Home > 전체기사
[시큐리티 Q&A] 무분별한 예외 허용이 망분리 보안을 망친다
  |  입력 : 2016-12-21 13:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
망분리를 한 후에도 정보 유출사고가 터지는 경우를 종종 봅니다. 망분리를 한 이후에 정보유출 방지를 위해 사내망 또는 폐쇄망 내에서 절대 하지 말아야 할 행위들을 정리한 게 있을까요?
 
[보안뉴스 원병철 기자] 망분리를 제대로 활용한다면 아주 강력한 보안을 적용할 수 있습니다. 다만, 적용된 보안정책에서 예외 허용을 남용하는 경우에 사고로 이어질 수 있으므로 예외정책은 최소한으로 제한해야 합니다. 반드시 예외 적용이 필요한 경우 책임자의 승인을 받고 추가적인 보완 장치를 마련해야 합니다.


물리적 망분리 후 내부망에서 외부 사이트 접속이 반드시 필요한 경우 아래와 같은 방안을 적용할 수 있습니다.

1. 기존 접속현황 및 사유조사
2. 예외 사이트의 안정성 검토(취약한 사이트는 아닌지, 최근에 해킹당하거나 이슈가 있는지 등 확인)
3. 업무상 반드시 필요한 사안에 대해서만 허용하되, 책임자의 승인을 득한 후 필요시 보안위원회 등에 상정해 보고
4. 예외 허용된 사이트의 허용기간을 설정하고, 기간이 만료된 경우 다시 책임자의 승인을 득하는 등 주기적으로 확인

또한 최근에 망분리 환경에서 가장 많이 일어나고 있는 보안 사고는 USB를 통한 악성코드 감염 및 내부 데이터 유출입니다. USB 등 매체에 대한 통제를 강화해 보안을 강화할 필요가 있으며, 관리용 네트워크도 사내망과 폐쇄망은 분리해 사용하는 것이 좋겠습니다.
[문성태 한국정보보호심사원협회 이사(munnt72@hotmail.com)]
 
금융전산 망분리 가이드라인이 있습니다. 가이드라인에 따르면, 업무용 PC는 원칙적으로 인터넷망 접근과 외부메일 차단합니다. 인터넷 PC는 업무망 접근을 원천적으로 차단하고, 인터넷 및 외부메일은 이용가능 하지만 문서편집은 불가능하고 읽기만 가능합니다. 인터넷 PC에서 문서편집이 허용될 경우, 중요정보가 유출될 우려가 있어, 관리자의 승인 하에 제한적으로 일부 허용은 가능합니다. 또한 망분리에 따른 불편 해소를 위해 망간(인터넷망↔업무망) 중계서버 등을 이용해 파일 송수신은 가능합니다.

업무망에서는 금융회사 내부(자체) 메일만 사용 가능하고, 외부메일은 인터넷 PC에서만 이용 가능합니다. 또한, 종전에 백신업체 등과 인터넷으로 연결해 운영되던 패치관리 시스템은 인터넷과 분리해 오프라인 방식으로 운영하고, 비인가 된 기기(PC, 노트북 등)가 접속할 수 없도록 통제해야 합니다.

망분리가 되어 있는 환경에서, 사내망으로 작업을 하다가 급히 업무를 처리하기 위해 테더링을 이용해 인터넷에 접속하는 경우도 발생하는데, 이러한 행위도 삼가야 합니다.
[유진호 상명대학교 교수((jhyoo@smu.ac.kr)]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)