[망분리 보안②] 보안 정책 지킬 수 없는 망분리
상태바
[망분리 보안②] 보안 정책 지킬 수 없는 망분리
  • 김선애 기자
  • 승인 2018.07.11 08:58
  • 댓글 0
이 기사를 공유합니다

외부 기관 협업 시 망분리 보안 정책 지키기 어려워…망연계 구간 보안 각별히 주의해야

망분리를 맹신하는 것은 위험하다. 망분리의 망연계 구간과 엔드포인트는 일반 업무환경보다 오히려 더 위험한 상태에 놓여있다. 망분리 후 협력사에 데이터를 전송할 때 평문으로 보내는 경우도 비일비재하다. 현재 망분리 환경의 보안 위협을 살펴보고, 이를 해결할 수 있는 방법을 소개한다.<편집자>

망연계 구간 보안 취약성 심각

망분리의 보안위협은 주로 다른 망과의 통신을 시도할 때 발생한다. 특히 망간 자료전송(망연계) 시스템을 이용하면 쉽게 내부망을 감염시킬 수 있다.

망분리 환경이라 해도 완벽하게 망을 분리하는 것은 아니고, 업무 편의를 위해 망간 자료를 전송하는 통로를 열어두게 된다. 망간 자료를 전송하는 경우는 외부 기관이나 기업과 협업을 위해, 업무 시스템의 패치 업데이트 등 다양한 이유가 있다.

인터넷으로부터 완전히 분리돼야 할 폐쇄망에서는 보안 USB를 이용해 폐쇄망과 업무망, 인터넷망 간 자료를 이동시킨다. 보안 USB에 저장된 자료에 악성코드가 숨어있거나, USB 자체에 악성코드가 심어져 배포되는 경우, 혹은 사용자 실수 혹은 고의로 보안에 취약한 일반 USB를 이용하면 공격당할 수 있다.

망연계 시스템은 이보다 훨씬 더 보안에 취약하다. 초기 망연계 시스템은 별도의 보안 검사 없이 자료를 전송해 전송되는 자료에 악성코드가 있는지, 기밀정보가 무작위로 나가는지 알 수 없었다. 원칙적으로 망간 자료전송을 위해서는 관리자의 결재를 받도록 돼 있지만, 관리자의 업무가 폭증한다는 이유 때문에 결재 과정은 생략하는 것이 일반적이었다.

망연계 구간 보안 취약성으로 보안 사고가 연달아 터지자 안티바이러스(AV)를 탑재한 망연계 솔루션이 등장했으며, 업무망에 APT 방어 솔루션, 주요 데이터 암호화 솔루션, 네트워크 접근 제어, 엔드포인트 보안 등의 보안 솔루션이 추가되는 상황이 됐다. 그러나 보안 솔루션이 많이 있다 해서 침해사고를 막을 수 있는 것도 아니다.

권진욱 레드스톤소프트 대표이사는 “망분리 환경에서 내부망 보안은 외부망과 연결된 경계보안에 집중돼 있다. 업무 프로세스상 외부망과 완전한 단절이 불가능하며 이를 우회할 수 있는 방법이 다수 존재한다. 또한 경계보안을 위해 설치하고 운영하는 보안 솔루션이 제대로 작동하고 있는지 파악하는 것도 어려운 일이다. 해커가 경계 보안 체계의 허점을 뚫고 내부망을 장악해도 보안관리자는 이러한 위험을 파악하거나 대응하는 것이 불가능하다”고 지적했다.

‘중요 문서 암호화’ 정책 위반 사례 빈번

업무망을 타깃으로 하는 공격은 망분리되지 않은 일반 환경을 공격하는 것과 크게 다르지 않다. 알려지지 않은 악성코드를 이용하거나 비실행파일 방식으로 백신의 탐지를 우회한다. 실행파일을 압축하고 난독화하는 패커를 사용하거나 정상 문서로 위장하는 악성문서 파일, 문서 편집 프로그램의 취약점을 이용해 APT 방어 솔루션도 비켜갈 수 있다.

업무망에서 생성한 중요 데이터를 외부로 보낼 때는 반드시 암호화해야 한다. 문서 암호화는 DRM을 이용하는데, DRM은 수-발신인이 같은 DRM 솔루션의 같은 버전을 사용해야 원활한 협업이 가능하다. 많은 협력업체와 함께 일하는 경우, 모든 협력업체가 동일한 DRM을 사용하는 것은 불가능하다. 그래서 DRM 솔루션 기업은 외부 협업을 위한 라이선스를 별도로 판매한다.

여러 협력업체와 함께 일할 경우 정책에 맞게 라이선스를 제대로 구입한다면 비용 부담이 크다. 많은 경우 1차 협력사와 협업은 규정에 맞게 라이선스를 구입해 암호화해 수발신하지만, 2차, 3차 협력사는 암호화하지 않은 평문 형태로 전송하게 된다. 때로 외부 협력을 위해 인터넷망에 협업서버를 두고 일하지만, 이는 인터넷망에 데이터를 금지하는 망분리 보안 가이드에 위배되는 것이며, 인터넷에 연결돼 있어 탈취 위협이 높다.

암호화된 문서는 암호화 키와 함께 압축파일이나 실행파일 형태로 전송되는데, 대부분의 망문리 환경에서는 악성코드로 많이 사용되는 exe, zip 파일은 업무망으로 들여보내지 않고 차단시킨다. 이 때문에 협업에 많은 지장을 받게 되기도 한다.

장경준 이노티움 부사장은 “망분리 환경의 보안성을 점검해보면 정책 위반 사항이 심각할 정도로 많이 발견된다. 그러나 업무 효율성과 비용의 문제 때문에 정책 위반에 대한 대안을 제대로 내놓지 못하게 된다”며 “업무 흐름에 맞는 보안 정책과 보안 솔루션을 통해 망분리 환경에서 빈틈없이 보안 수준을 유지하도록 대책을 마련해야 한다”고 강조했다.

영역암호화로 중단 없는 데이터 보호

이노티움은 여러 협력사까지 일관된 보안을 보장하는 DRM 솔루션 ‘엔파우치(nPouch)’가 망분리 환경에서도 원활한 협업과 보안을 지원한다고 강조한다. 엔파우치는 영역암호화 기술을 적용해 애플리케이션 종속성이 낮고 문서·이미지·영상 등 파일 형태에 관계없이 암호화 할 수 있다. 협력사가 엔파우치 라이선스를 구입하지 않아도 사용할 수 있으며, 이 제품은 캡처방지, 저장방지, 카메라 촬영 후 2차 유통 방지, 워터마킹 기술, 파일 추적 및 삭제 기능 등을 갖고 있다.

내부 업무망에서 작업할 때는 비밀번호가 필요 없으며, 무단으로 반출됐을 때 열람이 불가능하다. 외부로 전송된 암호화 데이터의 키는 문자메시지나 이메일로 전송해 담당자만이 열어볼 수 있도록 했으며, 열람 기간이나 횟수를 지정할 수 있고, 외부 서버나 PC에는 저장하지 못하도록 한다. 오프라인 시 수신자 QR 코드 인증으로 중앙에서 관리할 수 있다.

이형택 이노티움 대표는 “현재 원청의 보안시스템이 강화되어 방산 자료 등 중요 기밀자료를 해킹하기가 쉽지 않기 때문에 해커는 이보다 손쉬운 외부 협력사를 노리고 있다. 그러나 협력사는 인력부족, 예산부족, 인식부재로 대응전략에 어려움이 있다”며 “엔파우치는 원플랫폼 기반으로 외부반출 데이터 추적보안과 다계층 협력사와의 보안협업을 동시에 만족시킨다”고 말했다. 

▲ 이노티움 ‘엔파우치 콜라보 보안 플랫폼’


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.