망분리 및 가상화 구축 방법 선정시 체크리스트, 고려사항, 사전 검검항목

1. 망 분리 구축 개요

망 분리는 인터넷을 통한 악성코드 유입과 지능형 APT 공격 등 사이버 보안 위협이 급증함에 따라 인터넷망과 업무망을 분리하고 개인의 PC 역시 인터넷용 PC와 업무용 PC로 분리하여 사용함으로써 외부 보안 위협으로부터 내부망을 지키고 중요 정보 유출을 차단함으로써 보다 안전한 업무 환경을 구축하기 위해 추진되고 있습니다.

 

망 분리 구축은 국가기관 사용자의 인터넷과 업무망 분리를 위한 국가, 공공기관 망분리 지침과 망 분리를 위한 개정된 개인정보보호법, 정보통신망법에 등에 근거를 두고 있습니다.

일반적인 망분리 환경 구성도

2. 망 분리 구축 특징

망 분리 구축은 기관의 업무 효율성 향상이나 수익창출에 기여하는 것이 아니고 보안 강화를 위한 법제도에 따른 의무사항이기 때문에 보안성뿐만 아니라 구축이 쉽고, 저렴하고, 신속한 구축으로 업무 영향을 최소화할 수 있는 방식을 선호합니다. 망 분리 구축 시 서버 가상화 기반의 방식을 선호하는 기관은 BYOD(Bring Your Own Device), 스마트워크, 문서 중앙화를 동시에 실현할 수 있기 때문이고 대부분의 기관은 보안성과 구축사례가 가장 많은 물리적 망분리 방식으로 구축하고 있습니다.

3. 망분리 구축 방법

3.1 물리적 망분리 구축 - 2 pc 기반

3.1.1 2 pc in 1 Box

• 한대의 PC 본체 내에 물리적으로 2대의 PC (업무용, 인터넷용)를 탑재
• 내장형 KVM 기능을 통한 두 단말 간 다양한 전환 기능(프로그램, 핫키, 마우스, 강제 등) 제공
• 고사양의 업무용 PC와 저사양의 인터넷용 PC로 구성되어 있고 중요 부품 구성을 선택할 수 있어 사용자 환경에 최적화된 시스템 구성 가능

2 pc in 1 Box

3.1.2 망분리 인터넷 전용 PC (Zero Client / Thin Client)

• 기존 업무 환경에서 인터넷망을 물리적으로 분리 구성할 때 활용되는 저전력 임베디드 방식의 PC 솔루션
• 독립 구성을 위한 운영체계(OS) 및 백신, 오피스 뷰어 등을 제공
• 강력한 보안성은 유지하면서도, 높은 초기 구축비용, 전력, 공간 낭비 등의 단점 해결

망분리 인터넷 전용 PC

3.2 논리적 망분리 구축

• PC 기반의 가상화 - 데스크톱 가상화(CBC/Client based compution)
• 서버 기반의 가상화 - 데스크톱 가상화(VDI/Virtual desktop infrastructure), 애플리케이션 가상화(SBC/Server based computing)

4. 가상화 기반 망분리 구축 방법 선정을 위한 체크리스트

• 예산/구축 비용
• 중요 업무 데이터의 관리 및 통제
• 자료 공유 및 업무 협업 중요도
• 사용자 환경 관리 및 유지보수 (OS 업데이트, 소프트웨어 관리 등)
• 사용자 PC 사양 및 성능
• 향후 확장성 제공 (스마트워크, 클라우드 환경 등)
• 업무 연속성 보장 (단말 장애 대응성, 이중화 등)
• 그린 IT 컴퓨팅 환경 제공

5. 망분리 구축 추진 시 고려사항

5.1 적용 업무 결정

• 업무를 모두 가상화 시스템에 올려서 정보보안 및 스마트 워크까지 일괄적으로 해결할 것인지?
• 간단하게 인터넷 기능만 가상화 환경에 올려서 기간 단축과 비용 절감 등의 효과를 얻을 것인지?
• SBC, VDI 방식 등을 통하여 망분리와 스마트워크 환경이 모두 가능하도록 할 것인지?

5.2 구축 전략 마련

• 일괄 구축 방식으로 진행할 것인지, 파일럿과 같은 단계별 구축과 확산 방식으로 진행할 것인지?
• 망 분리 시스템의 설계 시 어떤 항목을 우선순위로 정하고 가중치를 반영할 것인지? (성능, 안정성, 편의성, 관리성, 보안 등)
• 가상화 시스템 전환에 따른 애플리케이션, 주변 기기 등과의 호환성을 어떻게 담보할 것인지?

5.3 보안성 확보 여부 검토

• 구축 후 국가기관의 보안적합성 심사를 신청할 계획인지?

5.4 MicroSoft License

• 마이크로소프트와 GA(Government Agreement), SA(Software Assurance) 계약 등 필요한 계약이 준비되어 있는지?
• Windows 클라이언트 GA 및 SA 계약을 체결한 컴퓨터(PC)에 가상 데스크톱 접근 권리를 제공
• SA 계약을 체결하지 않은 컴퓨터는 VDA (Virtual Desktop Access) 라이선스를 별도로 발급받아야 함
• PC가 아닌 신클라이언트를 통해 가상화를 운영한다면 VDA 라이선스를 발급받아야 함

5.5 사무용/보안 라이선스

• 오피스, 바이러스 백신, DRM 등 업무용 및 보안용 소프트웨어 라이선스의 재활용은 문제가 없는지(사이트 라이선스 적용 확인)?
• 한컴 오피스의 경우 네트워크 서버 혹은 가상화 환경에 한글을 설치해 놓고 이에 연결된 디바이스에서 한컴오피스를 활용하고자 할 때 '한컴오피스 한글 서버 CAL 옵션' 계약을 체결해야 함

5.6 사용자 변화 관리

• 구축 후 사용자의 불만 사항을 해소하고, 데이터 마이그레이션을 효율적으로 할 수 있는 방안은 무엇인지?

5.7 구축 후 운영 방안

• 구축 후 사용을 강제화 할 것인지? 유인책을 병행할 것인지? 사용자 교육은 어떻게 할 것인지?
• 시스템 구축 후 발생 가능한 사용자 불편 사항을 사전에 인지하고 대응 방안 마련 준비 여부
• 대규모 가상화 환경에 대한 운영 방안, 전문 인력 배치, 내부 인력 전환, 자동화 도구 활용 여부
• 운영 중 발생되는 장애 처리를 효율적으로 대응하기 위한 프로세스 정립, 헬프 데스크 마련 여부
• 망 연계를 통한 자료 전송 요청, 승인, 반려 등의 업무 프로세스에 대한 표준 마련 여부

6. 망분리 관련 보안 환경 구축

• PC 보안 관리 : 인터넷망과 업무망 PC를 분리하고 각 PC에 대한 보안 관리를 각각 수행
• 인터넷 메일 : 외부 메일을 송·수신하는 메일 서버는 업무망과 분리하고 인터넷 PC에서만 접근하도록 구성
• 패치 시스템 : 패치 관리 시스템은 외부 인터넷과 분리 운영
• 프린터 등 주변기기 : 프린터 등 주변기기는 인터넷용 또는 업무용으로 분리 운영
• 망 간 자료 전송 : 망 연계 시스템을 통한 자료 전송 시 인가된 보조 기억장치만 사용(USB 메모리, CD, 이동식 하드디스크 등)
• 네트워크 접근제어 : 비인가 기기(PC, 노트북 등)는 인터넷망과 업무망 접속 통제

7. 가상화 기술 기반의 망부 분리 적용 시 사전 점검항목

7.1 호환성 측면

• 사내 오피스 소프트웨어인 MS-Office, Hwp 등 사용 가능 여부
• Office, Hwp, pdf 등의 문서 뷰어 사용 가능 여부
• 사내 보안 프로그램인 백신, DLP(Data Loss Prevention/데이터 유출 방지), DRM(Digital Rights Management/디지털 권한 관리), USB 보안 등의 설치와 사용 가능 여부
• 자체 통합계정관리 시스템인 AD(Active Directory), LDAP( Lightweight Directory Access Protocol), 인사 DB 등과 연동 가능 여부
• 망간 자료 전송을 위한 망연계 솔루션 사용 가능 여부
• 네트워크 성능이 열악한 해외 사용자의 VDI 사용 시 네트워크 대역폭으로 인한 성능 이슈 해결 방안 제공 여부

7.2 편의성 측면

• IE, Chrome, Firefox, safari 등 다양한 웹 브라우저의 버전별 사용 가능 여부
• USB 및 로컬 디스크 장치의 사용, 통제 가능 여부
• 가상 데스크톱에 설치된 OS, Application에 대한 패치 적용과 중앙관리 가능
• 동영상 재생을 위한 다양한 플레이어와 코덱에 대한 설치와 사용 가능 여부
• 웹이나 에이전트를 통한 가상 환경 접속을 위한 다양한 접속 지원과 에이전트 자동 설치 가능 여부
• 가상 환경 내 사용자 저장 자료와 OS, 필수 Application 및 패치 이외의 임의 설치 프로그램 초기화 가능 여부
• 임시 사용자나 프로젝트별 사용자를 위해 가상 환경 OS와 사용자 설치 Application 등의 자동 초기화 기능 지원 여부
• Linux, Windows(32bit/64bit) 등과 같은 다양한 가상 환경 OS 제공 가능 여부
• 사용자 계정별 개인화 프로파일 영역 제공으로 개인 환경(즐겨찾기, 바탕화면 등) 설정과 다른 단말기나 장소에서의 접속에도 동일한 개인 환경 제공 가능 여부

7.3 보안성 측면

• 로컬 영역과 가상 영역 간 USB, 파일공유, 인쇄, 클립보드 등 자료 이동 통제 가능 여부
• 가상 환경의 OS, Application에 대해 사용자 읽기 전용 방식으로 악성코드에 대한 대응 가능 여부
• 가상 환경의 악성코드 감염, MBR 삭제 등 가상 환경 시스템 손상 시 신속한 피해복구 가능 여부
• 가상 환경에서 서버, 사용자 client 간 패킷 암호화 등의 네트워크 보안 가능 여부가상 환경의 프로세스가 분리되어 로컬 영역과 가상 영역 간 상호 독립적으로 실행 가능 여부
• 로컬 영역과 가상 영역 간 완전히 분리된 파일 시스템 제공 가능 여부

7.4 관리적 측면

• 사용자 세션 모니터링(리소스 사용, 접속 현황 등)과 세션 통제(강제 종료, 세션 중단, 사용자 OS 및 Application 초기화) 가능
• 사용자 데이터 중앙 저장 관리와 백업 및 복구 관리 가능 여부
• 조직 내 통합 계정관리 시스템 연동이나 자체적인 계정관리 가능 여부
• 계정 및 그룹별 보안정책, 데스크톱 정책, 리소스(서버, 네트워크 등) 관리 정책, 보안 정책 통제 가능 여부
• HA(High Availability), 로드 밸런싱 등 장애 발생 시 대응 체계와 서비스 연속성 보장 가능 여부
• 사용자 IP(정적 IP or 동적 IP) 관리 및 통제 가능 여부
• 일정 시간 이후 유휴 세션에 대한 통제(세션 강제 종료 등) 가능 여부
• 사용자 증가에 따른 인프라(서버, 스토리지) 확장의 용이성(자동 HA구성 및 로드 밸런싱 구성 등) 여부