금융기관 망분리 의무화 사업이 완료되면서 망분리 시장은 잠시 정체기를 가졌다. 6월 방산업체 망분리 의무화가 있지만, 방산업체들은 비용이 많이 든다는 이유를 들어 강력하게 반발하고 있다. 주요 망분리 기업들은 기존 망분리 방식에 시장성이 없다고 판단하고 클라우드를 접목한 차세대 망분리를 준비하고 있으며, 후발주자들이 가격을 앞세워 시장 질서를 재편하고 있는 상황이다. 망분리와 운명을 같이하는 망연계 시장도 뒤숭숭하다. 실적 악화로 사업을 중단하는가 하면, 기술인력 수급이 안돼 고객지원을 하지 못하는 일도 빈번하다. <편집자>
망연계 보안 안지키면 망분리 소용 없어
망분리와 망연계는 모순적인 관계이지만, 망분리 시에는 망연계 시스템이 반드시 필요하다. 모든 비즈니스가 인터넷을 통해 진행되고 있기 때문에 인터넷과 단절된 업무망 내에서만 일을 할 수는 없기 때문이다. 행정망 만을 이용하는 공공기관이라 해도 인터넷 대민업무, 외부 기관과의 업무 협조 등은 인터넷을 사용해야 한다. 방산업체의 경우 방산 사업 중 인터넷 업무가 필요한 경우도 있지만, 다른 민수 사업은 인터넷 연결이 필수적인 경우가 대부분이다. 따라서 망연계 시스템 수요는 크게 늘어날 것으로 보인다.
지금까지 망연계 시스템은 성능에만 초점을 맞췄다. 특히 시스템을 구축하고 처음 운영할 때에는 업무분장을 하면서 업무망과 인터넷망에 있는 자료를 대량으로 전송하기 때문에 성능에 특히 민감했다. 그러나 이제는 성능 뿐만 아니라 보안에도 신경을 써야 한다. 지난해 발생한 군 내부망 해킹사고와 같이 망분리된 환경에서도 해킹을 당하는 것은 망연계 시스템에서 보안위반 사항을 제대로 걸러내지 못했기 때문이다.
김동철 쓰리에스소프트 이사는 “망연계 때문에 망분리 효과가 떨어진다는 지적이 있지만, 업무를 하기 위해 망연계는 필수다. 안전한 망연계를 위한 시스템과 프로세스를 갖춰야지, 망이 연계돼 있어 망분리의 의미가 없어진다는 비판은 잘못된 것”이라며 “망연계 시 반드시 결재시스템을 연계해 실시간 결재 혹은 사후결재를 하도록 해 보안위반이 일어나지 않도록 모니터링 해야 하며, 백신, APT 방어 솔루션, DRM·DLP 등을 사용해 중요정보가 무단으로 유출되지 않도록 해야 한다”고 말했다.
망연계는 스트리밍을 위한 망연계와 파일 전송을 위한 망연계로 구분되며, 전송 기술에 따라 소켓방식, 스토리지 방식으로 나뉜다. 소켓방식은 이더넷, IEEE 1394, 인피니밴드 등을 사용하며, 빠른 네트워크 전송 속도가 장점이다. 스토리지 방식은 양쪽 망에 전용 스토리지를 두고 연계하는 방식으로 대용량 파일 전송에 유리하다.
소켓 방식을 사용하는 망연계 솔루션은 ▲휴네시온 ‘아이원넷(i-oneNet)’ ▲비트러스트 ‘엔트러스트(N-Trust)’ ▲쓰리에스소프트 ‘네픽스(NEPYX) NB·FB’ ▲엘케이시스템즈 ‘아이커넥트(i-Connect)’ ▲시큐에버 ‘리버스월MDS(reverseWall-MDS)’ ▲유니와이드테크놀러지 ‘세이프콘(SafeCon)’ 등이 있다. 스토리지 방식은 ▲에스큐아이소프트 ‘에스에스브릿지(ssbridge)’ ▲퓨쳐시스템 ‘위가디아 티무버(WeGuardia T-Mover)’ ▲한싹시스템 ‘시큐어게이트(Secure Gate)’ ▲지온공작소 ‘코어브리지(CoreBridge)’ 등이다. 퓨쳐시스템은 사업 악화로 ‘위가디아 티무버’를 매물로 내놓은 상황이며, 비욘드솔루션과 인수협상 중 이견을 좁히지 못하고 결렬시켰다.
APT 방어 솔루션 연계해 안전한 망연계 구현
망연계 시스템이 단순한 자료전송이나 트래픽 전송에 그친다면 방화벽이나 VPN으로 대체할 수도 있지만, 결재시스템을 올리고 인사DB와 연계하는 작업이 필요하며, SSO와도 연동해야 해 망연계 전용 솔루션을 구축하는 것이 효율적이다. 망연계 구간에 바이러스 백신, DRM, DLP도 있어야 한다. 물리적 망분리의 경우 보안 USB를 사용하지만, USB보다 망연계 시스템이 업무 효율 측면에서 유리하다.
휴네시온은 대외서비스 WAS까지 연계해 보안을 더욱 강화한다. 예를 들어 외부 고객이 사이트에 접속해서 자신의 정보 조회하고, 입력할 때 이는 DMZ 구간에서 이뤄지지만 중요한 데이터는 망연계를 통해 보안 영역에 저장된다. 따라서 WAS까지 망연계가 이뤄져야 전체 망분리가 마무리 된다.
휴네시온의 ‘아이원넷’은 프록시 기술을 이용해 최상위 응용프로그램 레벨에서 네트워크 트래픽 제어하며, 패킷 필터 기능을 제공해 위험요소를 걸러내고 안전한 트래픽과 파일만 전송한다. 응용프로그램의 특성을 분석해 해당 응용프로그램의 사용을 분석하고, L7 분석 이후 세션을 차단/통과 결과를 저장해 동일 세션의 차단/통과를 결정한다.
정동섭 휴네시온 대표는 “망연계 구간에서 위협요소를 찾지 못하기 때문에 망분리에서 보안사고가 발생하는 것이다. 망연계 구간에 백신을 설치하지만 백신은 알려진 공격만을 탐지할 뿐이며, APT 공격은 차단하지 못한다”며 “휴네시온의 아이원넷은 멀티백신을 사용해 알려진 공격 중에서 미탐을 없애고, APT 방어 솔루션과 연동해 지능형 공격을 차단할 수 있도록 지원한다”고 말했다.
쓰리에스소프트 망분리와 망연계를 함께 제공한다는 점을 최대 강점으로 꼽는다. 망분리-망연계를 함께 구축할 수 있어 비용절감 효과가 크고 유지보수와 기술지원이 원활하다는 점이 장점이다.
쓰리에스소프의 스트리밍을 지원하는 ‘네픽스NB’는 TCP/IP가 아닌 전용 프로토콜을 사용해 보안성을 향상시켰으며, 동영상전송 RTP, SNMP, 시스로그 등을 위한 UDP 프로토콜을 지원한다. TTA 성능 시험결과 망연계 전송성능 373MB/s (3Gbps)을 기록했으며, 최대 100G 까지 추가 성능 향상을 제공한다.
파일전송을 위한 ‘네픽스 FB’는 파일 확장자가 아닌 파일헤드 분석을 통한 파일 위변조 감지 기능을 탑재하고 있으며, 즉시 삭제, 다운 횟수/기간 설정, 원본 보관, 전송 이력 등 원본 자료에 대한 다양한 보안 정책을 제공한다. CPU 부하 없이 데이터를 메모리에서 3Gbps 성능으로 제공하며, 56G, 100G 인피니밴드 카드 사용시 추가 전송성능 향상을 누릴 수 있다.
