본문 바로가기
개인정보보호

망분리 종류 및 구성

by 구피월드 2022. 10. 25.

망분리는 인터넷망과 업무망을 분리 및 차단하여 업무망을 보호하는 방법으로 논리적, 물리적, Hybrid형으로 분류할 수가 있습니다. 망분리를 위한 대표적인 네트워크 보안 기술로는 NAC, VPN, Firewall, UTM, IPS 등이 있습니다.

 

 

망 분리 관련 법률

망 분리는 개인정보 보호 조치 중에서 꼭 필요한 조치 중의 하나입니다. 정보통신망법에서는 정보통신서비스 제공자에 대해 망 분리를 권고하고 있는데, 정보통신서비스 제공자가 아니더라도 I

kuppy-world.tistory.com

 

이전에는 망분리 관련 법률을 살펴보았으며, 이번에는 망분리의 종류와 망분리를 위한 지침 가이드에 대해 살펴보도록 하겠습니다.

 

네트워크 망분리

 

망분리의 단계는 크게 단말 Level, 네트워크 Level, 업무 Level 3가지 레벨로 나누어지며, 단말 Level의 경우는 일반 PC가 인터넷용 PC와 업무용 PC를 구분하여 사용하는 것이며, 네트워크 Level은 네트워크 자체를 인터넷 망과 업무망으로 구분하여 사용하는 것을 말합니다. 업무 Level의 경우는 단말 Level과 네트워크 Level 단계로 망분리를 하고 업무에 따라 인터넷 망을 사용해야 하는 업무와 인터넷 없이 업무만을 사용해야 하는 업무로 구분하여 사용하는 것을 말합니다.

 

망분리의 종류

  1. 물리적 망분리
    회선 망 자체를 업무용과 인터넷용으로 아예 물리적으로 분리를 시켜놓은 형태를 말하며, 이는 회선 자체가 업무용과 인터넷용으로 구분되어 있어 보안적인 측면에서 가장 우수한 방법이라 할 수 있습니다. 사용자 측면에서는 업무용과 인터넷용 두가지를 모두 사용해야 한다면, 업무 전용 PC와 인터넷 전용 PC 두 가지를 각각 사용해야 합니다.
  2. 논리적 망분리
    논리적 망분리는 1대의 PC를 가지고 가상화 및 별도의 접속 프로그램을 통하여 업무용이나 인터넷용의 다른 망으로 접속하는 형태를 말합니다.  논리적 망분리에는 CBC(Client Based Computing) 방식과 SBC(Server Based Computing) 방식으로 나눌 수 있습니다. 
    - CBC(Client Based Computing) : 업무용으로 PC 한 대를 사용하면서 사용자 PC의 가상 영역을 인터넷용 PC로 사용하는 것으로 Virtual PC형태로 인터넷망에 접속하는 형태입니다.
    - SBC(Server Based Computing) : 업무용 PC 한 대에서 별도의 원격 접속 프로그램을 이용하여 인터넷망 접속이 가능한 PC로 접근하여 인터넷망을 사용하는 방식입니다.
  3. Hybrid 망분리
    사용자가 2대의 PC를 사용하면서 물리적 망분리처럼 망이 분리된 형태가 아닌 하나의 네트워크 망을 가상화로 나누어 사용하는 것으로 물리적 망분리에 비해 구축 비용을 절감할 수 있는 면이 있습니다.
    사용자의 2대 PC에는 보안 Client라는 장비로 연결이 되며, 인터넷 망 접속을 위한 PC의 경우에는 보안 터널링을 통하여 인터넷망과 통신을 할 수 있으며, 업무용 PC는 일반 터널링을 이용하여 업무용 망에 접속을 할 수가 있습니다.

 

망분리를 위한 지침 가이드

  • 인터넷용 PC에 대한 보안
    - 인터넷용 PC에서 문서작업은 원칙적으로 금지
    - 인터넷용 PC에서 부득이하게 문서작업을 위해서는 제한된 승인 후 작업 진행
    - 인터넷용 PC에서는 메신져, 웹하드 등 사용을 금지하며, 업무상 필요한 경우는 제한적으로만 사용
  • 인터넷 메일 
    - 외부 메일 서버는 인터넷망 PC로만 접근이 가능해야 함
    - 사내용 메일 서버는 업무용 PC로만 접근이 가능하며, 인터넷용 PC에서는 접근이 불가
    - 외부 메일과 내부 메일 상호간 메일 송수신을 위해서는 망연계를 통하여 전송해야 함
  • Patch management System
    - Patch를 적용하기 위해서는 수동으로 다운로드 후, Patch의 무결성 검사 후 Patch를 시스템에 적용
    - 업무용 Patch 관리 시스템은 외부 인터넷망과 차단
  • 업무용 PC
    - 업무용 PC는 외부 인터넷 및 외부 메일 접속을 차단하며, 인터넷 접속이 필요한 경우 제한적으로 관리자의 승인 후 이용
    - 업무용 PC에서는 외부 매체 사용이 불가해야 하며, wi-fi 등 무선 인터넷 연결이 불가해야 함
  • 망 자료 연계
    - 업무망과 인터넷망간 자료 전송시에는 자료 연계 서버를 이용하여 전송
    - 자료 연계 서버는 인터넷망과 업무망 각각에 설치하여 운영
  • 프린트 및 주변기기
    - 네트워크 프린트는 업무용망과 인터넷망 각각에 설치 운영
  • 비인가 단말기의 접근 통제
    - 네트워크 접근은 인가된 단말기에 한해서 접근이 가능해야 함
    - 업무망과 인터넷망 각각에 NAC를 설치해야 함
  • 사용자 단말 보안
    - 사용자의 단말은 PC 보호를 위해 백신 및 패치를 설치
    - 사용자 단말에 대해서는 중앙집중적인 보안 정책을 적용하고 관리해야 함
  • 보조 기억장치 관리 및 매체제어
    - 비인가 USB 장치는 업무용PC에 접근이 불가해야 함
    - 업무망과 인터넷망 각각에는 매체 제어 시스템(DLP: Data Loss Prevention)을 설치해야 함

 

저작자표시 비영리 변경금지

'개인정보보호' 카테고리의 다른 글

개인정보 유출 시 신고해야하는 내용  (0) 2022.10.27
VPN 가상 사설망 정리  (0) 2022.10.26
침입차단시스템(Firewall 방화벽)  (0) 2022.10.24
ISMS-P, ISMS  (0) 2022.10.23
망 분리 관련 법률  (0) 2022.10.23

관련글

댓글

티스토리툴바