망분리가 의무화 된 공공·금융기관 뿐 아니라 의무 대상이 아닌 일반 기업들도 망분리를 구축하고 있다. 지능형 사이버 공격을 방어하는 방법 중 하나로, 인터넷 접점을 제거하는 것이 꼽히고 있으며, 업무망에서 인터넷 연결을 제한하는 망분리에 관심이 모이는 것이다. 망분리 환경을 보다 안전하게 운영할 수 있는 방법을 제안한다.<편집자>
망분리 시장이 다시 활기를 찾고 있다. 2013년 발표된 금융전산 망분리 가이드라인에 따라 제1 금융권은 지난해까지 전산센터에 대한 물리적 망분리를 완료해야 했으며, 본점과 영업점은 올해 말까지 완료해야 한다.
다른 금융권은 내년까지 망분리를 구축해야 한다. 이에 따라 제1금융권의 망분리 사업은 이미 구축 완료됐거나 현재 진행중이다. 증권·보험 등 제2 금융권은 내년이 망분리 의무 시점이지만 단계별로 확산시키기 위해 준비중이다.
기밀정보 보호 위해 망분리 사업 추진
공공기관도 망분리 사업에 박차를 가하고 있다. 중앙정부와 주요 정보통신기반시설은 망분리 환경을 구축했으며, 산하기관과 공기업, 지방청 등에 망분리가 확대 적용되고 있다.
정보통신망법에 따라 개인정보를 보관하고 있는 시스템을 인터넷망에서 분리운영해야 하는 기업에서도 망분리를 구축하고 있다. 특히 정보보호관리체계(ISMS) 인증을 받으려는 기업들이 망분리를 구축한다. 망분리 의무화 대상이 아닌 기업들도 망분리 사업을 추진하는 추세를 보이고 있다. 인터넷을 통해 흘러들어오는 사이버공격으로부터 업무망을 안전하게 보호하기 위해서이다.
최진선 퓨전데이타 부사장은 “제1 금융권의 망분리 사업은 어느 정도 마무리 되어가는 시기지만, 제2 금융권의 망분리 의무화가 내년까지 완료돼야 하기 때문에 제2 금융권에서도 망분리 구축 사업을 서두르고 있다. 더불어 제조사 등 기밀정보를 다루는 곳에서도 보안을 위해 망분리를 도입하고 있는 추세”라고 말했다.
금융기관 의무화로 망분리 시장 ‘활활’
망분리는 인터넷망과 업무망을 분리해 인터넷으로부터 유입되는 각종 사이버 공격을 막기 위한 것이다. 2006년부터 공공기관의 해킹 방어를 위해 망분리 의무화가 시작됐으며, 2012년 정보통신망법과 개인정보보호법에서 주요 개인정보 관리 시스템에 대한 망분리를 의무화 혹은 권장하면서 일반 기업까지 망분리가 확산됐다. 2013년에는 금융기관 망분리 가이드라인이 발표되면서 망분리 시장이 활성화되고 있다.
망분리는 물리적으로 네트워크와 PC를 완전히 분리하는 물리적 망분리와 가상화 기술을 이용해 한대의 PC에서 업무망과 인터넷망을 나누는 논리적 망분리로 나눈다. 논리적 망분리는 다시 서버에 가상PC를 두고 인터넷에 연결하는 서버기반컴퓨팅(SBC) 방식과 PC에 샌드박스와 같은 가상화 영역을 두고 인터넷에 연결하는 클라이언트기반컴퓨팅(CBC) 방식으로 나뉜다.
2013년 금융위원회의 망분리 가이드라인이 발표됐을 때, 금융사는 전사 망분리 의무화를 규정한 것에 대해 현실성 없는 규제라고 반발했다. 또한 개선방안을 요구하면서 망분리 사업을 차일피일 미루는 모습을 보이기도 했다. 일부 규정에 대해서는 현실에 적용하기 어렵다는 이유로 완화할 것을 요구했는데, 금융감독원은 이를 수용해 2015년 9월 망분리 예외기준을 명확히 한 전자금융감독규정 시행세칙을 개정, 발표했다.
개정안에서는 해외 소재 전산센터에 정보처리 업무를 위탁할 경우, 물리적 방식 이외의 망분리 방식도 허용해 외국계 금융회사도 망분리 의무화 규제를 준수할 수 있도록 했다. 전산센터의 물리적 망분리 서버의 경우, 업무상 필요한 경우 제한적으로 외부망과 연결을 허용하며, 행정벙보시스템, 공인인증서 발급기관 등 반드시 필요한 외부기관의 접속도 제한적으로 허용한다.
망분리 규정 중 기준이 불분명한 부분에 대해서는 확실히 결정을 내렸다. 보험설계사, 외주직원 소유의 단말기로 금융사 내부방에 연결될 때에는 반드시 망분리 해야 하며, 그룹에 속한 금융사가 다른 계열사와 그룹웨어·이메일 등을 이용할 때에도 망분리를 적용해야 한다.
혼란을 주었던 망간자료전송시스템(망연계 시스템)은 의무적으로 설치해야 하는 것은 아니라고 설명했다. 망연계 시스템을 이용해도 되며, 방화벽을 통해 외부기관과의 연결을 구성해도 된다.
