[보안맨] 국내 금융 기업의 "인터넷 접속 통제"

이번 주제는 ISMS (정보보호 관리체계) 인증 기준 중 하나인 ‘인터넷 접속 통제’ 입니다.

최근 뉴스를 통해, 산업 정보, 국가 기밀정보 유출 등에 관한 내용을 심심치 않게 접할 수 있습니다. 국가, 기업 등에서 여러 보안 투자, 활동 등을 통해 핵심 정보/자산을 지키기 위해 노력하지만, 해커 또는 내부자 등으로부터 다양한 형태의 공격 시도가 발생하고, 일부 허점을 통해 공격이 성공하기 때문입니다. 기술이 급격하게 발전하면서 정보보안 사고가 발생하는 시나리오는 매우 다양하지만, 대표적으로 인터넷을 통한 외부로부터 악성코드 감염, 이에 따른 정보 유출 등에 관한 사례가 있습니다.

ISMS ‘인터넷 접속 통제’ 인증 기준은 아래와 같습니다.

“인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보 시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스 (P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립·이행하여야 한다.”

본 인증 기준은 자산의 Outbound (내부 → 외부) 형태로의 인터넷 접근을 통제하는데 목표가 있다고 보입니다.

회사 환경에 적합한 인터넷 접근 통제 환경 조성을 위해, 필자가 과거 국내 금융회사에서 경험했던 두 가지 에피소드를 공유 드리고 싶습니다.

• ●PC 인터넷 접근 통제 정책 수립 및 관련 보안 솔루션 운영

필자는 온프레미스 환경¹⁾ 에서 여러 보안 솔루션을 구축/운영했습니다. 대표적으로 유해사이트 차단 솔루션이 있습니다. 회사 데이터 정책 상 유해하다고 판단되는 웹 사이트 카테고리 (e.g. 도박, 게임 등) 등을 설정해 임직원의 행동을 적절히 통제 했습니다.

Figure 1. 보안 솔루션 정책값에 따른 임직원 웹사이트 차단 화면 <예시>

당시 크게 두가지 어려운 요소가 있었습니다.

첫째, 회사 정보보안 시스템 관련 지침/절차서가 부재한 상황 이었습니다. 어떤 것이 유해한 웹사이트로 분류되는지에 대한 별도 기준, 매뉴얼 등이 없어서 비즈니스 부서로부터 사이트 해제 요청이 생기면 진땀을 흘려야 했습니다. 불편함을 호소하는 일부 직원의 경우, 어떤 기준으로 차단 되었는지, 관련 내부 정책은 있는지 여러 차례 물었습니다. 그래서 소규모 정보보안팀은 내부 지침의 필요성을 절실히 통감 했었습니다.

※ 1) 소프트웨어를 서버에 직접 설치해 쓰는 방식.

둘째, 보안 솔루션 내 정책값 최적화가 매우 어려웠습니다.

유해사이트 차단솔루션이 도입되던 시점에, 별도의 기준이 없는 상황에서 1인 운영자인 당시 보안 담당자가 임의로 정책값을 생성하고 별고 이력관리를 하지 않았습니다. 별도 중앙화된 이력관리 없이, 메일 또는 심지어 구두로 예외 허용 요청을 통해 정책을 운영하다 보니, 설정 정책의 업무 당위성을 판단하는 근거 자료가 매우 부족했습니다.

위 두 가지 이슈사항들을 해결하기 위해 2가지 업무를 병행했습니다.

• -정보보호시스템 운영관리 지침서 마련 (아래 최적화 계획 관련 정기 프로세스 반영 등)

• -보안 솔루션 정책값 최적화 계획 수립 및 수행

보안 솔루션 정책값 최적화 계획의 경우, 여러 사항을 고려해야 했습니다.

• -솔루션 벤더사와 일정 조율 (기능 확인, 테스트 계획 수립 등)

• -최근 1달, 3달 등 기간별 정책값 사용 현황 분석 (로그 추출, 현업 부서 인터뷰 등)

• -현업 부서 담당자 섭외에 따른 단위 테스트 수행

• -전사 테스트 (필요 시)

• -테스트, 전사 공지 문구 마련 (+ 제반 보고서 작성)

일련의 프로젝트 형태로 업무를 진행하면서, 타 부서에 업무협조를 구했던 부분이 제일 기억에 남습니다. 경직된 조직 구조 상, 각 부서에 ‘업무연락’ 문서를 발송해야만 했으며, 관련 응답이 오지 않는 경우도 비일비재 했습니다. 계획했던 테스트 일정보다 늦추어져서 어려움을 겪었던 기억이 있습니다. 참고로, 필자는 현재 외국계 기업의 비교적 수평적인 문화에 만족하고 있습니다.

• ●망 분리 환경 구축 및 운영

전자금융거래법 하위 전자금융감독규정 등 에 따라 회사 망분리 환경 조성이 필요했습니다. 기존 1대의 업무PC에서 인터넷 접속, 그룹웨어, 시스템 접속 등 업무를 처리했다면, 망분리 환경 구축 시, 인터넷용 PC 1대, 업무용 PC 1대가 각각 주어지고 각 PC 네트워크 환경에 맞는 업무를 처리해야 했습니다. 기존 1대 PC에서 해오던 업무를 2대의 PC에서 처리하다 보니, 임직원으로부터의 강한 반발이 예상되었습니다. 또한 과다 IT 예산 지출 등 에 따른 경영진의 의사결정을 득하는 과정도 쉽지 않았습니다. 정보보호팀 입장에서는 KPI (Key Performance Index) 에 따른 컴플라이언스 준수가 중요한 상황이 있으므로, 여러 차례 보고 끝에 대표이사로부터 전 직원(+ 관련 시스템)을 대상으로 망분리 추진을 승낙 받았습니다. 망분리 프로젝트는 크게 두 가지 세부 프로젝트로 분리 되었습니다.

• -Phase 1. 전산센터 망 분리 프로젝트 (IT/개발/운영 등)

• -Phase 2. 전사 망분리 프로젝트 (Phase1 관련 부서 外)

필자는 망분리 프로젝트 PM 을 Assist 하는 PL 로 여러 업무를 수행했습니다. 대표적으로 보안 솔루션 정책값 설정, 네트워크 환경 설정, 보안 솔루션 테스트, 임직원 보안 정책 및 매뉴얼 배포, 교육 등 업무를 수행했습니다.

전산센터 망 분리 환경 구축의 경우, 물리적 망분리²⁾ 형태에 따른, 별도 인터넷 네트워크 환경 (+ 보안 솔루션 설치 등)을 구성했습니다. NAC (Network Access Control), Firewall, IPS, Anti-Virus Solution, DLP, 망연계 솔루션 등 네트워크 / 엔드포인트 보안 솔루션이 통합 도입/운영 되었습니다.

※ 2) 개인정보보호법령 하위 고시 등에 따르면, 통신망, 장비 등을 물리적으로 이원화하여 인터넷 접속이 불가능한 컴퓨터와 인터넷 접속만 가능한 컴퓨터로 분리하는 방식, 이때 전자금융거래법 하위 관련 규정 등 에서 의미하는 망분리와는 성격, 범위 등이 다를 수 있으며, 이때 각 회사는 귀속 업종에 따른 특별법을 우선함

제일 기억에 남는 보안 솔루션 구축 경험은 단연 ‘망연계 솔루션’ 입니다. 다른 구축 보안 솔루션의 경우, 국내 여러 기업에서 많이 사용하는 제품으로서 비교적 신속히 기술지원을 받을 수 있었습니다.

반면, 망연계 솔루션의 경우, 국내 망분리 관련 법안 마련에 따라 파생된 신생 회사 형태를 띄고 있는 경우가 있었습니다. 필자의 회사는 당시 사정상 중소 기업 수준 (또는 보다 영세한) 망연계 솔루션 업체와 계약을 체결했습니다. 초기 도입 예산에 대한 장벽은 없었지만 기술지원이 녹록치 않았습니다. 예를 들어, A.zip 라는 파일을 업무용PC (폐쇄 네트워크 망) 에서 인터넷PC (인터넷 네트워크 망)로 옮기는 정책설정을 완료/운영했었으나, 개발자의 경우, 다양한 개발파일에 따른 관련 파일 확장자 정보 (e.g.

.bat)를 인식하지 않는 문제가 있었습니다. 관련 사례(또는 레퍼런스) 또는 즉각 대응/답변해 줄 수 있는 유지보수 엔지니어 확보의 어려움을 통해 처리가 지연되는 사례가 매우 많았습니다. 여러 임직원들로부터 불만이 가득 담긴 하소연 또는 심한 경우 욕을 듣기도 했었습니다.

망분리 구축 프로젝트의 경우, 단순히 구축에서 국한되는 것이 아니라, 이후 안정화 및 운영 측면 여러 임직원들의 반발심을 최소화하기 위해 크게 세 가지 주안점을 두었습니다.

• -사용자 친화적인 매뉴얼/웹툰 배포 및 지속적인 추진 배경 설명: 영업 부서 등 사무실 내 업무가 빈번하지 않는 직원의 경우, 망분리 환경에 대한 적개심이 매우 높았습니다. 따라서, 회사의 의지가 아닌 회사의 존속을 위한 관련 법령 준수의 필요성을 매뉴얼 및 웹툰에 반영/배포/교육 했습니다.

• -각 부서 사양을 고려한 인터넷 PC 마련: 물리적 망분리를 계획한 시점을 전후로, 사전에 관련 부서로부터 배경 설명과 함께 인터넷 PC 지급에 따른 필요 성능, 모델 등에 대한 설문조사를 받았습니다. 예산 이슈로 모든 직원의 니즈를 충족시킬 수는 없었지만, 특정 부서의 업무 목적 (e.g. 디자인, 개발 등) 및 관련 특성을 미리 고려한 덕분에 예산 한도 내 PC를 구매할 수 있었습니다.

• -보안 정책 예외 허용 및 관련 위험 평가: 일부 개발자의 경우, 업무망 PC 내에서 반드시 테스트가 필요한 케이스가 있었습니다. 이에 따른 망연계 솔루션 내 스트리밍 기능을 통해 예외적으로 인터넷 연결이 허용되었습니다. 이때, 단순히 보안 예외 설정에 그치지 않고, 정기적으로 위험평가를 실시함으로써 보완대책, 업무 필요성 등을 검토 후 CISO에게 보고했습니다.