연이은 금융권의 대형 개인정보 유출사고가 있었고, 이로 인한 보이스피싱, 스팸메일 문자 전화 등 2차 피해 발생 우려가 점차 현실화 되고 있다. 금융감독원은 IT 보안 대책을 이행하지 않거나 불성실한 대응을 하고 있는 은행, 보험사 등 금융사에 대한 제재수위를 올리고 IT 보안 실태를 불시에 점검하기로 하는 등 개인 정보 보호 강화 대책을 내놓고 있다.
정부는 개인정보 유출 사고 근절을 위해 고강도의 보안대책을 마련했다. 그 일환으로 2012년 8월에 공포된 개정 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’에 개인정보처리 시스템에 접근하는 컴퓨터 등의 외부 인터넷망 차단(망분리) 조항을 신설해 2013년 2월부터 시행토록 했다.
금융위원회가 지난해 9월 발표한 ‘망분리 가이드라인’에 따르면 2014년 말까지 전산센터에 대해 내부 업무망과 외부 인터넷망을 원천적으로 차단하는 물리적 망분리를 의무화하고, 본점 및 영업점은 단계적, 선택적으로 추진하도록 하고 있다. 아울러 금융위원회는 망분리에 따른 불편 해소를 위해 망연계, 즉 망간(인터넷망↔업무망) 중계서버 등을 이용해 파일 송수신이 가능하도록 허용해 보안강화에 따른 금융업무 효율 저하를 최소화하도록 했다.
보안 향상 위해 망분리 주목
금융권 내부에서는 정보보호, 특히 금융단말에 대한 보안성 향상을 위한 요구가 증가하면서 IT 부서들의 고민도 깊어지고 있다. 이러한 상황에서 금융단말에 대한 정보 보안 강화 방안 중 하나로 가상 데스크톱 인프라(VDI) 상에서의 망분리가 주목을 받고 있다.
VDI를 이용한 망분리는 기존의 물리적 단말기(PC) 대신 서버에 있는 가상화된 데스크톱을 이용해 작업 공간을 분리하는 방식이다. 가상 데스크톱을 중앙 서버에서 할당받아 모니터 화면만 물리적 단말기로 전송 받는 것으로 개별 데스크톱 본체가 아닌 중앙 서버에서 모든 데이터 및 애플리케이션 관리가 가능해 보안 강화에 탁월하다.
콤텍시스템은 금융기관을 비롯해 다양한 공공기관과 기업 고객에 대해 망분리와 가상화, 클라우드 환경 구축을 위한 컨설팅과 영업을 활발히 전개하고 있다. 단기적으로는 2014년까지 의무적으로 이행돼야 하는 금융권 전산센터의 물리적 망분리 사업에 적극적으로 대응하고 있다.
기술적으로도 가상화 및 클라우드 전담조직을 통해 검증된 솔루션과 전문 인력을 투입하여 사전 컨설팅을 시행함으로써 고객사로부터 호응을 받는 등 관련업계에서 선두권을 유지하고 있다. 이러한 성과를 바탕으로 2015년부터 수행될 사용자 단말의 망분리 사업을 위해 내부 준비에 박차를 가하고 있다.
인프라만으로 보안 문제 해결 역부족
보안 강화에 대해 마지막으로 생각할 것은 과연 인프라만 갖춰서 해결될 것이냐는 점이다. 보안은 사람이 하는 일이다. 사람이 하는 일에 대한 가치를 정당하게 인정해주지 않으면 보안사고는 지속적으로 발생할 수밖에 없다. 물리적 보안체계를 갖추고, 정보의 흐름를 통제해 유출을 방지하는 그 모든 활동을 최종적으로 사람이 하기 때문이다.
이러한 업무는 24시간 수행하기 때문에 많은 기관이 외주인력에 맡기고 있다. 보안업무를 수행하는 인력이 사명감을 갖고 일하게 하기 위해서는 적정한 운영비용을 지불하는 것도 중요하다. 보안사고가 한번 발생하면 지금까지 절감한 비용의 몇 배를 더 지불했던 교훈을 잊지 말아야 한다.
