: 인터넷망을 통한 악성코드 유입, 외부로의 내부 자료 유출, DDoS 공격 등의 위험을 차단하기 위한 목적으로 외부망(인터넷망)과 내부망을 분리하는 것
법적 근거
개인정보보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행
… 중략
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
…
개인정보의 기술적 관리적 보호조치 기준 제2조 (정의)
5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제)
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
… 중략
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
물리적 vs 논리적 망분리
: 망분리는 그 방식에 따라 물리적 망분리와 논리적 망분리로 구분할 수 있음
외부망 / 내부망에 접속하기 위한 PC를 각각 사용하여 완전히 분리된 네트워크 접속 환경을 구축하는 방식
1명의 사용자가 2대의 PC를 사용하거나 물리적으로 분리한 각 망의 회선 별로 방화벽, 스위치 등 관련 네트워크 및 보안장비를 따로 구축해야하기 때문에 구축 시간과 비용이 많이 든다는 단점이 있지만
물리적으로 완전히 분리되어 있어 보안상으로 가장 안전한 방식
(+) 꼭 2대의 PC가 아닌 1대의 내부망과 외부망을 분리하는 망전환 카드와 2개의 HDD를 내장시킨 형태를 사용할 경우 비교적 가격이 저렴하나 망간 전환을 위해서는 재부팅을 해야 한다는 불편함이 있음 > 이후 2대의 PC와 KVM 스위치를 결합한 형태를 하나의 폼팩터(물리적 장비)에 담아내는 방식으로 진화하여 망별 동시 접속을 유지하면서도 망전환이 가능한 방식으로 진화
(+)KVM 스위치
: 2대의 PC(본체)를 1대의 키보드, 모니터, 마우스로 전환해가며 사용할 수 있도록 하는 장비
물리적 망분리 시에 사용편의성을 위해 이 장비의 사용이 늘고 있음
하지만 USB 허브 기능을 갖춘 KVM 스위치는 각 망에 연결된 PC 사이에 데이터 이동 경로 역할을 할 수 있어 정보유출이나 업무망 PC의 악성코드 감염 등의 위험성이 있다는 우려가 있기도 함
논리적 망분리는 ‘가상화 기술’을 이용하여 1대의 PC에서 외부망/내부망에 별도로 접속 가능하도록 구축하는 방식으로, OS 영역을 논리적으로 나누게 되는데 이때 가상화 기술을 적용하는 대상이 어딘지에 따라 ‘CBC’ 방식과 ‘SBC’ 방식이 있다.
1. CBC(Client-Based Computing) = PC 기반 가상화
Client, 즉 사용자의 PC에 가상화 기술을 적용하여 기존 로컬 영역 내 가상머신(VM)을 생성하여
OS 영역을 분리하고 생성한 VM을 통해 외부망에 접속, 기존 로컬영역을 통해 내부망을 사용하는 방식
기존의 사용자 PC의 리소스를 가상화에 이용하기 때문에 구축 비용이 낮지만 기존의 PC의 성능에 따라 VM의 사양 의존
VM 영역에서는 VPN을 구축하여 VPN Gateway로 이어지는 VPN 터널링을 통해 외부망 접속이 이루어지도록 하므로, 암호화된 데이터 통신이 가능함
2. SBC(Service-Based Computing) = VDI(Virtual Desktop Infrastructure)
외부 물리 서버에 가상화기술을 적용해 가상머신(VM)을 생성하고, 해당 VM을 이용하여 외부망 또는 내부망 접근이 가능하도록 환경을 구축한 뒤 사용자에게 해당 가상화 서버에 대한 접속 계정을 할당해주는 방식
(가상화 서버를 통해 외부망 접근+사용자 PC 로컬 영역에서는 내부망 접근만 가능 = 외부망 가상화
가상화 서버를 통해 내부망 접근+사용자 PC 로컬 영역에서 외부망 접근 = 내부망 가상화)
사용자에게 가상화된 데스크탑 환경을 제공해주는 것이기 때문에 VDI라고도 부르며, CBC 방식과 달리 사용자 PC가 아니라 외부 물리 서버의 자원을 가지고 가상화를 하기 때문에 사용자 PC의 사양에 상관 없이 다양한 사양의 OS 환경 구축 가능
***하이퍼바이저***
다수의 운영체제(OS)를 동시에 실행하기 위한 논리적 플랫폼
가상머신을 생성하고, 구동하는 소프트웨어로 각 OS에 자원을 나눠주고, OS의 커널을 번역하여 물리적 하드웨어(서버)에 전달하는? 역할
[참고]
망분리 개념 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=love_tolty&logNo=221960976734
컨테이너와 VDI : https://www.itworld.co.kr/t/62077/VDI/103469
하이퍼바이저 : https://suyeon96.tistory.com/52