[디지털데일리 이상일기자] 최근 전 세계적인 랜섬웨어의 확산과 맞물려 금융권에 대한 지속적인 해킹시도 및 악성트래픽 유입량 증가로 사이버 침해사고 발생 위험이 가중되고 있다. 이런 상황에서 망분리는 각종 지능화된 외부 사이버위협으로부터 내부 정보자산을 효과적으로 보호할 수 있는 기본적인 정보보호 인프라로 인식되고 있다.

지난 2015년 12월부터 2016년 6월까지 본점 및 지점에 대한 논리적 망분리 사업을 완료한 한국수출입은행 박주찬 정보보호팀장은 “최근 문제가 된 랜섬웨어도 윈도 업데이트가 주요 문제였는데 우리는 일괄관리, 윈도 업데이트를 진행하고 있어 문제가 없었다”고 강조했다.

정보보호 관계 법령 등에서 공공기관 및 금융회사는 망분리를 적용하도록 의무화함에 따라 이에 대응하기 위한 성격도 가지고 있다. 금융회사의 망분리 의무 내용에 따르면 내부 업무용시스템은 외부 통신망과 분리, 차단 및 접속 금지해야 하고 전산실의 정보처리시스템은 물리적으로 망분리를 해야 한다. 의무적인 망분리 대상 금융회사는 금융회사와 전자금융업자다.

금융전산 망분리 가이드라인에 따라 전산센터의 망분리는 2014년 말까지, 은행의 본점 영업점은 2015년 말, 그 외는 2016년 말까지 하도록 했다. 이에, 수출입은행은 국가기관 망분리 구축 가이드 등에 따라 2014년 IT부문에 대해 1차 물리적 망분리를 우선 적용하고, 2016년에 본‧지점 등 영업점에는 논리적 망분리 방식으로 전행 확대 적용을 추진했다.

박주찬 정보보호팀장은 “망분리를 통한 보안성 향상 및 규제 기준 충족. 망분리로 인한 업무 효율 저하 최소화를 목표로 사업을 추진했다”고 밝혔다.

수출입은행은 사업 추진에 있어 주요 핵심과제로 망분리 핵심목표인 보안성 향상을 위해 망분리 적용방식을 비교‧분석하고, 수출입은행에 적합한 방식을 선정하는데 초점을 맞췄다. 견고한 보안 설계를 바탕으로 망분리 시스템을 구축하는 한편, 구축 이후 동 시스템에 대한 모의침투 테스트 등을 시행해 취약 요소를 보완하기도 했다.

논리적 망분리를 검토한 이유에 대해 박 팀장은 “우리는 정보보호 인력이 타 기관에 비해 많은 편이 아니다. 따라서 망분리 도입 후 관리를 잘 할 수 있어야 하는 것이 중요한 점이었다”며 “또 수출입은행 업무 특성상 인터넷 사용 빈도가 높은데 적은 인력으로 효율적인 관리가 중요한 만큼 논리적 망분리를 검토하게 됐다”고 설명했다.

그는 “물리적 망분리는 네트워크 보안측면에서 보면 보안성이 우수한 것은 인정하지만 관리적 보안면에서 논리적 망분리가 물리적 망분리보다 월등하다. 케이블, 망 혼용 문제와 업데이트 문제, PC관리 보안 문제 등을 중앙에서 일괄로 할 수 있는 등 보안성 분야 전반적으로 논리적 망분리가 우수하다고 평가했다”고 밝혔다.

또, 박주찬 팀장은 “전행 망분리 방식으로 논리적 분리 방식을 적용하는 것과 관련해 주위에서 보안성 문제를 제기해 각 분리 방식의 보안성, 편의성, 운영 관리 측면 등에 대한 면밀한 비교 분석 및 종합적인 검토 후 당행에 최적화된 VDI 기반의 논리적 망분리 방식을 선정해 주위의 우려를 해소했다”고 밝혔다.

논리적 망분리 사업을 위해 수출입은행은 신중하게 망분리 구현 솔루션 선정에 나서 시트릭스 제품을 선정 사업을 추진했다.

또, 업무 효율 저하 최소화를 위해 인터넷 PC 접속시 직관적인 사용자환경(UI)을 채택하고, 자주 사용하는 기능에 대해 단축키를 사용하는 등 보안성이 확보된 상태에서 가능한 많은 편의를 제공하고자 노력했다.

이와 함께 VDI 환경에서 발생할 수 있는 워크로드(Work-load) 집중에 의한 체감 성능저하를 방지하기 위해 서버, 저장장치 및 네트워크 장비 등 전 인프라에 걸쳐 성능 병목 포인트를 제거, 원활한 이용을 보장하는데 초점을 맞췄다.

망분리 사업을 수행한 대부분의 금융사들이 고민하는 것이 바로 업무 효율성의 저하다. 업무용 PC가 인터넷과 분리가 되면서 업무 프로세스 자체가 변화할 수 밖에 없기 때문이다. 수출입은행 역시 망분리로 인해 기존 업무환경에는 없었던 수많은 제약사항의 발생과 업무 프로세스의 급격한 변화로 사용자 혼란 및 거부감이 가중될 것으로 판단히고 미리 체험존을 시범 구성‧운영하는 한편, 망분리에 대한 이해를 돕고, 망분리 시스템을 보다 쉽게 이용할 수 있도록 웹툰 제작 등 다채로운 교육‧홍보 활동을 수행하기도 했다.

박 팀장은 “망분리를 하면 업무에 안 좋은 영향이 있을 것이란 괴담(?)도 떠돌았다. 업무와 인터넷이 분리돼 퇴근시간이 늦어진다는 등 하는 것들이 회자되기도 했다. 이러한 의혹을 불식시키기 위해 수출입은행은 본점집합교육, 방문교육 등을 통해 망분리 이후 업무 변화에 대한 교육을 진행했다. 특별히 ‘웹툰’을 만들어서 망분리 시스템을 이용 방법을 게시하고 책자로 배포하기도 했다”고 설명했다.

물론 업무 효율성을 위해 편의성을 확보하기 위한 모듈을 개발하는데도 집중했다.

예를 들어 VDI 특성상 재 부팅할때마다 공인인증서가 삭제되므로 사용자가 매번 폴더를 찾아 인증서를 복사해야하는 불편함이 있었는데 공인인증서를 복사하고 백업하는 별도의 기능을 만드는 등 세부적인 디테일에도 역점을 기울였다. 또한 툴바를 통해 인터넷 PC를 연결하는 편의성 등을 추가하기도 했다.

박주찬 정보보호팀장은 “망분리 전행 적용 초기에 관련 문의가 많을 것으로 예상하고 전담 직원을 배치해 유선 응대 및 원격 지원 서비스를 제공함으로써, 사용자 불편 및 문의사항에 적극 대처했다”고 밝혔다. 또 그는 “오픈 후 지속적인 성능 및 오류 발생 모니터링, 개선을 통해 임직원 불편을 최소화해 사용자의 망분리 환경 조기 적응을 유도했다”고 덧붙였다.

한편 수출입은행은 망분리를 통해 검증된 VDI 기술을 업무 환경 개선에 적극 활용하는 방안을 검토 중이다.

박 팀장은 “현재 데스크탑 가상화를 통해 망분리 응용해서 사용하고 있는데 직원들이 모바일로 업무를 하고 싶어 한다. 다만 당국에서 요구하는 보안정책이 까다로운 만큼 모바일 OS도 가상화를 통해 직원들을 위한 BYOD를 지원하기 위한 방법을 모색할 계획”이라고 밝혔다.

<이상일 기자>2401@ddaily.co.kr