> 뉴스 > 뉴스 > 모바일
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[구축사례] 한국지역난방공사, 망분리 시스템 구축
업무·인터넷 망분리로 에너지 시설 철통 보호
2014년 06월 03일 11:22:20 강석오 기자 kang@datanet.co.kr

한국지역난방공사(대표 김성회 www.kdhc.co.kr)는 ‘에너지 크리에이터(Energy Creator)’라는 모토로, 행복한 에너지 세상 구현을 통해 인류와 환경에 기여할 수 있는 기업이 되도록 지속적으로 노력하고 있다. 1985년 11월 설립 이후 에너지의 효율적 이용과 대기환경 개선으로 국가경제에 기여했으며, 편리하고 쾌적한 지역난방을 경제적으로 공급하고 있다.

   

한국지역난방공사의 핵심 주력사업인 지역난방사업과 냉방사업은 열병합발전소 등 대규모 열생산 시설을 통해 아파트, 업무·상업용 건물 및 일정 지역에 공급하는 도시기반 시설로, 기존 냉난방 방식에 비해 에너지 절약과 대기오염 물질을 감소시킬 수 있다.

이와같은 주력사업 외에도 공사는 미래 신성장 동력사업인 신재생 에너지 사업, 해외사업 등으로 사업을 다각화 하고 있으며, 2022년까지 매출액 6조6000억원을 달성하며 초일류 종합 에너지 기업으로 도약한다는 계획을 갖고 있다.

에너지 시설 노리는 사이버테러 적극 대응
공사에서 진행하는 사업 규모가 확장되고, 사업의 종류도 다양해지면서 지능형 타깃공격(APT)의 피해를 입을 수 있다는 우려가 제기되기 시작했다. 국가적으로 중요한 사회기반시설을 노리는 지능형 공격이 성행하고 있으며, 특히 에너지 시설에 대한 공격이 크게 늘고 있어 지역난방공사의 시설 공격 위협을 받을 가능성을 배제할 수 없었다.

지난해 3·20 전산망 마비사고와 6·25 정부·공공기관 홈페이지 해킹사고 이후 국가 주요시설에 대한 사이버테러 위협에 대한 경고의 목소리가 높아져 이에 대한 대책 마련이 시급한 문제로 떠올랐다. APT의 공격 유형을 특정할 수는 없지만, 대체로 외부에서 악성코드가 시스템 내부로 유입돼 중요한 정보를 유출하거나 시스템을 파괴하는 공격을 진행한다. 악성코드는 보안에 취약한 사용자 단말기를 통해 들어오며, 주로 이메일, 웹 등 인터넷 사용 중 사용자 단말이 악성코드에 감염된다.

따라서 인터넷의 보안위협이 업무 시스템에 영향을 주지 않도록 하는 방법이 중요하게 고려되고 있으며, 업무망과 인터넷망을 분리하는 망분리 환경이 사이버테러를 차단할 수 있는 방법으로 제안된다. 한국지역난방공사는 이러한 요구를 수용해 지난해 하반기 망분리 사업을 진행했다.

윤태호 한국지역난방공사 경영전략처 정보보안팀 차장은 “전 세계적으로 중요한 보안사고를 살펴보면 에너지 시설을 노리는 것이 많아 한국지역난방공사에서 운용중인 에너지 시설에 대한 보안을 강화해야 한다는 요구가 높아졌다. 이에 가장 좋은 대안으로 망분리를 선택하게 됐다”며 “또한 정부에서도 사이버테러 대응을 위한 망분리를 적극 지원하고 있으며, 공사 경영진도 강력한 의지를 갖고 망분리 사업을 추진해 빠르게 진행될 수 있었다”고 말했다.

스마트워크 확장 가능한 VDI 기반 망분리
공사는 2012년 외주인력에 의한 보안 문제를 해결하기 위해 클라이언트 가상화를 통한 망분리 시범사업을 진행한 바 있다. 이 사업을 통해 망분리 효과를 체감한 후 망분리 사업을 추진했으며, 지난해 대규모 사이버테러 이후 사업 진행에 속도를 내게 됐다.

공사는 경기도 분당의 본사를 비롯해 전국 17개 지사와 사무소를 운영하고 있으며, 1400여명의 내부직원과 100명 이상의 외주인력이 업무를 수행하고 있었다. 이미 공사는 시범사업을 통해 외주인력에 대한 망분리를 검증했으며, 망분리는 전사적용을 할 때 보안 강화 효과를 누릴 수 있다는 결론을 도출한 바 있다.
또한 공사는 장기적으로 스마트워크 환경을 구축해 업무 효율성을 높인다는 전략을 갖고 있기 때문에 스마트워크 구축이 가능한 망분리 인프라 도입이 필요했다. 이러한 요구를 검토한 결과 공사는 데스크톱가상화(VDI) 기반의 망분리를 구축하기로 결정했다.

망분리는 물리적으로 2개의 망을 구축하는 물리적 망분리와 가상화 기술을 이용해 단일 망에서 업무와 인터넷을 나누는 논리적 망분리로 나뉜다. 논리적 망분리는 서버에 가상PC를 두고 업무 혹은 인터넷을 사용하는 SBC/VDI 방식과 단일 PC에 가상공간을 두고 인터넷만 연결하도록 하는 CBC 방식으로 나뉜다.

국내 망분리 사업은 구축비용이 저렴하고 비교적 간편한 CBC가 대세를 이루고 있지만, 보안과 관리 편의성을 중시하는 트렌드가 나타나면서 SBC/VDI 방식의 망분리가 부상하고 있다. 후자의 경우 서버에 가상PC를 두고 업무를 수행하기 때문에 스마트워크 환경으로 확장하기 용이해 보안과 편리성이라는 두 마리 토끼를 동시에 잡을 수 있다.

윤태호 차장은 “공사의 중장기 계획 중 클라우드 컴퓨팅 확산과 스마트워크 환경 구현이 있는데, CBC나 물리적 망분리로는 스마트워크 구현이 불가능하다. VDI가 클라우드와 스마트워크 환경을 제공할 수 있으므로, 장기적인 관점에서도 VDI 방식의 망분리가 최적이라고 판단했다”고 설명했다.

보안·안정성·업무 편의성 세마리 토끼 잡아
망분리 사업을 검토하면서 공사가 가장 중점적으로 고려한 것은 안정성과 업무 편의성이었다. 시범사업으로 진행한 클라이언트 가상화는 안정성이 떨어지고, 지속적인 유지보수 문제로 인한 관리 복잡성과 사용 환경이 불편하다는 점이 한계로 지적됐다.

공사는 다른 기관 및 기업의 다양한 방식의 망분리 사업을 세밀하게 검토하면서 망분리 방식과 솔루션을 찾아봤다. VDI 방식의 논리적 망분리로 결정한 후에는 국내에 제공되는 솔루션을 직접 검증하면서 안정성과 편의성, 업무 변화 등을 집중적으로 살펴봤다.

그 결과 시트릭스에서 제공하는 다양한 데스크톱 가상화 기술이 최적의 솔루션으로 선택됐다. 시트릭스의 VDI 솔루션 ‘젠데스크톱’은 VDI 존의 가상PC를 통해 서버에 접속할 수 있으며, 기존의 로컬 데스크톱과 동일한 업무환경을 제공한다. 서버에 애플리케이션을 설치해 로컬PC에서 접속해 사용하는 ‘젠앱’을 통해 인터넷 접속이 가능하게 해 망분리와 스마트워크 요건을 동시에 만족시킬 수 있다.

시트릭스의 데스크톱 가상화 제품군을 이용하면 물리적 망분리와 같은 수준의 보안을 보장할 수도 있다. 제로PC를 2개의 가상영역으로 나누어 한 쪽은 업무용 VDI, 한 쪽은 인터넷용 VDI로 사용하고, OS를 중앙에서 관리하면 표준화된 업무환경을 제공할 수 있다. 이 환경에서는 3·20 사이버테러와 같은 단말의 업무마비를 최소화 할 수 있다.

교육·홍보 통해 전사 보안의식 제고
시트릭스가 제공하는 다양하고 유연한 망분리 구축 기술을 통해 공사는 전국적으로 분산된 지사·사무소에 대한 망분리 사업을 신속하게 마무리 할 수 있었다. 그 후 망분리 환경에서 업무를 수행하는 임직원에 대한 교육과 홍보 활동을 중점적으로 시행했다.

VDI 기반의 망분리는 기존 PC가 가상PC로 옮겨가는 것이기 때문에 업무환경의 변화는 거의 없다. 그러나 인터넷을 이용할 때 로그인 절차를 한 번 더 거쳐야 하며, 인터넷망과 업무망 간 정보를 전송할 때도 망연계 시스템을 거쳐야 하는 등의 몇 가지 절차가 추가되는 것은 피할 수 없다.

윤 차장은 “망분리 도입으로 인한 변화라면 인터넷 사용 환경에서 로그인을 한 번 더 거치는 것 정도로, 누구나 충분히 감수할 수 있는 수준이다. 사용자 경험 상 불편한 점은 없다”며 “망분리 사업을 진행하면서 임직원의 보안의식을 강화하기 위해 보안정책을 설명하고 교육하는 등의 프로그램을 진행해 보안 수준을 높이고자 했다”고 말했다.

교육을 통해서 APT 공격의 위험성과 진행 및 대응방법을 소개하고, 기밀정보의 구분과 중요성, 유출방지를 위한 노력 등에 대해 상세히 설명했다. 이를 통해 전사 임직원이 보안을 생활화 할 수 있도록 하고 있으며, 전사 보안 수준을 한 단계 높이고 있다.

윤 차장은 “망분리 이후 전사 임직원의 보안 의식이 높아진 것 뿐 아니라, 사이버테러로부터 시설을 안전하게 보호한다는 이미지가 퍼져 기업 신뢰도가 개선되는 효과도 보고 있다”고 덧붙였다.

경영진의 적극적인 참여 이끌어야
망분리 사업을 진행할 때는 다양한 고려사항이 필요하다. 망분리 설계 단계에서는 사용자 환경을 객관적으로 분석하고, 네트워크 정확하게 예측하며, 애플리케이션 호환성을 확보해야 한다.

VM리소스 설정과 스토리지 IOPS, 국내 포털 환경에 맞는 네트워크 및 동영상 네트워크 부하를 고려하며, 기존 보안 애플리케이션과의 호환성 및 인터넷 뱅킹 이용시 필요한 사항에 대해서도 검토해야 한다.

윤 차장은 “망분리 방식은 다양하게 제안되고 있으며, 어떤 것이 정답이라고 할 수 없다. 각 기업/기관의 환경을 고려해 가장 잘 맞는 것을 선택해야 한다. 특히 많은 기업/기관들이 스마트워크 도입을 계획하고 있는데, 이러한 사업까지 감안해 장기적인 계획을 갖고 추진해야 한다”고 조언했다.

이어 그는 “망분리는 예산이 많이 소요될 뿐 아니라 현업의 업무 변화가 있기 때문에 경영진의 강력한 의지가 중요하다. 망분리 사업을 진행할 때에는 경영진이 적극적으로 참여할 수 있도록 하며, 특히 의사결정권자가 사업 진행 과정에 참여와 더불어 전사적인 보안 수준 제고를 위한 홍보와 교육 활동을 반드시 병행해야 한다”고 덧붙였다.

강석오 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr