사람과사회™ 뉴스

“망 분리, 이젠 선택이 아닌 필수”

망 분리에 대한 관심과 필요성이 강조되면서 망 연계 솔루션도 함께 주목을 받고 있다. USB 분실, 공용사용, 자료 이동에 따른 악성코드 유입의 위험 등의 우려로 새로운 대안을 찾게 되면서, 망 분리 환경에서 편리하고 안전한 자료 전송을 위한 망 연계 솔루션의 필요성이 강조되었다.

[기획] 망 분리 현황 점검 01

망 분리 관련법은 정보통신망법, 개인정보보호법, 금융위원회의 ‘금융전산 망 분리 가이드라인’ 등의 지침이 나오면서 최근 몇 년 사이에 금융권과 공공기관을 중심으로 망 분리를 검토하게 하고 본격적인 도입을 앞당기고 있다.

금융위원회는 2013년 9월 ‘금융전산 망 분리 가이드라인’을 배포했다.

이에 따르면 전산센터에 대해서는 2014년 말까지 내부 업무망과 외부 인터넷망을 원천적으로 차단하는 물리적 망 분리를 의무화하기로 했다.

본점과 영업점은 단계적이고 선택적으로 추진하기로 정했다. 은행은 2015년 말, 그 외는 2016년 말까지로 예정돼 있다.

2014년부터 2016년까지 단계적·선택적으로 추진

PC 보안의 경우 업무용 PC는 원칙적으로 인터넷망 접근과 외부메일 차단하도록 했다. 인터넷 PC는 업무망 접근을 원천적으로 차단하고, 인터넷 및 외부메일은 이용할 수 있지만 문서편집은 불가능하고 읽기만 가능하다.

이전에는 금융권에 이 같은 지침을 강력하게 추진하지 않은 편이었다. 지난 2008년 옥션, 2011년 네이트 등에서 발생한 개인정보 유출 보안 사고와 2012년 농협 사태, 2013년 3월 사이버테러 수준의 전산망 대란으로 방송사와 금융사 등의 3만5,000여 대의 PC가 피해를 입으면서 보안 사고에 대한 경각심이 새롭게 조명을 받았다.

정부는 이 같은 정보보안 사고를 방지하고자 다양한 정책과 법률 등을 제정해 배포하고 있다.

2006년부터 해킹 대응 방안 계획을 통해 공공기관의 물리적 망 분리 운영 의무화를 추진했다.

2010년에는 가상화 기술을 기반으로 한 논리적 망분리를 허용했다. 이는 물리적 망 분리에 비해 적은 투자로 망 분리를 확산할 수 있다는 기대도 한 몫을 했다.

이어 2012년부터는 망 분리 의무 대상을 확대해 많은 기관과 기업이 망 분리를 통해 인터넷망과 내부망을 분리해 정보보호를 강화할 움직임을 보이고 있다. 망 분리는 ‘이제 선택이 아닌 필수 보안 시스템’이 된 셈이다.

지난 2013년 3월 20일 일부 금융회사에서 발생한 금융전산 사고는 인터넷을 통해 내부시스템에 접근이 가능한 운영단말기 등이 악성코드에 감염돼 정보 유출 및 자료 파괴를 초래하는 해킹 공격의 경로로 이용된 것이다.

“선택 아닌 필수일 때 소탐대실(小貪大失) 막는다”

그러나 공공기관과 금융권은 망 분리에 대한 가이드라인이 있으나 민간기업 등에 대해서는 표준으로 삼을 수 있는 가이드라인을 두고 있지 않아 기업이나 사용자는 혼란스러운 상태여서 이 부분에 대한 구체적인 지침도 필요한 상황이다.

이는 공격 유형 면에서 볼 때 고객 정보는 물론 금융권이나 공공기관, 기업 등이 보유하고 있는 정보를 외부에서 직접 공격하는 방식에서 벗어나 내부자를 심어 놓고 공격하는 새로운 형태로 변화한 것이다. 이 때문에 망 분리는 물리적 또는 논리적 방식을 가리지 않고 도입을 망설일수록 보안사고가 일어날 가능성이 커지고 있다.

또한 개인정보의 경우 보호 받을 권리를 내세우는 경향이 늘면서 소송을 제기하는 경우도 빠르게 늘고 있다. 그리고 보안 사고가 발생하면 기업 이미지와 신뢰도가 크게 실추하게 돼 망 분리는 선택이 아닌 필수가 됐다.

하지만 망 분리는 금융권과 공공기관이 앞장서서 도입을 하고 있는 반면, 대부분의 기업들은 업무 효율과 매출에 도움이 안 된다는 인식이 지배적인 실정이다. 그러다보니 소비자의 보호 받을 권리와 기업의 신뢰도 제고를 위해 필요하다는 인식이 낮은 편이다.

일반 기업의 이러한 인식의 전환은 원천적인 해커 접근을 차단하기 위해서는 구축비용은 두 번째라는 인식이 필요하다. 즉 망 분리는 이젠 선택이 아닌 필수라는 인식이 확대되지 않으면 안 된다.

죄인이 생길 수 있는 사회적 시스템은 법과 제도를 통해 끊임없이 개선을 해나가듯이 보안 사고를 막기 위한 새로운 시스템이 필요하다면 도입을 망설이면 안 된다.

2006년 해킹 대응 방안 계획부터 시작해 공공기관 시범사업, 논리적 망 분리 허용, 망분리 의무 대상 확산 등 일련의 단계를 거쳐 진행해온 망 분리는 ‘다 같이 망하자는 것이 아니라면 같이 살아갈 수 있는 방법’으로 ‘선택’할 게 아니라 ‘필수’로 받아들여야 한다. 선택 아닌 필수일 때 소탐대실(小貪大失)을 막을 수 있기 때문이다.

About 김종영™ (938 Articles)
사람과사회 발행인이자 편집장이다. ‘글은 사람과 사회며, 좋은 비판은 세상을 바꾼다’는 말을 좋아한다. weeklypeople@gmail.com

Leave a comment