[CIO BIZ+]커버스토리-기업 망 분리 이렇게 추진하라

관련 통계자료 다운로드 국산 망 분리 솔루션 비교

지난해 금융감독원이 내놓은 `금융회사 정보기술(IT) 부문 보호업무 모범규준`에 따라 망 분리 사업에 나서는 금융권이 늘고 있다. `개인정보보호법`과 개정된 `정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)` 등이 시행되면서 공공기관과 정보통신서비스 사업자도 망 분리 사업에 가세하고 있다.

정통망법에 따르면 100만명 이상 개인정보를 보유한 기업은 망 분리를 해야 한다. 금융감독원 등 각 기관에서 정한 유예 기간은 내년 3월까지다. 권장사항이기는 하지만 강제성을 띄고 있어 연말부터 내년 상반기까지 상당수 기업이 망 분리에 나설 전망이다. PC 두 대로 일찌감치 물리적 망 분리를 끝낸 공공기관도 편의성을 위해 다시 논리적 망 분리를 검토하는 곳이 생겨나고 있다.

하지만 여전히 많은 기업에서 망 분리 도입 시점과 방식을 두고 의견이 분분한 실정이다. 비용도 많이 들지만 사용자 편의성을 보장하지 못한다면 망 분리 프로젝트를 추진하기 어렵다는 게 최고정보책임자(CIO)들의 입장이다. 이런 고민은 직원 수가 많은 대기업일수록 더 커진다. 여기에 국산 망 분리 솔루션 기능이 개선되는 등 기술 환경이 급변하고 있어 CIO의 고민도 깊어지고 있다.

◇물리적 망 분리, 보안성은 으뜸

2007년 시범사업으로 시작해 2008년부터 중앙부처 등을 중심으로 추진된 물리적 망 분리는 PC 두 대를 도입해 내부 업무 망과 외부 업무 망을 분리했다. 여러 망 분리 방식 가운데서도 보안성이 가장 탁월하다는 평가를 받는다. 하지만 물리적 망 분리는 보안성을 빼면 나머지 부문에서는 합격점을 받지 못했다.

우선 도입 비용이 만만치 않게 들었다. PC를 두 대 사용하기 때문에 그만큼 상면 공간도 많이 차지하고 전기세도 많이 든다. 더운 여름에는 실내 온도 상승 주범 노릇을 한다. 유지보수에도 갑절의 인력과 비용이 필요하다.

무엇보다 업무 편의성이 현저히 떨어지는 게 물리적 망 분리의 최대 단점이다. 예를 들어 인터넷 검색이 꼭 필요한 특허업무 등은 한 쪽 PC에서 인터넷을 검색하고 다시 다른 PC로 자리를 옮겨 내부 업무를 봐야 한다. 자료를 활용해야 할 때는 보안 USB 등 저장장치를 활용해 다른 PC로 자료를 옮겨야 한다.

행정안전부 관계자는 “지금은 그나마 일상화가 돼서 불편함이 덜하다고 느끼고 있지만 초기 불편함은 이루 말할 수 없었다”며 “외부와 자료를 주고받을 때 USB로 자료를 이동시키는 게 특히 불편하며 여름철 발열 때문에 업무 보기가 어려울 정도”라고 토로했다.

이에 따라 PC 사용연한이 5년 가까이 돼가는 몇몇 공공기관에서 논리적 망 분리를 검토하려는 움직임이 일고 있다. 국정원은 물리적 망 분리를 원칙으로 삼고 있지만 불가피한 경우 논리적 망 분리를 허용한다고 밝혔다. 논리적 망 분리를 도입해도 사실상 무방한 상황이다.

논리적 망 분리에 먼저 사용된 것은 가상 데스크톱(VDI) 솔루션이다. PC 업무 영역을 서버의 가상머신(VM)에 구축해두고 접속해 사용하는 방식이다. PC의 가상 영역을 제외한 나머지 부분은 인터넷 영역과 연결해 사용하기 때문에 자연스럽게 망이 분리될 수 있다.

◇논리적 망 분리가 대세

VDI 솔루션으로 망 분리를 할 수 있지만 VDI는 태생이 업무 효율성 제고를 위한 솔루션이다. 언제 어디서나 웹에 접속해 업무를 처리할 수 있다는 점이 VDI 최대 강점이다. 중앙 서버에 업무 환경이 구축되기 때문에 보안성도 높일 수 있다. 하지만 VDI 솔루션이 외산 솔루션 일색이기 때문에 비싼 라이선스 비용이 단점으로 꼽힌다.

지난해부터 주목받고 있는 국산 망 분리 솔루션은 순수하게 망 분리만을 목적으로 하는 기업에 적합하다. 가격도 VDI의 20~30% 수준에 그친다. 우정사업본부를 시작으로 국민은행, 산업은행, 서부발전 등이 국산 망 분리 솔루션을 적용한 망 분리 사업에 나서고 있다. 망 분리 시장이 물리적 망 분리에서 VDI와 망 분리 솔루션을 사용하는 논리적 망 분리로 빠르게 재편되고 있다.

최근에는 보안성을 극대화하고자 VDI와 망 분리 솔루션을 동시에 구축하는 사례가 생겨나고 있다. 기존 PC를 VDI화하는 경우 망은 분리되더라도 PC 자체가 감염돼 가상 영역까지 악성코드가 옮겨갈 가능성이 있다. 제로클라이언트를 사용하는 VDI는 VM 영역에서는 망 분리가 되지 않고 인터넷과 업무 영역이 혼재한다.

전자에서는 VDI화된 PC에 망 분리 솔루션을 적용해 업무는 서버의 VM에서 처리하고 인터넷은 PC의 가상 영역에서 사용한다. 후자는 서버에 망 분리 솔루션을 적용해 VM 내에 혼재한 인터넷과 업무 영역을 분리한다. VM을 두 개 만들어 망을 분리할 수도 있지만 이렇게 되면 비용이 배가된다.

최근 교통안전공단이 `VDI+망 분리` 방식 프로젝트를 마무리했으며 삼성화재는 기존 VDI 환경에 망 분리 솔루션을 추가로 구축하고 있다. 이 외에도 외환은행과 주택금융공사 등이 VDI와 망 분리 솔루션을 동시 구축하는 프로젝트를 검토 중이다. 가격은 추가로 들지만 보안성과 편의성을 동시에 고려할 때 VDI+망 분리 도입 사례가 점차 늘어날 것이라는 게 업계 전문가 전망이다.

◇적용 대상 업무 정의가 최우선 과제

정통망법 등 법률 시행과 보안 강화라는 사회적 분위기에 따라 망 분리는 피할 수 없는 시대적 흐름이 되고 있다. 가능하면 적은 비용으로, 더 효율적인 방식으로 망 분리 프로젝트를 추진하는 게 CIO가 직면한 도전사항 중 하나다.

전문가들은 우선 망 분리 솔루션을 먼저 적용하고 이후 점진적으로 VDI 환경으로 전환하는 게 가장 이상적인 방안이라고 말한다. VDI를 전면 도입하기에는 비용 부담이 크고 프로젝트 실패 위험도 있기 때문에 망 분리 솔루션 기반 위에 단계적으로 VDI를 추가하라는 설명이다.

권진욱 안랩 전략제품사업팀 부장은 “망 분리는 단순한 솔루션 적용이 아닌 인프라의 대대적 변화를 가져오는 프로젝트기 때문에 프로젝트 시작 전에 고려할 사항이 상당히 많다”면서 “우선 업무를 분석해 전사 또는 특정부서에만 도입할지를 정하고 예산과 각 부서 업무를 평가해 가장 적절한 망 분리 방식을 찾아야 한다”고 말했다.

그는 영역 간 파일 공유 방안, 메일 시스템 구성 변경 여부, 소프트웨어 라이선스 추가 구매 필요 여부, 인터넷 망 및 업무 망에 추가 보안 솔루션 구축, 업무 망 PC 패치 및 백신 업데이트 등이 고려돼야 한다고 설명했다.

프로젝트 진행에 앞서 사용 중인 프로그램과 사이트를 업무 망에서 사용할 것인지, 인터넷 망에서 사용할 것인지 일일이 구분하는 작업이 선행돼야 한다. 가령 사내 그룹웨어에 회사 홈페이지가 링크돼 있으면 이를 업무 망으로 볼 것인지, 인터넷 망으로 볼 것인지 정의해야 한다.

권 부장은 “망 분리 프로젝트의 가장 큰 도전사항은 변화관리”라고 말했다. 망 분리 이전엔 인터넷과 업무영역을 자유롭게 드나들 수 있지만 망 분리 이후에는 불가능하다. 두 영역 간 자료 이동은 보안 USB나 망 연계 솔루션을 이용해야만 가능하다. 따라서 업무 효율성이 저하된다는 불만이 많이 제기된다.

권 부장은 “망 분리로 발생하는 업무 방식과 시스템 변화를 사용자가 수용하는 데 노력과 시간이 들 수 있음을 고려해야 한다”며 “망 분리 대상자들과 많은 커뮤니케이션을 거쳐 망 분리의 목적과 방안을 충분히 주지시켜야 프로젝트를 성공적으로 완료할 수 있다”고 말했다.


국산 망 분리 솔루션 비교

자료:업계 종합

[CIO BIZ+]커버스토리-기업 망 분리 이렇게 추진하라

안호천기자 hcan@etnews.com


브랜드 뉴스룸