망분리 불가피한 선택…방법론은 다양

이지혜 팀장 jh_lee@ciociso.com

금융권 망분리 작업이 급물살을 타고 있다. 금융기관들이 3.20 사태를 통해 기존 기업 보안 시스템으로는 제로데이 취약점을 활용한 APT 공격에 대한 적절한 대응이 어렵다는 점을 절실히 인식했기 때문이다. 또한 IT 규제 당국의 점검도 강해지는 만큼 올해 하반기에서 내년에 걸쳐 다수 금융기관이 망분리를 적용할 것으로 예상된다.
망분리가 시장 내에서 설득력을 얻고 있는 이유는 시스템 자산을 보호하기 위해 기존 보안 시스템을 보완하는 방식의 한계가 드러나며 외부 위협으로부터 격리시키는 방안이라는데 있다. 바이러스 백신업체, 침입탐지시스템(IDS) 등 기존 보안제품 관련 업체들도 망분리 트렌드를 지원하기 위해 힘쓰는 가운데, 금융기관 역시 장기적 관점에서 망분리가 비용 효율적인 합리적 투자가 될 수 있을 것으로 예상하고 있다.
하지만 아직까지 금융기관들이 물리 또는 논리적 망분리 중에서 어떠한 쪽을 택할지에 대한 의견은 분분하다. 이에 씨티은행은 국내법에서 고객정보를 취급하는 중요 단말기 사용자와 시스템 및 데이터베이스 관리자에 대해 인터넷을 차단하는 논리적 망분리를 적용해왔으며, 3.20사태를 계기로 전 직원에 대해 확대 적용하는 것을 검토중이다. 초기에는 업무 절차가 정착되지 않아서 다소 혼선 및 불편함이 있을 것으로 예상하고 있지만 망분리를 통해 외부 위협으로부터 은행 시스템을 보호하는 데서 나아가 내부 정보 유출을 통제하기 위해서는 불가피한 선택이라는 입장이다.
씨티은행 측은 망분리가 모든 현업 사용자들이 업무상 불편함을 감수할 수밖에 없는 관계로 이를 최소화하기 위해 인터넷은 차단하되, 화이트 리스트(White-list) 방식의 업무용 사이트 접속만을 허용하고 있다. 최소한의 비용으로 망분리 보안 효과를 달성할 수 있도록 유도하는 것이다. 과거 씨티은행은 모든 사용자 PC에 대해 프로그램을 설치할 수 있는 어드민(Admin) 권한을 제거하고 해당 권한이 필요한 경우 서비스 요청을 받아 처리해왔다.
따라서 업무를 위해 사용되는 웹 사이트 중 Active-X 등을 사용하는 웹 사이트들은 정상적으로 작동하지 못했다. 씨티은행은 이를 해결하기 위해 지난 2010년부터 자체개발한 KIE(Korea Internet Explorer)라는 IE 수정 버전 프로그램을 사용해왔다. 한편 씨티은행 한 관계자는 “모든 금융기업에 망분리에 대해 동일한 구성 및 설정하는 정책을 입안하는 것은 기업 및 기관에서도 원하는 바가아니다”라며 “특히 씨티은행과 같이 국내은행과 접근 방식에 다소 차이가 있는 경우, 동일한 기능 및 목적을 달성한다면 이를 수용하고 장려해 줄 수 있는 유연한 정책 적용이 필요하다”고 전했다.