기업마다 정보보호를 위해 많은 노력을 기울이고 있지만 아직도 기업 구성원들의 보안의식은 요원하기만하다. 최근 잇따른 보안사고로 기업에 막대한 피해가 가고 있어 기업은 대책마련에 시급해졌다. 이에 CIOCISO 매거진은 금융위원회에서 발표한 ‘금융보안종합대책’에 따른 망분리 수립의 길안내자로써 각 계의 CIO, CISO를 대상으로 제 207차 CIOCISO 조찬 세미나를 개최했다.

양광수 기자 ksyang@ciociso.com

 망분리, 효율적으로 구축하자

▲ 김영일 굿모닝아이텍 클라우드컨설팅사업본부 상무

김영일 굿모닝아이텍 클라우드컨설팅사업본부 상무는 세미나에 앞서 7월 금융위원회에서 발표한 금융전산 보안 강화 종합대책을 분석하며 세미나를 진행했다. 김 상무는 전자금융기반시설 보호에 금융전산 망분리 의무화와 금융전산 내부통제 강화를 가이드라인으로 제정하면서 망분리가 보안 분야의 핵심으로 부상했다고 발표했다.
망분리 유형은 크게 물리적 망분리와 논리적 망분리로 나눌 수 있다. 물리적 망분리는 2대의 PC를 사용하거나 망분리 전환장치를 이용해 2개의 랜선을 이용하는 방법으로 사용자 불편과 비용적 증가를 야기한다. 논리적 망분리는 CBC방식과 SBC방식으로 다시 나눠진다. CBC방식은 비용측면에서 SBC방식의 VDI에 비해 설치비용이 적게 투입되지만, 고객별로 각각 맞는 관리가 필요해 추가비용이 소요되고 프로젝트가 연장되는 단점이 있다. 이에 비해 VDI는 모든 작업을 중앙 서버를 이용하기 때문에 보안과 관리, 스마트워크까지 효율적으로 운용할 수 있는 장점이 있다.
굿모닝아이텍의 SCAF-G RED는 인터넷 전용 VDI로 기존 VDI가 가졌던 설계상의 부조화를 해결하고자 서버인프라, 백신, 스토리지 등 하드웨어와 소프트웨어의 일원화를 통해 안정성과 구축 비용절감의 효과를 제고했다. 특히 DMZ라는 별도의 보안 서버를 설치해 물리적 망분리 수준의 완벽한 망분리 및 보안성을 확보한 것도 특징이다.
김 상무는 “보안이면 보안, 관리면 관리, 스마트워크면 스마트워크에 맞는 각 기업사정에 고려한 VDI구축이 바람직하다”며 “기존의 VDI에 비해 저렴하고 안정성을 확보하고자 한다면 SCAF-G RED가 해법이 될 수 있다”고 말했다.

이미지를 통해 피싱을 예방한다

“최근 피싱, 파밍, 스미싱 등 다양한 해킹수단으로 인해 고객들의 피해가 극심하다. 그리고 그 피해는 점차 모바일 앱스토어까지 확장되고 있다”

▲ 주용진 디멘터 부사장

주용진 디멘터 부사장은 최근 보안사고의 흐름을 살피며 발표를 시작했다. 그는 보안코드, OTP같은 텍스트 위주의 기존 패스워드는 탈취자 입장에서 추측이 쉽고, 스니핑이 가능하다고 말했다. 또한 사용자 입장에선 사용 시 기억하기 어려운 단점이 있다고 말했다.
디멘터의 GOTP(Graphic One Time Password)는 자신이 선택한 이미지을 Route & Hole(키를 홀에 겹치게 하는 방법)을 사용해 비밀번호의 탈취를 방지한다. OTP처럼 매번 랜덤하게 이미지가 생성돼 비밀번호 추적이 불가능하다. 또한 그림 및 숫자그래픽을 통해 사이트 진위 여부까지 확인할 수 있어 피싱과 파밍, 스미싱을 미연에 방지할 수 있다.
주 부사장은 “고객들도 최근 자신의 정보를 보호해야 한다는 인식으로 GOTP 사용이 늘어나는 추세”라며 “유명연예인, 기업브랜드를 이미지로 사용하여 기업홍보 효과도 톡톡히 누릴 수 있는 장점이 있다”고 설명했다.
한편 이번 세미나는 지난 8월 22일 여의도 콘래드호텔에서 진행됐다.

Q&A
김영일 굿모닝아이텍 클라우드컨설팅사업본부 상무의 발표가 끝나고 참석자들의 질문 시간이 있었다. 아래는 질의응답 내용.

▲ 고석남 아시아나IDT 항공/인프라담당 상무

Q : 구축된 레퍼런스가 있나? 또 운영비용이 얼마나 되는가?
A : SCAF-G RED의 경우 지난 7월 출시했기 때문에 아직까지 레퍼런스는 준비하지 못했다. 그러나 굿모닝아이텍은 기존의 VDI에서 수많은 경험과 노하우를 가지고 최적의 솔루션을 준비했기 때문에 SCAF-G RED 적용시 문제가 없다는 것은 확인된 사실이다.
운영비용의 경우, 최초 구축비용에 있어 업무용 VDI(유저당 150~250만 원)보다 저렴한 120만 원 이하로 책정되고 있다. 그리고 유지보수비용은 도입비용에 12%수준에서 책정되고 있다.

▲ 전성학 현대캐피탈 감사실 정보보안담당 이사

Q : VDI 경우, 서버가 공격받으면 정보유출에 더욱 위험하지 않나?
A : SCAF-G RED의 경우, 인터넷 전용 VDI로 인터넷 경로에 DMZ존이 설치돼 외부에서 오거나 외부로 나가는 모든 데이터를 DMZ존에서 수집되게 된다. 그러나 이곳에 모이는 정보는 업무영역의 데이터가 아니기 때문에 공격을 받아도 무방한 데이터만 모이게 된다. 반대로 업무영역은 별도의 영역에서 NAT로 설정 또는 NAT 장비 설정을 통해 화면 데이터만 전송된다. 따라서 DMZ존은 사내망과 사실상 물리적 수준의 완벽한 분리가 가능하며, 보안성도 확보할 수 있다.
다만 위의 설명은 인터넷 VDI로, 업무용 VDI 도입할 때는 질문대로 모든 정보의 유출이 일어날 수 있다. 따라서 각 기업마다 자사가 VDI를 도입하며 보안을 강화할지, 업무용 VDI가 도입할지, 스마트워크가 필요한지에 대한 목적을 되새겨보고 합리적으로 VDI를 도입해야 한다.

▲ 원영남 한국은행 전산정보국 정보보호팀 팀장

Q : OS이미지를 공유는 어떤 방식으로 운영되는가?

A : 하나의 OS공유이미지는 탬플릿를 만들어 공유이미지로 사용하게 된다. 즉 클론이미지로 사용하는 것이다. 그러나 OS자체는 각 단말기마다 별도로 적용되게 된다.
OS이미지 공유의 장점은 기존의 VDI제품보다 디스크 용량을 절감할 수 있어 대용량, 고성능 스토리지 도입으로 인한 비용을 최소화시킬 수 있다.