망분리 개념과 종류

1. 망분리의 개념

이름 그대로 망을 분리하는 것이다.  외부 인터넷망과 업무망을 분리하는 것을 말한다.

 

 

종류에는 크게 물리적 망분리와 논리적 망분리가 있다.

 

외부와 업무망을 분리한다는 말은 인터넷을 차단한다는 말이다.

즉, s/w 업데이트도 오프라인으로 해야하고 속도도 그만큼 느리며.. 하여튼 여간 불편한게 아니다. 

 

그래도 확실히 망분리를 하면 안전하다. 3.4 ddos, 7.7 ddos, 3.20 사이버테러 등 여러가지 침해사고를 겪으면서 

이런 공격들을 대비할 방책으로 떠오른  대안책 중 가장 많이 사용되는 것이다.

 

'정통망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 시행령 제15조'에 망분리를 의무화하도록 법률적으로 명시해두었다.

 

 

2. 망분리의 구축방식

망분리는 총 3가지 구축 방식이 있다. 물리적, 서버가상화 기반, 클라이언트 기반 이렇게 3가지 인데, 

각각의 특징들을 한번 알아본다.

 

2-1. 물리적 망분리

물리적으로 분리시키는 것이다.  업무용 PC, 인터넷용 PC를 따로 사용하는 망분리 방식이다. 그림으로 한번 보자.

 

 

위 그림처럼 업무망 pc와 인터넷망 pc를 따로 사용힌다.

각각 해당 망에만 연결을 하여 접근할 수 있도록 해둔 것이다 확연히 구분이 되고 나누기 쉬운 장점이 있다.

 

하지만 물리적인 장비가 늘어나기 때문에 관리해야 하는 보안이슈들이 증가하며, 

업무 pc에서 인터넷 구간에 있는 업무 서버에는 접근을 못하는 단점이 있다.

 

물리적 망분리에서 일어날 수 있는 보안 위협은 다음과 같다. 

- 업무pc와 인터넷pc간의 자료이동, 

- 사용자의 악의적인 정보유출 가능성

- 보조 기억매체를 통한 정보유출

 

 

2-2. 논리적 망분리 - SBC 방식(서버 기반 가상화)

이번에는 논리적 망분리의 '서버 기반 가상화'방식을 한번 알아보자.

논리적이란 말 자체가 망을 물리적으로 분리하는게 아니라,  기존의 PC를 이용하면서 인터넷만 가상화가 구현된 서버로 이용하는 것이다.

 

 

물리적 망분리 처럼 PC를 2대쓰거나 하지 않는다. 

다만 현재 PC로는 기존에 자유롭게 사용하던 인터넷이 접속 제한이 된다.  즉, 가상화된 서버에서 인터넷을 통제하여 사용할 수 있는 것이다.

 

저기서 인터넷가상화 서버팜 이라는 것은 가상화된 서버들의 집합이다. 

사용자의 인터넷사용을 제한하는 역할. 개인의 데이터는 가상화 서버에 저장된다.

 

서버 기반 가상화의 장점은 먼저 가상화 서버를 통해서 인터넷을 통제할 수 있기 때문에 다양한 사용자가 환경에 접속해도 

통제가 가능하다는 것, 서버에 접속하는 방식이므로 관리, 통제가 용이하다는 것이다.

 

단점으로는 서버의 리소스를 이용하기 때문에 서버팜을 구성할 때 비용이 많이 든다.

또한 네트워크 단절 시에 데이터 저장이나 접근이 제한된다는 점. 즉, 가상화 서버가 공격 당할 시에 업무 중단의 위험이 있다. 

그리고 서버 성능에 따라 부하가 발생할 수 있다는 점이다.

 

마지막으로 PBC(PC기반 가상화)에 대해 알아보자.

 

 

2-3. 논리적 망분리 - CBC (클라이언트 기반 가상화)

논리적 망분리의 다른 방식인 CBC에 대해 알아보자.

pc 등의 단말기를 가상화하여 인터넷망과 업무망을 분리하는 것이다.

 

 

기존의 pc에 가상화된 인터넷 영역을 생성하여 망분리를 하는 것인데, 비용이 저렴하고 관리가 편해서 많이 사용된다. 

 

 

단점은 각각 단말 pc환경이 다양해서 이것들에 대한 호환성과 중앙의 관리가 힘들다는 점이다.
또한 사용자 통제가 쉽지않아 악의적인 사용자에 의한 정보유출의 가능성이 높다.