망 분리란? 망분리에서 VDI역활

최근의 일어난 3.20 사이버테러는 주요 방송사(MBC,KBS,YTN) ,금융사(농협 ATM 1979대 마비)
APT(Advanced Persistent Threats)공격 수법을 시간이 무척 많고 높은 기술력을 가진 해커들이 자신들의 목적(정보침해, 기득권 획득, 돈)을 달성하기 위해 끝까지 줄기차게 목적시스템에 대해 공격을 감행하는 방식입니다. 보면 외부 인터넷에서부터 악성코드를 잠입시키는 방식으로

 

 

먼저 공격 순서를 보면

 

 

1. 해커들이 웹서버를 해킹합니다.(ActiveX취약점이용)

 

 

2. 웹서버에 악성코드를 심어서 놓습니다.

 

 

3. 중요 정보관리자인 내부직원이 웹서버에 접속하면 악성코드에 감염(이때부터 앙성코드가 중요 정보를 C&C서버(좀비PC 조정하는 해커의 우두머리 서버) 보내게 됩니다.

 

 

나머지는 생략 …

 

 

위와 같이 보안 전문가들은 업무망과 공용망(인터넷)의 망을 분리하는 망분리가 대안으로 제시하고 있습니다.

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제 15조(개인정보의 보호조치)에도 정부에서 법률적으로 의무화를 명시해 놓았습니다.

 

 

망분리는 내부사원이 사용하는 업무망과 외부망(인터넷) 자체를 분리 운영하는 방식입니다.

 

 

 

 

 

 

 

망분리 솔루션 업계는 망분리가 이번 전산망 마비사건과 같은 해킹을 막을 수 있는 최신 기술이라고 주장 합니다.

 

 

 

 

 

망분리의 종류 & 장단점

 

 

 

 

 

망분리는 크게 논리적 망분리와 물리적인 망분리로 나눌수 있습니다.

 

논리적 망분리는 다시 VDI방식,SBC방식과 OS커널방식으로 나뉘다. 방식은 다르지만 업무 영역과 인터넷 영역을 따로 구성해 해킹으로부터 위험을 원천 봉쇄하자는데 목적이 있습니다.

 

 

 

 

 

망분리의 방식 - 물리적인 망분리 & 논리적인 망분리

 

구분	물리적인 망분리	논리적 망분리
개념	- 한 사람이 두 개의 PC를 사용하거나 전환 스위치로 망을 분리해 내는 방식 - 네트워크 카드를 두 개 탑재한 PC를 사용하는 방안	논리적 망분리의 경우에는 과거 서버 기반 컴퓨팅(SBC)이 거론됐었지만, 최근 들어 가상화 기술을 활용한 VDI와 하나의 PC에 두 개의 운영체제(OS)를 설치하는 OS커널 분리 방식이 주로 이용

 

 

 

 

물리적인 망분리 – 한사람이 두대의 PC를 사용 ‘업무영역’과 ‘인터넷영역’을 분리

 

 

 

논리적인 망분리 – 1인 1PC에서 가상환경을 구현해서 로컬영역은 ‘업무용’, 가상영역은 ‘인터넷용’으로 사용하게 끔하는 것

 

 

VDI(데스크톱가상화) 방식 – 데스크톱을 가상화시켜 서버에서 전산자원을 끌어다 사용하는 방식으로 업무용 VDI 전환을 통한 망분리와 개인용 VDI 전환을 통한 망분리로 분류된다.

 

업무용 VDI 구축의 경우 업무 전체의 전산 자원을 서버에서 가져오는 방식으로 정보자원의 중앙통제를 통한 보안 유지와 언제 어디서나 개인 단말기로 업무를 볼 수 있는 스마트워크, 효율적인 PC관리가 강점이다. 다만 업무용 VDI 전환을 통한 망분리는 전체 업무에 대한 가상화로 비용이 비싸다는 단점이 있다.

 

 

 

 

 

 

 

 

 

SBC(Server Based Computing) 방식 – 중앙서버에 애플리케이션을 두고 같이 나뉘 쓰는 방식으로 사용자에는 망으로 화면만 전송하는 방식

 

 

 

 

 

OS 커널 분리방식 – 하나의 PC에 두개의 운영체제(OS)를 설치하는 방식

 

 

 

 

 

 

 

출처 : http://blog.daum.net/sunwookim77/104