공공기관의 인터넷망과 업무망을 물리적으로 분리하는 망분리 사업이 예산과 자원 낭비, 업무 비효율성을 크게 부추긴다는 비판이 일고 있는 가운데, 최근 보안 기술을 활용한 효율적인 논리적 망분리 방안이 다양하게 제시되고 있어 관심이 모아진다.
국가정보원은 공공기관 망분리 사업에서 공무원 1인당 두 대의 업무용과 인터넷용 PC를 물리적으로 나눠 사용해 인터넷을 통한 해킹 및 정보유출 위협을 원천 차단하도록 권고해 왔다.
이러한 방침을 두고 서버기반컴퓨팅(SBC) 업계에서는 예산과 자원낭비 등의 문제를 지적하면서 논리적 망분리 방식을 채택할 것을 주장해 왔다.
물리적인 망분리로 기관마다 사용하는 PC가 늘어나 발생하는 전력 소비나 발열량이 크게 가중될 것이란 예상이 나오면서 망분리 사업이 현 정부가 주도적으로 추진하고 있는 그린IT 정책과도 역행한다는 비판까지 대두됐다. 이에 따라 앞으로 보다 효율적인 논리적 망분리 방안이 모색될지 여부가 주목된다.
최근 들어서는 DRM(디지털저작권관리), 네트워크접근제어(NAC) 등 보안 기술을 활용한 효율적인 여러 논리적인 망분리 방안까지 소개되기 시작해 향후 지자체와 산하기관으로 확산될 대규모 공공 망분리 사업에서 SBC나 보안 솔루션이 채택될 지 여부에 관심이 모아진다.
보안 업계는 특히, 대표적인 논리적 망분리 방안으로 알려진 SBC의 한계점도 지적하면서 보안 솔루션이 효율적인 망분리 구축과 더욱 향상된 보안성을 제공한다는 장점을 부각하고 나섰다.
이들에 따르면 PC 두 대를 구입하는 물리적 방식보다는 낫지만 SBC 역시 직원이 많을수록 대량의 서버를 구입해야 하고 별도의 서버 구축 공간도 필요해 초기 투자비용이 많이 들어간다는 것. 사용자 업무 환경도 대폭 변경해야 하기 때문에 여전히 도입에 부담감이 크다는 설명이다.
반면에 보안 솔루션은 SBC에 비해 효율적이며, 망분리만의 보안 효과뿐만 아니라 다른 추가적인 보안 기능까지 제공해 더욱 안전성을 높인다는 입장이어서, 향후 SBC 업계와의 경쟁이 예상된다.
소프트캠프는 주력 제품인 DRM(문서보안)과 키보드 보안 제품에 적용해온 암호화 기반 핵심 기술과 가상화 기술을 접목해 개발한 가상영역보안 제품인 ‘소프트캠프 에스-워크’가 업무효율성과 보안성을 한꺼번에 잡을 수 있다면서, 논리적 망분리 대안으로 적극 소개하고 있다.
가상화 기술을 접목한 내부정보유출방지 솔루션인 이 제품은 PC에 설치만으로 사용자 작업 환경을 업무망과 일반 작업을 할 수 있는 망으로 분리, 업무망은 저장 영역 자체를 암호화함으로써 개인정보를 포함한 업무 관련 데이터를 보호한다는 것이 회사측 설명이다.
이 제품은 사용자 접근제어, 업무망에 접근 가능한 프로그램 제어, 업무용 데이터의 화면 보안이나 편집 보안, 프린트보안 등의 보호방안을 제공한다.
소프트캠프 관계자는 “가상영역보안 기술은 사용자 작업환경을 논리적으로 분리해 업무영역에서의 인터넷 접속을 차단, 기존의 업무환경의 변화 없이도 망분리가 가능해 효율적이며, 그린IT 실현이 가능해 물리적 망분리뿐만 아니라 SBC로 인식되는 논리적 망분리 대안으로 활용될 수 있다”고 강조했다.
유넷시스템, 지니네트웍스 등이 공급하고 있는 네트워크접근제어(NAC) 솔루션도 별도의 인터넷용 PC 설치 없이도 망분리 효과를 거둘 수 있는 보안 기술로 지목되고 있다.
사용자 인증과 단말의 보안상태 점검, 보안정책관리 기능을 제공하는 NAC는 PC에서 업무망과 인터넷망 접속제어와 애플리케이션별 사용 정책을 적용할 수 있어 망분리 기능을 제공할 수 있기 때문이다.
NAC는 또한 권한이 없거나 비인가자는 아예 네트워크 접속을 통제하고, 안티바이러스(백신)·보안패치 미설치 등 보안에 취약하거나 보안정책을 위반한 PC는 자동으로 격리하고 보안 조치토록 함으로써 해킹 등으로 인한 정보유출 위험을 막겠다는 망분리 목적인 업무환경의 안전성을 더욱 강화할 수 있다.
이러한 점 때문에 행정부공무원노조 등 일각에서는 행정안전부 주축의 16개 공공기관 ‘공무원 PC해킹 탐지·차단시스템 구축 사업’이 최근 진행되면서 정부가 실효성이 적은 망분리 사업을 벌이면서 다시 이중의 중복투자를 벌이고 있다는 지적도 제기됐다.
한편, 논리적인 망분리 기능을 제공하는 NAC는 물리적 망분리 적용 사업에서 망분리 사후관리를 강화할 수 있는 용도로도 활용되고 있다.
물리적으로 업무용 PC에서 인터넷과 허가되지 않은 애플리케이션 사용을 차단하고, 인터넷용 PC에서 내부 전산망 접근 시도나 위험을 원천적으로 막아 물리적인 망분리 체계를 유지하도록 지원하는 역할을 수행한다는 것이다.
예를 들어 NAC를 적용하면 업무용 PC에 인터넷 선을 물리적으로 꽂더라도 인터넷을 사용할 수 없다.
한편, 공공기관의 업무망과 인터넷망을 분리해 해킹으로 인한 기밀정보유출 위험을 차단하기 위해 추진된 망분리 사업에는 지난해까지 약 300억원을 투입해 중앙부처 55곳 중 30곳이 사업을 완료했다.
올해는 교육과학기술부·행정안전부 등 3개 기관에 약 81억원의 예산이 책정돼 있으며, 주요 정부부처의 망분리가 완료되면 지방자치단체와 산하기관으로 확대 적용이 검토되고 있다.