망 분리, 망 연계

I. 업무망과 인터넷망 분리, 망 분리

  • 기업 또는 공공기관 내/외부 네트워크 분리로 데이터 유출 및 보안 사고를 차단하는 기술

 

II. 물리적 망 분리와 논리적 망 분리

가. 망 분리 방식의 구분

  • 망 분리는 크게 물리적 망 분리와 논리적 망 분리로 구분, 각 망 분리는 세분화 되어 구분 가능

나. 물리적 망 분리

구분설명
구성도
방식복수 PC 활용 방식
– 인터넷PC와 업무PC를 물리적으로 별도 구성, 분리
네트워크 전환장치 이용 방식
– 망 전환장치 이용 업무용HDD, 인터넷용HDD 전환
장점– 명확한 개념의 망 분리, 기존 기술/업체 선정 용이
단점– 망 구축, PC 2대 지급 등 고비용 소요
– PC 등 물리적 장비 증가로 관리 포인트 증가
– 업무PC에서 인터넷구간 업무용 서버 접근 불가
보안
위협
– 업무/인터넷PC 간 자료 이동, 데이터 유출 가능
– 보조 기억 매체(USB등) 통한 악성코드 감염 가능성

다. 논리적 망 분리

구분설명
구성도
방식– 업무PC 사용 동시 가상화 서버 이용 인터넷 사용
장점– 가상화 서버를 통한 인터넷 통제
단점– 인터넷 서버팜 구축 비용 소요, 트래픽 부하
– 인터넷 수집자료 PC 저장 허용 시 해킹 우려
– 웜, 바이러스 등 침투 방지 노력 필요
보안
위협
– 인터넷과 업무망 분리 방화벽 정책 오류 가능성
– 터미널 서버 및 스토리지 통한 악성코드 감염

라. 물리적 망 분리와 논리적 망 분리 비교

항목물리적 망 분리논리적 망 분리
전환 시
재부팅
업무/인터넷망 전환 시
재부팅 필요
재부팅
필요 없음
보안성보안상 안전악성코드 유입 가능성
추가장치추가PC, 추가HDD
전용접속장치 등
전용 서버
가상화 솔루션
주요 장점물리적 보안으로
안전성 높음
기존 자원 활용
상대적 비용 저렴
주요 단점사무공간 협소
업무 연속성 저하
해킹, 악성코드감염 시
전체 감염 가능성
  • 망 분리를 통해 보안 측면의 효과가 있으나 업무 효율성 저하로 업무의 긴급, 중요성에 따라 솔루션 선택

 

III. 망 연계 기술

가. 망 연계 기술의 개념

  • 업무 효율성 및 관제 데이터 통합, 실시간 데이터 연계 등으로 망 간 데이터 연계 필요성 증가

나. 망 연계 기술 구현 방식

구분망 연계 기술설명
별도
통신
기반
독자개발 기술– 독자개발 전용 프로토콜
– 벤더 별 프로토콜, 방식 상이
커널 기반
시리얼 통신
– IEEE1394 기반
– 단일 채널 단일 비트 통신
응용 계층
식별/차단
– DPI, 전책 부합 프로토콜의 경우 통신 연계
단방향 통신– 한쪽 방향만 통신 수행
– Request → IF A, Response → IF B
암호화
기반
고강도 암호화– AES-256, SHA-512 해시 함수
– Diffie-Hellman 키 교환 알고리즘
보안영역주도
통신 처리
– 통신 세션 연결은 보안영역에서 선 요청 암호화
암호기반
전송 통제
– 암호화 자료 전송
– 통신중계 정책기반 제어
보안 USB사용– AES-256 H/W 암호화 보안칩
– USB 내 암호키 내장
  • 각 망 연계 기술은 특성 및 장단점이 명확하므로, 망 분리 상황 및 업무 분석을 통해 최적 솔루션 선택
One Comment

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^