3.20 사태 이후 업무망과 외부 인터넷망을 분리하는 ‘망분리’ 시스템 도입이 필요하다는 주장들이 대두되고 있다. 망분리 필요성을 강조하는 기사들을 보면 거의 망분리 맹신주의에 가깝다. 마치 망분리를 도입하면 악성코드 유입과 해킹을 원천적으로 차단할 수 있다는 말도 서슴없이 하고 있다. 또 이번 3.20 대란도 망분리를 했다면 막을 수 있었다는 말까지 기사화 되고 있다. 과연 그럴까.
 
망분리는 현재 정통망법 시행령에 따라 망법 적용을 받는 기업중 개인정보 100만명 이상, 매출액 100억원 이상의 기업은 의무적으로 망분리를 해야 한다. 그래서 해당되는 기업들은 지난 2월 18일 이후 대부분 망분리를 도입한 상태다.
 
금융권도 지난 2011년 농협 사태 이후 내·외부망 분리를 추진해 오고 있고 전산센터의 경우 물리적 망분리를 시행중이다. 하지만 아직 일반 직원들이 사용하는 내부망의 경우는 완전한 망분리가 이루어지지 않은 상황이다.
 
과연 망분리가 언론에서 떠드는 것처럼 해킹을 원천차단 할 수 있을까.
 
망분리를 이미 구축한 모 대기업 보안책임자는 “망분리가 해킹을 차단하는데 도움을 주는 것은 사실이다. 하지만 망분리를 한다고 해서 내부로 유입되는 악성코드나 해킹공격을 원천적으로 차단하는 것은 불가능하다”고 말한다.  
 
또한 모 보안전문가는 “망분리가 보안성 향상에 도움이 되지 않는 것은 아니다. 하지만 업무를 하기 위해서는 외부망과 내부망의 접점은 있을 수밖에 없다”며 “그 과정에서 내부망에 악성코드가 침투하면 망분리 이전보다 더 위험한 상황이 발생할 수 있다. 내부망의 아킬레스건은 내부망 자체를 보안하기 어렵다는 점이다. 백신이나 보안시스템의 업데이트를 어떻게 할 것인가. 보안이 더 허술한 내부망에 들어간 해커는 무풍지대에 들어온 것이다. 들어가기는 힘들어도 한번 들어가면 더 위험한 상황이 발생할 수 있다”고 경고했다.
 
또 그는 “망분리를 위해 감당해야 할 고비용 저효율성을 생각하면 차라리 인터넷상의 위협에 액티브하게 대응할 수 있는 보안시스템과 제대로 된 보안인력에 투자하는 것이 더욱 효과적일 것”이라며 “망분리는 해커가 침투하는 시간을 지연하는 효과는 있을지언정 절대 근본적인 대책은 될 수 없다”고 강조했다.
 
실제 그런지 지난해 망분리를 구축한 모 기업 보안담당자와 전화통화로 확인해 봤다. 내부망 보안은 어떻게 하느냐는 질문에 그는 “내부망에도 백신이나 IPS, IDS, 방화벽, DB접근제어 등 다양한 보안시스템을 구축하고 있다”며 “하지만 업데이트가 문제다. 백신은 하루 한번 업데이트를 하고 있다. 다른 보안시스템들도 업데이트 주기에 따라 업데이트 한다. 문제는 업데이트할 때 내부망을 열어야 하는 것이 문제다. 업데이트가 끝나면 바로 차단하고 관리를 잘 한다고 하고 있지만 불안감은 있다”고 밝혔다. 즉 내무망이라 할지라도 최소 하루 한번 백신을 업데이트하려면 열어야 한다는 것이다. 
 
고려대 김휘강 교수는 “망분리가 안하는 것보다 하는 것이 안전하다. 자료유출을 막는 것도 도움이 된다. 하지만 완벽하다고는 말할 수 없다. 물리적으로 내부망 PC와 외부망 PC를 분리해 사용하더라도 업무상 내·외부 PC간 자료교환을 할 수밖에 없다”며 “안전한 내·외부망간 자료교환을 어떻게 해야 할지 기업들은 고민하고 있을 것이다. 보안USB를 사용한다 해도 백신이 탐지 못하는 악성코드 유입은 막을 수 없을 것”이라고 말했다.
 
또 김 교수는 “망분리하면 보안패치를 업데이트할 때가 문제다. 쉽지 않다. 패치를 하려면 내부망 문을 열어야 하는데 위험성이 존재한다”며 “스카다와 같은 제어시스템도 폐쇄형이라며 안전을 장담했지만 해킹을 당한 사례가 많다. 특히 내부망은 보안패치가 원활하게 잘 안되기 때문에 악성코드가 유입되면 더 큰 문제가 발생할 수 있다. 망분리는 들어올 수 있는 입구를 좁히는 역할만을 하는 것이다. 모든 것을 막아준다고 생각하면 안된다”고 밝혔다.
 
그는 더불어 “악성코드 유입을 100% 차단하기는 힘들다. 유입이 가능한 경로가 너무 많다. 악성코드를 완전 차단하는 것이 이제는 불가능한 시대가 왔다”며 “기업 특성과 문화에 맞게 보안담당자들이 차단 방법을 연구하는 길 밖에 없다”고 전했다.
 
한편 모 기업 보안담당자는 “현재 망분리를 구축했지만 중요한 것은 얼마나 지속적으로 망분리 정책을 정확하게 따르도록 직원들을 교육하고 습관이 들 수 있도록 하느냐가 관건”이라며 “망분리 하면서 보안관리가 더 힘들어졌다. 어떤 회사 망분리 제품을 도입하느냐 보다는 이를 컨트롤 할 수 있는 역량을 가진 보안관리자가 가장 중요하다. 보안은 하면 할수록 좋은 제품 보다는 좋은 관리자가 필요하다는 것을 느낀다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com