[컴퓨터월드]

보안사고 대안으로 부상한 망분리

지난해 말 한국수력원자력의 주요 정보가 유출되는 사고가 발생하면서 망분리에 대한 관심이 다시금 증가하고 있다. 망분리가 돼 있으면 외부 인터넷망을 통해 내부 업무망에 접근할 수 없기 때문에 악성코드 및 해킹으로 인한 내부정보가 유출되는 것을 방지할 수 있어, 각종 보안사고를 예방하는데 도움이 되기 때문이다.

실제로 최근 몇 해 동안 큰 보안사고를 겪었던 금융권은 망분리를 의무화하는 규정이 마련됐으며, 이에 따라 은행의 본점과 영업점은 2015년, 나머지는 2016년까지 망분리 사업을 진행하고 있다. 또한 공공/기업에서도 개인정보 및 내부정보 보호의 일환으로 망분리 사업을 추진하고 있다.

이처럼 망분리 수요가 증가함에 따라 올해는 논리적 망분리 시장이 더욱 활성화될 것이라는 전망이다. ‘정보통신망법’, ‘개인정보보호법’ 및 ‘금융전산 망분리 가이드라인’에 따라, 지난해 공공기관 및 금융권 최대 망분리 사업이 논리적 망분리로 선정됐기 때문이다. 아울러 망분리 시장 활성화에 이은 내부 보안시스템, 망연계 솔루션 등의 시장도 함께 커질 것으로 예상된다.

하드웨어 가상화 방식으로 호환성 한계 극복

PC기반 논리적 망분리(Client Based Computing, CBC)는 애플리케이션 가상화 방식과 하드웨어 가상화 방식으로 나눌 수 있다.

먼저 애플리케이션 가상화는 응용프로그램 수준의 가상화로, 애플리케이션 레벨에서 업무망과 인터넷망 PC를 논리적으로 분리한 방식이다. 이는 호스트 운영체제 위에 가상의 레이어를 하나 두고, 이를 통해 커널과 직접 연결되는 구조로 응용프로그램 환경을 격리시키는 방식으로, 키보드 보안, 백신, DRM 등 PC에 설치돼 운영되는 보안 솔루션과 비슷한 성격을 가진다.

그러나 애플리케이션 단에서 분리한 방식이기 때문에 속도 측면에서는 빠르지만, CBC 제품의 단점으로 볼 수 있는 호환성 이슈가 존재한다. 또한 애플리케이션 충돌 문제에서도 자유롭지 못하며, 운영체제 커널 영역에서 깊이 개입하는 특성상 운영체제의 특정 버전에 종속적일 수밖에 없다.

반면 브이엠크래프트의 VMFort는 하드웨어 가상화(Hypervisor) 방식을 적용했다. 하드웨어 가상화 방식은 PC의 하드웨어, OS, 애플리케이션, 프로세서 등을 논리적으로 완전히 분리시키기 때문에 업무망과 인터넷망에 서로 다른 OS를 사용하는 것도 가능하다.

이 방식은 서버기반 가상화 제품과 일맥상통하며, 보안성이 높아 물리적 망분리 수준의 보안성을 제공한다. 또한 PC에서 동작하는 ‘클라이언트 가상화(Hypervisor Type 2)’를 사용하고 있어 서버기반 가상화에 비해 구축비용이 저렴하다.

국정원 CC인증 프로파일 방식과 동일

브이엠크래프트의 VMFort 망분리 시스템 구성요소는 사용자 PC에서 설치될 클라이언트, 망분리 관리서버, 보안 게이트웨이(G/W) 등 크게 3가지로 구성되는데, 이는 국정원 CC인증에서 프로파일로 사용하고 있는 방식이기도 하다.

망분리는 가상영역을 인터넷 PC로 사용해 부팅과 동시에 보안 G/W를 통해서 인터넷이 되는 구조다. SSL-VPN으로 암·복호화돼 인터넷이 이뤄짐으로써, 업무망에서 사용하는 패킷과 완전히 분리된 인터넷이 된다.

따라서 사이버 위협에 노출된 인터넷 PC가 해킹이 되거나 과거 3.20 전산대란과 같은 MBR 공격으로 시스템이 파괴돼도 업무망의 PC는 안전하기 때문에 비즈니스 연속성에는 아무런 문제가 없게 된다. 네트워크가 완전히 분리돼 있기 때문에 업무PC의 IP주소를 변경하는 것으로 인터넷망에 접근할 수 없으며, 인터넷PC의 IP주소를 변경해 업무망에 접근하는 것 역시 불가능하다.

VMFort는 가상PC를 사용하기 위한 사용자 인증 및 USB 사용 통제 기능 등을 포함하고 있으며, 사용자의 멀티 OS 및 크로스 플랫폼(Cross Platform) 지원이 가능하다. 관리자가 사용자 업무 OS 환경을 관리서버에 이미지파일로 제작해 업로드하고, 사용자가 해당 이미지 파일을 다운로드만 하면 가상머신의 업무 소프트웨어 설치가 완료된다. 설치 편의성 및 사용자 그룹별 다양한 OS를 지원할 수 있다.

또한 VMFort는 CC인증을 넘어서 다양한 모의해킹 및 실전해킹 테스트를 통과했으며, 가상화(Hypervisor) 기반의 탁월한 안정성 역시 증명됐다. 윈도우 XP, 7, 8(32bit/64bit)뿐만 아니라 리눅스(Linux), 안드로이드(Android) 등의 다양한 OS 지원이 가능한 제품이다.

현재 기술보증기금, 네이버, 한전원자력연료, 보건복지정보개발원, 공평저축은행, 현대백화점, 현대홈쇼핑, HCN, 경기도청, 금융감독원, 우리은행, 고려제강주식회사, SBS콘텐츠허브, 대법원, 삼성SDS, NH농협증권, 국립수산과학원, 국가기록원, 웹젠, 조이씨티 등에서 VMFort 제품으로 망분리를 구축해 사용하고 있으며, 중국 우리은행에서도 VMFort를 사용하고 있다.

VMFort의 주요 특징

■ 보안성
- 업무 PC와 인터넷 PC의 OS, MBR, 메모리, 프로세스, HDD가 완전히 분리돼 있다.
- 업무 PC와 인터넷 PC의 IP, MAC 주소가 달라 네트워크가 완전히 분리돼 있다.
- 업무망/인터넷망 간 접근 통제: 업무망 PC와 인터넷망 PC의 IP주소를 변조해도 업무 PC와 인터넷 PC망 간 네트워크 접근이 불가능하고, 스니핑을 통해 인터넷망 PC 인증정보를 유출하거나 위·변조 할 수 없다.
- 인터넷망 PC가 해킹 및 악성코드 감염 등의 피해가 발생해도 업무망 PC는 안전하게 업무를 진행 할 수 있다.

■ 안전성
- 금융 및 공공 사이트 이용: 인터넷뱅킹, HTS, 정부민원포털, 증명서 인터넷 발급 등 인터넷망 PC에서 보안모듈, 액티브-X 등과 충돌 없이 자유롭게 사용이 가능하다.
- S/W 호환성: 업무용 S/W, 툴바, 메신저, 백신/DRM/DLP 등 S/W를 사용하는데 있어 충돌 없이 자유롭게 사용이 가능하다.
- 각종 미디어 플레이어 사용이 가능하고 FHD(720p, 1080p)를 지원한다.
- 초기 구축이후 윈도우 업데이트, 보안모듈 패치 등의 환경변화에도 별도의 커스터마이징이 필요 없다.
- 액티브 디렉터리(Active Directory), 망연계 등 기타 솔루션 연동 시 제약사항 없이 모두 호환 가능하다.

■ 편의성
- 기존 네트워크 및 업무환경 변화를 최소화하며 구축이 가능하다.
- 인터넷망 PC의 보안정책 등 중앙 집중관리가 가능하다.
- 인터넷망 PC가 해킹 및 악성코드 감염 등으로 인하 장애 시 복구절차가 단순하다.
- 클라이언트 S/W 업그레이드 등 모든 관리를 중앙에서 할 수 있다.

■ 경제성
- 초기 구축비용이 물리적 망분리, 서버기반 망분리 제품에 비해 저렴하다.
- 향후 사용자 추가 시 라이선스만 추가하므로 확대비용도 저렴하다.
- 시스템, 네트워크, PC 관리를 위해 추가적인 유지보수 투자가 필요 없다.