[데이터넷] 코로나19로 기업·기관이 긴급하게 재택근무에 돌입 하는 과정에서 ‘망분리’가 커다란 걸림돌이 됐다. 감염병 확산 방지라는 긴급한 상황에서, 정부는 외부에서 접속이 불가능한 내부망 업무도 집에서 접근 가능토록 허용했지만 이 과정에서 보안에 대한 고려가 부족했다는 문제가 있다. 또한 현재와 같은 망분리 방식은 ‘포스트 코로나’ 시대에 맞지 않는다는 주장도 있다.

정부는 공공·금융 클라우드 활성화를 위해 망분리 예외조치를 취하고 있으며, 망분리 환경에서 인터넷 망을 클라우드로 사용하는 사례는 이미 많다. 내부망에서 직접 클라우드로 연결해 중요한 시스템·애플리케이션 개발, 유지 보수 등의 업무를 지원하는 경우도 없지는 않다.

경직된 망분리 업무 환경

망분리 환경에서 클라우드 사용을 허용한다 해도 어디까지나 ‘예외조치’일 뿐, 근본적인 해결책은 되지 않는다. 업무 불편을 해결하기 위해 망분리 보안 정책을 우회하는 직원, 일시적으로 허용한 예외처리를 제대로 관리하지 못하는 경우 등 망분리 도입을 무력화하는 시도는 많다.

망분리 정책을 준수한다 해서 완벽한 보안 환경을 운영할 수 있다고 볼 수도 없다. 망연계를 통해 다양한 파일과 데이터가 오가는데, 이 파일·데이터에 대한 위협 분석이 제대로 이뤄지지 않는다. 망연계 시스템 속도와 보안 솔루션 도입 비용 문제 때문에 고급 보안 분석 솔루션을 도입하지 못한다. 망연계 구간에 결재 프로세스를 적용해 안전한 파일과 데이터만 유출·유입하도록 정책을 마련하고 있지만 결재권자의 업무 부하 때문에 제대로 실행하는 경우는 없다.

김준섭 이스트시큐리티 부사장은 “많은 기업이 불가피하게 재택근무에 돌입하며 망분리와 망연계 시스템의 한계가 드러났다. 망연계 시스템은 제한적인 상황에서 외부에서 내부망으로 접속해 특수한 일부 업무 위주로 수행하던 과거에는 적합하지만, 대규모 재택 근무와 같은 상황에 대한 유연성은 떨어진다. 기존 망분리와 망연계 솔루션 만으로는 사용자 편의성 관점에서 다수·대용량 문서를 실시간 공유하고 협업하는 것이 매우 불편하며 적합하지 않다”고 지적했다.

미 국방부, ‘격리’ 기술로 웹 사용 환경 보호

망분리는 우리나라에만 있는 특수한 환경은 아니다. 우리나라처럼 공공·금융기관 전체에 망분리를 의무화하지는 않았지만, 국가안보와 국가 기밀, 중요연구를 수행하는 분야에서는 망분리를 적용한다. 산업제어시스템(ICS)이나 공장 제조망, 의료기기도 인터넷에 연결되지 않은 전용망을 이용한다.

외부와 분리된 전용망 환경에서도 안전하게 외부 인터넷에 연결하려는 시도가 다양하게 전개되고 있다. 클라우드·IoT가 전 산업군으로 확산되면서 인터넷의 수많은 위협을 효과적으로 걸러내고 안전한 웹 활동을 가능케하는 방법이 제안된다.

미국 국방부가 ‘클라우드 기반 인터넷 격리(CBII)’ 기술을 도입하고 있다는 사실이 알려지면서 시장이 주목하고 있다. 미 국방부 직원은 인터넷 접속 시 국방부정보네트워크(DoDIN)를 이용해야 했다. 재택근무나 원격지에서 인터넷 접속 시 VPN으로 DoDIN으로 접속한 후 인터넷 에 접속하게 됐다. VPN 과부하로 인한 성능과 비용 증가가 야기되면서 안전한 인터넷 접속 방안으로 ‘웹 격리(Web Isolation)’ 기술을 검토하게 됐다.

코로나19로 재택근무자가 급증하면서 CBII가 빠르게 적용됐다. 격리 기술은 인터넷 HTML 소스를 안전한 다른 소스로 변경하는 렌더링 기술을 이용해 웹 상의 알려진·알려지지 않은 위협을 제거한다. 사용자 경험을 전혀 해치지 않으면서 안전한 웹페이지를 로딩시키는 것이 이 기술의 완성도를 가르는 핵심 요소다.

이 프로젝트에 참여한 멘로시큐리티는 가장 완성도 높은 격리 기술을 제공하는 기업으로 인정받는다. 고속 렌더링 기술을 이용해 사용자 경험을 유지하면서 웹 위협을 제거한다. 멘로시큐리티는 SLA를 통해 자사 솔루션을 도입했다가 악성코드에 감염됐을 때 100만달러(약 12억원)의 보상을 보장한다.

김성래 멘로시큐리티 한국지사장은 “그 어떤 보안 기업도 100% 보안을 보장하지 못한다. 멘로가 ‘완벽한 보안’을 보장하면서 12억원의 보상금을 제안하는 것은 격리 기술에 대한 강력한 자신감을 보인 것”이라고 말했다.

인터넷 격리 기술, 망분리 요건 만족

멘로는 인터넷 망분리 기술로 사용될 수 있다는 유권 해석을 받은 상태다. 금융기관에서 외부 인터넷이나 이메일을 사용할 때 악성코드 탐지 메커니즘을 도입할 것 을 의무화했으며, 이를 망분리 요건으로 간주하고 있는 데, 격리 기술이 악성코드를 100% 제거하기 때문에 이 규제를 준수하는 것으로 인정받았다.

글로벌 성공사례로 JP모건에 20만 사용자를 대상으로 구축한 예가 있다. 이외에도 글로벌 대형 금융기관과 제조사 및 대형 엔터프라이즈에서 사용하고 있으며, 국내에서도 금융기관, 제조업, 공공기관 등에 서 사용하고 있다.

클라우드 프록시 플랫폼을 기반으로 한 멘로의 솔 루션은 고속 렌더링 기술 ACR(Adaptive Clientless Rendering)을 이용해 악성 요소를 제거한 안전한 콘텐 츠만 사용자에게 보여준다. 웹 격리, 이메일 격리, 문서 파일 격리 솔루션으로 구성된다.

만일 인터넷을 통해 문서를 전달받아야 하는 경우 일시적 가상 컨테이너(DVC)에 격리된 상태에서 보여주며, 이를 내려받아야 할 경우 악성행위에 이용될 수 있는 액티브 콘텐츠를 제거하고 HTML5로 렌더링해 무해 화된 PDF 문서로 변환해 보여준다. 원본문서가 필요한 경우 써드파티 백신·샌드박스를 이용해 악성코드를 제거하고 다운로드 할 수 있다.

김성래 지사장은 “망분리와 망연계 시스템을 구축·운 영하는데 상당히 많은 시간과 비용이 들고 생산성도 떨어진다. 또한 애플리케이션 종속성이 심해 민첩한 변화가 요구되는 현재 비즈니스 환경에 맞지 않다”며 “격리 솔루션은 인터넷을 통한 위협을 완전히 제거할 수 있기 때문에 전통적인 사무환경이나 망분리 환경, 재택 근무와 모바일 근무, 원격근무 환경에서도 최적화돼 있다”고 강조했다.

김선애 기자 다른기사 보기