USB 보안 취약, 같은 건물내 산하기관에 내부망 허용하기도

[보안뉴스 오병민] 공공기관과 금융기관, 민간사업자까지 확대되고 있는 망분리에 대한 보안취약성이 점차 드러나고 있어 비용대비 효과에 대한 분석이 필요하다는 의견이 제기되고 있다. 이론적으로는 인터넷망과 내부망을 분리하는 것이 철저한  보안을 가져다 줄 것으로 보이지만 실제 적용에서는 여러 가지 보안 홀이 발생할 수 있다는 이유에서다.

망분리는 인터넷망과 내부망을 철저하게 분리시켜 해킹과 내부정보 유출을 원천적으로 차단하는 것을 의미한다. 대부분 해킹공격은 인터넷 망으로부터 침투가 시작되고 정보수집과 공격 악성코드 삽입이 주요 공격 방법이기 때문에 인터넷망에서 내부망의 연결을 차단시켜 공격의 연속성을 끊는 것이다.

우리나라 정부는 행정망을 비롯한 주요 내부망 보호를 위해 2007년부터 주요기관에 대해 망분리를 진행해 2008년에 18개 기관, 2009년 3개 기관, 2010년 27개 기관이 망분리를 진행했다. 이로 인해 중앙행정기관(본부)과 높은 보안수준이 요구되는 주요 지방청·소속기관 등의 망분리가 완료됐으며, 앞으로도 정부기관에 대한 망분리는 순차적으로 진행될 계획에 있다.

그러나 망분리가 적용된 후에는 망분리에 대한 보안성이 도마에 오르고 있다. 망분리는 원칙적으로 내부망과 인터넷망이 완벽하게 분리돼야 하지만 필요에 의해 완벽한 망분리가 이뤄지지 않고 있기 때문.

가장 문제가 되는 점은 USB의 사용이다. 망분리가 된 후 인터넷망에서 가져온 정보는 보안 USB와 같이 허용된 일부 저장장치로만 정보 이동이 가능하다. 그러나 일부기관들은 사용상 편의성으로 인해 보안 USB외에 USB나 형상 변경으로 보안허점을 드러내는 USB를 이용하는 사례가 증가하고 있다. 특히 최근에는 USB를 타깃으로 한 신종 악성코드가 적지 않게 개발되고 있어 주의가 당부되고 있다.

공공기관의 보안성 점검에 참가했던 한 보안전문가는 “망분리 사업 이후 보안성이 취약한 USB를 이용하는 사례가 적지 않다”면서 “특히 일부의 USB에서는 신종 악성코드가 삽입된 사례도 나타난 것으로 파악되고 있다”고 말했다.

망분리 이후 일부 공공기관은 같은 건물을 쓰는 산하기관에게 원칙에 위반된 내부망 접근을 허용한 사례도 나타나고 있다. 내부적인 효율성을 위해서라지만 철저하게 망분리를 해야 한다면 허용하지 말아야 한다.

공공기관 보안인증심사를 담당했던 한 보안전문가는 “특정기관에서는 내부망과 연결된 라우터에서 같은 건물을 쓰는 하위 산하기관에 네트워크 접속을 허용한 사례가 있었다”면서 “같은 식구기 때문에 내부망 접근을 허용해달라고 하면 어쩔 수 없이 접근을 허용하는 것으로 보인다”고 말했다.

이에 따라 일부 보안전문가들은 망분리에 대한 효율성 검토가 필요하다고 주장한다. 망분리가 원칙적으로 철저하게 되고 있다면 문제가 없지만 망분리 진행 후 편의에 의해 망분리를 우회하는 여러 가지 방법을 이용하면서 형식적인 보안사업으로  남는 경우가 많기 때문이다.

보안업계 한 전문가는 “원칙적으로 인터넷망과 내부망이 철저하게 분리된다면 보안성에 문제가 없겠지만 실제 적용하는 과정에서는 형식적인 망분리에 그치는 경우가 적지 않다”면서 “현재 망분리가 보안 홀도 많고 관리 문제가 적지 않게 발생하고 있기 때문에 국가망과 행정망 보호 대책으로 얼마나 적합한지 비용대비 효과 분석을 통해 따져볼 때가 된 것 같다”고 언급했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>