물리적 망분리

정보통신사업자 및 금융사 등 높은 수준의 보안을 요구하는 조직에 망분리 도입이 의무화 되었습니다. 통신망을 물리적으로 이원화하는 물리적 방식과 하나의 통신망을 사용하지만 가상화, 접근차단을 통해 업무망과 인터넷망이 서로 접근할 수 없도록 한 논리적 방식이 존재합니다.

이 중, 물리적 망분리는 인터넷용 PC와 업무용 PC를 따로 운영하기 때문에 논리적 망분리 방식에 비해 안전하지만, 구축 및 운영방식에 따라 보안위협에 노출 될 수 있으므로 주의가 필요합니다.

망 혼용 PC 감지

사용자의 실수나 고의적 행동으로 허용되지 않은 네트워크에 PC를 연결할 수 있습니다. 업무망 PC를 인터넷망에 연결한다거나 인터넷망 PC를 업무망에 연결하는 경우입니다. 업무망 PC를 인터넷 망에 연결한다면, 웜(Worm) 등의 악성코드에 감염되거나 보안문제가 발생할 가능성이 높아집니다. 이러한 망 혼용으로 인해 PC에 악성코드가 감염된 후 인지하지 못한 채 업무망에 연결한다면 네트워크 전체에 큰 보안위협으로 작용할 수 있습니다.
따라서 맨 먼저 고려해야 할 보안 사항은, 망 혼용 PC를 얼마나 신속하게 감지해내느냐 하는 것입니다.

망 혼용 사용자 식별

망 혼용 문제가 발생하게 되면 관리자는 신속하게 해당 PC의 사용자를 식별해내야 합니다. 사용자를 확인한 뒤 곧바로 통지해 잘못된 망으로부터 PC를 분리해내야 합니다. 이를 위해서는 각 PC가 가진 고유값(MAC 주소 등)별로 사용자를 식별할 수 있어야 합니다.

망 혼용 PC 차단

망 혼용 PC 감지 및 사용자 식별과 함께 중요한 것은, 망 혼용 PC를 네트워크에서 자동으로 차단하는 것입니다.
특정 단말을 네트워크에서 차단시키는 방법은 다음과 같습니다.

특정 단말의 네트워크는 다음과 같은
방법으로 차단됩니다.
  • 802.1x 인증 제한 (Port MAC Authentication)
  • ARP Poisoning
  • 스위치 포트 차단
  • 에이전트 기반 차단

이 중, 최선의 방법은 802.1x를 통한 차단입니다. 스위치의 차단 기능을 활용해 단말을 물리적으로 차단하기 때문에 보안성이 가장 높은 방법입니다. 그러나 이 방법을 이용하려면 모든 스위치가 802.1x를 제공해야 합니다.

스위치 포트 차단 역시 SNMP또는 CLI를 통해 각 포트별 제어가 가능해야만 사용할 수 있습니다. 즉, 비관리형 스위치를 사용하는 환경에서는 사용할 수 없다는 한계를 가지고 있습니다.
비관리형 스위치를 사용하는 환경에서 선택할 수 있는 제어방식은 ARP Poisoning 방식 또는 에이전트 기반 차단입니다. 네트워크 환경의 변화 없이 적용할 수 있다는 장점은 있으나 앞의 두 가지 방식만큼 강력한 차단을 제공하기는 어렵습니다. 따라서 사용자가 원하는 보안 수준에 따라 적절한 방식을 선택해야 할 것입니다.

에이전트 기반 차단은 에이전트 설치 PC에 한해 차단이 가능합니다. 사용자가 실수로 PC를 비허용 네트워크에 연결했을 경우 차단하는 가장 적절한 방법입니다. 에이전트가 망 혼용을 감지하면 사용자의 네트워크 인터페이스를 차단하고 사용자 화면을 잠궈버리는 방식을 제공해야 합니다.

Offline PMS

물리적 망분리를 시행하게 되면 온라인 패치 서비스를 받을 수 없습니다. 특히 윈도우즈 운영 체제의 업데이트가 불가능해집니다. 망분리 때문에 운영체제나 소프트웨어의 취약점에 대한 패치가 제때 이루어지지 못한다면 오히려 보안을 약화시키는 결과를 낳을 수도 있습니다. 따라서 Offline PMS 구축이 필수적입니다.

PC간 자료 전달 제어

망분리 이후 업무를 진행하다 보면 업무망 PC와 인터넷망 PC 간에 서로 자료를 전달해야 하는 경우가 발생합니다. PC 상호간 자료 전달 시 보안이 매우 중요하며, 이를 제대로 통제하지 못한다면 망분리의 효과가 전무하게 될 수 있습니다.

따라서 다음과 같은 보안 정책을 적용해야 합니다.

PC 상호간 자료 전달 시 다음과 같은
보안 정책을 적용합니다.
  • 업무망과 인터넷망 간 데이터 전송을 위한 별도의 망 연계 솔루션을 구축해 안전한 전송을 보장한다.
  • 인가된 USB(보안 USB) 이외의 이동식 저장 매체는 사용하지 못하도록 한다.
  • 파일 복사시 실행 파일은 복사할 수 없어야 한다.
  • 업무망 PC에 스마트폰, 태블릿 등 외부장치를 연결할 수 없도록 해야 한다. (화이트리스트 기반 장치 제어)

소프트웨어 관리

망분리로 인해 업무망 PC가 별도로 분리되면 업무망 PC는 보다 강력한 보안 정책을 가져가게 됩니다. 그 중 하나가 바로 소프트웨어 설치 관리인데 업무망 PC에 대해서는 화이트리스트 기반 소프트웨어 정책을 적용해야 합니다. 즉, 인가된 소프트웨어 이외에 다른 소프트웨어는 설치할 수 없어야 하고, 설치된 경우에는 통제 및 격리할 수 있어야 합니다.

무선랜 제어

인터넷망과 업무망을 분리해도 업무망을 완벽한 폐쇄망으로 유지하기는 쉽지 않습니다. 그 중 대표적인 문제는 사용자의 실수 또는 임의로 설치하는 무선랜 장치에 의해서 업무망이 외부로 노출되는 경우입니다. 누구나 시중에서 저렴한 공유기를 구입해서 업무망에 연결하면 손쉽게 우회경로를 만들 수 있습니다. 특히 NAT와 스위치 기능을 제공하는 공유기를 기존 회선에 연결할 경우에는 일반적인 방법으로 감지하기 어렵습니다.

또한 최근 다양한 무선랜 지원 장비의 등장과 함께 무수히 많은 AP가 존재하게 되며, 내부망에 연결된 AP를 식별해내고 차단하기 위해서는 전문 솔루션의 도움이 필수적입니다.

대응 방안

사용자의 보안 의식

보안 강화를 위해 망분리를 실시할 때, 무엇보다도 최우선적으로 고려해야 하는 사항은 사용자의 보안의식을 바르게 정립하는 것입니다. 망분리의 당위성을 설명하기 위해 “망분리만 하면 업무망 PC가 안전해진다”고 교육하는 것은 오히려, 망분리는 사용자의 보안의식을 저해할 수 있습니다. 보안을 위한 최소한의 조치를 취했으므로 주의해서 업무망 PC를 사용해야 한다는 것을 강조해야 합니다.

네트워크 접근 제어 (NAC : Network Access Control)

망분리 시 가장 필요한 것은 네트워크 접근 제어 솔루션(NAC) 입니다. NAC는 네트워크에 연결되는 모든 단말과 사용자를 식별하고 차단하는 역할을 합니다. 802.1x를 지원하는 RADIUS 인증 서버 기능과 스위치 제어 기능, ARP 제어, 에이전트 기반 제어 등 사용자의 보안 요구 수준에 맞는 다양한 레벨의 제어 기법을 제공합니다. 아울러 PMS 및 장치 제어, 소프트웨어 관리 등을 수행해 다양한 보안 위협에 대한 가장 폭넓고 효과적인 대비책을 제공합니다.

무선 네트워크 접근 제어 (WNAC : Wireless Network Access Control)

WNAC는 사용자가 불법적으로 설치한 AP를 감지하고 내부망에 연결된 Rouge AP를 찾아서 차단해주는 역할을 합니다. 특히 NAC와의 연계로 유무선 네트워크 정보를 통합해 내부망에 설치된 AP를 정확하게 검출할 수 있습니다.

This is a unique website which will require a more modern browser to work! Please upgrade today!