[넷알못 사전] '망분리PC'가 무엇인가요?

[IT동아]

개인도 그렇지만, 특히 회사에 있어 '보안'은 어느 것보다 중요하다. 이에 다양한 보안 장비나 보안 소프트웨어/솔루션 등을 회사 서버나 임직원 PC 등에 배치, 설치한다. 특히 인터넷을 통한 해킹 시도, 바이러스나 랜섬웨어 감염 등을 방지하려 여러 가지 방법을 강구하는데, 대표적인 게 '망분리PC' 도입이다.

단어 뜻 그대로, '망을 분리'하는 기능의 PC인데, 여기서 '망(network)'에는 '인터넷에 접속되는 외부 망(WAN, Wide Area Network)'과 '사내 서버/PC가 연결되는 내부 망(LAN, Local Area Network)'이 포함된다. 즉 인터넷망과 사내망을 따로 분리함으로써, 인터넷망을 타고 사내망으로 들어올 수 있는 경로를 원천 차단한다는 의미다.

백화점 내 고객용 매장 통로와 직원용 내부 통로를 각각 두는 것에 비유할 수 있다. 고객은 백화점 내 매장만 오갈 수 있고, 운영 사무실이나 물류창고 등으로는 아예 접근조차 못하게 하는 것이다. 마찬가지로, 직원도 사무실과 창고를 오갈 때는 내부 통로만 이용하고, 매장으로 가려면 매장 통로로 나가야 한다. 직원 입장에서는 다소 번거롭고 불편할 수 있지만, 백화점 보안을 위해서는 감수할 수 밖에 없다. (원래 보안성이 높아지면 편의성은 낮아지기 마련이다.)

망분리PC도 인터넷에는 인터넷망으로만, 업무용 사내 네트워크에는 내부 망으로만 접근할 수 있는 기능을 제공하는 PC다. (다시 말해, 인터넷을 사용할 땐 업무 처리가 안되고, 업무 중에는 인터넷 접속이 차단된다.) 일반적으로, PC 두 대에 인터넷망, 내부망을 개별 연결해서 물리적으로 망을 분리한다. 인터넷 쓸 때는 이 PC, 업무 처리할 때는 저 PC를 써야 하니 당연히 불편하다. 이에 '망분리PC'가 등장했고, PC 한 대에 인터넷망, 내부망을 모두 연결해, 필요에 따라 망을 선택해 사용할 수 있게 됐다.

망분리PC는 주로 금융이나 주식, 보험업계, 교육업계, 정부기관 등 높은 수준의 보안이 필요한 환경에 적용된다. 몇 년 전부터 규모가 큰 조직에는 반드시 도입하도록 의무화되기도 했다. 최근에 도입되는 망분리PC에는 대개 '가상화 기술'이 적용된다. 실체(실물)의 PC 한 대에 가상의 PC 두 대를 생성해(또는 가상의 연결 솔루션을 생성해), 두 개의 연결 망을 분리, 접속하는 방식이다. 일반적으로 망 선택 버튼이나 스위치를 따로 달아, 인터넷망 또는 내부망을 선택, 사용하게 하고 있다.

실제로, 망분리PC를 도입한 후 보안사고 발생건이 이전보다 확실히 줄었다는 긍정적 결과도 나왔다. 당연하겠지만 그렇다고 '100% 안전하다'고 맹신할 수 없다. 인터넷에서 다운로드한 파일(메일 첨부 파일 등)을 내부망의 업무PC로 가져오는 과정에서, 어떤 식으로든 악성코드나 바이러스 등이 딸려올 여지가 있기 떄문이다. 따라서 망분리PC 도입을 고려한다면, 외부-내부망 연계에 따른 보안성(망연계 시스템)도 꼼꼼히 따져봐야 한다.

더불어, 망분리PC를 사용하는 사용자의 보안의식도 중요하다. 제 아무리 보안성 높은 망분리PC를 도입했다 한들, 이를 사용할 최종 사용자에게 보안의식이나 경계심이 없다면 큰 효과를 거두기 어렵다. 인터넷망이 완전히 분리됐다 해도, 내부망 내 PC에 꽂는 USB 외장하드/메모리 등을 사용하는데 각별히 주의해야 한다.

현재 여러 제조사를 통해 다양한 형식, 형태/디자인의 망분리PC가 생산, 공급되고 있다. TG삼보컴퓨터, 테트라 등을 비롯해 대부분 국내 제조사 제품이라 기술/서비스 지원도 부족하지 않다. 이에 그 동안 PC 두 대를 사용하던 망분리 환경도 점차 1대의 망분리PC 환경으로 바뀌고 있다. 도입 비용이나 유지/관리 측면에서 유리하기 떄문이다. 앞서 언급한 대로, 주로 금융업계나 정부기관 등에 주로 배치되고 있지만, 망분리를 통한 인터넷 보안 강화는 이제 모든 회사, 모든 조직에게 필요한 근본적인 보안 조치가 됐다.

기억할 건, '망분리PC는 인터넷/사내망 분리하는 PC'.

글 / IT동아 이문규 (munch@itdonga.com)