금융회사 보안담당자가 반드시 알아야 하는 것-2

망분리

금융회사의 업무 PC는 원칙적으로 인터넷이 되면 안 된다.

국내 기업을 대상으로 오랫동안 여러 해킹사고가 있었고 결정적으로 3.20 사태가 벌어지면서 금융위원회는 금융전산 보안 강화 종합대책을 마련했다.

주로 인터넷을 통해 악성코드에 감염 및 전파되고, 내부정보가 유출되기 때문이다. 지금은 존속기간이 경과된 망분리 가이드라인을 배포하며 업무망과 인터넷망을 분리하기 시작했다.

금융전산 망분리 가이드라인(’ 13.9월)은 존속기간이 경과하여 효력이 소멸하였음

같은 해에 전자금융감독규정에 망분리가 반영되었다. 제15조를 보면 외부 통신망과의 접속을 금지하라고 나와있다.

---

전자금융감독규정 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.

3. 내부통신망과 연결된 내부 업무용 시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)

5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.)

---

망분리는 물리적, 논리적으로 나눌 수 있다. 물리적 분리는 업무망과 인터넷망을 접속하는 PC를 물리적으로 분리한 구성이다. 반대로 한대의 PC에서 네트워크만 업무망, 인터넷망을 분리한 구성은 논리적 분리로 본다.

물리적으로 분리할 때에 통신회선 자체를 분리해야 하기 때문에 아래 그림처럼 방화벽으로 분리하는 건 물리적 망분리로 볼 수는 없다.

<재택근무 관련 망분리 제도 개선사항. 자료:금융감독원>

<전자금융감독규정 해설서. 자료:금융보안원>

VDI를 통해 인터넷 PC 환경을 가상으로 제공하는 회사도 있는데 이러한 구성은 논리적망분리에 해당된다. IT 직원은 물리적으로 분리해서 사용해야 하기 때문에 PC를 2~3대씩 써야 한다.

실제 금융회사 IT부서에 가보면 한 책상에 마우스와 키보드가 2~3개씩 있다. KVM 스위치나 유니파잉으로 묶어서 사용하기도 하나, 기계식 키보드 사용을 많이 하는 곳은 불편을 감수한다.

VDI의 경우 구축할 때에 비용이 많이 들어가기 때문에 경영진 입장에서는 업무용 사이트 몇 개 열어주자고 투자하기엔 고민이 될 것이다. 다행히 업무상 불가피한 경우엔 업무 PC에서 인터넷을 제한적으로 열어줄 수 있도록 되어있다.

---

전자금융감독규정 제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리 시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.

3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)

5. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다.)

전자금융감독규정 시행세칙 제2조의2 (망분리 적용 예외) ① 규정 제15조 제1항 제3호에서 금융감독원장의 확인을 받은 경우란 다음 각 호와 같다

1. 내부 통신망에 연결된 단말기가 업무상 필수적으로 외부기관과 연결해야 하는 경우(다만, 이 경우 필요한 서비스 번호(port)에 한하여 특정 외부기관과 연결할 수 있다).

2. 규정 제12조의 보안대책을 적용한 단말기에서 전용회선과 동등한 보안 수준을 갖춘 통신망을 이용하여 외부망으로부터 내부 업무용시스템으로 원격 접속하는 경우

② 규정 제15조1항 제5호에서 금융감독원장이 인정하는 경우란 다음 각 호와 같다.

1. 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따라 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우(다만, 해당 국외 소재 전산센터에 대해서는 물리적 방식 외의 방법으로 망을 분리하여야 하며, 이 경우에도 국내 소재 전산센터 및 정보처리시스템 등은 물리적으로 망을 분리하여야 한다)

2. 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템(다만, 필요한 서비스번호(port)에 한하여 연결할 수 있다)

가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템

나. DMZ구간 내 정보처리시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보처리시스템

다. 다른 계열사와 공동으로 사용하는 정보처리시스템

...

③ 제1항 및 제2항의 규정은 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 <별표 7>에서 정한 망분리 대체 정보보호통제를 적용하고 정보보호위원회가 승인한 경우에 한하여 적용한다.

---

우선 첫 번째로 업무상 필수적으로 외부기관과 연결하는 경우 망분리 예외가 가능한데, "업무상"이라는 단어가 애매모호하다. 업무상 고객 주소 확인을 위해 네이버, 다음지도에 접속을 해야 한다면 규정상의 "업무상"에 포함되는 것인지 헷갈릴 것이다. 이럴 경우 해설서를 찾아봐야 한다. 

<외부기관의 범위. 자료:감독규정 해설서>

불특정 다수가 접속하는 인터넷 포탈 등은 외부기관으로 보지 않는다고 나와있다.

두 번째로는 원격 접속하는 경우인데, 코로나로 인해 상시 재택근무가 가능해지면서 해당 규정이 개정되었다. 

원격 접속의 경우 감독규정 시행세칙 별표 7에 별도로 구분되어있기 때문에 유심히 봐야 한다.

<전자금융감독규정 시행세칙 별표 7. 자료:국가법령정보센터>

간접접속이냐 직접 접속이냐에 따라 준수해야 하는 항목들이 다르다. 상세 내용은 추후에 별도로 다루겠다.

공공장소에서 원격 접속 금지는 보통 교육이나 서약서 징구 시에 공공장소에서 접속하지 않겠다는 확인을 받는 방식으로 정책을 가져가야 할 것이다.

별표 7이 등장했으니 관련 설명을 이어가겠다. 만약 지금껏 업무 PC를 관리자 권한으로 사용해온 금융회사라면 "관리자 권한 제거" 부분이 까다로울 것이다. 

왜요? 그냥 권한 제거하면 되는 거 아닌가요?

라고 단순하게 생각될 수도 있으나 관리자 권한이 필요한 프로그램 설치라던가, 관리자 권한으로 실행해야 하는 보안 프로그램 같은 경우 예외적으로 관리자 권한이 필요하기 때문에 중앙관리를 위해선 솔루션이 필요하다.

대부분의 금융회사가 관리자 권한 관련해서 검토할 때 AD도입도 같이 고민할 것이다. AD를 통해 관리자 권한을 제거하고 OS의 일원화된 환경유지와 보안설정 강제화 등 중앙에서 정책관리가 되기 때문이다.

하지만 AD가 반드시 필수사항은 아니다. 실제 AD 환경인 금융사와 아닌 금융사가 반반 정도 되는 걸로 알고 있다.

AD를 도입하든 하지 않던 관리자 권한을 제거해야 하는데, 이 작업이 만만치가 않다. PC마다 이행이라는 작업을 진행해야 하는데, 각 PC마다 사용자 환경설정을 신규 사용자(관리자 권한이 제거된) 환경으로 옮겨주는 작업이다. 

사용자들은 지금까지 필요한 설치 파일을 반입 후, 입맛에 맞게 설치하고 삭제하고 자유롭게 사용했을 것이다. 그리고 윈도우 스티커 메모 같은 것들도 바탕화면에 수십 장이 붙어있고, IE의 환경설정 등 사용자 환경들이 모두 제각각으로 세팅되어있을 것이다.

이행작업을 중앙에서 처리하는 솔루션도 있다고 하나, 외부인력을 통해 수작업으로 진행하는 비용이 더 저렴할 수도 있다고 하니 비교 검토를 해봐야 할 것이다.

망분리에 대해 모든 것을 이야기하기엔 내용이 너무 광범위하기 때문에 상세한 내용은 전자금융감독규정 시행세칙과 해설서를 찾아보길 바란다. 

---

망분리는 보안성이 뛰어나지만, 편의성과 효율성은 바닥이다. 필요한 파일을 반입하거나 반출하는 경우 망연계 시스템을 통해 내부결재를 받아야 하기 때문이다.

망연계 시스템은 서로 다른 망을 업무상 필요한 포트와 IP만 연결해주는 시스템으로 파일을 반입/반출할 때 사용하거나, 망간 트래픽을 연계할 때 사용한다. 자세한 설명은 뒤에서 하겠다.

현행 망분리 규제는 망을 내·외부로 나눠 일반 데이터와 기밀 데이터를 내부망에, 데이터 활용 분석 도구는 외부망에 두게 한다. 이러한 규제 때문에 오픈소스를 통한 신기술 적용 등 혁신을 가로막는 걸림돌이 될 수 있다.

해외사례를 보면 데이터를 기준으로 망을 분리한다. 중요도가 높은 데이터가 있는 망은 내부망으로, 일반 데이터를 사용하는 업무는 인터넷망으로 활용하는 방식이다.

혁신이 막혀있다 보니 새로운 보안기술이 적용되기 어렵고 장기적으로 망분리는 오히려 보안에 위협을 줄 것이다는 전문가 의견도 있다.