관리자 단말기 망분리 문의

인프라엔지니어

2018.07.06 (6년 이하 전) | 1 추천 | 10개의 답변

300인 미만 중소 기업이오나, 여건(비용, 전문 인력)으로 인하여 내부 관리용 단말기만 망분리를 하려 합니다.

현재는 KVM 스위치를 이용해서 PC를 1대씩 더 지급하고 업무PC와 외부PC를 나누어쓰고 있습니다.

업무PC라 함은 ERP 접속PC이며 네이버를 포함한 모든 사이트가 소프트웨어(DLP)로 차단되어있고 개발용 사이트만 허용이 되어있으며 외부PC는 외부 사이트가 접속이되나 웹하드, 유투브 및 불필요한 사이트가 DLP로 역시 차단되어있습니다.

정보통신망 관련 법적으로 보았을때 지금 상태도 부분적으로 망분리가 되어있는건지 볼수있는지 궁금합니다.

또한, 들어오는 ISP 회선을 2개로 나누어서 한회선은 업무용으로만 쓰고 다른회선은 외부용으로만 써서 네트워크 망 자체를 분리시켜야하는건지, 같은 회선이라도 상단 F/W 포트에서 서로 다른 포트에 회선을 적용시켜 각 포트별로 서로 통신이 불가하도록 F/W에서 차단시켜야하는지 선배님들의 적용사례를 들어보고 싶습니다.

10개의 답변이 있습니다.

danis78

0 추천 | 6년 이하 전 | 제이컴즈 | 010-2871-8756

저희 회사에서도 망분리가 되어 있는데요

개발자들(외부 상주업체 직원) 그리고 임직원, 연구소 직원들 이렇게 3 그룹으로 나누고
VLAN 으로 구성해서 ip 대역을 3 그룹으로 나누워서 부여하고 있습니다.
3 그룹들끼리는 서로 통신이 안되구요
외부 인터넷은 DLP 솔루션으로 웹하드나 웹메일 등등 차단하고 있습니다.

hs.son

0 추천 | 6년 이하 전

망간 자료전송이 일어나지 않는 환경이시면 망연계 구간에 스트리밍 서버만 두시면 될거 같습니다.
망연계 업체는 휴네시온, SQI 소프트, 에스큐브아이, 한싹 4군데 정도가 유명하니 추가 궁금사항은 업체쪽으로 문의 주시면 될 거 같습니다. 그런데 망분리 의무인 업체가 아니라면 굳이 망연계 까지 넣어서 분리할 필요는 없지 않을까? 생각 듭니다. 특히 망분리 하고 나면 다른 부서분들의 원성과 장애에 대한 문의등 일이 무진장 많아져서 추천 드리고 싶지는 않네요.^^

guest

0 추천 | 6년 이하 전

물리적 망분리는 일단 망이 분리되는 것이 기본 전제입니다. 회선 및 네트웍의 재구성이 어렵다면
그 중간자적 역할을 할 수 있는 솔루션이 있기는 합니다.

물론 비용이 추가로 발생하기는 하지만 네트웍 장비 이중화보다는 비용적게 소요 됩니다.

EUSA

0 추천 | 6년 이하 전

제 경우에는 인터넷망은 그대로 하나로 사용하면서 업무용서버와 PC를 한쪽 대역에 배정하고 그 위에 방화벽을 설치해서 망분리 작업을 진행했습니다.

전산초보임니다

0 추천 | 6년 이하 전

물리적으로 pc 2대로 사용하게되면 자산 관리만도 2배네요.. 일이 많으실듯

낭만생선

0 추천 | 6년 이하 전

보통의 망분리는 내부망 전용, 외부망 이렇게 두개로 구분을 하는데
두개의 ISP 회선을 용도로 나누는것은 애매하긴 하네요.

근데 업무용으로 쓰시는 회선을 방화벽단에서 ERP만 접속가능하게 한다면
충분한 망분리 개념에 부합하긴 하네요.

wansoo

0 추천 | 6년 이하 전

업무용 컴퓨터, 인터넷용 컴퓨터 이렇게 나누어 사용하고 있다는 말씀인데...
망분리에 중요한 개념은 업무용 망과 인터넷용 망으로 망에 대한 분리이죠~
글 내용으로 봐서는 망이 분리되었는지 분리되지 않았는지 알지 못하겠네요.
업무용 컴퓨터에서 인터넷용 컴퓨터로 네트워크 연결이 안되어야 망분리라 할 수 있겠죠.
인터넷 회선도 두개를 끌어다가 업무용 컴퓨터 1회선, 업무 이외용 컴퓨터 1회선 분리 시켜 사용한다는 내용만으로 봐서는 망분리가 되는 것인지 되지 않는 것인지는 판단하기 어렵고요.
왜냐면 망분리를 하지 않고서도 두개 인터넷 회선을 각각 나눠서 사용할 수 는 있는 것이기 때문이지요.
망분리의 핵심은 망을 분리 시켜야 한다는 것입니다.
컴퓨터를 분리해서 사용한다거나 인터넷 회선을 분리해서 사용한다는 게 아니라...
두 네트워크가 서로 통신할 수 없는 환경으로 만들어야 망분리라 할 수 있눈 것입니다.

인프라엔지니어 | 6년 이하 전

좋은 의견 감사합니다. 추가적으로 업무PC는 A라는 클래스를 IP할당 주고, 외부PC는 B라는 클래스를 줘서 A,B클래스간 모든 통신이 차단(ALL DENY)되도록 방화벽에서 차단시키었습니다. 결국 망분리가 분리한 PC(네트워크) 서로간의 망연계가 안되도록 차단하는 의미인 것 같은데, 개인정보처리시스템이 있는 DMZ 존(IDC센터)과 업무PC(서버관리자PC/SQL개발자PC)는 예외적으로 RDP, SQL TCP 접속포트가 허용되어야하는데 다른 포트가 명시적으로 All deny 된 후 해당 포트만 허용되어있는게 망분리 적용에 문제가 되는건 아닌지 궁금합니다.

wansoo | 6년 이하 전

서로 통신이 되지 않게 모두 차단 시켰다면 망분리가 되었다고 봐야 할 것 같네요. 단, 특정 컴퓨터에 특정 포트만 열려 통신이 가능하다면 그 컴퓨터들만 예외적으로 망분리 조건에 맞지 않을 수 있겠는데, 이 컴퓨터들을 어떻게 관리하냐가 중요한게 아닐까 하는 생각이 드네요~

guest | 6년 이하 전

그런 예외를 위해서 망연계를 사용하죠. 항상 비용이 문제입니다.

미생

0 추천 | 6년 이하 전

망분리의 핵심 주제는 같은 망에 데이터가 공유되는걸 막는게 의도인데

컴퓨터를 나눈다고 해도 같은 네트워크 IP대역에 있거나, 혹은 컴퓨터는 1대인데 HDD를 각각 나눠 멀티부트를 해도 서로간의 데이터에 접근이 가능해진다면 망분리로 보기 어려울 것 같습니다.

방화벽이나 네트워크장비단에서 대역을 분리하고, 서로간 대역에 자료교환을 막아준다거나 하는게 기본적으로 필요하지 않을까 싶습니다.

실제 의무적으로 할일은 현재 없긴 해서..

werther.chan

0 추천 | 6년 이하 전

아직 망분리를 적용하지는 못하였지만... 만약 하게된다면.. 후자쪽으로 할 예정입니다.
계속 망분리 권고를 받고는 있지만...^^;; 의무가 아니라서...

체크리스트

0 추천 | 6년 이하 전

PC 2대 사용에 한대는 모든사이트 차단이라면 충분한 망분리라고 생각되는데
법적으로는 달리 볼수도 있나보군요..,어렵네요