망분리

망분리 : 인터넷망을 통한 악성코드 유입, 외부로의 내부 자료 유출, DDoS 공격 등의 위험을 차단하기 위한 목적으로 외부망(인터넷이 가능한 망)과 내부망(업무가 가능한 망)을 분리하는 것

 

개인정보보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)

① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행
… 중략
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
…

개인정보의 기술적 관리적 보호조치 기준 제2조 (정의)

5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다. 

개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제)

① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
… 중략
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. 

 

물리적 망분리

외부망 / 내부망에 접속하기 위한 PC를 '각각' 사용하여 완전히 분리된 네트워크 접속 환경 구축

- 1명의 사용자가 2대의 PC를 사용

- 각 망의 회선 별로 보안장비를 따로 구축해야하기 때문에 시간과 비용이 많이 듦

- 물리적으로 완전히 분리되어 있어 보안상으로 가장 안전

 

KVM 스위치

: 2대의 PC를 1대의 키보드, 모니터, 마우스로 전환해가며 사용할 수 있는 장비 등장

 

논리적 망분리

가상화 기술 이용하여 1대의 PC에서 외부망/내부망에 별도로 접속 가능하도록 구축

 

1. CBC(Client-Based Computing) : PC 기반 가상화

사용자의 PC에 가상화 기술 적용

기존 로컬 영역 내 가상머신 생성하여 OS 영역을 분리하고

생성한 VM을 통해 외부망에 접속,

기존 로컬영역을 내부망을 사용하는 방식

- 구축 비용이 낮지만 PC 성능에 따라 VM의 사양 의존

 

2. SBC(Service-Based Computing) : VDI(Virtual Desktop Infrastructure)

외부 물리 서버에 가상화기술 적용하여 VM 생성

사용자에게 해당 가상화 서버에 대한 접속 계정 할당해주는 방식

- 외부망 가상화 : 가상화 서버 -> 외부망 접근 | PC 로컬 영역 -> 내부망 접근

- 내부망 가상화 : 가상화 서버 -> 내부망 접근 | PC 로컬 영역 -> 외부망 접근

사용자 PC가 아니라 외부 물리 서버의 자원을 가지고 가상화를 하기 때문에
PC 사양에 상관 없이 다양한 사양의 OS 환경 구축 가능

 

하이퍼바이저

- 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼