망분리

망분리

• 인터넷 망과 업무망을 분리하여 업무망을 보호하는 방법으로 물리적 망분리, 논리적 망분리, 융합형 망분리로 나눌 수 있다

물리적 망분리

• 업무용 네트워크와 인터넷용 네트워크를 완전히 분리하는 방법^[각주:1]
• 물리적 망분리는 보안성이 가장 우수한 방법으로 정보의 유출을 근본적으로 방지할 수 있다.
• 별도의 LAN 공사가 필요하다.

논리적 망분리

• CBC(Client Based Computing) 방식과 SBC(Server Based Computing) 방식으로 구분된다.
• CBC 방식은 업무용 PC 한 대를 사용하고 사용자 PC 가상 영역을 인터넷용으로 사용하는 것이다.^[각주:2]
• SBC 방식은 업무용 PC 한 대에 서버 접속용 프로그램을 사용해 인터넷용 PC를 호출하여 인터넷을 사용하는 방법이다. 중앙 집중적 관리를 통해 높은 효율성을 가진다 단, 이용자 수가 증가하면 지속정인 증설이 필요하다.

융합형 망분리

• 사용자가 2대의 PC를 사용하고 하나의 네트워크를 가상화 기술로 사용하는 방법이다.
• 물리적 망분리에서 발생하는 LAN 공사가 필요 없어 구축이 용이하다

---

자료 연계

• 인터넷 망과 업무망으로 분리된 경우 인터넷 망에 있는 파일을 업무망에 전송하거나 업무망에 있는 파일을 인터넷 망으로 전송하는 방법
• 바인드 IP를 부여하여 제한적으로 인터넷망에 연결할 수 있도록 지원한다.
• 확장자와 파일 헤더를 검사하여 화이트 리스트 기반의 파일 전송이 가능하다.
• 망분리 환경에서 개별망의 보안성과 독립성을 보장한다.

스토리지 연계 방식

• 외부 자료 연계 서버와 내부 자료 연계 서버 간에 공유 스토리지를 사용하는 방식
• 높은 보안성을 가지며 대용량의 데이터 전송이 가능하다.

인피니밴드(infiniband) 연계 방식

• 고속의 전송을 위해 메모리 전송 방식을 사용하여 데이터를 송수신한다.
• FC 연계 방식
• 망 간의 자료 전송량이 적은 소규모 환경에서 주로 사용하는 방식

---

망분리 보안 요구사항

인터넷용 PC 관리

• 인터넷용 PC에서의 문서작업은 원칙적으로 금지시켜야 하며 인터넷 메신저, 사내 웹하드 등을 금지해야 한다.
• 업무상 필요한 경우 제한적으로 승인을 받아 사용한다.

업무용 PC 관리

• 업무용 PC는 외부 메일 수신 및 인터넷 접속을 차단하고 업무용 PC에서 인터넷 접속이 필요한 경우 관리자의 승인 이후에 자료 연계를 사용한다.

망 자료 연계

• 업무망과 인터넷망 간 자료 전송 시에 자료 연계 서버를 사용하여 전송한다.
• 자료 연계 서버는 외부망과 인터넷 망에 각각 설치하고 운영해야 한다.

인터넷 메일 사용

• 기업의 외부 메일 서버는 인터넷망 구간에 구축해야 하며 인터넷용 PC로만 접근 가능해야 한다.
• 사내 전용 메일 사용 시 인터넷용  PC는 사내 메일 서버에 접근하면 안 된다.
• 내부 메일을 외부 메일 서버로 전송하거나, 외부 메일을 내부 메일 서버로 전송해야 하는 경우 자료 연계(망연계)를 사용해야 한다.

패치 관리 시스템

• 관리자가 수동으로 패치파일을 다운로드 -> 무결성 확인 -> 악성코드 등 위험 요소 확인 -> 패치 관리 시스템 적용
• 업무용 패치 관리 시스템은 외부 인터넷과 연결을 차단한다.
• CC인증을 받은 제품만을 사용한다.

비인가된 단말기의 네트워크 접근 통제

• 네트워크 접근은 인가된 PC로만 네트워크 접근할 수 있어야 한다.
• 업무망과 인터넷망 각각에 NAC 설치

사용자 단말 보안

• 백신 설치 및 패치 관리
• 사용자 단말에 대해 중앙집중적인 보안 정책을 적용하고 관리해야 한다.

보조 기억장치 관리 및 매체 제어

• 인가된 보안 USB로만 읽기, 쓰기가 가능해야 한다.
• 비인가된 USB는 읽기만 가능하고 쓰기는 불가능해야 한다.
• 업무망과 인터넷망 각각에 매체 제어 시스템(DLP : data Loss Prevention)을 설치한다.

1. 사용자가 2대의 PC를 사용하고 네트워크도 2개로 분리한다. [본문으로]
2. 데스크탑 가상화 기술 사용 [본문으로]