 제로트러스트 기술 선제 도입, 업무망 보안 한층 강화
‘아이원넷’은 국내 망연계 공공조달 시장에서 2015년부터 8년 연속 1위(조달정보개방포털 특정품목 조달 내역 기준)를 차지하고 있는 솔루션으로 공공, 지자체, 금융, 기업 등 800여개 레퍼런스를 확보하고 있다. 인터넷망과 업무망으로 분리된 일반적인 망분리 환경부터 VDI, 모바일망, 메일연계, 재택근무, 비대면 시스템, 클라우드, 스마트시티 등 다양한 환경에서 다각적으로 활용되고 있다.
‘아이원넷’은 전용 프로토콜을 통한 망간 통신으로 기밀성을 보장하고, 멀티백신 탑재, 문서 OLE 객체 악성코드 검사, 이미지 디톡스(이미지 파일 내 위협요소 무력화 특허) 등 높은 수준의 보안 기능을 제공한다.
macOS, 개방형 OS 등 다양한 사용자 환경 지원, 메일연계 서비스 등 사용 편의성을 높였다. 또한, 클라우드 서비스 확인제 인증을 획득하고 클라우드 환경에서도 망연계 보안 요구사항을 만족하는 클라우드 망연계 서비스를 제공한다. AWS, MS Azure, NCP, NHN, KT Cloud, 카카오 i 클라우드 등 다양한 클라우드 인프라를 지원하고 있다.
휴네시온은 망연계 업계에서 처음으로 제로트러스트 기술을 적용한 망연계 솔루션 ‘제로트러스트 아이원넷’을 선보였다. 강력한 사용자 인증 체계를 구현해 권한 있는 사용자라도 지속적 검증을 거쳐 업무망 연계가 가능하다.
일방향 망연계로 OT + IT 융합 보안 모델 제시
‘아이원넷 디디(i-oneNet DD)’는 물리적 일방향 매체를 적용한 일방향 망연계 솔루션으로 국가기반시설, 지능형교통체계(ITS), 데이터댐, 스마트시티, 스마트팩토리 등 IT와 OT가 융합된 환경에서 활발하게 적용 중이다.
최근에는 ‘아이원넷 디디’와 자회사 시큐어시스템즈의 ‘시큐어오케스트라’를 연계해 AI 기반 OT 보안관제 아키텍처를 제시했다. 휴네시온은 물리적 일방향 환경을 유지해 보안 규제는 만족하면서 양방향 데이터 전송이 가능한 양일방향 망연계 솔루션 ‘아이원넷 디엑스(i-oneNet DX)’도 보유하고 있다.
[이미지=유니와이드]
[망분리·망연계 대표 솔루션 집중분석-2]
유니와이드, AI 기반 침입탐지 및 로그분석 망연계 솔루션 ‘SafeCon v3.0’ 출시
해킹·침입 대비한 AI 기반의 분석 및 대응으로 안전한 보안 환경 제시
행정·공공기관은 망분리 환경에서 각각의 행정, 기타 공공 서비스 목적 달성을 위해 다양한 외부 및 유관기관과의 연계 필요성이 확대되고 있다. 이러한 IT서비스 인프라 특성의 공공기관 내부 주요 자산을 겨냥한 공격이 증가하고 있다. 이에 따라 내부 중요 자산을 보호하고, 보안위협에 대응하기 위해서는 새롭고 효율적인 체계 확립과 기술 도입이 필수다.
국내 나라장터쇼핑몰 컴퓨터 서버 판매기업이자 하이브리드 클라우드 플랫폼 사업을 진행하고 있는 유니와이드는 IT환경의 변화와 증가하는 보안위협 대응을 위해 인공지능 기반의 망연계 솔루션 ‘SafeCon v3.0’을 출시해 안전한 네트워크 망간 전송 환경구축 방안을 기업에 제시하고 있다.
선제적 보안 위협 대응 시스템 ‘SafeCon v3.0’
‘SafeCon v3.0’은 딥러닝 기반 네트워크 이상 탐지 기능을 통해 네트워크를 분석하고 이상 데이터 및 요소를 분류해 데이터 클린징과 전처리로 선제적인 대응 체계를 제공한다. 이를 통해 기업은 즉각적인 대응이 가능하다. 또한, ‘SafeCon v3.0’은 Warning사이트 자동 차단 기능을 제공해 실시간 Bot탐지방식으로 불법 유해사이트, 위험 사이트를 자동 차단한다.
또 목록관리를 통해 안전하게 관리하고 취약점을 사전에 분류 및 대응해 기업의 IT 환경에 최적화된 보안정책을 제공한다. 실제로 보안 관리자의 가장 큰 어려움 중 하나는 증가하는 신종 위협을 인식하고, 이를 정책으로 설정하는 업무다. 매일 발생하는 수십 가지 새로운 신종 보안위협을 인식 및 분석 후 탐지패턴을 만들어 보안솔루션에 적용하려면 수일에서 최대 일주일의 시간이 소요된다. ‘SafeCon v3.0’은 사용자 맞춤 통합 모니터링 서비스를 통해 신종 위협에 대한 즉각적인 방어체계를 기업에 지원한다.
AI 자동 분류로 실시간 활용률 파악, 자동화된 리포팅 제공 등 선제 대응
‘SafeCon v3.0’은 기업에 망연계 솔루션의 필요성 및 활용에 대한 자동화된 리포팅을 제공해 행정·공공기관의 문제점과 위협을 식별하고 적절한 조치를 할 수 있게 해준다. 기존 유니와이드의 서버와 스토리지 운영기술, 하이브리드 클라우드플랫폼 기술과 연계해 안정적인 기반의 환경을 제공하고 다양한 기능의 탑재를 통해 보안 시장 요구사항에 부합하도록 대응하고자 한다.
하이브리드 및 멀티클라우드 환경에서 ‘제로트러스트’ 보안체계 지원
데이터센터는 빠르게 SDDC(Software Defined Data Center) 기반으로 변경되고 있다. 퍼블릭 클라우드와 프라이빗 클라우드를 혼합해 경제성과 유연성, 보안성을 달성하고자 하는 하이브리드 및 멀티클라우드 전략에 대한 수요가 증대되고 있다. 이러한 가상화된 컴퓨팅, 네트워크 환경에서 ‘제로트러스트’ 보안정책을 적용해 기존의 레거시 환경에서 적용한 보안정책을 수정, 보완해야 한다.
‘SafeCon v3.0’은 하이브리드, 멀티클라우드 환경에서 서비스 연계 시 로그관리, 위협분석(SIEM), 위협대응(SOAR)을 통합으로 제공하는 ‘제로트러스트’ 기반의 보안정책을 지원한다. 유니와이드는 기존 온프레미스 IT 인프라 구축과 운영 경험, 사용한 만큼 과금되는 종량제 하이브리드 클라우드 플랫폼 UNI-CLOUD(유니클라우드)를 통해 컴퓨팅, 스토리지, 네트워크, 보안, 모니터링에 대한 통합 서비스를 제공한다.
[이미지=소프트위드솔루션]
[망분리·망연계 대표 솔루션 집중분석-3]
소프트위드솔루션, 망간 메일보안 연계 솔루션 ‘크로스넷 메일이엑스 5.0’ 출시
클라우드, OT·ICS 환경 위한 망연계 라인업 보유
망분리 환경에서 금융기관과 공공기관은 외부에서 수신한 메일의 첨부파일을 내부로 가져오기 위해 외부 메일에 첨부된 파일을 저장한 후 다시 망간자료전송을 이용해 가져와야 한다. 내부에서 외부로 파일을 메일로 전송하려면 망간자료전송을 통해 외부로 파일을 반출한 후 외부에서 메일을 작성할 때 파일을 첨부해 전송해야 한다. 이처럼 업무의 비효율성이 증가하고 있다. 망간 메일보안 체계를 위한 새로운 망간 메일보안 연계 체계 확립이 필요하다.
국내 망간 메일보안 연계 기업 소프트위드솔루션은 이러한 망간 메일 본문과 첨부파일의 보안 위협에 대응하기 위해, 메일보안 연계 솔루션 ‘크로스넷 메일이엑스(CrossNet MailEx) V5.0’을 출시해 안전한 망간 메일보안 연계 환경 구축 방안을 기업에 제시하고 있다. 망간전송은 CC인증 망연계제품을 사용하고, 메일의 본문을 Clean HTML로 변환한다. 안전한 첨부파일만 메일연계가 되도록 메일 변환 기술과 파일 위변조 및 객체삽입 검사 기능을 제공한다.
메일 본문 보안위협 대응 위한 ‘Clean HTML’ 보안필터링 제공
‘CrossNet MailEx V5.0’은 메일 본문의 숨겨져 있는 보안 위해 요소를 제거해 안전한 메일 본문을 제공한다. 메일 본문 내의 다운로드 이미지에 대한 보안검사 및 변환과 각종 위험한 HTML 태그 및 태그에 숨겨진 위험요소 제거 기능을 제공한다.
따라서 망간 메일연계로 내부망에서 메일을 오픈해도 외부 링크가 없어 인터넷을 통해 위해 요소가 다운로드되지 않는다. HTML 태그 실행을 방지해 안전한 메일 열람이 가능하다. 기존의 스팸차단, 메일 APT 혹은 EDR 솔루션은 위험 계정에 대한 메일 반입 차단, 악성코드 검사 혹은 첨부파일의 위해 요소 검사만 가능했다. 하지만 메일에서 위험한 요소는 HTML 형식으로 메일 열람 시 인터넷을 통해 위험 컨텐츠가 다운로드되거나 실행돼 보안위협은 그대로 남아 있다.
‘CrossNet MailEx V5.0’은 기존 메일보안 솔루션에서 제거하지 못한 보안 위험요소를 메일 본문에서 제거해 안전한 메일 열람 환경을 제공한다.
메일 첨부 파일에 대한 강력한 보안 통제
메일 내에는 여러 첨부파일이 포함된다. 첨부파일은 악성코드가 포함되거나 혹은 파일 위변조를 통한 보안 공격이 많이 포함된다. 이러한 취약점 제거를 위해 고가의 메일 APT 혹은 메일 EDR 솔루션을 구축한다.
‘CrossNet MailEx V5.0’은 첨부파일에 대해 반입 확장자 유형 설정을 통해 유해한 파일 반입 차단이 가능하다. 기본적으로 악성코드 검사와 위변조 검사를 한다. 특히 근래 유행하는 랜섬웨어는 오피스 문서 혹은 한글문서 내의 위험한 실행파일, 배치파일 및 매크로 등을 포함한다. ‘CrossNet MailEx V5.0’은 오피스 문서와 한글문서 내에 실행파일, 매크로, 배치파일을 객체 삽입한 경우 그 파일을 위해 요소로부터 차단해 주는 기능을 제공한다.
[이미지=한싹]
[망분리·망연계 대표 솔루션 집중분석-4]
한싹, 망연계 ‘시큐어게이트(SecureGate)’로 클라우드 대전환 시대 보안 선도
개방형 OS·DaaS·온북 등 다수의 공공 클라우드 전환사업 수주하며 시장 선점
행정·국가기관의 클라우드 전환사업이 본격화되고, 금융권과 민간기업의 클라우드 도입이 확대되는 등 전 산업분야에 클라우드 대전환 시대가 도래하면서 망분리·망연계를 클라우드 환경에 도입하는 수요가 늘고있다. 한싹은 이러한 시장 변화에 신속하고 탄력적으로 대응하기 위해 클라우드 보안 연구센터를 설립하고 클라우드 망연계 솔루션 ‘시큐어게이트(SecureGate)’를 개발해 클라우드 보안 사업 확장에 주력하고 있다.
모든 클라우드 환경 지원하는 국내 대표 망연계 솔루션 ‘시큐어게이트’
‘시큐어게이트’는 보안 등급이 다른 영역 간에 보안성을 유지하면서 데이터를 안전하게 전송하는 망간자료전송 솔루션이다. 윈도, 리눅스, 맥 등 주요 운영체제(OS)와 모바일, 클라우드, 사물인터넷 등 다양한 환경에서 모두 사용 가능한 멀티플랫폼(Multi-Platform) 기술을 기반으로 개발되어 어떤 환경이든 유연하게 적용할 수 있다.
시큐어게이트는 프라이빗(Private), 퍼블릭(Public), 하이브리드(Hybride) 클라우드와 도입 형태에 따른 하이브리드형과 클라우드형 등 다양한 방식을 지원한다. 현재 네이버, NHN, KT, SK, 카카오, 가비아, 아마존웹서비스(AWS), 애저(Azure) 등 국내외 모든 클라우드 플랫폼에 지원 가능하며, 이중 국내 5개 플랫폼에서 구독형 서비스를 제공하고 있다.
주요 기능으로는 클라우드 다중 망간 파일전송 시 백신을 통한 악성코드 탐지, 자체 개발한 전용 프로토콜통신으로 파일전송, 전송 파일 및 데이터 암호화, 파일 위변조 검사, 반출·승인 결재, 클립보드 전송, URL 리다이렉션, 접속 설정 및 이력 관리 등 클라우드 환경에 최적화된 보안 기능을 제공한다. 또한, 공인기관 성능 성적서 기준 기술평가 1위를 기록하고, 국내 유일하게 클라우드 환경에서 Non-TCP를 구현해 차별화된 성능과 보안성을 보장한다.
클라우드 망연계 솔루션을 도입하면, 구축비, 인건비, 유지관리까지 비용 절감 효과를 크게 얻을 수 있다. 자체 전산실을 구축할 필요가 없어 비용 부담으로 인해 보안 솔루션을 도입하지 못했던 중소기업도 합리적인 비용으로 도입할 수 있는 게 장점이다. 또한, 어디서든 편하게 사용할 수 있는 접근성과 편의성으로 재택·원격근무 환경에서도 사용 가능해 업무 생산성과 효율성을 향상시켜 준다.
개방형OS·DaaS·온북 공공 클라우드 전환사업 선점하며 시장 리딩
행정안전부는 2025년까지 공공기관의 인터넷망을 ‘서비스형 데스크톱(DaaS)’으로 전면 교체하는 사업과 2027년까지 국가공무원과 지자체 공무원이 사용하던 62만3천대의 PC를 개방형 OS를 탑재한 DaaS 기반의 업무용 노트북 ‘온북’으로 변경하는 사업을 추진 중이다. 공공 DaaS 시장은 2025년까지 약 3000억원 규모에 달할 전망이며, 행안부는 올해 업무보고를 통해 온북의 전 부처 확산을 2027년까지 90% 달성하겠다는 목표를 제시했다.
한싹은 이러한 공공 시장에 대응하기 위해 클라우드 관련 국책사업과 시범사업에 적극 참여해 클라우드 망연계 솔루션 및 서비스 개발과 기능 고도화에 집중 투자해왔다. 국내외 클라우드 서비스 제공사(CSP)와 클라우드 관리서비스 제공사(MSP), SI 업체들과의 협력을 확대하며 망연계 솔루션 공급은 물론 시스템 유지관리 및 보안관제 서비스에 대한 신규 사업기회를 확보해 나가고 있다. 이를 통해 개방형 OS, DaaS, 온북 등 다수의 공공 클라우드 전환사업을 선점하며 클라우드 보안 시장을 선도하고 있다.
한싹은 공공기관 임직원 1,000여 명의 DaaS 서비스에 클라우드 망연계 솔루션을 안정적으로 공급하며 국내 CSP사들로부터 긍정적인 평가를 받았다. 뿐만 아니라 SK브로드밴드와 손잡고 네이버 클라우드의 공공 DaaS 서비스에 망연계 솔루션을 공급하는 계약을 체결했다. 최근에는 공공기관 1호로 추진된 국방부 온북 구축사업과 대통령 직속 핵심 국가기관의 온북 사업을 수주하면서 유리한 고지를 선점하고 시장 공략에 박차를 가하고 있다.
또한, 한국지능정보사회진흥원(NIA)과 공공기관 자체 사업으로 발주한 한국한의약진흥원과 산업통상자원부 산하기관, 농림축산식품부 산하기관 등 다수의 공공 클라우드 전환사업을 잇달아 수주하는 데 성공하며 클라우드 보안 사업을 순조롭게 확장해 나가고 있다.
SECaaS, SMP 클라우드 플랫폼 비즈니스로 사업 확대
향후 한싹은 망연계를 활용한 클라우드 보안 서비스(SECaaS)와 클라우드 인프라에서 복합 보안 기술의 접근을 제공하는 클라우드 서비스 관리 플랫폼(SMP) 등 클라우드 플랫폼 비즈니스로 사업영역을 확대해 나갈 계획이다.
클라우드 플랫폼 서비스는 클라우드 대전환 시대에서 의무적으로 망분리를 도입해야 하는 공공기관, 금융권, 기업에 망간자료전송 솔루션의 도입을 용이하게 해줄 뿐만 아니라 회사의 매출 구조를 구축 및 유지관리에서 구독형으로 변화시켜 매출 상승과 안정적인 매출 구조 등에 긍정적인 영향을 줄 것으로 기대하고 있다.
한싹의 망연계 솔루션은 공공부문 조달청 자료 기준 5년 전보다 414.8% 가파르게 성장했으며, 5년간 연평균 성장률은 103.7%를 달성했다. 시장 점유율은 37%로 업계 상위 자리를 차지하고 있다. 이를 기반으로 망연계 사업을 다각화하며 더욱 강화해 나갈 계획이다.
[이미지=멘로시큐리티]
[망분리·망연계 대표 솔루션 집중분석-5]
변화를 위한 혁신 솔루션 ‘웹 격리’, 효율적인 망분리 제시
웹격리 기술을 이용한 망분리 전략 가이드
생산성과 효율성 향상을 위해 전쟁을 치르고 있는 기업 환경은 코로나19 팬데믹을 계기로 빠르게 변화하고 있다. 재택근무의 확산으로 사용자 업무 환경은 극히 분산되어 원격 협업이 보편화됐으며, 클라우드 서비스와 SaaS 사용은 급격히 증가했다. 보안위협 역시 다양한 기술로 여러 계층을 전방위적으로 공격하는 방식으로 진화하며 기존 데이터센터 중심의 보안 대응은 한계를 드러내고 있다. 그리고 망분리 시스템은 이런 변화와 혁신의 모든 측면을 거스르는 대표적인 기술이 됐다.
치명적인 공격 루트를 차단하는 웹 격리 기술
웹 격리 기술(Remote Browser Isolation)은 실질적인 웹 활동은 격리된 가상 브라우저에서 실행하고 사용자에게는 안전한 실행 결과를 전달한다. 사이버 공격의 90% 이상이 웹과 이메일을 통해 이루어진다는 점에서 주목한 기술로, 사용자의 실제 웹 브라우저는 인터넷과 직접 접속하지 않아 웹을 통해 침투하는 악성코드를 차단하는 데 효과적이다.
특히, 웹 격리 기술은 사용자 경험에 아무런 영향을 미치지 않아 업무 생산성을 높일 수 있다. 사용자는 기존 웹 브라우저 환경과 동일한 방식으로 웹 서핑이나 이메일 등을 사용하지만, 트래픽은 멘로시큐리티와 같은 웹 격리 솔루션 업체의 격리 플랫폼인 가상 브라우저로 먼저 전달된다.
실제로 외부 웹과 트래픽을 주고받는 시스템은 가상 브라우저다. 격리 플랫폼은 웹 콘텐츠에서 실행 가능한 컴포넌트를 제거하고 웹 리소스를 변경하고 재작성하는 CDR(Content Disarm and Reconstruction) 기능을 수행한다. 가상 브라우저는 악성 스크립트 및 파일을 제거한 안전한 렌더링 정보만 사용자 브라우저에 전달한다.
사용자 브라우저는 격리 플랫폼으로부터 DOM 처리 명령 정보만 다운로드하고, 격리 플랫폼은 사용자 브라우저로부터 키보드와 마우스의 입력 정보만 수신한다. 사용자가 의심스러운 웹 사이트를 방문해도 악성코드는 가상 브라우저에서 걸러 사용자에게 악성코드가 전달되지 않는다. 사용자는 망분리 환경의 VDI보다 빠르고 안전한 업무 환경을 확보할 수 있다.
제로트러스트 인터넷으로 망분리의 현실적인 대안 제시
망분리가 인터넷을 통해 업무망으로 악성코드를 비롯한 웹 위협이 침투하는 것을 방지하기 위한 것이라는 점에서 웹 격리 기술은 망분리 도입을 통해 얻고자 하는 주된 목적을 더 효과적으로 달성할 수 있다. 물론 망분리는 PC 전체를 인터넷과 격리한다는 점에서 웹 격리 기술이 망분리를 완벽하게 대체할 수는 없다.
하지만 적지 않은 도입 및 관리 비용이 드는 망분리 시스템에 대한 의존도를 줄여 비용 절감은 물론, 업무 생산성을 해치지 않는 방식으로 더 많은 사용자가 안전한 업무 환경을 이용할 수 있다. 예를 들어, 현재 가장 많이 활용되는 망분리 방식인 논리적 망분리는 VDI(Virtual Desktop Infrastructure) 솔루션을 이용하는데, 사용자당 라이선스 비용부터 VDI 서비스를 위한 인프라 구축까지 적지 않은 비용이 든다.
이 때문에 논리적 망분리를 조직 전체에 적용하는 건 드물고, 개인정보를 취급하는 등 반드시 망분리 환경이 필요한 사용자 외에는 부서별로 적절한 비율로 할당해 공유하는 방식으로 활용한다. 당연히 사용자의 인터넷 활용은 번거롭고 불편할 수밖에 없다.
웹 격리 솔루션은 규제에 의해 반드시 VDI를 적용해야 하는 사용자를 제외하고 전체 직원에게 적용해 업무 생산성과 보안을 모두 만족하는 환경을 구현할 수 있다. 사용자당 라이선스 비용도 VDI 솔루션의 1/10~1/20 수준이며, 전 직원이 업무를 위해 인터넷을 사용하는 환경을 운영하더라도 망분리 시스템의 비용을 50% 이상 절감할 수 있다. 망분리 시스템에 새로운 시스템을 추가해도 복잡성을 염려할 필요는 없다.
웹 격리 솔루션은 클라우드 기반의 SaaS 서비스라 핵심 처리 기능은 모두 서비스 업체의 데이터센터, 클라우드에 있다. 조직은 사용료만 지불하면 바로 배치할 수 있으며, 사용자는 웹트래픽에 대한 프록시 설정만 변경하면 된다.
웹 격리 기술은 외부 인터넷의 잠재적 위협에 대한 강력한 방어책을 제공한다. 웹 콘텐츠의 위험성을 100% 정확하게 판별하기는 어렵다. 어제 정상이었던 콘텐츠가 오늘은 악성 콘텐츠일 수 있다. 웹 격리 기술은 어떤 웹 콘텐츠도 신뢰하지 않고 모두 무해한 콘텐츠로 변환해 사용자에게 전달해 웹 트래픽의 보안성을 극대화할 수 있다.
멘로시큐리티 웹 격리 솔루션인 ‘Menlo Security RBI(Remote Browser Isolation)’는 인터넷 악성코드를 막기 위해 제로트러스트 전략을 구현하는 데 필요한 가시성과 통제 역량을 제공한다. 오늘날 위협 인자는 전통적인 보안 방어책을 우회하고 최신 브라우저의 표준 기능을 이용해 악성코드를 배포하는 HEAT 공격으로 웹 브라우저를 노린다. 악성코드가 방어책을 악용하는 상황에서 위협을 파악하기보다는 브라우저 격리를 통해 모든 웹 트래픽이 클라우드 기반 원격 브라우저를 먼저 통과하도록 해 안전한 콘텐츠만 최종 사용자에게 전달되도록 하는 게 더 효율적이다.
‘Menlo Security RBI’는 모든 콘텐츠가 악성이라고 가정해 그에 맞게 처리하는 제로트러스트 원칙을 채택하고 있다. 브라우저 격리와 함께 멘로시큐리티는 모든 보안 웹 게이트웨이 기능을 단일 클라우드 네이티브 플랫폼에 통합했다. SWG(Secure Web Gateway)뿐만 아니라 CASB(Cloud Access Security Broker), DLP(Data Loss Prevention), 프록시, FWaaS까지 통합해 확장된 API와 정책 관리, 리포팅, 위협분석을 위한 단일 인터페이스를 제공한다.
멘로시큐리티 클라우드 플랫폼은 독자 기술인 아이솔레이션 코어(Isolation Core)를 기반으로 많은 사용자라도 신속하게 온보딩할 수 있는 탄력적인 확장성을 갖췄다. 인력이나 트래픽 규모의 변동이 심해도 별도의 용량 계획이나 복잡한 환경 구성없이 바로 배치할 수 있다. 사용자는 웹 기반의 정보와 업무 생산성 툴을 장애 없이 이용할 수 있다.
‘Menlo Security RBI’는 100% 네이티브 클라우드 서비스로, 오토스케일링을 통해 서비스 가용성과 확장성을 극대화했다.
[이미지=앤앤에스피]
[망분리·망연계 대표 솔루션 집중분석-6]
앤앤에스피, 차세대 일방향 솔루션 ‘nNetDiode V3.0’, ‘nNetTrust V2.0’ 출시
국가용 보안 요구사항 V3.0 기준 만족하는 물리적 일방향 망연계 선도
미국 송유관 운영사인 ‘콜로니얼 파이프라인’ 사이버 공격, 대만 반도체 업체 TSMC 해킹 등 국가 주요 기반시설뿐만 아니라 산업 기반시설에 대한 공격이 증가하고 있다. 이에 따라 OT 환경의 주요 기반시설을 사이버 위협으로 보호하면서 스마트 제조 혁신에 따른 서비스 연계에 대한 보안성을 보장하기 위한 체계 확립이 필수적이다.
국내 OT 보안 기업 앤앤에스피는 이러한 OT 환경의 변화와 증가하는 사이버 위협에 대응하기 위해 최신 보안 기능과 고성능을 보장하는 일방향 기반 망연계 솔루션 ‘nNetDiode V3.0’과 ‘nNetTrust V2.0’을 출시해 더욱 안전한 OT·IT 융합 보안 환경 구축 방안을 기업에 제시하고 있다.
국내 물리적 일방향 전송 솔루션 ‘nNetDiode’, 역일방향 ‘nNetTrust’ 개발
2014년 이전 대부분의 국가기반시설에서 제어시스템을 폐쇄망으로 유지하기 위해 송신측 송신 회선(TX)과 수신측 수신 회선(RX)만 연결하고 반대 회선은 절단해 수동으로 물리적 일방향 환경을 구성했다. 이에 앤앤에스피는 2014년 중소벤처기업부 과제로 물리적 일방향 전송장비 국산화 개발에 성공해 한국지역난방공사에 ‘nNetDiode’를 시범 적용했다. 2016년 5월 물리적 일방향 전송장비로는 CC인증을 획득하고 현재까지 국내 일방향 전송 솔루션으로 시장을 선도하고 있다.
또한 안전하고 검증된 패치·업데이트 등 공급망 보안을 위해 물리적 역일방향 솔루션인 ‘nNetTurst’를 개발해 2020년 CC인증을 획득했다. ‘nNetTrust’는 국내 패치·업데이트용 역일방향 망연계 솔루션으로 패치·업데이트 파일을 인터넷망에서 내부망으로 전달하는 경우, 기존 USB를 이용한 수동 전달 방식의 보안성을 그대로 유지하면서 자동 전달 환경으로 변화시켜 업무 효율성 및 보안성을 향상하고 있다.
오류·장애 대응 가능한 물리적 일방향 송·수신 전용보드 탑재
일방향 망연계 솔루션은 OSI 7 네트워크 계층 중 물리적 계층에서 단방향 통신만 가능하도록 개발된 장비이다. 양방향 통신이 가능한 범용 GBIC을 이용해 단방향 회선을 구성하는 타사 방식과 달리 앤앤에스피는 국제 수준에 맞춰 물리적 일방향 전용보드를 개발해 탑재하고 있다.
앤앤에스피는 오류 및 장애 대응이 가능한 물리적 일방향 전용보드 기술에 대한 한국 및 미국 특허를 보유해 오류복구코드(ECC)를 이용한 순방향 오류정정(FEC)뿐만 아니라 수신장치 회선 절체 및 송신장치 절체 인식 기술을 통한 오류 재전송 및 장애 버퍼링 기능을 제공해 역방향 오류정정(BEC)까지 지원한다.
국가용 보안 요구사항 V3.0 기반 보안기능 확인서 인증 ‘nNetDiode V3.0’
앤앤에스피는 국내 물리적 일방향 솔루션인 ‘nNetDiode’의 성능을 개선한 V3.0을 출시하고 일방향 기반의 망연계 솔루션으로는 국가용 보안 요구사항 V3.0 기준을 적용해 보안기능 확인서 인증을 획득했다.
앤앤에스피는 다른 경쟁사 일방향 망연계 솔루션들처럼 기존 구버전의 국가용 보안 요구사항 V1.0을 적용한 CC인증을 효력 연장이나 재평가받아 보안기능 확인서를 발급받는 방식이 아니라, 새로운 국가용 보안 요구사항 V3.0 기준을 적용하고 최신 인증 정책에 따라 엄격한 검증을 통해 일방향 기반의 망간자료전송제품으로 보안기능 확인서 인증을 받았다.
기존 ‘nNetDiode V2.0’에서는 U/P-시리즈의 2가지 모델이었으나 ‘nNetDiode V3.0’에서는 S/U/P/E-시리즈의 4가지 모델로 확장해 소형 사이트부터 고성능, 고품질을 요구하는 엔터프라이즈 사이트까지 지원할 수 있도록 모델을 확장하고 있다.
특히, E-시리즈에서는 국내 10Gbps 물리적 일방향 전용보드를 개발해 탑재함으로써 고성능을 지원한다. 대부분의 일방향 망연계 솔루션은 일방향 데이터 전송을 위해 UDP 암호화 방식을 사용한다. 하지만 이 방식은 IP를 사용하는 Routable 프로토콜 특성 때문에 보안성이 떨어진다. 그뿐만 아니라 UDP, IP 프로토콜 스택을 거치면서 전송 지연도 발생한다.
이러한 문제점을 해결한 ‘nNetDiode V3.0’은 Non-IP, Non-MAC 기술을 이용한 암호화 방식을 제공한다. 이 방식은 UDP, IP, MAC 프로토콜 스택을 거치지 않고 응용계층에서 바로 물리계층으로 데이터를 전송해 고속 전송이 가능하다. 또 IP와 MAC 주소를 사용하지 않은 Non-Routable 프로토콜을 지원해 보안성을 높인다.
패치·업데이트 위한 역일방향 망연계 솔루션 ‘nNetTrust V2.0’
국가정보원은 망분리 환경에서 양방향 망연계 시스템, 온라인 패치, 업데이트를 원천 금지했다. 그러다 2021년 국가정보원은 기반시설 보안 강화를 위해 패치, 업데이트하는 일방향 전송장비 도입을 승인했다.
하지만 보안영역에서 비보안영역으로 데이터를 전송하는 기존의 일방향 연계 솔루션을 패치, 업데이트 파일 수집을 위해 반대로 구성하면 보안영역의 보안관리 매니저가 비보안영역에 위치해 보안정책에 위배 된다.
이러한 문제점을 해결한 앤앤에스피의 ‘nNetDiode V3.0’은 국내 패치, 업데이트를 위한 역일방향 망연계 솔루션이다. ‘nNetDiode V3.0’은 외부망에 송신서버, 중간 영역에 클린서버, 내부망에 수신서버로 구성된다. 송신서버는 인터넷 등으로부터 패치, 업데이트 파일을 수집하고, 클린서버는 보안정책을 관리한다.
특히 멀티 백신으로 패치, 업데이트 파일을 검사해 안전성이 검증된 파일만 수신서버를 통해 내부망으로 전달한다. 이처럼 우수한 기능을 제공하고 있는 ‘nNetDiode V3.0’은 국가용 보안 요구사항 V3.0 기준 보안기능 확인서 평가를 진행 중이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
