당사는 ERP 를 내부에서만 사용하고(방화벽으로 외부접근 차단), 외부 사용시 SSL-VPN 사용중입니다.
금융보안원 점검문서가 와서 점검결과 정보통신망을 사용하기 때문에 통신암호화를 해야 한다고 합니다.
내부망만 사용하는데, 통신암호화를 해야 하나요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
정보통신망의 범위
6개의 답변이 있습니다.
SSL이 적용되면 해결되는 사항일 듯 합니다.
내부망만 사용한다고 해서 외부에서 전혀 미 접속이 이뤄지진
않고 외부에서 접속할땐 ssl-vpn접근시 파일 DB 암호화나
접근 암호화를 애기 하는것 같은데요
빨간신발님 말씀처럼요
암호화통신을 해야 한다는 것이..
telnet -> ssh
http -> https
ftp -> sftp
이런식으로 사용하라는 의미라면 맞는 말이라고 생각합니다.
내부망이니까 내부자는 안전하다는 생각하면 안되고
등잔 밑이 어둡다를 생각하셔야 합니다.
귀에 걸면 귀걸이 코에 걸면 코거리죠~~자기들이 우기면 그게 답인거 같아요~~ERP 접속하는데 암호화가 필요하다면 해야 할겁니다.
manganese | 3년 이하 전
제가 잠깐 미쳤나 봅니다. 시키면 해야죠.
저도 아래 (주) 아이네트 님의 의견에 동의합니다.
기업마다 시스템 환경에 차이가 있는데, 탁상행정적으로 획일화 시킨 잣대를 들이대고 있는 건 개선되어야 한다고 봅니다.
뭘해라, 어떻게해라는 식으로 유치원생이나 초등학생에게 예절 교육, 규율 교육을 시키듯이 정책을 정할게 아니라 정보 유출하지 마라, 어떤 정보가 유출되었을 경우에는 벌금이 어떻게 되고, 몇건이 유출되었을 경우에는 어떤 형벌이 주어진다는 식의 큰틀만 정해 두고서 각 기업에서 정보 유출이 되지 않게 수단과 방법을 가리지 않고 스스로 대책을 마련하도록 하는 게 필요하다고 생각됩니다.
보안이 부실해 보이는 기업이라면 감사원이 직접 해킹 시도해서 빼낸 정보를 가지고 법의 잣대를 들이대면 될것이고...
그런데...
내부 인트라넷 환경일지라도 외부와 완전히 격리되지 않은 단순히 방화벽 등으로 차단한 경우라도 정보 유출, 해킹의 위험이 있긴 합니다.
해커가 외부에서 내부로 직접 뚫고 들어가서 해킹을 하는 형태는 어렵지만, 요즘 주류 해킹 방법에 해당하는 이메일 등을 이용해서 내부 사용자가 해커가 유도하는 악성 코드를 내부에서 작동되게 만들어서 내부에서 외부로 정보를 유출하게 만드는 것은 얼마든지 가능하다 보니...
SSL-VPN을 사용한다는 것은 인터넷에 연결되어 있는 환경이란 의미가 될거 같고...
특정 사용자의 컴퓨터에 악성 코드가 작동되고 있어 네트워크 트래픽을 수집해서 외부로 전송한다거나 2차 공격 정보 수집에 이용된다거나 등등의 위험이 있기 때문에 내부 통신만 하는 서버일지라도 암호화 통신은 필요하다고 생각합니다.
현실과 탁상행정이 따로 노는 결과가 꽤 있죠. 내부망만 써서 백신업데이트도 안되는데 무조건 백신은
설치해서 들어와야 하고 망 분리된 내부망인데도 금융기관이니 전용회선을 써야 한다고 합니다.
지나친 주의가 약간의 방심이 불러올 대형사고 보다 낫다 이런 주의인거죠.