750. ISO 27001 / ISMS-P 인증 망 분리 아키텍처 및 망 연계(스트림 연동) 기술

핵심 인사이트: "해킹당하기 싫으면 아예 인터넷 선을 뽑아버려라!" 이것이 물리적 망분리의 핵심이다. 회사 책상에 두 대의 PC를 놓고, 업무망 PC에는 인터넷 선을 안 꽂는 식이다. 가장 완벽한 보안이지만 직원들은 미쳐버린다. 외부 인터넷에서 온 참고 자료 엑셀 파일을 업무용 PC로 옮기려면 어떻게 해야 할까? USB도 막혀있다. 이 두 개의 완벽히 끊어진 성벽 사이에, 바이러스를 걸러내고 순수한 데이터 알맹이만 조심스럽게 넘겨주는 '무인 택배 보관함'이 바로 '망 연계 시스템'이다.

Ⅰ. 망 분리 (Network Separation) 인증 모델 기반 설계

  • 배경: 앞서 642번 문서에서 다루었듯, ISO 27001 국제 정보보호 인증이나 한국의 ISMS-P(개인정보보호 관리체계) 인증 심사를 통과하려면, 금융권/공공기관/개인정보 취급 기업 등은 의무적으로 **외부 인터넷망(해커 놀이터)**과 **내부 업무망(고객 DB, 사내 기밀)**을 철저히 격리(분리)해야 합니다.
  • 분리 아키텍처 구조:
    1. 물리적 망분리 (가장 빡셈): PC 두 대, 랜선 두 줄을 씁니다. 직원 책상이 복잡해지고 비용이 수백억 원 깨지지만 완벽합니다.
    2. 논리적 망분리 (VDI 중심): PC 한 대를 씁니다. 서버 가상화(VDI: Virtual Desktop Infrastructure) 기술을 써서, 인터넷 서핑을 할 때는 클릭 한 번으로 저 멀리 있는 회사 중앙 서버에 떠 있는 '가상 윈도우 화면'으로 접속해 유튜브를 봅니다. 바이러스가 걸려도 중앙 가상 서버만 날아가고 내 물리적 업무용 PC는 안전하게 보호되는 스마트한 설계 방식입니다.

Ⅱ. 망 연계 시스템 (Network Linkage System)의 필요성 🌟

망분리가 완벽하게 끝났습니다. 이제 외부망과 내부망은 TCP/IP 통신조차 불가능하게 물리적으로 단절되었습니다.

  • 문제 발생: 외부 협력업체가 인터넷 이메일로 보내온 '계약서.pdf' 파일을 업무망 PC로 다운받아서 봐야 합니다. USB 사용은 사내 보안상 금지되어 있습니다. 선이 싹둑 잘렸는데 이 파일을 내부망으로 어떻게 넘겨올까요?
  • 해결책: 바로 이때 두 개의 망 사이에 걸쳐 서서, 파일을 던져주는 중계 박스인 **망 연계 시스템(보안 게이트웨이)**이 등장합니다.

Ⅲ. 망 연계 시스템의 동작 원리 (스트림 연계 기술) 🌟

해커가 이 중계 박스를 타고 내부로 넘어오지 못하게 통신 규약을 뭉개버리는 엄청난 기술을 씁니다.

  1. TCP/IP 연결의 강제 단절: 인터넷망과 업무망 사이에 직접적인 라우팅(IP 통신) 경로는 존재하지 않습니다.
  2. 스토리지(공유 폴더) 공유 방식: 가장 전통적입니다. 인터넷망 PC에서 망 연계 솔루션 프로그램에 로그인해 파일을 업로드합니다. 이 파일은 중간 완충 지대(DMZ)에 있는 스토리지(공유 폴더) 저장소에 떨어집니다. 내부망 PC가 그 저장소에 접속해 쓱 다운받아 갑니다.
  3. 비-TCP/IP 기반 고속 스트림(Stream) 연계 연동 기술 🌟:
    • 엄청나게 빠른 실시간 처리가 필요할 때 씁니다(예: 내부망 DB와 외부망 웹서버 연동).
    • 두 망 사이에 이더넷 랜선이 아닌, 시리얼 케이블(RS-232), USB 케이블, 또는 특수 규격(Infiniband, IEEE 1394 등 비-TCP/IP 프로토콜) 선을 꽂아둡니다.
    • 외부망 서버에서 온 TCP 패킷을 중간 연계 장비가 받습니다. 장비는 패킷의 껍데기(IP, MAC 헤더)를 완전히 다 찢어버리고 버립니다(해커의 네트워크 해킹 시도 완전 무력화). 그리고 오직 순수한 알맹이 텍스트 데이터(스트림)만 남겨서 시리얼 케이블의 좁은 구멍으로 쏩니다.
    • 반대편 내부망 연계 장비가 그 텍스트를 받아 다시 내부용 TCP 패킷으로 새롭게 포장해서 내부 서버로 보냅니다. (바이러스는 중간 백신 엔진을 거쳐 100% 필터링됩니다.)

📢 섹션 요약 비유: 망 분리와 망 연계 시스템은 '병원 무균실(내부 업무망)' 시스템입니다. 일반인(외부 인터넷망)이 무균 환자를 만나러 무작정 문을 열고 들어가면 환자가 세균에 감염됩니다(해킹 붕괴). 그래서 유리벽(물리적 망분리)으로 완전히 두 공간을 갈라버렸습니다. 그런데 밖에서 도시락(업무용 파일)을 환자에게 전해줘야 합니다. 이때 유리벽 한가운데 있는 '자외선 살균 배식구(망 연계 시스템)'를 씁니다. 일반인이 문을 열고 도시락을 쓱 밀어 넣으면 문이 닫히고, 상자 안에서 5분간 엄청난 소독(악성코드 검사 및 비-TCP/IP 변환)을 거친 뒤 반대쪽 문이 철컥 열리며 환자가 안전하게 도시락만 쏙 빼가는 완벽한 격리 연동 시스템입니다.