1. 망분리의 개요
가. 망분리의 정의
- 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 ‘업무망’과 ‘외부 인터넷망’을 분리하는 기법
나. 망분리의 법률적 근거
| 개인정보보호법 | - 개인정보보호법 시행령 제48조의2 제1항제2호 | - 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상 - 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등 |
| - 개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제) 제6항 | - 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 | |
| 전자금융감독규정 | - 제15조(해킹 등 방지대책) 제1항제3호 | - 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지 |
| 국가정보보안기본지침 | - 제33조 (업무망 보안관리) | - 비인가자 침입 차단 - 내부망 정보시스템의 인터넷 접속 차단 - 내부망과 기관 인터넷망 간 안전한 자료 전송 |
- 각 법률 또는 지침 등에 따라 망분리 대상 및 요구조건이 서로 상이하므로 구축 시 고려
다. 망분리의 특성
| 보안성 향상 | - 업무PC에서는 인터넷을 사용할 수 없기 때문에 외부 자료를 내부로 반입하거나 내부 자료를 외부로 반출하기 어려워지므로 보안성 향상 |
| 망연계 고려 | - 네트워크 간에 업무상의 자료를 효율적이며 안전하게 전송하기 위한 방법 고려 (방화벽/소켓, 공유 스토리지, IEEE1394 방식 등) |
| 물리적/논리적 방식 | - 적용 대상 및 범위, 중요도 등에 따라 망분리 도입 시 도입 비용, 보안성 고려 |
2. 망분리 방식 및 망분리 적용 시 고려사항
가. 망분리 방식
| 유형 | 방식 | 설명 |
| 물리적 망분리 | - 2대 단말기 이용 | - 인터넷망과 업무망에 접근하는 단말기를 각각 사용 - 망간 접근경로가 물리적으로 차단되어 높은 보안성 제공 - 별도 네트워크 및 추가 장비 등 도입 비용 소요 |
| - 1대 단말기 이용 (망 전환장치 이용) |
- 망 전환장치를 이용하여 선택적으로 망에 접속하는 방식 - 망간 접근경로가 물리적으로 차단되어 높은 보안성 제공 - 별도 네트워크 및 망 전환정치 등 추가 비용 소요 |
|
| 논리적 망분리 | - 서버 기반 논리적 망분리 (SBC) | - 모든 어플리케이션 및 정보를 서버에 저장하고 실행시키는 방식 - 클라이언트는 서버의 실행 결과만을 확인하는 구조 - 중앙에 가상화 서버를 구축 이용 - 인터넷망 가상화와 업무망 가상화 방식으로 구분 가능 |
| - 클라이언트 기반 논리적 망분리 (CBC) | - 사용자 단말기에 가상화 프로그램 설치 - 가상화 프로그램에 의해 분리된 가상영역을 구축하여 이용 - 서버 기반 논리적 망분리보다 도입 비용 절감 |
- 정보 유출 사고 및 악성코드 감염 등으로 인한 침해사고를 방지하기 위해 망분리 의무화 진행
나. 망분리 적용 시 고려사항
| 유형 | 특징 | 설명 |
| 단말기 보안관리 | - 자료 유출 방지 - 안티 바이러스 - 단말기 사용자 인증 |
- 비인가자의 임의 접근 및 사용, 악성 프로그램 감염, 자료유출 등 방지 |
| 망간 자료전송 통제 | - 망 연계 | - 두 네트워크 간에 자료 전송 고려 - 단말기 to 단말기, 서버 to 서버 간 연계 고려 |
| 인터넷 메일사용 | - 메인 시스템 연계 | - 메일 시스템 간 연계 시 안전한 방안 고려 |
| 패치 관리 | - 시스템 및 단말기 패치 - 백신 업데이트 |
- OS 패치 및 백신 업데이트 고려 |
| 네트워크 접근제어 | - 단말기/사용자 인증 - IP 제어 - 필수 소프트웨어 통제 |
- 네트워크에 단말기 연결 시 MAC/IP 인증 - 단말기 사용자 인증과 연계 (자체 또는 AD 연동) - 네트워크 연결 허용 전 필수 소프트웨어 검사 |
| 보조저장매체 관리 | - 매체 제어 - 보안 USB |
- 내부 자료 유출 방지를 위해 단말기에 매체제거 솔루션 도입 검토 |
| 프린터 등 주변기기 운영 | - 내/외부망 | - 내부망과 외부망에 각각 프린트 등 운영 고려 - 중계서버를 통한 스풀데이터 연계 고려 |
- 단말기에 대한 복합적인 요소를 고려하여 안전한 망 운영 방안 마련
가. 직접 접속 방식과 간접 접속 방식
| 직접 접속 방식 | 개념도 |  |
| 특징 | - 외부 단말기가 가상사설망을 통해 내부망의 노드(Node)로 직접 연결 - 외부 단말기는 회사가 보안 프로그램 설치, 보안 항목을 설정 - 내부망 노드 연결 시 인터넷 연결 차단 |
|
| 간접 접속 방식 | 개념도 |  |
| 특징 | - 외부 단말기가 업무용 단말기를 경유하여 내부망에 접속 - 외부 단말기는 업무용 단말기의 입력 및 화면 출력만 처리 - 업무용 단말기와 파일 송수신이 차단 - 내부망 연결시 인터넷 연결 차단 |
- 4 방식은 1~3 방식보다 보안상 취약할 수 있으므로 원격접속 프로그램에 대한 보안성 점검, 기본 접속 포트 변경, 업무용 단말기의 미인가 조작을 차단하는 등 보안통제 필요
나. 재택근무 대응 방안
| 유형 | 특징 | 방안 |
| 적용 업무 | - 시스템 운영 및 일반 업무 | - IT부분(개발, 보안, 운영 업무) 직원이 중요 정보시스템에 원격 접속하는 경우 장애시에만 허용 - 이메일, 그룹웨어 등 업무 시스템에 일반 임직원(외주업체 포함) 원격접속 허용 - 상시 재택근무 허용 |
| 적용 대상자 | - IT 및 일반 업무 담당자 | - IT부분(개발, 보안, 운영 업무) 직원 - 일반 임직원(외주업체 포함) |
| 시스템 접속 방식 | - 직접 접속 방식 - 간접 접속 방식 |
- 환경에 따라 직접 접속이나 간접 접속 중에서 자율적으로 선택 |
| 업무용 단말기 | - 사용자 인증/권한 - 데이터 암호화 - 네트워크 접근통제 |
- 중요 정보 등이 외부로 유출되지 않도록 종합적인 보안 대책 적용 |
| 외부 단말기 | - 사용자 인증/권한 - 데이터/통신구간암호화 - 패치/화면보호기 |
- 개인 또는 회사 단말기를 이용하여 원격에서 업무 수행 - 종합적인 단말기 보호대책 준수 필요 |
| 원격접속 방법 | - IPSec, SSL VPN, SSH - 전용회선 |
- VPN 등 전송 데이터의 기밀성 및 무결성 보장 가능 - 클라이언트 및 서버 인증 - 중간자 공격, 재생 공격 예방 가능한 기법 적용 |
-전자금융감독규정시행세칙 개정 안을 기반으로 언택트 문화 지속에 따른 재택근무 대응 방안 제시
'ICT 관련 동향' 카테고리의 다른 글
| (주간기술동향 1999호) 주요국의 인공지능과 데이터 보호 정책 동향 분석 (0) | 2021.06.02 |
|---|---|
| 빅데이터 인사이트/시각화 프로세스 (0) | 2021.05.27 |
| C-ITS(차세대 지능형 교통 체계)와 C-V2X (0) | 2021.05.25 |
| PS-LTE 방식의 재난안전통신망 (0) | 2021.05.23 |
| 자연어 처리 임베딩 기술 (0) | 2021.05.23 |
댓글