1. 개요
오늘날 대부분의 기업은 다양한 IT기술을 바탕으로 업무의 생산성 및 효율성을 극대화하고 있습니다. 이번에는 이러한 IT기술 중 대부분의 기업에서 유용하게 사용되고 있는 원격접속에 대해 정리해 보겠습니다. 이때 유념해야 할 것은 이러한 원격접속은 반드시 암호화 된 형태로 이용되어야 한다는 것입니다.
이번 포스팅에서는 암호화 된 원격접속을 요구하는 법률 및 규제에 대해 알아보고, 이를 충족하는 올바른 이행방법에 대해 알아보도록 하겠습니다.
2. 원격접속 관련 법률 및 국내외 규범 - VPN
국내외 법률 및 정보보호 인증제도에서는 원격 접속에 관해 어떻게 정의하고 있을까요. 다양한 국내외 규범 (국내 정보보호관리체계 인증제도-ISMS, ISO27001, 정보통신망법, 개인정보보호법) 에서 요구하는 내용은 다음과 같습니다.
가. ISMS (정보보호관리체계)
ISMS는 104개 통제 항목 중 [10.4.1 네트워크 접근] 항목에서 아래와 같이 규정하고 있습니다.
통제영역 | 10. 접근통제 |
통제항목 | 10.4.1 네트워크 접근 |
통제목적 | 네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내 ∙ 외부 네트워크를 분리하여야 한다. |
점검 항목 | 물리적으로 떨어진 IDC 센터, 지사, 대리점 등과의 네트워크 연결 시 전용회선을 구축하고 전용선 구축이 불가능한 경우 VPN(가상사설망) 등의 대책을 마련하고 있는가? |
설명 | 물리적으로 떨어진 장소와 네트워크 연결이 필요한 경우 전용회선 또는 VPN을 활용하여 보안성을 강화하여야 한다 |
나. 개인정보보호법
외부망으로부터 개인정보처리시스템에 대한 접속은 원칙적으로 차단하여야 합니다. 다만 업무상 필요에 의해 개인정보처리자가 외부망을 통해 개인정보처리시스템에 접속이 필요한 경우에는 가상사설망 (VPN : Virtual Private Network) 또는 전용선 등의 안전한 접속수단을 적용하여야 합니다.
< 참 고 > - 노트북과 같은 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리시스템에 접속하는 경우에도 가상사설망, 전용선 등의 안전한 접속수단을 적용하여야 한다. - 가상사설망(VPN : Virtual Private Network)은 개인정보 취급자가 사업장 내의 개인정보처리시스템에 대해 원격으로 접속할 때 IPSec이나 SSL 기반의 암호 프로토콜을 사용한 터널링 기술을 통해 안전한 암호통신을 할 수 있도록 해주는 보안 시스템을 의미한다. |
다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법)
- 개인정보의 기술적 / 관리적 보호조치 기준 (시행 2015.5.19)
개인정보보호법과 마찬가지로 외부에서 정보통신망법에서도 개인정보처리시스템으로 접속할 때는 안전한 인증 수단과 더불어 전송구간의 보호조치를 수행해야 합니다. 여기서 말하는 '안전한 인증수단', '전송구간 보호조치'는 암호화된 통신 즉 VPN 적용을 의미합니다.
정리하면, 1) ISMS, 2) 개인정보보호법, 3) 정보통신망법 모두 공통적으로 외부에서 내부로 접속시에 안전한 접속수단을 이용하여야 한다고 요구합니다. 여기서 '안전한 원격접속'이라 함은 VPN 기술로 충족될 수 있습니다.
그렇다면 이번에는 대표적인 안전한 접속수단 VPN 기술에 대해 알아보겠습니다.
3. VPN (Virtual Private Network)
가. VPN 정의 및 특장점
VPN은 인터넷과 같은 공중망(public network)을 사설망(private network)과 같이 사용하기 위한 기술로서 터널링 프로토콜과 보안절차를 이용하여 안전한 보안 환경을 제공합니다. 또한 공중망을 통해 데이터를 송신하기 전에 데이터를 암호화하고 수신측에서 이를 복호화 하는 방식으로 송 · 수신 정보에 대한 기밀성 및 무결성을 보장합니다. 그 외에도 데이터 출처 인증, 재전송 방지, 접근제어 등 다양한 보안 기능을 제공합니다.
이는 비용적인 측면에서도 전용회선에 비해 저렴하게 공중망을 사설망처럼 이용할 수 있다는 큰 장점을 가지고 있습니다.
[ VPN 적용 전과 후의 네트워크 구성 ]
나. VPN 의 유형 ( IPSEC VPN / SSL VPN )
VPN 유형은 크게 IPSEC, SSL 방식으로 분류됩니다. IPSec과 SSL VPN 은 기업의 중요한 데이터를 보호하는 기능, 즉 데이터 기밀성 및 무결성 기능은 동일합니다. 단지 데이터 암호화를 구현하는 방식의 차이가 있을 뿐입니다. 따라서 IPSec VPN과 SSL VPN은 서비스 측면에서 상호보완적인 관계라고 볼 수 있습니다.
[ SSL VPN 개념도 ]
[IPSEC VPN 개념도]
다. IPSEC VPN 와 SSL VPN 의 비교
IPSEC VPN 은 상호 신뢰할 수 있는 양쪽 네트워크를 연결할 목적인 경우에는 휼륭하게 적용될 수 있습니다. 그러나 접속 장소와 디바이스를 가리지않고 기업의 중요 애플리케이션과 데이터에 접속하려면 개방형 네트워크를 이용해야 합니다. 개방형 네트워크에서는 보안 커넥션이 반드시 필요합니다. SSL VPN은 통신 당사자간에 상호 신뢰관계가 형성되지 않은 상황하에서도 통제가능한 보안커넥션을 형성할 수 있습니다.
SSL VPN 은 사용자와 SSL VPN 장비 사이의 안전한 데이터 교환을 위해 애플리케이션 계층에서 SSL을 이용한 암호화 서비스를 제공합니다. 이에 따라 IPSEC VPN의 문제점인 네트워크와 방화벽을 통과할 경우 발생하는 포트블록과 같은 문제점을 해결합니다.
IPSec VPN | SSL VPN | |
지원 Layer | - OSI 모델 3계층 Network Layer - 상위 레이어에 속하는 모든 프로토콜 지원 - IP 프로토콜이 가지는 보안상 문제점을 근본적으로 해결 - 모든 응용에 대한 투명성 제공 | - Transport Layer (Layer 4 ~ Layer 7 사이) - 기본적으로는 지원가능 한 애플리케이션의 범위가 적음 - IPSec에 비해 가벼운 Agent를 설치하여 모든 애플리케이션을 지원할 수 있음 |
터널링 초점 | - 본사-지사간 Gateway-Gateway 위주 터널링 | - 본사-외부 Gateway-Client 위주 터널링 |
Client 자체 보안 | - IP Layer의 Filtering 기능을 통해 IPSec 이외의 모든 통신을 외부로부터 차단하여 원천적 봉쇄 | - 애플리케이션 단의 강력한 사용자 인증을 실시할 수 있음 (예: 이용자별 접근 제어) |
지원 애플리케이션 | - IP 기반의 모든 서비스/애플리케이션 | - 웹 기반 애플리케이션 / File sharing / E-mail / 제한적인 Legacy 애플리케이션 |
장,단점 | - 설치, 운영 및 관리에 많은 부담 - SSL VPN 에 비해 빠른 속도 및 다수 동시접속자 지원 | - IPSec VPN 에 비해 설치 및 관리가 편리하고 비용 절감도 가능 - IPSec에 비해 속도가 느리며 성능 이슈로 인해 동시접속자 수가 적음 |
[ IPSec VPN 과 SSL VPN 비교 ]
라. 요약
지금까지 정리한것과 같이 IPSec VPN과 SSL VPN은 데이터 암호화를 구현하는 방식에 차이가 있습니다.
하지만 서비스 측면에서는 모두 암호화된 통신을 안전하게 구현하기 때문에 IT담당자는 이용형태에 따라 조직에 가장 알맞은 유형을 선택하여 적용해야 합니다.
다시한번 정리하면 IPSec VPN은 통신 당사자를 충분히 신뢰할 수 있는 환경 (예 : 은행의 본지점간 연결)에서는 매우 적절한 솔루션이 될 수 있습니다. 그러나 원격지 이동 사용자(재택근무, 모바일) 와 같이 접속위치, 접속 단말등에 대한 완벽한 신뢰가 불가능한 경우에는 SSL VPN 이 유용하게 사용될 수 있습니다.
IPSEC VPN | SSL VPN | |
지사 사무실 직원 | O | - |
IT 직원 | O | - |
모바일 근무자 | - | O |
컨설턴트 | - | O |
고객 | - | O |
협력사 | - | O |
재택근무 | - | O |
[ VPN 종류 별 사용대상 범위 ]
< 참조 >
1. SSL VPN의 기술적 특성 - 이해종 네오테리스코리아 기술부장
2. 개인정보의 안전성 확보조치 기준 해설서 - 행정자치부’
3. 개인정보의 기술적 / 관리적 보호조치 기준 해설서 - 방송통신위원회
4. 암호이용 안내서 - 방송통신위원회
5. 개인정보 암호화 조치 안내서 - 행정안전부
6. Remote Access Policy for IT Security Managers (http://resources.infosecinstitute.com/remote-access-policy-security-managers/)
7. Tunneling, Crypto and VPNs (http://resources.infosecinstitute.com/tunneling-crypto-and-vpns/)
8. Securing Remote Access (http://resources.infosecinstitute.com/tunneling-crypto-and-vpns/)
9. Best Practices for Securing Remote Access (http://resources.infosecinstitute.com/best-practices-for-securing-remote-access/)
10. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=15547 No comments
0 개의 댓글:
댓글 쓰기