이중원 교수

 

2011년에 발생한 농협전산시스템의 해킹에 의한 시스템장애는 우리사회에 보안의 중요성을 깨닫게 해준 심각한 사건이였다. 이를 계기로 출현하게 된 망분리시스템은 2013년 3월 20일 대부분의 주요 은행과 방송사 네트워크를 마비시킨 이른바 3.20 사이버테러 및 그 해 수천만 건에 달하는 사상 최대 규모의 개인정보가 유출된 신용카드사 사고 등을 연이어 겪으며 특히 고객정보를 다루는 금융기관은 반드시 구축해야 하는 시스템이 되었다. 

결국 3•20 사이버테러로 금융감독원은 2013년 7월 11일 '금융전산 보안 강화 종합대책'을 발표하기 이르렀으며, 이후 그 해 9월 발표한 '망분리 가이드라인'에 따라 그 해 말까지 전산센터에 대해 내부 업무망과 외부 인터넷망을 원천적으로 차단하는 망분리를 의무화했다. 

결국, 망분리는 보안을 강화하기 위해 기업망(내부망)과 인터넷망(외부망)을 분리하여 외부해커로부터 침입을 막고 내부 정보의 유출을 방지하는 것을 목적으로 나타난 IT 기술로써, 전산자원을 물리적으로 나누는 물리적망분리와 통신망을 소프트웨어적으로 나누는 논리적망분리가 있는데, 대체적으로 공공기관은 물리적망분리형태로 구축하였고, 기업은 논리적망분리형태로 구축하였다. 

그러나 지금까지도 내 머리를 맴도는 것은 전세계적으로 오로지 한국에만 있는 이 망분리라는 IT기술이 과연 우리에게 완벽한 보안을 주었는지, 망분리를 적용하기 위해 망연계솔루션처럼 부차적인 소프트웨어가 필요하게 되어 불편함을 주지는 않았는지, 또한 코로나 19가 창궐하는 요즘, 재택근무등 비대면으로 업무를 처리해야 할 시점에서 이 망분리기술이 걸림돌은 아닌지 의심할수밖에 없게 되었다.  

망분리시스템을 공공기관이나 금융 및 기업등에 법규를 통해 강제적으로 구축하게 하는것은 세계적으로 우리나라가 유일하다. 또한 필자가 외국의 IT관련 사람들과 우리나라의 망분리를 설명할 때 “network separation” 이라 하면 잘못 알아 듣는 경우가 허다하다.

그만큼 우리나라의 망분리시스템은 세계적인 상황이나 보안과 데이터 사용이라는 서로 상반되는 상황을 고려하지 않고 허겁지겁 태어난 것이 분명해 보인다. 아니면, 보안을 책임지는 국가기관과 국내외 보안업체와의 이해가(?) 맞아떨어져서 태어난 것일까?  

필자가 알기에 우리나라에서 논리적 망분리의 표준으로 되어버린 시트릭스의 논리적 망분리 솔루션의 시초는 1990년대 IBM 메인프레임을 thin client 형태의 PC에서 접근하기 위해 시트릭스에서 개발한 Ctrix Metaframe이라는 제품이였다. 

그런데, 중앙집중형의 IBM 메인프레임이 퇴조하고, 클라이언트/서버시스템이 등장하자 이 Metaframe이라는 제품은 갈 곳을 잃고 한동안 사장되어 있었다. 그러던 터에 보안이슈가 터지고, 이에 대응하기 위해 우리나라 국가기관에서 허겁지겁 망분리라는 개념을 내 놓으면서, 이 솔루션이 논리적 망분리 솔루션이라는 이름으로 화장을 하고 다시 나타난 것이다

이렇게 급하게 나타난 망분리 솔루션에는 문제가 있을 수밖에 없을 것이다. 해외에서는 망분리를 해야하는 법규도 없지만 우리나라의 망분리시스템과 비슷한 시스템을 굳이 유추하자면, 우리나라에서 쓰는Network separation이라는 용어대신 Network Segmentation 이라고 말한다. 

우리나라는 기업 내부 시스템에 있는 데이터가 보호할 가치가 있는 정보인지 아닌지가 중요하지 않고, 오직 기업내부에 있기 때문에 방어 하려고 하는 반면 해외는 기업내부나 외부보다는 어떤 데이터가 보호할 가치가 있는지, 그리고 데이터에 대한 사용을 원할히 한다는 관점에서 보안에 접근한다. 즉, 우리나라는 도메인 중심의 보안정책을 하고, 해외에서는 데이터 중심의 보안정책을 한다. 

그동안 우리나라의 보안 정책을 총괄했던 국가기관이 어딘지는 독자들도 잘 아시리라 생각한다. 그 기관이 국내외 보안제품의 인증도 쥐락펴락하며, 우리나라의 보안정책을 이끌어 왔는데, IT업계에서 오랫동안 일을 해왔던 필자의 입장에서 그 기관의 보안정책 담당자들이 보안에 대한 어떤 철학으로 국내의 보안정책을 이끌어 가고 있는지에 대해 답답함과 우려가(?) 있음을 부인할 수 없다.

 

 

 

 

 

 

주요 경력

-현 김포대학교 사이버보안학과 교수

-IT 기술, 영업 분야 37년의 내공(1983년~현재) 

-한화생명에서 시스템운용 및 IT기획팀 

-한국 CA에서 기술 및 컨설팅 임원

-(주)인성정보에서 전략사업개발본부장 및 영업본부장 

-경험한 IT기술: OS, 서버, 데이타관리, 네트워크, 보안 분야 등 

-동국 대학교 전산학과 겸임교수 역임  

 

주요 저술 및 기고 

 

-메인프레임과 유닉스 시스템 연결 및 구축–온더넷, 랜 타임즈

-IBM 3746을 이용한 APPN 네트워크 구축–온더넷, 랜 타임즈

-교육개발원의 네트워크 운용자 교육 커리큘럼 및 교재 개발 위원 역임 

자격증 및 기타 

-BS7799 Leader Auditor Certification 

-ITIL V2, V3 Foundation Certification

-동국 대학교 전산학과 겸임교수 역임  

최종 학력  

-숭실대학교 정보과학대학원 정보통신공학 석사