“업종별 특수성 반영한 망분리 사업 필요...금융권 망분리 보완해야”

2012년 8월 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’은 100만명 이상의 개인정보를 보유하거나 연매출 100억 이상인 정보통신서비스 사업자의 경우 내부 내트워크망과 외부 네트워크망을 분리하여 외부로부터 침입을 막고 내부정보의 유출을 막는 망분리 조치를 의무화했다.

이로 인해 금융기관, 통신·유통·서비스 등의 기업에서는 망분리 조치의 붐이 일고 있다. 이와 같은 효율적인 망분리 구축을 위해 기존 공공에서 수행중인 망분리 이슈와 개선사항을 알아보자.

개선·보완 없이 진행되는 망분리 사업

2006년 국가사이버안전전략회의에서 국가기관 업무전산망과 인터넷분리방침이 보고됐고 국정원과 안전행정부, 한국정보화진흥원(NIA)에서 각각 역할을 분담해 ‘국가기관 망 분리 구축 가이드’를 배포하면서 현재 각 부처·기관의 망분리 구축 시 가이드로 활용되고 있다.

당시 사업에 앞서 2007년 국가기관 망분리 시범사업을 통해 타당성 고려와 함께 지적된 문제가 개선·보완했고 2008년부터 국가기관 망분리 사업을 진행했다. 2010년 기존 물리적 방식이 국회 등에서 예산낭비라는 지적이 나오면서 논리적 망분리 방식도 허용됐다.

2012년 정보통신망법이 개정되어 ‘정보통신기반시설’로 지정된 주요 유·무선 통신망, 은행 인터넷뱅킹, 금융권, 대형병원 등은 모두 망분리 의무대상이 되었다. 망분리 조치가 의무화되면서 금융기관, 민간기업까지 사업 확대가 진행되고 있다.

그러나 향후 망분리 사업 개선을 위해서는 첫째, 망분리 세부 지침 가이드의 개선 및 보완이 필요하다. 지난 7월 금융보안종합대책이 발표되면서 ‘금융전산 망분리 가이드’ 초안이 배포됐다. 이 가이드는 기존 공공 망분리와 유사한 내용으로 정리돼 금융 업종의 특수성, 업무프로세스가 반영되지 않았다.

둘째, 망분리에 대한 관리책임 주체를 명확히 해야 한다. 국정원은 국외정보 및 국내보안정보의 수집, 국가안보관련 범죄수사가 주 업무이다. 금융기관의 보안가이드와는 거리가 있어 보인다. 한국정보화진흥원(NIA)이나 한국인터넷진흥원(KISA)에서 주도적으로 책임감을 갖고 지침·가이드를 배포하는 노력이 필요하다.

셋째, 망분리의 세부요건의 기준을 명시하고 포털사이트를 이용한 세부 가이드 제공 및 정보공유가 필요하다. 수천억원이 투입되는 사업을 하면서 일방적인 전달보다는 포털을 통한 정보의 전달과 공유가 필수적이다.

물리적 망분리 도입 후, 사후관리 안되는 공공기관

국내 공공기관의 물리적 망분리 후 사용사례를 살펴보자. 첫째, 몇 년 전 국회에서 강제적인 망분리로 보안을 강화하기 위해 물리적인 망분리 사업을 진행했다. 업무용과 외부망(인터넷)을 분리 운용하기 위해 듀얼PC를 설치했다.

이 듀얼PC는 외관은 한대의 PC처럼 보이나, 내부에는 메모리, CPU가 2개로 구성되어, 논리적으로는 외부망 PC와 업무망 PC 2대의 역할을 한다. 인터넷 자료검색은 외부망 PC에서 하고, 업무시스템 접속이나 문서작업은 업무망 PC로 하다보니 보안USB로 두 개의 컴퓨터를 몇 차례씩 오가며 자료이동이 필요했다.

이러한 이유로 5분이 소요되는 업무가 30분이 소요되고, 사무실 책상에 PC 2대가 놓이면서 더운 여름에도 전력 소모가 1.5배 증가했으며, 컴퓨터의 열기로 사무실 온도가 상승해 근무하기도 어려운 환경이 되고 말았다.

이는 결국 몇 달 뒤에 업무 효율성을 고려해 외부망 PC에서도 문서작업을 할 수 있도록 방침을 바꾸었고, 언론에서는 수십억원의 예산낭비라는 비판이 제기되기도 했다.

둘째, 업무용 PC와 외부망 PC 간의 자료전달은 보안USB를 사용한다. 보안USB는 정보유출통제 보안관리 솔루션으로 일반 USB와 달리 PC접속 사용자 인증, 데이터저장 시 암호화, 승인 없이 외부반출 시 사용이 안 되거나 원격파괴를 할 수 있다.

그러나 외부망 PC가 인터넷망에 연결되어 신종 웜바이러스에 감염된 상태로 업무망 PC로 유입되어 업무망 전체를 감염시킬 수도 있다. 이런 이슈에 대해 망분리가이드에 ‘악성코드 차단을 위한 안티바이러스 제품연동’이 필요하다.

업무망 PC에 대한 안티바이러스 업데이트를 사용자가 수동으로 하면서 3개월 이상 업데이트를 하지 않는 경우도 있다. PMS(패치관리시스템)과 연계하여 강제적으로 업데이트 하도록 해야 한다.

셋째, ‘USB메모리 등 휴대용 저장매체 보안 관리지침’에 보면 아래와 같이 명시되어 있다.

1. 휴대용 저장매체는 업무관련 일반자료(공인인증서 포함)만 보관하여야 하며 <별지 제1호 서식>의 관리대장에 기록하여야 한다.

2. 휴대용 저장매체는 개인서랍, 캐비닛 등에 안전하게 보관하여야 한다.

이러한 규정이 있으나 현장에서 일부 업무자들은 보안USB 사용 시 관리대장 기록이 귀찮아서 수령을 하지 않고, PC보안 프로그램에 USB포트 예외차단을 신청한 후, 개인 USB로 업무용 파일 저장과 개인용도의 인증서 등을 혼합하여 사용하기도 한다.

또한, 보안USB를 공용으로 사용하기도 한다. 개선사항으로는 보안지침에 개인USB 반입차단과 수시 점검을 통한 예외신청자 확인이 필요하다. 보안USB도 OTP(일회용 패스워드) 의무화를 통해 비밀번호만 알면 제3자도 사용가능한 것을 통제해야 한다.

망분리 사업은 공공시장에서 민간기업까지 확대되면서 수천억원을 투자하고 있다. 기존 공공 망분리 구축사업 시 개선사항을 파악해 보완이 필요하며, 업종의 특수성을 반영하여 망분리 사업 진행이 필요하다. 지금처럼 허술한 잣대로 공공 망분리 가이드로 금융권 망분리를 진행하다면, 제2의 3.20 사이버테러가 발생할 수도 있다.
[글 _ 임 보 혁 보안컨설턴트(airbag1@naver.com)]