Brain핵심 인사이트 (3줄 요약)
- 본질: 망분리(Network Separation)는 내부 업무망과 외부 인터넷망을 완전히 격리하여 외부 공격으로부터 중요 자산을 보호하는 보안 기법이며, 망연계는 분리된 망 사이에서 안전하게 데이터를 주고받는 통로다.
- 가치: 랜섬웨어 등 악성코드의 내부 유입을 원천 차단하고, 내부 기밀 정보가 외부로 무단 반출되는 것을 방지하여 보안 신뢰성을 극대화한다.
- 판단 포인트: 물리적 분리(PC 2대 사용)와 논리적 분리(가상화/VDI 활용) 중 비용과 편의성을 고려해 선택하며, 망연계 구간의 스토리지/소켓 방식 보안성을 감리 시 점검한다.
Ⅰ. 개요 및 필요성
사이버 공격의 90% 이상은 인터넷을 통해 들어온다. "인터넷이 안 되면 해킹도 없다"는 단순하지만 강력한 논리가 망분리의 시작이다. 금융권이나 공공기관처럼 보안이 생명인 곳은 업무용 PC에서 유튜브를 볼 수 없게 망을 나누어야 한다. 하지만 업무를 하다 보면 이메일을 받거나 파일을 외부로 보내야 하는 상황(망연계)이 발생한다. 이때 보안을 유지하면서도 데이터만 쏙 뽑아 전달하는 정교한 기술이 필요하다.
📢 섹션 요약 비유: 망분리는 집 주변에 '깊은 해자(성곽 주변 물길)'를 파서 적의 접근을 막는 것이고, 망연계는 그 해자 위에 특정 시간에만 열리는 '도개교'를 설치해 필요한 물자만 들여오는 것과 같다.
Ⅱ. 아키텍처 및 핵심 원리
1. 망분리 방식
- 물리적 망분리: PC 두 대(업무용, 인터넷용)를 따로 쓰고 랜선도 두 개를 깐다. 보안성은 최고지만 비용이 많이 들고 불편하다.
- 논리적 망분리: 한 대의 PC에서 가상화 기술을 써서 망을 나눈다.
- CBC (Client-based): PC 내부의 가상 OS 영역에서 인터넷 사용.
- SBC (Server-based): 중앙 서버(VDI)에 접속해서 그 안에서 인터넷 사용. (현재 대세)
2. 망연계(Network Bridge) 메커니즘
분리된 두 망 사이에서 보안 프로토콜을 이용해 데이터를 전송한다.
- 스토리지 방식: 공유 저장소에 파일을 던지면 반대편에서 가져가는 방식 (가장 안전).
- 소켓 방식: 특정 포트를 열어 실시간으로 데이터를 통신하는 방식 (속도 빠름).
📢 섹션 요약 비유: 논리적 망분리(SBC)는 내 방에서 '원격 제어'로 PC방 컴퓨터를 쓰는 것과 같다. 내 방(업무망)은 깨끗하지만, 원격 화면(인터넷망) 속에만 바이러스가 갇혀있는 셈이다.
Ⅲ. 비교 및 연결
물리적 망분리 vs 논리적 망분리 (SBC)
| 비교 항목 | 물리적 망분리 | 논리적 망분리 (SBC/VDI) |
|---|---|---|
| 보안 신뢰성 | 매우 높음 (물리적 단절) | 보통 (가상화 취약점 존재 가능) |
| 구축 비용 | 매우 높음 (PC 2대, 회선 2배) | 보통 (중앙 서버 구축 필요) |
| 사용자 편의성 | 매우 낮음 (자리 이동, 케이블) | 높음 (한 화면에서 전환 가능) |
| 관리 편의성 | 낮음 (대수 증가) | 높음 (중앙 집중 관리) |
📢 섹션 요약 비유: 물리적 분리는 전화기를 두 대 들고 다니는 것이고, 논리적 분리는 스마트폰 하나에 '업무용 모드'와 '개인용 모드'를 따로 두는 것과 같다.
Ⅳ. 실무 적용 및 기술사 판단
기술사 핵심 포인트:
- 자료 반출입 통제: 망연계 시스템을 통해 파일을 내보낼 때 '승인 절차'와 '악성코드 검사(Anti-Virus)', '개인정보 마스킹'이 반드시 작동하는지 감리 시 점검해야 한다.
- 매체 제어: 망분리 PC에서 USB 등 외부 저장매체를 통한 데이터 탈취를 막는 'DLP 솔루션'과의 연동이 필수적이다.
- 클라우드 환경: 클라우드로 전환 시 가상 사설망(VPC) 간의 피어링이나 보안 그룹 설정을 통해 클라우드형 망분리를 어떻게 구현할지 기술해야 한다.
📢 섹션 요약 비유: 망연계 구간의 검사는 '공항 검색대'다. 물건(데이터)을 통과시키기 전에 위험한 물건(악성코드)은 없는지, 몰래 가져가면 안 되는 보물(개인정보)이 있는지 철저히 스캔하기 때문이다.
Ⅴ. 기대효과 및 결론
망분리는 대한민국 금융/공공 보안의 근간이 되는 정책이다. 최근에는 재택근무 확산으로 인해 클라우드 기반의 VDI 망분리가 필수적인 인프라로 자리 잡았다. 기술사 시험에서는 망분리의 기술적 분류를 정확히 도식화하고, 망연계 구간에서 발생할 수 있는 보안 취약점을 어떻게 통제할 것인지에 대한 실무적 시나리오를 제시하는 것이 합격의 지름길이다.
📢 섹션 요약 비유: 망분리와 망연계는 IT 보안의 '철벽 수비와 안전한 통행권'이다. 외부의 위험은 막아내고 비즈니스의 흐름은 끊기지 않게 하는 조화로운 균형점이다.
📌 관련 개념 맵
| 개념 | 연관 키워드 | 관계 |
|---|---|---|
| VDI (가상 데스크탑) | SBC, 중앙 집중 | 논리적 망분리를 구현하는 핵심 기술 |
| DLP (데이터 유실 방지) | 매체 제어, 유출 차단 | 망분리 환경을 보완하는 단말 보안 솔루션 |
| 에어갭 (Air-gap) | 완전 격리, 물리 분리 | 인터넷망과 물리적으로 단절된 최고 수준의 보안 상태 |
| 자료 반출입 시스템 | 망연계 솔루션, 결재 | 두 망 사이의 파일 이동을 관리하는 시스템 |
👶 어린이를 위한 3줄 비유 설명
- 공부하는 책상(업무망)과 오락하는 게임기(인터넷망)를 아예 다른 방에 두는 규칙이에요.
- 게임기에 바이러스가 걸려도 공부방으로는 절대 넘어올 수 없어서 안전하답니다.
- 공부방에서 쓴 일기(데이터)를 거실로 내보내고 싶을 때는 엄마(망연계 시스템)의 허락을 받아야 해요.