“논리적 망분리로 운영 효율 높인다”

국민연금공단은 2013년 VDI를 이용한 논리적 망분리 시스템을 구축하고, 현재 본부 전체 직원(8백여 명)을 대상으로 적용했다.
전 국민을 대상으로 장애, 사망 혹은 노령 시에 연금을 지급하는 국민연금공단은 400조 원이 넘는 기금규모를 가진 우리나라 대표적인 사회복지기관으로, 국민연금제도를 효율적으로 운영·관리하기 위하여 많은 노력을 기울이고 있다.
이번에 적용된 논리적 망분리 시스템은 공공기관의 정보보안 정책에 따라 국가정보원 망분리 가이드를 준수하여 구축됐으며, 내부 정보의 유출방지 및 외부 침입차단 등 정보보호는 물론, 사용자의 편의성과 경제성까지 고려하여 사업이 추진됐다. 또한 정보보안을 강화하여 정보보호에 대한 대외신뢰도를 확보하면서, 직원들이 업무를 수행함에 있어 불편함이 최소화되는 방안을 마련하여 대국민서비스가 안정적으로 지원될 수 있도록 하였으며, 향후 정보시스템 운영에 있어 효율성이 증대될 것으로 기대하고 있다.
2015년 공단의 지방혁신도시(전주) 이전과 함께 전 지사(7천여 명)에 대한 망분리 시스템을 적용하는 계획을 추진 중이다.

송라영 기자 songra@ciociso.com

인터넷 망분리와 연계 서버 운용

국민연금공단은 2010년에 보안강화 차원에서 보안에 취약한 콜센터와 지사 상담원, 외주 개발인력을 대상으로 업무 가상화(VDI)를 시행했다.
그런데 공단의 업무 특성상 VDI로 처리하다 보면 내려받는 데이터량이 많아서 속도도 떨어지고, 보안 솔루션과 충돌로 인해 여러 가지 불편함이 발생했다.
그래서 망분리 프로젝트를 위해 여러 가지 요소를 검토했다. 그중에서 경제성과 효율성, 그리고 편리성 등 관점에서 판단해 물리적 망분리가 아닌 논리적 망분리를 선택했다.
특히 인터넷 업무에 관련된 부분만 논리적으로 망분리를 취했다. 이는 망분리 시스템 구축으로 인해 사용자가 겪는 어려움을 최소화시킬 수 있고, 가상화 서버를 통해 접근하여 인터넷을 통해 유입되는 각종 악성코드 및 바이러스를 방지할 수 있는 장점이 있기 때문이다.
국민연금공단이 구축한 인터넷 망분리 구조를 살펴보면 업무용 서버와 별도의 인터넷 가상화 서버가 따로 있고, 인터넷과 업무망의 중간에 망연계 서버가 있다. 인터넷에서 필요한 자료를 찾으면 그것을 망연계 서버에 올려놓고 다시 내부 네트워크에 들어와서 연계서버로 들어가야 자료를 내부 PC로 내려받을 수 있다.
보안을 강화하면 불편해지고, 편의성에 초점을 맞추면 보안이 약해진다. 가상화 적용은 쉽지 않은 부분으로 구현에 있어 속도 측면에 애로사항이 발생한다. 내부망과 인터넷망을 들어갔다 나왔다 하는 부분에서 속도가 떨어지는 것이다.
2011년 시범망 구축 시에는 인터넷에 접속하려면 여러 번 행위를 해서 들어가야 하는 불편함이 있었지만 이번 구축을 통해서 원클릭으로 패스워드만 치면 쉽게 접속할 수 있도록 중간단계를 없애 속도를 향상시켰다.
유근진 부장은 “새로운 VM서버를 구매했다면 속도는 우리들이 원하는 30초가량의 속도가 나올 수 있겠지만, 기존에 사용하던 시스템 자원을 재활용하다 보니, 1분가량 걸린다”고 전했다. 그는 “속도 측면에서 더 걸리긴 하지만 상당히 원활한 편이며, 지금으로써는 만족한다”고 덧붙였다.

다방면에 걸친 운영 이점

클라우드 망분리 가상화에 가장 큰 장점은 사용자가 인터넷을 사용하다가 로그아웃하면 데스크톱의 운영시스템을 처음 상태로 되돌릴 수 있다는 점이다. 접속의 흔적은 남을 수 있으나 인터넷에서 받은 데이터를 바로 업무망으로 가져갈 수는 없는 것이다. 혹시 모를 컴퓨터에 남아있는 악성코드를 제거함으로써 보안측면을 강화했다.
유 부장은 초기 투자비용도 PC 두 대를 사용하는 물리적 망분리보다 40~50% 정도 비용이 절감되기 때문에 상당한 경제성을 확보할 수 있다고 전했다. PC를 두 대씩 사용할 경우, 7천 대의 PC를 구매하려면 130만 원씩 계산만 해도 약 90억 원 정도의 비용이 발생되는데, 논리적 망분리는 약 50억가량 든다는 것.
이처럼 물리적 망분리보다 논리적 망분리를 선택한 가장 큰 이유는 논리적 망분리의 경제성이 더 뛰어났기 때문이다. PC 두 대를 사용하는 물리적 망분리는 유지보수비도 엄청난 금액이 들어간다. PC 한 대의 유지보수비가 한 달에 7천 원가량 들어가는데, 7천 대를 사용하면 한 달이면 약 5천만 원이 넘는 금액이 유지보수비용으로 사용되는 것이다. 여기에다 에너지 소모량을 더하면 PC 한 대에 30와트만 따지더라도 엄청난 전력이 소모된다. 그런 측면에서 논리적 망분리는 에너지 절감을 가능케 해 그린환경 구현에도 상당한 일조를 한다.
또한 공유(Pool)방식의 운영기법을 도입해 인력변화에 탄력적으로 대응할 수 있도록 했다. 이 방식을 활용하면 공단의 인력이 예상치 않게 증가했을 경우, 가상화된 데스크톱 리소스를 공유할 수 있으므로 자원 절약 및 활용에 용이하고, 라이선스 절약 효과도 있다.

무조건적인 가상화가 능사는 아니다

유 부장은 가상화가 모두 장밋빛은 아니라고 말하며, “보안이라는 것은 불편해야 하는 것”이라고 강조했다. 보안이 불편하지 않으면 사람들은 빨리 접근하게 되고, 그렇게 되면 보안은 취약해지기 때문이다. 이 사실을 기억해 보안이 강화돼야 하는 부서는 불편해도 물리적 망분리로 구축하는 것이 좋으며, 유연성이 필요한 부서는 경제성과 편의성을 생각해 논리적 망분리로 구축하는 것이 좋다고 말했다.
일부에서는 가상화를 확산시키려 하고 있지만 과도기 현상도 나타나고 있다. 공공기관이나 국가기관의 홈페이지를 보면 증명서와 같은 출력물을 제공하는 곳에서는 가상화 형태를 차단하는 곳도 있어, 이에 대해 표준이 시급하게 마련돼야 할 것으로 보인다.
국민연금공단에는 현재 몇 개의 현안과제가 있다. 첫 번째는 전주로 이전하는 것이며, 그 다음은 인터넷 망분리가 선행되어야 한다는 것인데, 현재 본부 8백 대에 대한 PC는 완료되었으며, 전체 지사 7천 대 PC를 실행할 예정에 있어 그에 필요한 예산을 준비 중이다. 예산이 확보되는 대로 구축을 진행할 계획이다.
 

유근진 국민연금공단 정보시스템실 정보인프라부 부장이 전하는 구축 Lesson “민감성에 따라 적합한 보안 방식 결정해야” 개인 정보가 유출되어 고객이나 국민에게 치명적일 수 있는 부분들은 인터넷을 사용하지 못하게 아예 차단하는 것이 가장 안전한 방법이다. 공공기관에서 인터넷 업무를 직원들이 하고자 한다면 인터넷만 사용하는 방을 별도로 하나 마련해서 사용하는 것이 좋을 것이다. 물리적 망분리, 논리적 망분리를 떠나 보안을 위해서는 전부 차단하는 게 옳다. 전산 쪽에 20년이 넘게 근무하면서 여러 가지 요소들을 검토한 후 내린 결론으로, 요즘은 휴대전화 카메라로 모든 것을 다 찍을 수 있어 관리가 철저하지 않으면 쉽게 막을 수 없기 때문이다. 그럼에도 불구하고 업무 처리를 위해 필요하다면, 업무망과 인터넷망을 분리하여야 한다. 이때, 환경적인 측면, 효율적인 측면, 경제적 측면을 모두 고려해 민감하게 선택하는 수밖에 없다. 각 기관들이 현황분석을 잘 해서 경제성을 따를 것을 추천한다. 공공기관은 국민의 세금으로 모든 것을 구축하는 것이기 때문에 정보의 민감성에 따라 판단해야 한다. 민감한 쪽은 보안을 더욱 강화하고, 덜 민감한 분야는 보안이 약간 취약하더라도 편의성과 경제성을 따져 기업에 맞는 맞춤형으로 보안을 준비해야 한다. 기관들의 고민은 거기서부터 출발해야 할 것 같다.