핀테크) 망분리란 무엇인지 알아보자

---

예전에 망분리란 용어를 듣고 망을 분리하면 불편해서 개발을 어떻게 하지?라고 생각했던 적이 있었습니다.

망분리 설명에 앞서 실생활에서 간단하게 보안을 위해 실천되고 있는 것을 살펴보자면,

 

백화점 내 고객용 매장 통로와 직원용 내부 통로를 나눠, 고객은 백화점 내 매장만 오갈 수 있고, 직원은 사무실과 창고를 오갈 때는 내부 통로 이용, 매장으로 가려면 매장 통로로 오가며 백화점 보안을 유지하는 것이 있겠습니다.

 

망분리(Network Separation)

• 말 그대로 인터넷 망 / 업무 망을 분리하는 것을 의미합니다.
• 망(network)에는 인터넷에 접속되는 외부 망(WAN, Wide Area Network)과 사내 서버/PC가 연결되는 내부 망(LAN, Local Area Network)이 포함됩니다.
• 즉 인터넷 망과 사내 망을 따로 분리함으로써, 인터넷 망을 타고 사내 망으로 들어올 수 있는 경로를 원천 차단한다는 목접입니다.
• 망분리는 크게 물리적 망분리 / 논리적 망분리로 나뉩니다.

 

 

물리적 망분리

• 단어 그대로 물리적으로 망을 분리하는 것.
• 통신망을 물리적으로 업무용과 인터넷용으로 분리하고 별도의 PC를 사용하게 됩니다.
• 망을 두 개로 나눈 것이기 때문에 그에 따른 PC와 발열, 관리 등 필요한 것들이 많아져 구축 비용이 바싸집니다.

 

 

물리적 망분리를 한다면 위와 같지 않을까요?

 

논리적 망분리

• 논리적 망분리는 통신망을 소프트웨어적으로 업무용과 인터넷용으로 사용할 수 있도록 논리적으로 분리된 망을 의미합니다.
• 논리적 망분리에는 SBC 방식과 CBC 방식이 있습니다.
• 한 대의 PC로 망을 분리하는 것이기 때문에 가상화라는 기술이 사용됩니다.

 

SBC(Server Based Computing)

• 서버 기반의 망연계 방법. 업무용 서버팜 또는 인터넷 서버팜 중 하나의 서버팜을 둬 관리하는 망분리.
• 기존의 업무망과 가상화가 구축된 인터넷용 서버팜, 업무용 서버팜(가상화 서버의 집합)을 통해 인터넷 업무 및 사내 업무를 할 수 있습니다.
• 가상화 서버를 통해 인터넷을 통제할 수 있기 때문에, 여러 사용자가 접근해도 관리 및 통제가 용이합니다.
• 하지만, 가상화 서버가 공격당하면 업무가 중단되거나, 서버 성능에 따라 성능 부하가 생길 수 있습니다.

 

 

 

CBC(Client Based Compution)

• 클라이언트 기반의 망연계 방법. 단말기 자체에 인터넷 망을 위한 가상화를 구축하는 방법.
• 한대의 단말기에만 셋팅하면 망분리가 가능해 비용이 저렴.
• 하지만, 중앙의 관리와 다양한 PC 환경의 호환성 등 여러 제약이 존재합니다. 
• 사용자 통제가 쉽지 않아 외부 노출에 취약한 부분이 있습니다.

 

 

 

결론 

• 망분리는 주로 금융이나 주식, 보험, 교육, 정부기관 등 높은 수준의 보안이 필요한 환경에 적용되고 있습니다. 
• 규모가 큰 조직에는 반드시 도입이 의무화되고 있다고 하네요. 
• 망분리를 도입 후 보안사고 발생건이 이전보다 확실히 줄었다는 결과가 있지만, 그럼에도 100% 보장하지는 못합니다.
• 인터넷에서 다운로드 파일(메일. 첨부 파일 등)을 내부망의 업무 PC로 가져오는 과정에서, 어떤 식으로든 악성코드나 바이러스 등이 딸려올 여지가 있기 때문입니다. 
• 따라서 망분리를 도입할 때, 외부-내부망 연계에 따른 보안성과 사용자의 보안의식 등을 주의해야 할 필요가 있겠습니다.