3회. 컨버전스의 응용 기술 - 네트워크 분리 기술
▲ 백영진 LG히다찌 솔루션 사업팀
컨버전스의 응용 기술 - 네트워크 분리 기술
지난 2회에 걸쳐 IT 인프라 측면에서의 컨버전스에 대해서 간략히 살펴보았다. IT 기기의 컨버전스 경향은 이미 상당히 진행되고 있으며 그 영역의 파괴는 특히 일반 소비재 시장에서 상당히 크게 보여졌으나 이제는 IT의 가장 하부 구조를 이루는 서버, 스토리지, 네트워크 등이 서로 어울리면서 이른바'IT 인프라 컨버전스'경향을 보이고 있다.
이번 호에서는 이러한 IT 인프라 컨버전스 경향을 실제 사업의 차원에서 어떻게 이뤄지는지에 관한 사업을 보면서 응용의 한 면을 보고자 한다. 최근의 대표적인 사업으로서 국가 망분리 사업이 대표적인 사례라고 볼 수 있는데, 네트워크의 보안을 위해 내부 전용망과 외부 인터넷을 분리함으로써 보안성을 높이는 것이다. 네트워크부터 시작하여 서버, 데스크톱PC, 데이터 송수신 체계 등 거의 전분야를 다루고 있으며 여기서 IT 하부구조가 어떻게 컨버전스 경향을 띄게 되는지 살펴 보고자 한다.
보안 사업으로서의 네트워크 분리 사업
먼저 국가망분리 사업에 대해서 간단히 살펴보고자 한다. 국가 망분리 사업은 국가 기관 및 주요 공공기관의 네트워크의 안전성 즉 보안을 강화할 목적으로 네트워크의 분리를 통해 외부로부터의 악의적인 해커로부터 공격을 원천적으로 피하고자 하는 사업이다. 전세계적으로 주요 기관들 특히 군사기관이나 정보 기관의 경우 네트워크를 완벽하게 분리함으로써 외부의 접근을 차단하고 있다. 우리 나라의 경우도 행정망을 비롯해 주요 기관들의 경우 일반적으로 사용하는 인터넷을 통해 해당 네트워크로의 접근은 원천적으로 불가능하다.
이렇게 국가 주요 기관들의 네트워크를 분리하는 것은 당연한 이야기겠지만 외부 접근을 차단하고자 하는 것에서부터 비롯되는데, 국내의 경우도 주요 기관들의 경우 이미 이렇게 되어 있으며 지난 2008년부터는 중앙부처를 중심으로 시범사업을 필두로 정부 산하 기관 및 공공 기관 등으로 확대되어 가고 있는 추세다.
도대체 얼마나 외부에서의 악의적인 접근이 있었나
이렇게 네트워크를 분리해 가면서 국가망을 보호하려는 데는그만한 이유가 있다. 실제 외부에서 국내 주요 기관들의 서비스 네트워크를 침해한 사례는 얼마든지 살펴볼 수 있다. 중앙 행정기관들의 해킹 공격이 매일 807건씩 발생하고 있는 것이 현실이다. 2009년 10월 행정안전위원회 김소남 의원에게 제출한 행정 안전부(정부통합전산센터)의 자료에 따르면 2008년도 1월부터 12월까지 해킹시도는 총 294,578건에 달해 묵과할 수 있는 수준이 아님을 알 수 있다.
해킹의 주요 시도 국가별로 살펴보면, 중국이 22.2% 65,458건으로 가장 많았고, 다음은 미국으로 8.5% 24,918건으로 뒤를 이었다. 주 공격 대상인 기관들을 보면, 지식경제부(74,187건),문화체육관광부(26,044건), 행정안전부(22,541건) 등으로 나타나고 있으며, 지식경제부로의 공격이 많다는 것은 그만큼 시사하는 바가 크다. 참고로 이 수치는 공격 시도를 표시한 수치이기 때문에 실제로 피해를 입은 건수와는 한참 거리가 멀다는 것을 참고하기 바란다.
어떻게 사업이 흘러왔나
이렇게 외부로부터의 공격 시도는 결국 네트워크의 보안성 강화로 연결되고 각종 보안책을 마련하게 되어 기관들의 안전성은 상당히 확보되었으나 여전히 발생할 수 있는 근본적이고 구조적인 문제를 해결할 수는 없었다. 대표적인 사례가 지난 2009년 7.7 DDoS 대란이 그러한 예이다. DDoS의 숙주가 되는 PC가 외부 네트워크에서 어떤 프로그램에 의해 다운로드 되어 지고 실행되어 발생한 사건이다. 결국 외부 네트워크에서의 안전성이 보장되지 않은 데이터가 들어오면서 개인의 PC가 자기도 모르는 사이에 공격자가 된 것이다.
보안의 중요성이 강조되는 가운데, 2008년 주요 국가기관을 대상으로 인터넷과 내부 업무 망을 분리하는 사업을 추진하게 되었고 중앙 부처의 상당수는 이미 네트워크 분리 사업을 추진하였고 향후 지속적인 보강 사업이나 증설 사업을 진행할 것이다. 2008년 말까지 약 300억 원을 투입하여 중앙부처 55곳 중 30곳이 추진하였고 2009년 최종 완료되고 나면 이 수치는 더욱 더커져있을것이다.
향후 국가 망분리 사업은 전체 약 3천억 원 정도의 시장 규모를 형성 할 것으로 보이는데, 전국의 시군구 230여 개와 공공기관 등을 합친 금액이므로 이 부분에서의 통합적 접근과 종합적인 솔루션을 어떻게 제공하는가 하는 것이 중요한 과제가 될 수 있다.
망분리 구현 기술
그렇다면 이 네트워크 분리 사업은 어떤 기술로 구성되는가를 살펴볼 필요가 있다. 네트워크 분리를 위한 기술이다 보니 우선 기존의 인터넷과 내부 업무망을 같이 사용했던 네트워크 기기 차원에서의 분리를 해야 한다. 대개는 신규로 네트워크를 내부 업무망 또는 인터넷으로 별도 구축한다. 네트워크 차원에서는 네트워크 스위치 차원에서 백본 스위치를 별개로 구성하는 것이 일반적인데, 네트워크 스위치를 파티셔닝(partitioning)하여 사용하는 경우도 있다. 네트워크 스위치를 파티셔닝 해서 사용하는 경우 사업 비용을 줄일 수 있기 때문에 예산 수립 및 집행에 있어 용이한 면이 있지만 이미 도입해서 사용하는 스위치가 이러한 기능을 제공하지 않는다면 별 수 없이 신규로 구입하여야 하기 때문에 네트워크 구축 비용이 상당히 소요된다. 또한 스위치가 들어오면서 실제 사용자들의 책상까지 분리된 또 하나의 네트워크 케이블이 들어와야 하기 때문에 네트워크 포설 비용, 케이블 비용, 케이블의 공간 문제 등 해결해야 할 과제가 있다.
따라서 네트워크 스위치를 구축하는데 들어가는 비용을 고려하여 예산을 수립해야 하는데, 스위치 선정의 하나의 요건으로서 스위치 차원에서의 파티셔닝(가상화) 기능을 염두에 두고 사업비를 책정하는 것도 바람직하다.
망분리를 하는 사업인 만큼 네트워크는 분리되어야 하는데 클라이언트 차원에서의 컴퓨팅 환경은 어떻게 만들어야 하는가는 전혀 다른 문제의 유형이다. 클라이언트 컴퓨팅 환경을 만드는 방법은 실로 다양한 방법들이 있는데, 기관의 그린 전략을 살피고 그것을 토대로 컴퓨팅 환경을 조성해야 한다.
컴퓨팅 환경을 어떻게 만들 것인가?
클라이언트 차원에서의 컴퓨팅 환경을 어떻게 만들 것인가가 네트워크 분리와 아울러 가장 중요한 부분이다. 현재로서는 매우 다양한 방법들이 제시되고 있는데, 물리적으로 PC를 두 대 구성하는 방식, 가상으로 PC를 구성하는 방식 등으로 크게 두가지 기술이 있다.
<이후 컴퓨터월드 2010년 2월 호 P58 참조>