| [기고] 효과적인 망분리를 위한 DB 서버 보안 | 2012.06.25 | |||||||||||||
인터넷망과 폐쇄망간 통신연계로 편리성과 보안성 확보! [보안뉴스=김태균 어빌리티시스템즈 이사] 최근 지자체 등의 공공기관에서는 내부망과 인터넷망을 분리한 망분리 사업이 활성화되고 있다. 이는 외부로의 자료유출을 사전에 차단하기 위함으로 뛰어난 보안성을 제공한다. 하지만 이러한 망분리로 업무상의 불편이 가중돼 이를 해결하기 위한 방안의 필요성이 대두됐다. 여기에서는 다중영역구분 자료전송, 통신연계 솔루션을 기반으로 한 보안성과 편리성이 가미된 DB 서버 보안에 대해 살펴보도록 한다.
2008년을 기점으로 공공기관, 지자체 등 많은 곳에서 내부망과 인터넷망을 분리하는 망분리 사업이 활성화됐다. 망분리는 내부망과 외부망을 분리해 외부로부터의 침입을 막고, 내부 정보의 유출을 막는 것이 목적이다.
하지만 망분리로 인해 내부망과 인터넷망간에 자료를 이동하기 위해서는 보안 USB 메모리를 이용한 파일의 복사 및 이동이 필요하다. 그러나, 보안USB 메모리의 마모, 잦은 인식불량 등 업무의 불편함이 대두됐고, 인터넷망의 특정 서버와 내부망의 특정 서버의 DB 및 데이터의 동기화가 되지 않아 수동으로 동기화해야 하는 불편함도 나타났다.
이러한 보안 USB 메모리 사용의 불편함, 내부 서버의 수동 동기화를 해결하고, 더 안전한 보안체계를 유지, 자료전송 및 통신연계가 가능한 해결책으로 제품군이 개발됐고, 이를 개발한 소프트위드솔루션은 2011년 8월 26일 CC 인증(EAL2)과 GS 인증을 획득했다.
CrossNet Suite 제품은 망분리가 된 공공기관 및 기업을 대상으로 특화된 제품으로써 보안 강화를 위해 분리된 망간 TCP/IP가 아닌 전용 프로토콜을 이용해 망간 파일 송수신, 통신연계를 하는 솔루션이다. 가장 큰 특징으로는 분리된 망간 연결을 위해 순수 국내기술로 개발된 독자적인 프로토콜이 적용됐으며, IEEE1394 케이블을 이용해 분리된 망간 연결을 하는 것이다.
CrossNet Suite 제품은 망간 자료전송을 위한 ‘자료전송시스템’인 CrossNet Data Transfer 제품과 다중영역구분 통신연계시스템인 CrossNet Secure Tunnel 제품으로 구성돼 있다.
CrossNet Data Transfer for PC 프로그램은 TCP/IP가 아닌 전용 프로토콜을 이용해 업무망과 인터넷망 구간의 자료이동을 위한 파일 전송 방법을 지원해 안정성과 보안성이 강화된 망간 자료전송 체계를 구축할 수 있도록 한다.
사용자 PC간의 자료전송은 ‘CrossNet Data Transfer for PC┖ 제품으로 가능하다. 업무망 서버팜에 전송통제 서버를 1대 설치하고, 인터넷망 서버팜에 전송통제 서버를 1대 설치 한 후, 2대의 전송통제 서버간에는 물리적으로 IEEE 1394 케이블을 이중화 형태로 연결한다. 전송통제 서버간에는 IEEE 1394 케이블을 통해 알려지지 않은 독자적인 전송 방법을 통해 업무망 PC와 인터넷망 PC간에 자료전송을 할 수 있도록 한다.
자료의 전송은 보안관리자가 설정한 정책에 따라서 작동되며, 사용자들은 업무망 PC와 인터넷망 PC에서 사용자 인증을 거친 후 사용할 수 있다. 사용하는 방식은 크게 ‘Agent 방식’과 ‘웹 방식’으로 구분된다. ‘Agent 방식’은 사용자 PC에 설치돼 사용자가 파일을 송·수신하는 프로그램이다.
이 프로그램의 특징은 전송 시점에서 전송 정책에서 인가됐는지 여부를 검사하고 인가된 경우에 한해 파일의 전송크기 제한에 도달 여부를 검사한다. 또, 전송하려는 파일이 인가된 파일 유형인지를 검사하고 파일이 바이러스에 감염됐는지 여부를 검사한다. 이후 전송하려는 파일의 Signature를 검사해 파일 위조/변조 여부를 검사를 하고 국가용 암호알고리즘 정책에 부합하는 형태로 파일을 암호화 후, 전송을 하게 된다.
즉, 모든 위험 요소의 검증 후 다른 망에 있는 PC로 자료를 전송하게 된다. 전송이 완료시에도 암호화된 상태로 유지돼 파일 유출 시 자료 내용의 보안을 유지할 수 있게 된다. 사용자는 Agent에 로그인 후 암호화 돼 있는 파일을 복호화할 수 있다. 또한, 구간별 전송이 완료되면 임시로 생성된 파일을 자동으로 삭제해 전송 완료 후 중간단계 어디에도 전송을 위한 중간 파일이 남아 있지 않게 돼, 해커 등에 의한 자료유출을 방지할 수 있다.
‘웹 방식’은 전송하려는 자료를 서버에 업로드 하고, 업로드 된 파일이 다른 망으로 이동한 후 다운로드 하는 방식이다. 이 방식은 사용자 컴퓨터의 이동편의성을 제공하지만, 보안이 ‘Agent 방식’에 비해 취약하다.
<CrossNet Data Transfer 제품의 블록암호 알고리즘 적용 표> 방식 중 가장 고 레벨의 암호화 방식 적용>
분리된 망간에서 파일을 송/수신한다는 것은 어느 한편으로는 내부 자료가 실수 또는 타인으로 인해 인터넷영역으로 분실될 우려가 있다는 것이다. 이런 경우, 자료의 유출을 방지하기 위해 CrossNet 제품에는 2012년 국가용 암호알고리즘 정책에 따른 최고 수준의 보안 강도를 제공하는 알고리즘이 구현돼 있다.
망 분리가 된 공공기관들은 각기 다른 망에 위치한 서버들 간의 자료전송의 필요성이 대두됐고, 업무망과 인터넷망 구간의 자료이동에서 TCP/IP가 아닌 전용프로토콜을 이용한 데이터 전송방식의 구축이 필요하게 됐다. CrossNet Data Transfer for Server 프로그램을 사용하면 실시간 자료전송 체계를 구축할 수 있으며 또한, 시스템을 통한 자료전송으로 자료유출 및 악성코드 유입 차단, 자동화된 로그 관리 등으로 정보보안성 강화를 수행할 수 있다.
이 제품은 사용자가 직접 UI 프로그램을 조작하는 방식과 다르게 프로세스가 정책에 의해 스스로 작동되는 방식으로 운영된다. 따라서 정책을 설정할 때만 관리자가 제어가 필요하고 설정 이후에는 자동으로 파일들이 정책에 따라 망 간 송·수신 된다.
CrossNet Secure Tunnel 프로그램은 망 간에 위치해 물리적으로 네트워크를 분리하고, 인터넷에 알려지지 않은 전송기법을 이용해 양쪽 네트워크 간의 통신 연결을 정책 기반으로 중계 및 제어한다. 또한, 정책으로 인가되지 않은 통신은 중계를 하지 않고, 인가된 정책도 설정된 정보에 따라 중계하기 때문에 안전한 통신 환경을 제공한다.
현재 우리나라의 대부분의 기관에서는 외부 서비스를 위해 DMZ 구간에 WEB, WAS 서버 등을 가지고 있고, 일반적으로 필요한 DB 서버도 같은 네트워크에서 운영한다. 이 경우 보안 취약점을 이용한 해커들이 WEB 혹은 WAS 서버에 침투해 같은 네트워크에 있는 DB서버로부터 중요 정보들을 유출할 수 있다.
CrossNet Secure Tunnel 제품은 WAS, WEB 서버들이 있는 네트워크와 DB서버들이 있는 네트워크를 물리적으로 분리해 DB서버들을 외부 네트워크에서 완전히 차단하는 ‘폐쇄망’에 위치시켜 안전한 보안 인프라 구축이 가능하도록 한다. 특히, 폐쇄망에 있는 DB 서버들은 외부에 노출이 되지 않도록 구성이 가능하다.
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||||||||||||
 |
