원격근무, 클라우드, 생성형 AI 등 변화된 인터넷 환경...새로운 망 정책 제도 필요성 제기
[보안뉴스 김영명 기자] 하루가 다르게 새로운 기술이 쏟아져 나온다. 특히 최근에는 오픈AI의 챗GPT가 촉발한 생성형 인공지능(Generative AI)으로 기술 발전과 변화가 눈부시게 빨라지고 있다. 새로운 기술의 등장과 함께 기업과 개인의 디지털 환경도 변화가 거세다. 거대한 변화는 IT 시스템의 효율성과 생산성을 대폭 끌어올린다. 하지만 정보보안의 시각에서는 이처럼 달라지는 환경에 따라 이를 지키는 보안 전략이 유연해야 할 것이다.
[이미지=gettyimagesbank]
정부가 최근 ‘망분리 규제 개선’을 꺼내들며 전 국가적인 보안체계의 개선과 변화의 신호탄을 크게 쏘아올렸다. 망분리 제도는 무엇이고, 망분리 규제 개선은 무엇일까?
업무망과 인터넷망의 완전한 분리가 핵심
‘망분리 제도’는 외부 인터넷망과 내부 업무망을 분리해 사용하도록 하는 보안정책이다. 네트워크와의 연결을 끊고 외부로 통하는 문을 원천적으로 차단해 중요 정보를 다루는 내부 시스템을 각종 보안 위협으로부터 보호하겠다는 취지에서 도입됐다. 이때 ‘망분리’란 주로 내부망과 외부망에 각각 연결된 PC 2대를 활용하는 ‘물리적 망분리’를 가리킨다. 경우에 따라서는 예외적으로 가상화 PC 등을 도입하는 방법으로 1대의 PC로 망만 구분해 사용하는 논리적 망분리가 병행돼 활용되기도 한다.
국내 망분리 정책의 시작은 18년 전인 2006년이다. 2006년 국가사이버안전전략회의에서 처음 보고된 이후 정부와 공공기관을 중심으로 시행된 망분리 규제는 점차 확산해 나가면서 현재는 일부 민간 기업에까지 확대됐다. 금융, 정보통신서비스, 방산 업체와 같이 민감한 데이터를 다루는 조직은 내부망을 일반 인터넷망과 분리해 운영하면서 이를 통한 불법적인 접근이나 정보 유출 등의 위험을 사전에 방지해야 한다. 이러한 망분리와 관련해 공공과 금융, 민간 부문별로 국가정보보안기본지침, 전자금융감독규정, 개인정보 보호법에 법적 근거도 마련됐다.
망분리는 국내 보안정책의 근간으로 자리 잡았으며, 지난 수년간 보안의 필수조치 중 하나로 여겨졌다. 실제 보안 강화 측면에서도 유의미한 효과를 보인다는 게 업계 중론이었다. 2017년 5월에 전 세계를 휩쓸었던 워너크라이(WannaCry) 랜섬웨어 공격에도 국내 금융기관 피해가 전무했던 것도 해당 제도의 효과로 해석됐다. 다만 최근 들어 시대 변화의 흐름을 따라가지 못한다는 지적이 늘었다. 원격근무, 클라우드, 더 나아가 생성형 AI 시대에 접어들면서 달라진 IT 환경에 맞는 새로운 망분리 필요성의 목소리가 커지고 있다. 달라진 업무 환경과 신기술을 반영할 수 있도록 제도 개선이 이뤄져야 한다는 주장이다.
▲망분리 방식 비교[자료=금융위원회]
국가정보원은 올해 초 대통령 국가안보실, 디지털플랫폼정부위원회 등 관계 기관과 산·학·연 사이버안보 전문가로 구성된 ‘민·관 합동 망 보안정책 개선 태스크포스(TF)’를 발족시키며, 망분리 체계에 대한 전면 개편을 추진한다고 밝혔다. 그리고 TF가 마련 중인 개선안의 중심에는 다중계층 보안(Multi Level Security, MLS)이 있다.
MLS의 핵심은 매우 간단하다. 획일적인 망분리 규제에서 벗어나 데이터의 중요도에 따라 등급을 나누고, 이에 맞춰 보안 강도를 차등 적용하는 것이다. 데이터를 C(기밀 정보, Classified), S(민감 정보, Sensitive), O(공개 정보, Open) 등 3단계로 분류하고, 가장 낮은 등급은 아예 망분리에서 제외해 개방하는 게 핵심이다. 보호해야 하는 정보에 대한 보안은 더욱 강화하고, 활용 가치가 높은 정보는 과감히 공유해 폐쇄적이었던 공공데이터 체계와 업무 환경에 혁신을 꾀하고 있다.
이는 내·외부 경계 중심 보안이 아닌 데이터 중심 보안체계로 전환하는 것으로 정부의 이번 개편안의 최종 목표다. 이 개선안을 성공시키기 위해서는 데이터뿐 아니라 사용자, 프로세스 등 시스템을 구성하는 모든 요소에 대해 보안 수준과 업무 영역에 따른 보안 등급, 보호 범주를 부여하고, 기준을 구체화해 그룹화하는 과정이 선행돼야 한다. 등급별로 어떠한 기술과 수단을 활용해 보안을 강화할지에 대한 대책 마련도 필수다.
국가정보원은 ‘MLS 태스크포스(MLS TF)’를 꾸리고 보다 체계적인 계획 마련에 착수했다. MLS TF는 △MLS 체계 기밀 개선 △시범·실증 사업 △공공 빅데이터 활용 및 행정 효율화 △기술 등 4가지 분과로 운영된다. ‘체계 기밀 개선 분과’는 MLS 보안체계 내 기밀 데이터 분류 기준을 세우고 이에 적합한 보호 방안을 모색하며, ‘시범·실증 사업 분과’는 새로운 제도의 성공적인 안착을 위한 시범 사업 운영을, 그리고 ‘공공 빅데이터 활용 및 행정 효율화 분과’는 망분리 제도 개선 취지를 극대화할 수 있는 여러 활동 전개에 집중한다. 마지막 ‘기술 분과’는 MLS 전환을 위한 기술 설계라는 가장 중요한 역할을 맡았다. 아무리 뛰어난 제도를 기획하더라도 이를 실현할 기술이 없다면 도루묵일 수밖에 없다. 이에 따라 핵심인 망분리뿐 아니라 다양한 보안 기술들을 융합해 각 단계에 최적화된 방어막을 재구성해야 하는 것이다.
망분리 개선안의 방향성을 엿볼 수 있는 MLS 프레임워크의 기본 윤곽은 올해 3분기 중 발표될 예정이며, 전체 로드맵은 올해 연말 발표를 목표로 하고 있다. 앞서 공개된 프레임워크 초안은 정보, 업무, 통제, 대응, 회복의 5단계로 구성돼 있으며, 이를 토대로 각 단계에 맞는 정보 수준이 분류될 전망이다. 정보 보안 수준에 맞는 역할과 상황 기반 업무의 데이터 흐름을 통제하고 대응할 수 있는 체계를 규정하는 것이 해당 프레임워크의 궁극적 목표다.
‘제로트러스트 보안’, 망분리 제도 개선의 핵심이다
제로트러스트(Zero-Trust)는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 인식을 전제로 하는 보안 방법론이다. 제로트러스트 체계에서는 ‘신뢰할 수 있는 네트워크’라는 개념 자체가 없기 때문에 조직 내·외부망에서 발생하는 모든 행동을 의심하고 주의해야 하며, 내부 사용자와 외부 사용자를 똑같이 취급한다. 한 마디로 모든 접근을 잠재적 보안 위협이라 바라보는 방식이다. 공격의 진화뿐 아니라 IT 환경이 빠르게 변화하면서 단순 경계를 기반으로 내 편과 네 편을 나누는 게 무의미해진 현시점의 상황을 잘 반영하고 있다.
이러한 제로트러스트 관점에서 봤을 때, 기존 망분리를 통해 물리적 업무망에 접속한 사용자와 기기에 높은 신뢰도를 부여하는 것은 더는 적합하지 않다. 발생하는 접근을 더욱 세밀하게 세분해 각각의 세그먼트에 개별적으로 보안을 적용하는 방향으로 불확실성을 최소화할 필요가 커졌다. 현재 정부가 준비하고 있는 MLS의 기조와 맞닿아 있다.
▲보안 패러다임의 변화[자료=과학기술정보통신부, 이글루코퍼레이션]
이글루코퍼레이션 관계자는 “오늘날 우리는 빠른 비즈니스 환경 변화에 발맞추기 위해 민첩한 대응을 매우 중요히 여긴다”면서도 “다만 문제는 이러한 민첩성 요구와 보안의 요구가 충돌할 때 발생한다”고 말했다. 이어 “보안은 효과적으로 설계되지 않으면 민첩성을 저해하는 걸림돌이 될 수 있다”며 “발전한 기술이 주는 혜택을 마음껏 누리기 위해서는 보안과 민첩성 그 사이에서 균형점을 찾는 일이 반드시 선행되어야 한다는 사실을 잊지 말아야 할 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>