[보안맨] 국내 금융 기업의 "인터넷 접속 통제"

안녕하세요,

이번 주제는 ISMS (정보보호 관리체계) 인증 기준 중 하나인 인터넷 접속 통제 입니다.

 

최근 뉴스를 통해산업 정보국가 기밀정보 유출 등에 관한 내용을 심심치 않게 접할 수 있습니다국가기업 등에서 여러 보안 투자활동 등을 통해 핵심 정보/자산을 지키기 위해 노력하지만해커 또는 내부자 등으로부터 다양한 형태의 공격 시도가 발생하고일부 허점을 통해 공격이 성공하기 때문입니다기술이 급격하게 발전하면서 정보보안 사고가 발생하는 시나리오는 매우 다양하지만대표적으로 인터넷을 통한 외부로부터 악성코드 감염이에 따른 정보 유출 등에 관한 사례가 있습니다.

 

ISMS 인터넷 접속 통제 인증 기준은 아래와 같습니다.

인터넷을 통한 정보 유출악성코드 감염내부망 침투 등을 예방하기 위하여 주요 정보 시스템주요 직무 수행  개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.”

 

 인증 기준은 자산의 Outbound (내부 → 외부형태로의 인터넷 접근을 통제하는데 목표가 있다고 보입니다.

회사 환경에 적합한 인터넷 접근 통제 환경 조성을 위해필자가 과거 국내 금융회사에서 경험했던 두 가지 에피소드를 공유 드리고 싶습니다.

 

 

  • PC 인터넷 접근 통제 정책 수립  관련 보안 솔루션 운영

 

필자는 온프레미스 환경1) 에서 여러 보안 솔루션을 구축/운영했습니다대표적으로 유해사이트 차단 솔루션이 있습니다회사 데이터 정책 상 유해하다고 판단되는 웹 사이트 카테고리 (e.g. 도박게임 등등을 설정해 임직원의 행동을 적절히 통제 했습니다.

 


 



Figure 1. 보안 솔루션 정책값에 따른 임직원 웹사이트 차단 화면 <예시>

 

 

당시 크게 두가지 어려운 요소가 있었습니다.

 

첫째회사 정보보안 시스템 관련 지침/절차서가 부재한 상황 이었습니다어떤 것이 유해한 웹사이트로 분류되는지에 대한 별도 기준매뉴얼 등이 없어서 비즈니스 부서로부터 사이트 해제 요청이 생기면 진땀을 흘려야 했습니다불편함을 호소하는 일부 직원의 경우어떤 기준으로 차단 되었는지관련 내부 정책은 있는지 여러 차례 물었습니다그래서 소규모 정보보안팀은 내부 지침의 필요성을 절실히 통감 했었습니다.

 1) 소프트웨어를 서버에 직접 설치해 쓰는 방식.


둘째, 보안 솔루션 내 정책값 최적화가 매우 어려웠습니다.

유해사이트 차단솔루션이 도입되던 시점에별도의 기준이 없는 상황에서 1인 운영자인 당시 보안 담당자가 임의로 정책값을 생성하고 별고 이력관리를 하지 않았습니다별도 중앙화된 이력관리 없이메일 또는 심지어 구두로 예외 허용 요청을 통해 정책을 운영하다 보니설정 정책의 업무 당위성을 판단하는 근거 자료가 매우 부족했습니다.

 

 두 가지 이슈사항들을 해결하기 위해 2가지 업무를 병행했습니다.

  • -정보보호시스템 운영관리 지침서 마련 (아래 최적화 계획 관련 정기 프로세스 반영 )

  • -보안 솔루션 정책값 최적화 계획 수립  수행

 

보안 솔루션 정책값 최적화 계획의 경우, 여러 사항을 고려해야 했습니다.

  • -솔루션 벤더사와 일정 조율 (기능 확인, 테스트 계획 수립 )

  • -최근 1, 3  기간별 정책값 사용 현황 분석 (로그 추출, 현업 부서 인터뷰 )

  • -현업 부서 담당자 섭외에 따른 단위 테스트 수행

  • -전사 테스트 (필요 )

  • -테스트, 전사 공지 문구 마련 (+ 제반 보고서 작성)

 

일련의 프로젝트 형태로 업무를 진행하면서타 부서에 업무협조를 구했던 부분이 제일 기억에 남습니다경직된 조직 구조 상각 부서에 업무연락’ 문서를 발송해야만 했으며관련 응답이 오지 않는 경우도 비일비재 했습니다계획했던 테스트 일정보다 늦추어져서 어려움을 겪었던 기억이 있습니다참고로필자는 현재 외국계 기업의 비교적 수평적인 문화에 만족하고 있습니다.

 

 

  •  분리 환경 구축  운영

 

전자금융거래법 하위 전자금융감독규정 등 에 따라 회사 망분리 환경 조성이 필요했습니다기존 1대의 업무PC에서 인터넷 접속그룹웨어시스템 접속 등 업무를 처리했다면망분리 환경 구축 시인터넷용 PC 1업무용 PC 1대가 각각 주어지고 각 PC 네트워크 환경에 맞는 업무를 처리해야 했습니다기존 1대 PC에서 해오던 업무를 2대의 PC에서 처리하다 보니임직원으로부터의 강한 반발이 예상되었습니다또한 과다 IT 예산 지출 등 에 따른 경영진의 의사결정을 득하는 과정도 쉽지 않았습니다정보보호팀 입장에서는 KPI (Key Performance Index) 에 따른 컴플라이언스 준수가 중요한 상황이 있으므로여러 차례 보고 끝에 대표이사로부터 전 직원(+ 관련 시스템)을 대상으로 망분리 추진을 승낙 받았습니다망분리 프로젝트는 크게 두 가지 세부 프로젝트로 분리 되었습니다.

  • -Phase 1. 전산센터  분리 프로젝트 (IT/개발/운영 )

  • -Phase 2전사 망분리 프로젝트 (Phase1 관련 부서 外)

 

필자는 망분리 프로젝트 PM  Assist 하는 PL  여러 업무를 수행했습니다대표적으로 보안 솔루션 정책값 설정네트워크 환경 설정보안 솔루션 테스트임직원 보안 정책 및 매뉴얼 배포교육 등 업무를 수행했습니다.

 

전산센터 망 분리 환경 구축의 경우물리적 망분리2) 형태에 따른별도 인터넷 네트워크 환경 (+ 보안 솔루션 설치 ) 구성했습니다. NAC (Network Access Control), Firewall, IPS, Anti-Virus Solution, DLP, 망연계 솔루션 등 네트워크 엔드포인트 보안 솔루션이 통합 도입/운영 되었습니다.


※ 2) 개인정보보호법령 하위 고시 등에 따르면통신망장비 등을 물리적으로 이원화하여 인터넷 접속이 불가능한 컴퓨터와 인터넷 접속만 가능한 컴퓨터로 분리하는 방식, 이때 전자금융거래법 하위 관련 규정  에서 의미하는 망분리와는 성격범위 등이 다를 수 있으며이때 각 회사는 귀속 업종에 따른 특별법을 우선함

 

 

제일 기억에 남는 보안 솔루션 구축 경험은 단연 망연계 솔루션’ 입니다다른 구축 보안 솔루션의 경우국내 여러 기업에서 많이 사용하는 제품으로서 비교적 신속히 기술지원을 받을 수 있었습니다.

반면망연계 솔루션의 경우국내 망분리 관련 법안 마련에 따라 파생된 신생 회사 형태를 띄고 있는 경우가 있었습니다필자의 회사는 당시 사정상 중소 기업 수준 (또는 보다 영세한망연계 솔루션 업체와 계약을 체결했습니다초기 도입 예산에 대한 장벽은 없었지만 기술지원이 녹록치 않았습니다예를 들어, A.zip 라는 파일을 업무용PC (폐쇄 네트워크 망에서 인터넷PC (인터넷 네트워크 망)로 옮기는 정책설정을 완료/운영했었으나개발자의 경우다양한 개발파일에 따른 관련 파일 확장자 정보 (e.g.

.bat)를 인식하지 않는 문제가 있었습니다관련 사례(또는 레퍼런스또는 즉각 대응/답변해 줄 수 있는 유지보수 엔지니어 확보의 어려움을 통해 처리가 지연되는 사례가 매우 많았습니다여러 임직원들로부터 불만이 가득 담긴 하소연 또는 심한 경우 욕을 듣기도 했었습니다.

 

망분리 구축 프로젝트의 경우단순히 구축에서 국한되는 것이 아니라이후 안정화 및 운영 측면 여러 임직원들의 반발심을 최소화하기 위해 크게 세 가지 주안점을 두었습니다.

 

 

 

  • -사용자 친화적인 매뉴얼/웹툰 배포  지속적인 추진 배경 설명영업 부서  사무실 내 업무가 빈번하지 않는 직원의 경우망분리 환경에 대한 적개심이 매우 높았습니다따라서회사의 의지가 아닌 회사의 존속을 위한 관련 법령 준수의 필요성을 매뉴얼 및 웹툰에 반영/배포/교육 했습니다.

 

  • -각 부서 사양을 고려한 인터넷 PC 마련물리적 망분리를 계획한 시점을 전후로사전에 관련 부서로부터 배경 설명과 함께 인터넷 PC 지급에 따른 필요 성능모델 등에 대한 설문조사를 받았습니다예산 이슈로 모든 직원의 니즈를 충족시킬 수는 없었지만특정 부서의 업무 목적 (e.g. 디자인개발  관련 특성을 미리 고려한 덕분에 예산 한도 내 PC를 구매할 수 있었습니다.

 

  • -보안 정책 예외 허용 및 관련 위험 평가일부 개발자의 경우업무망 PC 내에서 반드시 테스트가 필요한 케이스가 있었습니다이에 따른 망연계 솔루션 내 스트리밍 기능을 통해 예외적으로 인터넷 연결이 허용되었습니다이때단순히 보안 예외 설정에 그치지 않고정기적으로 위험평가를 실시함으로써 보완대책업무 필요성 등을 검토 후 CISO에게 보고했습니다.



 

Figure 2. 망분리 환경 관련 웹툰 <예시>





0개의 댓글이 있습니다.

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입