2019.11.22 (금)

  • 구름많음속초6.1℃
  • 구름조금-2.1℃
  • 구름많음철원-1.0℃
  • 구름많음동두천0.8℃
  • 구름많음파주3.5℃
  • 흐림대관령-0.2℃
  • 구름조금백령도8.4℃
  • 흐림북강릉7.4℃
  • 흐림강릉8.3℃
  • 흐림동해7.8℃
  • 구름많음서울6.2℃
  • 구름많음인천7.2℃
  • 구름조금원주2.0℃
  • 흐림울릉도8.8℃
  • 구름많음수원6.2℃
  • 흐림영월0.5℃
  • 구름많음충주0.7℃
  • 흐림서산6.5℃
  • 흐림울진9.4℃
  • 연무청주5.8℃
  • 구름많음대전5.7℃
  • 구름많음추풍령2.8℃
  • 구름많음안동1.0℃
  • 흐림상주2.0℃
  • 구름많음포항6.9℃
  • 흐림군산7.3℃
  • 구름많음대구4.9℃
  • 구름많음전주6.5℃
  • 구름조금울산8.4℃
  • 구름많음창원7.4℃
  • 구름조금광주8.4℃
  • 구름많음부산11.0℃
  • 구름많음통영10.8℃
  • 흐림목포10.2℃
  • 구름조금여수11.5℃
  • 구름많음흑산도12.2℃
  • 구름많음완도9.8℃
  • 흐림고창10.3℃
  • 흐림순천2.4℃
  • 흐림홍성(예)4.6℃
  • 구름조금제주14.1℃
  • 구름많음고산14.4℃
  • 구름많음성산17.1℃
  • 구름많음서귀포15.6℃
  • 흐림진주3.5℃
  • 구름많음강화2.5℃
  • 구름많음양평2.9℃
  • 흐림이천2.4℃
  • 구름많음인제-0.8℃
  • 맑음홍천1.2℃
  • 흐림태백0.2℃
  • 흐림정선군-0.2℃
  • 흐림제천-0.2℃
  • 흐림보은3.0℃
  • 흐림천안3.9℃
  • 구름많음보령7.9℃
  • 흐림부여6.1℃
  • 구름많음금산1.5℃
  • 구름많음부안6.2℃
  • 구름많음임실2.7℃
  • 구름많음정읍5.4℃
  • 구름많음남원4.6℃
  • 흐림장수1.5℃
  • 흐림고창군10.5℃
  • 흐림영광군7.8℃
  • 흐림김해시8.5℃
  • 흐림순창군3.4℃
  • 구름많음북창원4.5℃
  • 구름많음양산시7.6℃
  • 구름많음보성군5.3℃
  • 흐림강진군7.2℃
  • 흐림장흥7.6℃
  • 흐림해남10.4℃
  • 구름조금고흥9.4℃
  • 흐림의령군3.0℃
  • 구름많음함양군0.7℃
  • 구름많음광양시11.3℃
  • 흐림진도군12.7℃
  • 흐림봉화-1.0℃
  • 맑음영주0.7℃
  • 구름많음문경1.3℃
  • 흐림청송군1.4℃
  • 흐림영덕5.5℃
  • 흐림의성2.0℃
  • 흐림구미3.5℃
  • 구름많음영천2.2℃
  • 구름많음경주시3.4℃
  • 구름많음거창0.7℃
  • 흐림합천2.7℃
  • 구름많음밀양3.3℃
  • 구름많음산청2.5℃
  • 구름많음거제8.7℃
  • 구름조금남해7.1℃
기상청 제공
Special Report | 망분리 따라 ‘망연계’도 뜬다
  • 해당된 기사를 공유합니다

Special Report | 망분리 따라 ‘망연계’도 뜬다

망분리 따라 ‘망연계’도 뜬다
금융/공공 망분리 의무화로 관심 증폭
다양한 연계 방식 망분리 솔루션 속속 출시

최근 공공기관과 금융기관을 중심으로 망분리 사업이 활발한 가운데 망연계 솔루션이 덩달아 관심을 모으고 있다.
금융위가 지난 9월 발표한 ‘망분리 가이드라인’에 따르면 2014년 말까지 전산센터에 대해 내부업무망과 외부인터넷망을 원천적으로 차단하는 물리적 망분리를 의무화하고, 본점 및 영업점은 단계적, 선택적으로 추진하도록 하고 있다. 또한 금융위는 망분리에 따른 불편 해소를 위해 망간(인터넷망↔업무망) 중계서버 등을 이용해 파일 송수신은 가능하도록 했다. 즉, 망연계를 허용한 것이다.
그동안 가이드라인을 기다리며 망분리 사업을 미뤄왔던 금융권에서는 이번 가이드라인 발표 이후 대비에 나서는 한편, 망연계에 대해서도 본격적인 검토를 시작했다. 공공 부문에서의 망연계 이슈는 금융권보다 빨랐다. 2010년부터 국가정보원이 망분리를 의무화함에 따라 일찍이 망분리를 도입했기 때문이다. 이렇듯 시장 개화 조짐에 따라 솔루션 업체들도 발빠른 대응을 하고 있다. 현재 국내에는 10개 내외의 업체들이 제품을 선보이고 있으며, 이들은 크게 스토리지 방식, 소켓 방식, 시리얼 인터페이스 방식으로 나뉘어 기술 경쟁을 하고 있는 상황이다.

 


 





PartⅠ 금융·공공 망연계 도입 현황
‘금융 망분리 가이드’로 망연계 시장 꿈틀
공공 도입 더 앞서… 결제 및 보안 기능 중시

최근 몇 년 간 이어져온 굵직한 침해 유출 사고로 인해 보안에 대한 사회적 관심과 투자가 높아진 가운데, 망분리가 주요한 대안으로 주목 받으면서 망연계에 대한 관심 역시 동반상승하고 있다.
망분리를 통해 업무망과 인터넷망을 분리하게 되면 보안 측면에서는 안전한 환경을 만들 수 있으나, 두 망 간 자료 교환이 불가능해지면서 인터넷을 통해 받은 자료를 내부 업무망에서 사용하거나 내부 자료를 인터넷을 통해 외부로 전달할 수 없게 된다. 이러한 업무적 필요성에 의해 등장한 것이 망연계 솔루션인 것이다. 망연계 솔루션은 망분리를 우선적으로 의무화한 공공 부문에서부터 수요가 시작돼, 최근 망분리 가이드라인이 발표된 금융권으로 확산되고 있다.
특히 금융권에서는 선도적으로 망연계를 도입한 몇몇 금융회사를 제외하고는 대부분의 기업들이 이제 막 망연계 솔루션에 대한 본격적인 검토를 시작한 상황이다. 금융권 및 공공기관의 CISO와 보안 담당자를 만나 망연계를 둘러싼 이슈와 고민들을 짚어봤다.

연보라 기자 bora@ciociso.com


‘금융 망분리 가이드라인’ 따라 망연계 시장 꿈틀

금융위원회는 지난 9월16일 금융권의 관심이 집중됐던 ‘망분리 가이드라인’을 확정, 발표했다. 가이드라인에 따르면 2014년 말까지 전산센터에 대해 내부업무망과 외부인터넷망을 원천적으로 차단하는 물리적 망분리를 의무화하고, 본점 및 영업점은 단계적, 선택적으로 추진하도록 하고 있다.
또한 금융위는 망분리에 따른 불편 해소를 위해 망간(인터넷망↔업무망) 중계서버 등을 이용해 파일 송수신은 가능하도록 했다. 즉, 망연계를 허용한 것이다. 그동안 가이드라인을 기다리며 망분리 사업을 미뤄왔던 금융권에서는 이번 가이드라인 발표 이후 본격적인 대비에 나서고 있다.
특히 망분리가 이슈화됨에 따라, 필연적으로 망연계에 대한 관심도 동반 상승하고 있는 상황이다. 보안상 이유로 업무망과 인터넷망을 분리했지만, 업무상 업무망의 자료를 인터넷을 통해 내보내거나, 인터넷 상의 자료를 업무망 내로 들여와야 할 경우가 있기 때문이다. 또한 대외 유관기관과 업무상 연계가 필요한 경우도 있다. 망연계 솔루션이 등장 하기 전까지는 주로 보안 USB를 사용해 자료를 주고받는 것이 보통이었다. 그러나 분실 및 보안 USB를 통한 악성코드 유입 등의 위험성이 지적돼 왔다.
이에 새롭게 떠오른 대안이 바로 망연계 솔루션이다. 아직까지는 생소한 개념인 망연계 솔루션을 두고 각 기관 및 기업에서는 여러 논의가 오가는 와중이다. 현재 금융권에서 망분리를 추진한 기업 중 망연계 솔루션을 도입한 곳은 신한은행, IBK기업은행, KDB산업은행, 농협중앙회 정도이다.

   
 
공공, 망분리 의무화로 망연계 선도적 도입

정부부처 및 공공기관에서는 망연계 이슈가 금융권보다 한 템포 빨랐다. 국가정보원 지침에 따라 망분리가 의무화 됐기 때문이다. 2010년부터 시작해 1차적으로 정부부처는 망분리가 완료된 상태이며, 공기업의 경우 2015년 공공기관 지방이전과 맞물려 망분리가 확산 중이다.
초반 망분리 의무화 시점에서는 망연계가 전혀 허용되지 않았으나 망분리를 시행한 기관들의 불편 호소가 빗발치자 국정원이「국가·공공 기관 업무망과 인터넷 간 안전한 자료 전송 보안 가이드라인」(2010. 8)을 발표, 망연계를 허용하기 시작했다. 후차적으로 망연계가 허용됐기에 대부분의 기관들은 망분리를 우선 적용한 후 망연계를 후도입하는 경우가 많았다. 공공기관의 경우 국정원CC인증 제품만을 사용해야 하는데, 가이드라인 발표 후에야 인증 제품이 나오기 시작했기 때문이다. 더군다나 초반에는 망연계 비용이 2억 원 이상으로 상당히 고가였기에 도입이 더욱 어려운 이유도 있었다.

   
▲ “만약 망분리시 망연계 기능을 구축하지 않으면 두 환경 간 파일 복사가 불가능함에 따라 업무 수행에 심대한 지장이 초래된다” 서춘석 신한은행 IT개발본부장/CISO
“망분리 시 망연계는 필수”

인터넷 망분리를 추진하기 위해 망연계는 반드시 구축이 동반돼야 하는 필수 기능이라는 것이 업계의 의견이다. 특히 금융권의 경우 대고객 업무가 많기 때문에 인터넷을 통한 외부의 자료 수신이 빈번하고, 일부 부서에서는 업무의 대부분이 인터넷을 통한 자료교환인 경우도 많기 때문이라는 설명이다.
서춘석 신한은행 IT개발본부장/CISO는 “만약 망분리 시 망연계 기능을 구축하지 않으면 두 환경 간 파일 복사가 불가능함에 따라 업무 수행에 심대한 지장이 초래된다”며 망연계의 필요성에 대해 강조했다. 서 본부장은 망연계가 이뤄지지 않을 시, 금융감독원, 금융위원회 등 외부기관과의 자료교환이 불가능해지고, 채권 업무에 있어 보안메일 혹은 해당기업 홈페이지를 활용한 업무 또한 불가능해지며, 투자회사와 같이 메일이 주된 업무수단인 기업과의 자료교환 등이 어려워질 것이라며 예를 들었다.
더불어 고객 제안자료 작성 등에 있어서도 인터넷 자료의 활용 비중이 높다는 설명이다. 또한 망연계 이전에 주로 사용 돼 왔던 보안 USB는 매체보안SW의 허용절차가 필요하고 낮은 편의성으로 인해 업무생산성이 극도로 낮으며 분실 등의 부작용이 심각하다고 지적했다.
문기주 IBK기업은행 정보보호센터 부장은 “망연계라는 것 은통로를일원화하고강화시키는측면”이라고정의하며“, 통로가 많아지면 관리포인트도 많아지므로, 망분리를 시킬 수 밖에 없는 것이고, 그렇다고 다 막아버리면 업무가 불가능하니 통로를 하나로 단일화해 들어오고 나가고를 체크하고 관리하겠다는 것이 망연계의 요지이다”고 말했다.
하나SK카드는 본사, 영업점 전체에 대한 논리적 망분리를 실시할 예정인 가운데, 망연계 솔루션도 검토 중에 있다. 하나 SK카드는 전사적으로 모든 부서에 대해 인터넷이 필요한 업무를 조사했다. 전재현 하나SK카드 정보보안팀 과장은 “전자 세금계산서 발생 사이트만 해도 업체별로 모두 상이한데다, 팩스나 이메일로 해외비자를 주고받는 등 인터넷이 필요한 업무가 대략 9개 업무 부문에서 약 145개 이상의 사이트가 요구되더라”고 설명했다.

   
▲ “결제, 승인 기능이 없다는 것은 리스크가 그대로 있다는 의미다. 결제 기능을 통해 파일 송수신을 효율적으로 통제할 수 있어야 망연계 솔루션이라고 할 수 있을 것이다” 문기주 IBK기업은행 정보보호센터 부장
업무 특성 고려해 제품 선택, 구축해야

아직까지 금융권에서는 망분리에 이슈가 집중돼 있어 망분리 방식에 대한 논의와 검토는 많이 이뤄진 상태이나 망연계에 대해서는 아직 충분한 논의가 이뤄지지 않고 있는 것이 사실 이다. 대부분의 기관들은 우선 망분리를 구축한 후 망연계를 검토하겠다는 추세인데다 망분리가 급박하게 추진되는 경향이 있다보니, 망연계에 대해서는 심도있게 고려가 이뤄지지 못하는 경우도 있다. 또한 망분리 업체들이 끼워팔기 식으로 망연계 솔루션을 패키징해 들어오는 경우가 많아 선택의 폭도 그다지 넓지 않다는 지적이다.
전재현 하나SK카드 정보보안팀 과장은 “POC, BMT 등을 해보면 망연계 제품라인업 이 각 사업자마다 딱 정해져서 들어온다. 패키징이 다 돼있기 때문에 고객 입맛에 맞게 고를 수 없는 실정”이라고 꼬집으며 “망연계는 내부 업무환경과 잘 맞아야 하므로, 단순히 기능만 보고 솔루션을 선택하기 보다는 업무를 고려해 구축해야 할 필요성이 있다”고 말했다. 일례로 하나SK카드에는 보안복합기가 있어 출력시 승인 단계를 거쳐야 하는데, 이를 망연계상에 서는 어떤 식으로 구현해야 할지 고민 중이다.
또한 내외부 시스템이 바로 연결이 돼야 하는 업무가 있고 사용자 PC에서 바로 데이터를 생성해 메일에 첨부해 내보내야 하는 것 등 다양한 업무형태가 있기 때문에 이를 고려해 커스터마이징해야 한다는 설명이다.
공봉석 문화체육관광부 정보통계담당관도 “부서마다 업무 특성이 다르므로, 내부에서 자료가 어떤 프로세스로 유통되는지 충분히 사전에 검토하고, 기관마다 운영 중인 업무시스템과 연계, 내부 네트워크 및 스토리지 용량 등을 고려해 구축해야 한다”고 강조했다.

   
▲ “부서마다 업무 특성이 다르므로, 내부에서 자료가 어떤 프로세스로 유통되는지 충분히 사전에 검토하고, 기관마다 운영 중인 업무시스템과 연계, 내부 네트워크 및 스토리지 용량 등을 고려해 구축해야 한다” 공봉석 문화체육관광부 정보통계담당관
“결제 기능 필수” VS. “업무 성격 따라 달라”

많은 보안 관계자들은 망연계 솔루션에 있어서 승인 및 결제 기능은 반드시 탑재돼 있어야 한다고 입을 모은다.
문기주 IBK기업은행 정보보호센터 부장은 “결제, 승인 기능이 없다는 것은 리스크가 그대로 있다는 의미”라며 “결제 기능을 통해 파일 송수신을 효율적으로 통제할 수 있어야 망연계 솔루션이라 할 수 있을 것”이라고 강조했다.
현재 금융권에서 망연계를 검토중인 회사나 혹은 망연계를 도입했으나 결제 기능은 미탑재 된 회사의 경우에도 향후 결제 기능은 필수가 될 것으로 전망된다.
금융권보다 앞서 망연계를 도입한 공공 부문의 경우 결제 기능은 그리 보편화돼있지 않은 편이다. 최근 국정원에서 각 기관의 망연계 시스템 운영실태를 조사한 결과, 결제 기능을 사용하지 않거나 혹은 구현조차 하지 않은 기관들이 많아, 결제 프로세스를 반드시 포함시키 라는 지침이 내려온 바 있다.
그러나 일각에서는 결제 기능에 대한 반대 목소리도 있다. 기관이나 업무 특성에 따라 결제 기능을 차등화하는 것이 효율적이라는 것이다. 문화체육관광부는 망연계에 결제 기능이 있기는 하지만 사용자의 선택사항으로 두고 있다.
본인이 판단해 굳이 결제가 필요치 않은 파일의 경우 결제 없이 그냥 내보내도록 하고, 반드시 결제가 필요한 중요 파일의 경우, 과의 사무관급 이상에게 결제를 받도록 승인요청 하는 프로세스다. 또한 직원들에게 교육을 철저히 해 업무상 보안이 중요한 파일에 대해서는 반드시 승인을 얻도록 했다.
공봉석 문화체육관광부 정보통계담당관은 “우리 기관의 경우 사실 보안에 대한 시급성은 그다지 높지 않다. 따라서 망연계 시스템에 결제 기능까지 추가하는 것은 업무 효율성을 필요 이상으로 저해하는 일이 될 수도 있다”며 일률적으로 결제 기능을 강제하는 것만이 능사는 아니라는 의견을 조심스레 내비쳤다.

악성코드 탐지, 샌드박스 등 망연계 구간 보안 강화

결제 기능과 더불어 망연계 제품이 반드시 갖춰야 하는 핵심 기능은 Anti-Virus, 즉 악성코드 탐지 기능이다.
전제현 하나SK카드 정보보안팀 과장은 “망연계 지점은 상당히 리스크가 집중되는 구간이 된다. 해커 입장에서는 그곳만 뚫으면 되기 때문이다”라고 설명하며 망연계 구간의 보안성을 강화해야 함을 피력했다.
IBK기업은행은 안전한 망연계 구간 보호를 위해 망연계 시스템에 악성코드 탐지 기능과 더불어 샌드박스 기능을 추가로 탑재했다. 파일을 샌드박스에서 미리 시뮬레이션해 안전한 파일인지 여부를 체크한 후 망을 넘어오도록 하는 것이다.
망연계가 모든 자료 송수신이 이뤄지는 유일한 통로인 만큼, 이에 대한 이중화도 반드시 필요한 요소라 할 수 있다. 한국남동발전은 망연계 도입 시 이중화를 고려하지 않았었으나, 내년에 예산 반영해 망연계 이중화를 추진할 계획이다. 안찬성 한국남동발전시스템경영반 처장은 “통로가 하나인데 이것이 장애가 나면 자료 송수신이 불가해져 업무상 큰 지장이 초래 될 것”이라며 “실제로 망연계 솔루션 장애로 큰 곤란을 겪었던 적이 있어 이중화를 계획하게 됐다”고 밝혔다.
망연계 시스템에 탑재된 보안솔루션은 기존 업무망 또는 인터넷망에 설치된 보안 솔루션과는 다른 벤더의 제품으로 구축하는 것이 바람직하다고 보안 담당자들은 강조한다.
즉, 동일 벤더의 제품으로 ‘도배’하는 것은 위험하다는 이야기다. 서로 다른 제품으로 이중화해 서로 보완해야 해킹에 대한 리스크를 낮출 수 있기 때문이다.

   
▲ “망연계가 모든 자료 송수신이 이뤄지는 유일한 통로인 만큼, 망연계 시스템에 장애가 나면 자료 송수신이 불가해져 업무상 큰 지장이 초래될 것이다, 따라서 망연계에 대한 이중화도 반드시 필요한 요소라고 할 수 있다” 안찬성 한국남동발전 시스템경영반 처장
적체된 파일 관리방안, 적정 용량 등 고민해야

시간이 경과함에 따라 누적되는 인터넷 PC의 문서 관리도 망연계 시 고려해야 할 사항이다.
인터넷 PC의 가상화 영역에 적체된 데이터를 관리하기 위해서는 주기적인 초기화는 필수적이라는 의견이다.
또한 각 사용자별 적정 용량에 대해서도 고민해야 한다. 용량 자체가 비용이기 때문에 효율적인 산정이 필요하다. 사용이 많은 사용자의 경우 스토리지 용량을 더 요구함에 따라 HW 도입 비용이 증가할 우려가 있기 때문이다. 이에 일각에서는 인당 일정한 용량을 일괄분배 하는 것이 아니라, 때와 상황에 따라 용량을 유연하게 활용할 수 있는 클라우드 스토리지로 운영하는 방안도 고려되고 있다.

검증 사례 부족…다양한 니즈 충족시켜야

망연계 시장이 아직은 초기단계인 만큼 아직은 업체들이 충분히 준비돼 있지 않은 것 같다는게 금융 업계의 중론이다. 한 은행 보안 담당자는 “내년쯤 돼야 망연계 솔루션들이 보안이나 모니터링 기능 등에 대한 연동성이 강화될 것 같다”며 “물론 현재도 단편적인 기능들은 다 갖추고 있겠지만, 다양한 파일타입이나 대용량 데이터를 적시에 처리하고 안전한 데이터인지 여부를 명확하게 검증할 수 있는 효율적인 방안이나 관리체계가 아직은 미흡한 느낌 이다”고 지적했다.
또 다른 은행의 CISO는 “망분리라는 사업이 국내에만 있는 요건이므로 관련 솔루션이 모두 국산이고 비교적 최근에 출시된 실정이라 구축 실적이나 기술수준이 아직은 만족스럽지 못하다”고 꼬집으며 “최소한 국정원CC인증을 취득한 제 품인지 체크가 필요하다”고 말했다.
금융권보다 앞서 망연계를 도입한 공공기관의 경우 이러한 불안은 더욱 심했던 것으로 파악된다. 국정원의 가이드라인 발표 직후 막 출시된 망연계 솔루션 중에 어떤 솔루션이 좋은 것인지 전혀 알 길이 없었기 때문이다.
아직까지는 업무 PC에 적용된 다양한 보안 SW와 망연계 솔루션을 연계하는데 있어 기술적인 어려움이 존재한다는 의견이 많다. 시중에 출시된 망연계 제품들이 아직까지는 다양한 보안SW와의 연계 기능을 제공하지 않는 경우가 많기 때문이다.
보안 기능뿐 아니라 다양한 기능 추가에 대한 요구도 나오고 있는 상황이다. 공봉석 문화 체육관광부 정보통계담당관은 “망연계 시스템에서 메일과 연동해 파일 발송까지 일괄적으로 처리할 수 있는 기능이나, 업무망, 인터넷망의 데이터를 각각 따로 관리해야 하는 불편을 해소하기 위해, 두 환경의 데이터를 일치화시켜줄 수 있는 기능 등에 대한 니즈가 많다”며 망연계 솔루션의 고도화 방향을 제시했다.

   
 
사용자 변화관리가 관건

보안 담당자들은 망연계 도입 시 가장 어려운 점으로 사용자들의 업무 불편으로 인한 내부 반발을 꼽았다.
모 기관의 경우 직원들의 망연계 사용률이 저조해 변화관리에 어려움을 겪고 있다고 전해진다. 망연계 사용 시, 부서 보안책임자의 승인, 제목 작성 등의 불편한 절차로 인해 망연계 솔루션보다는 기존 USB를 통해 자료를 교환하는 경우가 많다는 것이다.
지난해 11월부터 망연계 시스템을 개시한 한국남동발전도 초기 사용자들의 반발로 곤욕을 치렀다. 특히 대용량 파일 생성 시 결제를 받도록 돼있어, 이를 망연계를 통해 외부로 내보낼 시 또 결제 단계를 거치도록 한 것에 대해 직원들의 항의가 컸다. 또한 기획재정부 등 타 기관이 제공하는 문서 양식을 받아 이를 작성 후 다시 내보내는 과정이 상당히 복잡해지는 문제가 있었다.
이는 문서 암호화를 도입한 금융권에서도 마찬가지다. 하나SK카드는 내부 문서를 외부로 반출할 시, 복호화 승인을 받고 외부 반출을 위한 승인을 또 거치도록 돼있는데, 여기에 망연계 승인절차까지 더하게 되면 총 3번의 결제가 중복되는 셈이다. 이러한 결제 절차를 통합해 간소화할지, 아니면 그대로 두어야 할지도 중요한 이슈사항이다.
그러나 한 금융기관의 보안 담당자는 “인식 변화가 우선이지 절차 간소화가 우선돼선 안된다”고 강조한다. 사용자들이 망연계 도입으로 인한 프로세스 변화를 자연스럽게 받아들일 수 있도록 인식을 바꾸는 노력이 필요하다는 지적이다. 그는 “비행기 탑승수속 시 엄격한 검색절차를 거치는 것에 대해서는 누구나 당연하게 여기는 것처럼, 망연계로 인해 기존에 없던 단계가 추가된 것에 대해 사용자들이 수용하는가가 망연계 성공의 관건”이라고 설명했다.
더불어 절차 간소화를 위해서는 시중 망연계 제품의 연계기능이 완전해졌을 때 검토해 야 할 사항이라는 의견도 있다. 절차를 간소화 하기 위해서는 하나의 인증정보를 다음 단계에서까지 계속 사용한다던지 하는 등의 연동이 필요한데, 아직은 그러한 기능이 미비하다 는 상황이라는 것이다.

   
▲ “망분리 업체별로 특정 망연계 솔루션 패키징이 다 돼있기 때문에 고객 입맛에 맞게 고를 수 없는 실정이다. 망연계는 내부 업무환경과 잘 맞아야 하므로, 단순히 기능만 보고 솔루션을 선택하기 보다는 업무를 고려해 구축해야 한다” 전재현 하나SK카드 정보보안팀 과장
망연계 상세 가이드라인 필요

금융권에서는 망연계와 관련해 아직은 금융위와 동종업계의 움직임을 관망하며 소극적인 입장을 취하고 있는 상태다. 한 은행권 보안 담당자는“망연계의 안정성이 먼저 확보된 후에 망연계를 도입했으면 좋겠다”며 “데이터의 안전한 검증방법과 관리체계 등 세미나, 연구 등이 집중적으로 이뤄져 망연계 정책에 대한 가이드라인이 명확하게 나왔으면 한다”고 전했다.
특히 쟁점이 되는 사안은 온라인 방식 즉, 서 버 투 서버(Server to Server) 방식의 망연계에 대한 부분이다. 일반적인 파일 교환방식인 오프라인 방식 즉, 파일 투 파일(File to File) 방식과 다르게 온라인 방식은 외부의 특정 시스템과 내부 시스템을 터널링해, 실시간 연동하도 록 하는 방식이다. 증권거래시스템이나 재무 회계시스템 등이 대표적인 예라 할 수 있다.
금융위는 서버 투 서버 방식에 대해서는 검토 후 추후 발표하겠다며 유보적인 입장을 취하고 있다. 금융회사들은 서 버 투 서버 방식 연계가 업무상 반드시 필요하다면서도 그 위험성에 대해서는 일부 인정하고 있다. 사전에 보안성 검토를 거친 시스템을 연결하기야 하겠지만, 만약 상대방 측 시스템이 침해를 당하는 등 변경사항이 있을 경우 내부 시스템과 직결되므로 위험성은 존재하기 때문이다. 이에 금융위의 결론이 어떻게 날지에 대해 귀추가 주목되는 상황이다.
 

PartⅡ 망연계 벤더 현황
망연계 솔루션
아직은 걸음마 단계…향후 기하급수적 성장

최근 공공기관과 금융기관을 중심으로 정보통신망법 등에 의해 망분리사업이 활발하다. 특히 금융위원회가 7월 발표한 ‘전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책’에 따라 금융회사의 전산센터는 2014년까지 물리적 망분리를 의무적으로 실시하게 됐다.
뿐만 아니라 정보통신망법의 개정과 개인정보보호법의 강화되면서 ‘고객정보 백만명 이상의 서비스를 제공하는 업체’ 혹은 ‘전년도 정보통신서비스업 매출이 1000억 이상인 기업’도 모두 망분리 사업이 의무화됐다.
이렇듯 네트워크가 내·외부로 나누게 되면서 보안적으로 안전한 환경이 만들어진다는 것은 바람직 하다는 것이 기업의 공통된 의견이지만, 업무상 반드시 내·외부 네트워크를 사용할 수밖에 없는 일이 속출하면서 현업의 불편함을 야기하고 있다. 임시방편으로 보안 USB를 통해 자료를 옮긴다고 해도 보안 USB 분실, 감염 등 관리에 있어 보안적인 허점이 우려되고 있다.
이런 상황에서 제한적으로 내·외부망 데이터를 전달할 수 있는 ‘망연계 자료전송 솔루션’이 대두되고 있다. 이전까지 마땅한 가이드라인이 없어 망연계 구축을 망설이는 기업도 최근 금융위에서 발표한 ‘금융전산 망분리 가이드라인’에서 망연계 가이드라인도 함께 명시돼 망연계 구축에 길잡이가 되고 있다. 현재 망연계 자료전송 솔루션 시장 현황과 관련 업계 대응 방안 및 계획에 대해 알아봤다.

양광수 기자 yang@ciociso.com


1. 시장동향
스토리지, 소켓, 시리얼 인터페이스 방식 3파전

망연계 솔루션은 3.20전산대란, 6.25사이버테러 등으로 인해 망분리가 공공기관과 금융기관을 중심으로 의무화되면서 업무의 연속성을 확보하기 위한 방안으로 대두됐다.
특히 최근 ‘금융전산 망분리 가이드라인’에서 제한적으로나마 내·외부망 데이터 전달을 위한 가이드라인이 명시돼 망연계 구축사업은 더욱 활기를 띌 전망이다. 실제로 망분리 사업을 도입 중인 기업들은 망분리 사업의 일환으로써 망연계 자료전송 시스템을 함께 진행하고 있다. 망분리 도입 후 즉시 벌어질 불편함과 업무 비효율성을 고려해 보면 망분리 사업의 하나의 과정으로 이해하고 동시에 검토·도입하고 있는 것이다.
보안업계에 따르면 올해 망연계 시장 규모는 망분리 시장의 약 5%(물리적 망분리 기준)~20%(논리적 망분리 기준)로 추산하고 있다. 올해 망분리 시장 규모가 200억 원으로 예상하는 것을 감안하면 아직은 걸음마 단계의 수준이다. 그러나 현재 망연계 솔루션이 없이 망분리 사업만을 구축한 기업과 향후 망분리·망연계 사업을 동시에 진행하는 기업을 감안하면 시장규모는 기하급수적으로 확장될 것으로 업계는 내다보고 있다. 특히 업계에서는 주요공공 및 금융기관이 주도하던 망분리 사업이 일반 지자체기관과 일반기업에도 전파되고 있어 그 우산효과를 톡톡히 누릴 것으로 예상하고 있다.
업계에서는 망연계 솔루션을 구축함으로 인해 망분리로 얻을 수 있는 보안강화는 물론 업무 연속성을 제고할 수 있는 것은 물론, 최근 다양한 망연계 방식의 등장해 각 기업에 맞는 솔루션을 선택할 수 있는 폭이 확장되고 있다고 전했다. 이는 망분리·망연계 사업을 진행하기에 최적의 시기가 도래한다는 의미로 해석할 수 있다. 이에 따라 히다치의 HRX, 후지쯔의 ADM 등 외산 망연계 제품 등을 넘어선 국산 솔루션 업계에도 가속이 붙게 됐다.
현재 국내에서 활용되는 망연계 자료전송 기술은 크게 스토리지 방식, 소켓 방식, 시리얼인터페이스 방식으로 나눌 수 있다.

   
 
스토리지 방식은 1세대 스토리지를 매개로 데이터를 고속으로 마이그레이션하는 것에서 근간이 된 기술로 초기 외산 솔루션에 의해 잠식돼 있다 국산 솔루션들이 속속 개발돼 시장에 나오면서 현재 국내 망연계 시장의 90% 이상을 점유하고 있는 기술이다. 현재 에스큐브아이, 한싹 시스템, 크리니티 등이 스토리지 방식을 통해 망연계 솔루션을 공급하고 있다.
스토리지 방식의 장점으로는 고속 양방향 대용량 자료 처리가 가능하고, 업계 표준기술인 만큼 응용프로그램의 개발 및 연계가 용이하다. 또한 공군, 해군, 사이버경찰청, 한국전력공사 등 공공기관에서 다수 운영한 사례가 있다.
반면, 연계서버나 스토리지 장비가 필수적으로 도입돼야 하는 부담과 하드웨어에 따라 상이한 성능차이가 있을 수 있다.
소켓방식은 LAN과 단방향 보안 방어벽을 사용해 네트 워크 통신을 차단한 상태에서 채널포트 이외의 모든 접속을 차단하는 기술이다. 현재 엘케이컴즈, 시큐에버가 소켓방식을 통해 망연계 솔루션을 공급하고 있다. 소켓방식은 기존의 방화벽 차단정책을 통해 LAN을 이용함으로써 상대적으로 적은 비용으로 망연계를 구축할 수 있다는 장점이 있다. 반면, LAN으로 내·외부망이 연결된다는 점에서 완벽한 물리적 분리가 아니라는 점이 걸림돌로 작용 할 수 있다. 한국전력공사, 서울특별시, 시흥시, 안양시 등이 소켓방식을 이용해 망연계를 구축했다.
시리얼 인터페이스는 IEEE 1394를 사용해 데이터를 전송하는 방식의 기술이다. LAN을 이용한 소켓방식과 유사하나 LAN구간 대신 IEEE 1394를 채택하고 메모리 버퍼 처리를 통해 내·외부 망의 단절을 유지시킨다. 대용량 데이터 처리를 위해 고속 직렬 연결을 사용해 다른 망연계 솔루션보다 상대적으로 빠른 평가를 받고 있다. 현재 소프트위드가 자체개발한 망연계 방식으로 국방부, 안전행 정부, 조폐공사 ID본부 등이 구축·운영 중에 있다.
각 산업군에서 망연계 솔루션 접근도 다양하게 이뤄지고 있는 추세다. 일반 기업의 경우 현재 정부에서 규정한 가이드라인이 명확하지 않아, 망분리·망연계 사업에 있어 소극적일 수밖에 없다. 그러나 대외업무부서를 제외하고는 외부 협업부서가 많지 않아 안정성 위주의 성능을 주요 요구사항으로 검토해야 할 것으로 보인다.
금융권의 경우 내부업무처리 이외에도 외부망을 이용한 금융업무로 포함돼 있기 때문에 보안성과 처리성능이 검증된 제품 및 고객환경에 안정적으로 적응할 수 있는 사항을 살펴봐야 한다. 공공기관의 경우는 관리 편의성, 운영비용 절감, 관리자 환경을 고려해 부가기능 등 제공에 최적화된 제품을 선택해야한다.
또한 CC인증 획득 및 법규 준수 등 컴플라이언스에 최적화해 대응하고 안정적 운영능력을 주요 요구사항으로 검토해야 할 필요성이 있다. 망분리 구축의 연장선상에서 망분리 솔루션과의 연계성을 고려해 망연계 자료전송 시스템을 선택하는 과정도 기업의 보안담당자라면 염두 해 볼 필요가 있다.
결국 망연계를 구축하는 기업은 망연계 자료전송 시스템에 대해 검토해야할 부분은 다양한 솔루션에 대한 장· 단점을 파악하고, 자사 규모에 맞는 솔루션을 선택할 수 있는 안목이 무엇보다 요구된다.


2. 기술동향
보안성뿐만 아니라 속도, 사용자 편의성 고려

과거 망연계 솔루션이 단순한 망분리 간 보안성을 강화한 네트워크 연결에 초점을 맞췄다면 현재는 전송속도/사 용자편의성에 중점을 두고 개발이 진행되고 있다.
①보안인증 망연계 솔루션의 기본 기능은 분리한 내· 외부망을 안전하게 연결시키는 것에 있다. 따라서 APT공 격이나 DDOS공격으로 설사 외부망이 파괴되더라도 내 부망에는 접근할 수 없도록 원천적으로 차단 가능해야한다. 특히 국정원 CC인증을 받고, 자료송신 간의 파일 암호화를 통해 더욱 강력한 보안이 가능한 제품들이 선호되고 있는 추세다.
②전송속도 최근 하드웨어가 비약적으로 발전하면서 사용자들의 빠른 속도에 대한 요구가 높아지고 있다. 사용자들도 구축단계부터 확실한 하드웨어 시설 투자를 통해 더욱 쾌적한 업무환경을 만들고자 하는 것이 최근의 모습 이다. 또한 SSD의 도입으로 실시간 볼륨 쓰기/읽기가 가능해져 이전보다 낮은 구축비용으로 효율적인 망연계 솔루션을 구축가능하게 됐다.
③사용자편의성 내부망에서 외부망으로, 외부망에서 내부망으로 옮기는 과정은 보안프로세스를 통해 처리된다.
그러나 사용자입장에서는 이전에 일괄적으로 처리할 수 업무를 2~4단계를 거쳐 처리하는 만큼 사용자 불만도 증가한다. 최근 망연계 솔루션에서 사용자 GUI에 대해 고민을 하는 것도 이런 사용자에 대한 요구 때문이다. 망연계 GUI는 과거보다 월등하게 사용자 편의가 중시되는 부분이다. 즉 사용자들이 원하는 기술은 이전 시스템과 동일하게 보이면서도 보안이 적용된 프로세스라고 정의할 수 있다. 따라서 구축기업은 사용자가 망분리 전과 동일하게 느낄 수 있도록 최적화된 망연계 솔루션인지를 판단 기준을 세워야 한다.

   
 

3. 각 사별 솔루션 특징

  에스큐브아이    “실시간 서비스 연계 유지, 안정성과 호환성 제공”
   
▲ 오영철 에스큐브아이 대표이사
에스큐브아이의 ‘Core Bridge’는 TCP/IP 기반의 네트워크를 사용하지 않고 중계 스토리지 방식을 사용한다. TCP/IP 연결을 완전히 분리하는 망분리 지침을 준수하면서 파일 전송을 포함해 실시간 서비스 연계를 유지하도록 구조적 안정성과 성능 제공한다.
오영철 에스큐브아이 대표이사는 “외산이 잠식했던 망연계 시장에서 CC 인증으로 공인된 국내 기술력으로 시장을 선도했다”며 “스토리지 자원의 최적화로 기가급 대역폭을 제공해 다중 전송에 강점이 있으며 광 널 스토리지와 호환성을 제공하고 망분리 구축에 필수적인 시스템 프로토콜과 연동할 수 있어 제품 호환성을 높였다”고 설명했다
에스큐브아이는 2010년부터 만 4년간에 걸쳐 망연계에 대한 일원화된 설치·유지보수까지 실시하고 있으며 다수의 레퍼런스를 보유하고 있다.
오 대표이사는 “망분리를 도입하고 차후에 망연계 솔루션을 도입했을 때, 기능상 제공되지 않는 부분이 생길 수 있다”며 “따라서 망연계 솔루션은 망분리와 함께 도입을 하는 것이 바람직하며, 무엇보다 망연계에 있어 안정적인 운영노하우가 뒷받침되는지 고려할 필요가 있다”고 말했다.
에스큐브아이 측은 공공기관을 중심으로 금융기관의 망연계 니즈가 높아지고 있는 것을 파악하고, 향후 금융기관에 최적화된 솔루션을 제공할 계획이라고 밝혔다.


 

  소프트위드    “망과 망 사이 못 뚫는 ‘IEEE 1394’ 원천기술 개발”
   
▲ 김태현 소프트위드 대표이사
소프트위드는 ‘크로스넷 데이터 트랜스퍼(CrossNet Data Transfer)’로 업계를 공략하고 있다. 이는 IEEE 1394 전용 프로토콜을 이용한 망연계 방식으로 소프트위드가 독자 개발해 특허를 받은 기술을 사용한다.
김태현 소프트위드 대표이사는 “크로스넷 데이터 트랜스퍼의 주요 장점은 크게 안정성과 속도로 볼 수 있다”며 “독자적인 기술 개발을 통해 내부망과 외부망의 차단 및 인증절차를 수행하는 동시에 빠른 속도를 지원한다” 고 말했다. 또한 직관적이고 간결한 사용자와 관리자 인터페이스를 제공해 사용자 편의성을 높였다.
소프트위드는 이를 위해 3년에 걸친 원천기술 개발과 6년의 업그레이드를 통해 현재의 기술력을 확보했다. 개발초기 여러 세션을 통해 최대트래픽을 유지할 수 없는 통신매체를 검토한 끝에 대용량전송이 가능한 IEEE 1394 를 선택해 망간 중계 구역을 설정했다. IEEE 1394는 TTA의 공인성능 평가를 통해 단방향/양방향 평균 800Mbps 처리능력을 인증받았다.
김 대표이사는 “초기 망연계 시장은 스토리지 방식이 주도하고 있어 생소한 규격의 IEEE 1394 방식은 2011년도까지 열세에 놓였었다”며 “그러나 독자기술을 통한 보안성과 속도를 가지고 시장점유를 점차 늘려가고 있다” 고 설명했다. 특히나 대규모 파일전송시 오는 병목현상을 최대 4채널까지 확장할 수 있어 안정성마저 확보됐다고 덧붙였다.


 

  한싹시스템    “저비용과 고성능 두 마리 토끼를 노린다”
   
▲ 이주도 한싹시스템 대표이사
한싹시스템의 망연계 솔루션은 ‘HRX-AOSP’을 통해 정보의 안전한 활용을 위한 망분리 환경에서 자료교환과 스트림연계를 통해 다중영역보안 기능을 제공한다. 또한 통신·데이터 암호화와 문서의 위변조 감지를 통해 보안성을 한층 강화했다.
이주도 한싹시스템 대표이사 “망연계는 물리적, 논리적으로 나뉜 내·외부 망을 제한적인 업무에만 연계하는 취지에서 구축해야 한다”며 “극단적인 경우, 외부망이 보안사고에 노출돼도 내부망은 보호할 수 있는 최후의 보루로써 망분리·망연계가 필요하다”고 말했다.
한싹시스템은 스토리지 방식의 단점인 하드웨어에 대한 성능차이를 최소화 시켜 고객이 투자 대비 최고 성능을 낼 수 있게 최적화시켰다. 한싹시스템 측은 시스템 리소스를 효율적으로 처리하고자 데이터를 여러 Task에서 분산처리해 디스크쓰기와 읽기가 실시간에 근접해 이뤄진다고 설명했다. 또한 엔트리급 성능을 대폭 강화해 금융기관의 요구에도 부합하는 속도를 이끌어 냈다.
이 대표이사는 “망연계 솔루션도 고객들의 니즈가 점차 변화하고 있다”며 “파일의 유해성 체크, 백신 등 부가적인 기능에 많은 관심이 있어, 파트너사와의 협업을 통해 점차 고객 니즈를 충족시킬 계획이다”고 설명했다.


 

  크리니티    “이메일 기반 망연계 토탈 솔루션을 제공”
   
▲ 유병선 크리니티 대표이사
크리니티는 자체 개발한 ‘DEX’를 통해 시장을 공략하고 있다. DEX는 원활한 자료 교환을 지원하는 이메일 및 웹하드 기반 자료교환 시스템이다. 크리니티는 웹메일, 보안메일, 모바일 메일 등 이메일시스템으로 기반한 통합 솔루션으로 DEX를 지원하고 있다.
유병선 크리니티 대표이사는 “크리니티는 웹메일이라는 단어가 생기기도 전부터 메일기반 사업을 추진했다”며 “이메일 특화 망연계 시스템을 통해 통합적인 웹메일 솔루션도 이용할 수 있다”라고 말했다.
크리니티는 USB나 저장매체를 이용한 자료교환 분실이나 노출 등으 로 인해 발생할 수 있는 보안사고를 원천 방지할 수 있으며, 메일(인터넷 메 일 발송)과 게시 자료(본인 계정의 인터넷망으로 자료 전달) 중에서 선택이 가능하며, 보안권자 승인 요청과 진행 상태 및 처리 결과를 신속하게 처리 할 수 있어 업무의 효율성을 높일 수 있다고 전했다.
유 대표이사는 “과거 공공기관에서 보안상의 이유로 공문의 이메일발송을 금지했지만, 이용편의성으로 이메일 사용이 급속도로 늘어난 사례가 있다”며 “편의상의 이유로 또는 업무효율성의 이유로 망분리 솔루션과 모바일 시스템을 연동하고자 하는 고객의 요구가 많아지고 있다”고 말했다. 그는 모바일 이용은 망분리의 근본취지에는 위협이 될 수 있는 요소지만, 디바이스 인증, 개인정보 인증, 암호 다중화같은 기술지원을 통해 편의성과 보안을 동시에 충족할 수 있다고 덧붙였다.