642. 망분리 (Network Separation) 및 제로 트러스트 연결형 논리망 보안 정책

핵심 인사이트: 은행 직원 자리에 PC가 두 대 놓여있다. 한 대는 사내 결재망용이고, 다른 한 대는 유튜브나 네이버 검색용이다. 인터넷을 타고 들어오는 해킹 바이러스를 원천 차단하기 위해 '물리적으로 선을 끊어버린' 망분리다. 하지만 재택근무 시대가 열리며 이 답답한 선을 잇게 해 달라는 요구가 빗발쳤고, 그 대안으로 떠오른 것이 "아무도 믿지 말고 매번 검사하자"는 제로 트러스트 보안이다.

Ⅰ. 망분리 (Network Separation)의 개념

• 기업이나 공공기관에서 외부의 해킹, 악성코드 침입, 내부 정보 유출을 막기 위해 외부 인터넷망과 내부 업무망을 물리적 또는 논리적으로 완전히 분리하는 보안 아키텍처입니다.
• 배경: 2011년 농협 전산망 마비 사태 등 북한/해커들의 공격으로 국가 인프라가 뚫리자, 금융권과 공공기관에 망분리가 법으로 강제(의무화)되었습니다.

Ⅱ. 망분리의 2가지 구현 방식 🌟

1. 물리적 망분리 (Physical Separation)

• 방식: 직원 책상에 2대의 PC(업무용 PC, 인터넷용 PC)를 각각 따로 둡니다. 두 PC에 연결되는 랜선(네트워크 스위치) 자체도 아예 별도로 구축합니다.
• 장단점: 랜선 자체가 잘려 있으므로 보안성은 우주 최강(100% 안전)입니다. 하지만 PC 두 대를 사야 하고 랜선 공사비가 두 배로 들며, 직원들이 USB로 파일을 옮겨야 해서 업무 효율이 최악으로 떨어집니다.

2. 논리적 망분리 (Logical Separation - VDI, CBC)

• 방식: 직원 책상에는 PC가 1대만 있습니다. 서버 가상화(VDI) 기술을 이용해 업무는 내 PC(내부망)에서 직접 하고, 인터넷 서핑을 할 때는 클릭 한 번으로 중앙 서버에 떠 있는 '가상 PC 화면(외부망)'을 띄워서 그 안에서만 서핑하는 방식입니다. (또는 반대로 구성)
• 장단점: 물리적 PC 비용을 아끼고 공간을 차지하지 않습니다. 하지만 중앙 가상화 서버(VDI) 구축 비용이 만만치 않게 비싸고 화면이 버벅거릴 수 있습니다.

Ⅲ. 망분리 규제의 한계와 '연결'의 필요성

코로나19 사태로 '재택근무'가 폭발하고 클라우드(SaaS) 시대가 열리자, 사내 PC에서만 접속할 수 있는 망분리 규제는 IT 혁신을 가로막는 최악의 족쇄가 되었습니다. "망을 무조건 끊어 놓는 게 능사가 아니다. 망을 연결하되, 절대 해킹당하지 않는 새로운 통제 모델을 만들자." 이것이 제로 트러스트의 출발점입니다.

Ⅳ. 제로 트러스트 (Zero Trust) 논리망 보안 정책 🌟

• 개념: "Never Trust, Always Verify (아무도 믿지 마라, 항상 검증하라)". 내부망에 이미 들어와 있는 직원이라 할지라도 절대 믿지 않고, 새로운 서버나 파일에 접근할 때마다 신원, 권한, 기기 보안 상태를 끊임없이 재검증하는 보안 철학입니다.
• 망분리와의 융합 (연결형 논리망): 이제는 외부 인터넷이나 재택근무지에서도 회사 망에 접속할 수 있게 열어줍니다(연결). 대신, SDP(소프트웨어 정의 경계) 기술을 써서 해커의 눈에는 회사 서버가 아예 보이지 않게(블랙홀처럼) 숨겨버립니다. 오직 MFA(다중 인증)를 통과하고 회사 백신이 깔려있는 '깨끗한 노트북'을 가진 직원에게만 암호화된 1:1 비밀 통로를 열어줍니다.

📢 섹션 요약 비유: 기존 망분리 정책은 성벽을 높이 쌓고, 외부 성(인터넷)과 내부 성(업무망) 사이의 다리를 아예 불태워 끊어버린 쇄국 정책입니다. 적은 못 들어오지만 우리도 밖으로 나갈 수 없어 굶어 죽기 직전입니다. 제로 트러스트는 불태운 다리를 다시 짓는 대신(연결 허용), 다리 위에 현존 최고의 로보캅 경비병 100명을 세워둔 것입니다. 신분증, 지문, 동공, 소지품 검사를 1분마다 무한 반복하여 조금이라도 수상한 자는 그 즉시 다리 밑으로 던져버리는 스마트 개방 정책입니다.