현대는 바야흐로 정보화시대이다. 개인 사용자는 노트북이나 스마트폰 등의 단말을 이용해서 네트워크 상의 정보를 언제 어디서나 활용하는 것이 가능하다. 이러한 유비쿼터스 시대에 기반 시스템의 설계 및 구축 그리고 유지보수를 담당하는 관리자의 딜레마는 사용자의 편의성과 시스템의 보안성이라는 두 마리의 토끼를 한 번에 잡으려는 노력에서부터 시작한다.

하지만 아주 사소한 보안성 결여로 인한 국가적 또는 경제적으로 심각한 폐해를 직간접적으로 경험한 경우라면 사용자의 편의성보다는 시스템의 보안성에 더 무게를 두는 것이 일반적이다. 이러한 이유로 더욱 강력한 보안 체계를 구축하자는 취지 아래 정부 중앙 부처에서부터 시작한 보안 사업이 망(네트워크)분리 사업이다.

◆망(네트워크)분리 사업이란 = 일반적인 조직의 네트워크는 크게 두 가지 망으로 구분할 수 있다. 내부 업무를 위한 내부망(intranet)과 인터넷 또는 외부 기관과의 연결을 위한 외부망(extranet)이 그것이다. 또한 구성적인 측면으로 볼 때, 내부망과 외부망은 방화벽과 같은 보안 시스템을 이용하여 연결이 된다. 이러한 구성으로 내부 사용자는 손쉽게 본인의 PC에서 내부 업무와 동시에 외부 인터넷을 사용할 수 있으며, 방화벽 및 보안 시스템의 정책 설정을 통해 외부의 침해나 내부 자료 유출을 방지할 수 있다.

하지만 이러한 보안 시스템이 구축되어 있음에도 해마다 보안 관련 사고는 쉽게 접할 수 있다. 날로 발달하는 정보 기술을 통해 보안 솔루션도 진화하고 있지만, 그에 못지않게 해킹이나 바이러스와 같은 악성 코드 역시 진화를 하고 있기 때문이다. 이러한 어려움 속에 보다 강력한 보안 체계에 대한 요구에서 비롯된 안이 망 분리 사업이다.

외부의 침입이나 내부 자료의 외부 유출을 원천적으로 차단하기 위해 방화벽이나 보안 시스템으로 연결된 내부망과 외부망을 각각 별도로 분리하는 것이다. 외부에서 내부로 네트워크 침해를 막기 위해 내부와 외부를 완벽히 분리하자는 지극히 간단한 발상이다.

◆망 분리에 따르는 새로운 수요 = 앞서 말했듯이 망분리 사업을 하게 되면 내부망과 외부망이 완벽히 분리가 되어, 외부의 위협으부터 안전을 보장받을 수 있지만, 한편으로 기존과 같은 방법으로는 내부 업무와 인터넷 업무를 동시에 처리할 수 없게 된다.

쉽게 얘기해서, 각 망을 위한 PC가 따로 존재해야 한다는 것이다. 사용자 입장에서는 자신의 책상 위에 내부망용 PC와 외부망용 PC 두 대를 둠으로써 공간의 협소함뿐만 아니라 각 PC간 자료교환 시 보안 USB를 사용해야 하는 등의 불편을 감수해야한다.

시스템 관리자 입장에서 바라본다면, 네트워크 분리에 따른 기존 인프라의 재설계, 내외부간 자료 연계, 1인 1PC 추가에 따른 과도한 도입 비용 및 관리 비용, 사용자별 보안 USB 관리 등 파생되는 이슈 해결을 위해 노력과 시간을 할애해야 하는 부분이 엄청나다. 보안을 위해선 사용자의 편의를 희생해야 하는 것이다.

백 번 양보해서 사용자의 불편은 둘째치더라도 반드시 해결해야 할 문제는 내외부간 자료 연계이다. 아이러니하게도 내부 보안을 외치는 조직들의 IT의 활용 목적은 대개 외부와의 소통을 위한 것이다. 그것이 어떠한 방식이든 말이다.

일례로, 대부분의 공공기관은 대민 서비스를 위해 WEB/WAS 시스템을 구축해 두고 있다. 외부 사용자들이 접하는 공공기관 홈페이지의 소스(Source)는 내부 DB에 근간을 두는 것이 많을 것이다. 결국 내부에 있는 자료를 외부로 연계해야 한다는 것인데, 망이 분리된 상황에서 어떻게 구현을 해야만 하는 것인지 의문을 갖게 된다.

◆스토리지를 이용한 자료 연계 = 현재 분리된 망간 자료 교환의 방법은 자료의 형식에 따라 두 가지로 나뉜다. 자료의 형식 두 가지 중 하나는 흔히 스트림이라고도 하는데, 네트워크 스택(OSI 7계층)에서 볼 때 HTTP, SSH, TELNET, FTP 등과 같은 프로토콜의 기반이 되는 전송계층(TCP) 상의 패킷 데이터를 말한다.

자료의 형식 중 또 다른 하나는 디스크에 기록되는 단위인 일반적인 파일 데이터를 의미한다. 대개의 망분리 구성상에서 자료 교환은 파일 자료의 교환을 의미한다. ASR과 같은 망전환 장치를 이용하여 주기적으로 내부망과 외부망을 연결하여 자료를 교환하는 방식이다. 하지만 망전환 장치와 같은 방식으로는 실시간 처리 및 스트림 연계에 한계가 있다.

이러한 두 가지 연계 방식에서의 제약 사항을 보완한 방식이 스토리지를 이용한 자료 연계이다. 여기서 우리는 망 분리라는 의미를 다시한번 되짚어 볼 필요가 있다.

망 분리라 함은 연결된 망을 분리한다는 것인데, 연결된 망이라는 것은 결국 네트워크 통신이 가능하다는 것이다. 일반적인 네트워크 통신이라 함은 TCP를 이용한 통신을 의미한다. 물리적인 매체가 무엇이든, 인터넷 활용이 늘어남에 따라 범용적으로 사용하게 된 통신 프로토콜인 TCP를 이용하여 시스템간 네트워크 통신이 가능하게 되는 것이다.

따라서 망 분리라는 의미는 결국 TCP 통신을 분리한다는 의미로도 해석이 가능하다. 이것이 바로 내외부 망간 방화벽을 통한 연계와 스토리지를 통한 연계의 가장 큰 차이점이 된다. 스토리지를 이용한다는 것은 바로 자료 연계를 위해 TCP를 사용하는 것이 아니라 외장 스토리지에 파일을 기록하는 프로토콜인 FCP를 사용하기 때문이다.

단적인 예를 들어보자. 내부망과 외부망을 방화벽으로 연계한 경우, 외부에서 방화벽이 뚫렸을 경우, 방화벽에 연결된(TCP 통신이 가능한) 내부 시스템이 그대로 위험에 노출될 수 있다. 하지만 스토리지를 이용하여 내부망 중계서버와 외부망 중계서버를 연계하였을 경우, 외부 중계서버가 뚫렸다 하더라도 스토리지를 통해 FCP로 연결된 내부 시스템으로의 접속은 불가능하다.

분리된 네트워크 상에서 방화벽을 대체하며, 실시간으로 자료 연계가 가능한 스토리지를 이용한 망연계 솔루션인 LG히다찌의 HRX-AOSP는 보안이 매우 중요시되는 군 또는 공공 기관에서 자료 연계를 위한 최적의 시스템으로 각광받고 있으며, 새로이 추진되는 네트워크 분리 사업에서 좋은 레퍼런스가 되고 있다.

◆LG히다찌 HRX-AOSP 구축 사례 = K 연구소는 내부 핵심 연구 자료의 보호 및 외부 관련 기관과의 협업을 위해 분리된 망간 자료 교환 시스템으로 HRX-AOSP를 도입하였다. 기존에 사용하던 ASR(자동 망전환 자료 교환 시스템) 및 보안USB는 효율이 떨어지고, 관리가 쉽지 않았기 때문이다. 특히 내부 사용자 별로 제공되는 보안 USB의 경우, 작은 파일 교환을 위해서도 내부망PC와 외부망PC에 USB를 번갈아 연결 후 인증을 해야 하기 때문에 사용이 매우 번거롭고, 이러한 물리적인 작업으로 인해 장치 손상 및 분실이라는 잠재적인 위험이 있었다.

K 연구소는 LG히다찌 HRX-AOSP 및 고성능 스토리지 USP-VM을 도입함으로써 내외부 망간 자료 교환을 빠르고 안전하게 자동으로 처리할 수 있게 됐으며, 이를 통해 사용자의 불편함을 크게 해소했다. 뿐만 아니라 보안 USB 사용을 점차 줄여 보안 사고를 미연에 방지하고 있다. 아울러 도입된 자료 교환 시스템을 통해 업무상 내외부간 연계가 반드시 필요한 팩스 및 메일 서비스까지 연계하여 보안 강화 및 사용 편의를 높이면서, 기존 서비스를 손쉽게 구현했다.

HRX-AOSP의 또 다른 장점은 시스템 성능 및 확장성이 매우 뛰어나다는 점이다. 이는 LG히다찌가 망연계 시스템의 구성 요소인 스토리지와 서버 그리고 소프트웨어를 모두 취급함으로써 각 요소 별 장점을 융합하여 최고의 시너지를 내고 있기 때문이다. K 연구소는 이러한 점을 이유로 내년 초 망연계 시스템의 추가 확장 및 업그레이드 계획을 세우고 구체적인 설계 작업을 진행하고 있다.

현재 중앙부처에서 시작된 네트워크 분리 사업은 앞으로 지자체까지 지속적으로 확산될 것으로 보인다. LG히다찌 측은 “시작은 단순히 네트워크 분리이지만, 결국 분리된 네트워크에서 안전하고 빠른 자료 교환이 이루어져야 하기 때문에 LG히다찌의 망연계솔루션의 수요는 날로 늘어날 것으로 기대한다”고 밝혔다.