안녕하세요
보안 및 네트워크 관련 문의 드리기 위해 글 올립니다. 초자라 자세한 설명 좀 부탁드립니다
1. 그룹웨어를 현재 집에서 url치면 바로 접속이 가능한데요(아이디, 비번 입력후)
이렇게 구현해도 보안상 문제가 없는지 궁금합니다.
제 친구보니 vpn이나 vdi로 접속 후 그룹웨어를 사용하게 되던데요. 아니면 two factor 인증으로 전화로 문자받고 아이디, 비번 입력 후 접속이 되더라구요
근데 현재처럼 그룹웨어 uri만 입력후 접속시 구체적으로 보안에 무슨 문제가 발생하게 되는지 궁금합니다
2.두번째는요
현업들이 내부업무시스템과 네이버 등 인터넷을 자리 pc에서 사용하는데요
내부와 외부망 접속을 위한 망분리는 어떻게 구현해야되는지 자세히 좀 알려주세요
도움에 감사드리며
7개의 답변이 있습니다.
ID/PW 만 유출되도 외부인이 사내 그룹웨어를 훤희 들여다 볼수 있겠죵
다른 분들이 보안방법은 많이 말씀해주셔서 더 답변은 안달아드려도 될것 같습니다.
2. 망분리의 경우는 여러방법들이 많이 나오고 있지만 마찬가지로 편의성 vs 보안성입니다. 망분리 말씀하시는걸 보면 보안성이 더 중요하실 수 있을테니 VDI쪽으로 가시는게 좋으나 가격이 만만치가 않습니다.
예산에 따라 선택지가 다양해지시겠지만, 예산대비 좋은 보안을 얻는것은 그만큼 어려운 일이기도 합니다.
저희는 한때 일반 업무용 PC에 VDI를 도입하고, 그룹웨어는 VDI 내에 할당된 IP에서만 접속할수 있게 하고, 파일은 밖으로 빼지 못하게 하는 방법을 검토했던 적이 있었네요.. .도입비용이... ㅠㅠ
업무용PC론 자유로이 작업하고 VDI안으로는 넣을 수 있으나, 밖으로는 유출 금지(허가시 가능), VDI 내부에선 외부인터넷 사용불가, VDI는 업무용 PC에서 클라이언트로 접속하는 개념이었습니다.
자세한 건 아래 URL 를 참고하세요
https://ko.wikipedia.org/wiki/%ED%8C%A8%ED%82%B7_%EA%B0%80%EB%A1%9C%EC%B1%84%EA%B8%B0
(2) 망분리는 내부업무용 PC에서는 내부시스템만 붙을 수 있도록 구성하고 인터넷 이용은 별도의 공통PC를 만들고, 별도 회선을 이용하여 하게 하면 비교적 싸게 구현할 수 있고요. vdi, 논리적 망분리 등등을 하게되면 번거로운점도 있고 라이센스 비용문제도 있어 굳이 법적으로 망분리해야하는 사업자가 아니면 추천드리고 싶지 않습니다.
( 공인 IP가 할당되어 있거나, port forwarding을 통해 접속하는 형태일 것으로 추정됨 )
그룹웨어 프로그램을 통해 login하여 접속하는 형태 뿐만 아니라 그룹웨어 프로그램과 관계없이 시스템에 직접 접근 가능한 상태가 아닐까 하는 생각이 드네요.
웹 서버 이외의 내부 서버들은 공인 IP를 할당하지 않는게 보안에 도움될거라 생각하네요.
인터넷이 된다는 건.
컴퓨터에 공인 IP가 할당되어 있어 직접 인터넷에 접속하는 상태이거나
공인 IP를 가진 장비가 대신해서 인터넷에 접속할 수 있게 해 주는 상태이죠.
인터넷이 안되게 하기 위해서는 공인 IP보다 사설 IP를 할당시켜서 사용하는 것이 좋을 것 같고요.
( 공인 IP가 직접 할당된 경우는 극히 더문 경우일 겁니다.)
사설 IP를 사용하고 있을 경우라도 DHCP 서버를 통해 IP를 할당받는 유동 IP를 사용하는 것 보다는 직접 IP를 지정하는 형식의 고정 IP 방식이 좋을 것 같네요.
망분리라는 것인 인터넷 되는 네트워크와 인터넷이 안되는 네트워크로 두가지 망을 구성해두고 인터넷용 네트워크를 통해서 인터넷을 사용하고 인터넷이 되지 않는 네트워크를 사용해서 업무서버에 접속하는 형태로 두 네트워크를 분리 시키는 개념이 되죠.
망분리는 크게 물리적 망분리와 논리적 망분리로 나눌수 있는데,
물리적 망분리는 하드웨어적으로 두개 망을 구성하는 것이고 논리적 망분리는 물리적 망은 한개인데 논리적으로 두개 망을 분리 시키는 것이죠.
개념적으로는 물리적 망분리를 하는 것이 깔끔한데...
물리적 망분리를 하려면 네트워크 케이블, 네트워크 장비, 사용하는 컴퓨터까지 모두 구분하여 구성해야 하기 때문에 비용이 많이 소요되게 되겠고요.
논리적 망분리는 기존에 사용하던 네트워크 장비와 케이블 등을 그대로 공유하여 사용하면서 ip를 구분되게 할당하여 두 망이 통신이 되지 않게 차단 시키는 형태로 구성하면 구현할 수 있어 저렴한 비용으로 구현할 수 있다는 장점이 있겠네요.
대부분 논리적 망분리를 하는 추세이고요.
논리적 망분리도 구현하는 방식에 따라 가상 데스크 탑 형태나 가상 컴퓨터를 사용하는 형태 등으로 다양한 방법이 있고요.
virtualbox 같은 오픈 소스와 Linux OS를 사용한다면 비용을 거의 들이지 않고도 망분리를 구현할 수 있을것 같고요.
1) 기존 회사 그룹웨어
- 말씀하신 것과 마찬가지로 별도의 보안 장치 없이 외부건 내부건 url입력 후 ID, PW를 통해 로그인하고 있습니다.
- 그룹웨어 내 연결 된 몇몇 페이지는 내부망에서만 접근 가능하며 외부에서 접근이 필요할 시 VPN으로 접근하고 있습니다.
2) 피인수 회사 그룹웨어
- 외부에서 접속할 시 등록 된 휴대폰번호로 본인인증을 한번 거치고 ID, PW를 통해 로그인 하고 있습니다. 내부에서 접속할 때에는 본인인증을 거치지 않습니다.
- 현재 ISMS 인증 준비중인데, 외부에서 접속할 때 본인인증이 필요하다고 하여 최근에 변경 했습니다.
3) 보안 상 문제점
- 해킹으로 인한 로그인 정보 취득 후 회사 정보 유출이 가능 하겠으나 회사 특성 상 아주 민감한 기밀 정보를 취급하지 않기 때문에 이정도 보안 수준으로 운영하고 있는 것이 아닌가 생각합니다.
- 중요 설계 도면 등을 취급하는 회사는 대부분 VDI나 VPN을 이용해 내부망 접근 후 로그인 가능 한 것으로 알고 있어요.
2. 망분리 : 두 가지 방식으로 나뉩니다.
1) 논리적 망분리
- 가상화 기술을 이용해 PC 1개를 2개 용도로 사용할 수 있도록 합니다. 일반적인 상태에서는 외부망으로 인터넷 등을 이용할 수 있고, 기업 내부 시스템 접근을 위해서는 별도의 VDI Client를 통해 접속하여 사용할 수 있는 형태입니다.
- 논리적 망분리도 방식이 여러개라, 만약 도입이 필요하시다면 외산 벤더는 VMware, Citrix를 국내 벤더는 틸론, 미라지웍스, 퓨전데이타는 필수로 알아보세요.
- 저는 개인적으로 아직까지 망분리는 보안 상 반드시 필요한 경우가 아니라면 도입을 반대하는데, 네트워크 속도가 아무리 빠르더라도 일반 PC에서 사용하는 것보다 반응 속도가 느릴 수 밖에 없어 불편한게 많기 때문입니다.
- 구축 방식과 규모에 따라 예산이 천차만별입니다. 최소 유저 수 몇십명 이상 될 때 고려하는 것을 추천합니다.
2) 물리적 망분리
- PC를 2대로 나눠서 사용합니다. 유저수가 적을 때 논리적 망분리보다 오히려 예산이 적게 듭니다.
- 하지만 관리포인트가 늘어나는 만큼, 외부망 접속용 PC는 재부팅 후 데이터가 저장되지 않고 날아가는 형태의 솔루션은 필수로 생각됩니다.
개인적으로 사내에 이것 저것 보안 관련 서비스를 설치하게 되면 PC 속도가 느려질 수 밖에 업습니다. 그래서 중요한 정보는 크게 거부감이 들 지 않는다면 클라우드로 이관하여 관리하는 것이 오히려 낫지 않나 생각되네요. 가능한 PC에 영향을 주지 않으면서 보안을 함께 신경 쓰는 것은 클라우드가 낫다고 생각해요.