망분리(air-gapped network)는 캠퍼스 네트워크에서 인터넷이 가능한 네트워크와 업무용 네트워크(폐쇄망, 인트라넷, dark site)를 분리해둔 컴퓨터 네트워크를 말한다.
종류
- 물리적 망분리
- 말 그대로 용도별 네트워크 회선과 컴퓨터를 여러 대 두고, 마우스·키보드·모니터를 옮겨가며 사용하거나 KVM 스위치로 번갈아 사용하는 방식이다. 단순히 말해서, 인터넷에 연결되지 않은 컴퓨터와 인터넷에 연결한 컴퓨터를 각각 두는 것이다. 가장 확실한 방법이지만 가장 돈이 많이 드는 방식이다. 철저한 분리가 필요한 관공서, 군부대 등은 이 솔루션을 사용한다.
- 컴퓨터 2대와 KVM 스위치를 다 따로 두면 공간이 부족하거나 주변이 케이블 등으로 난잡해지므로, 예산이 넉넉하다면 일체형 솔루션을 도입한다. 인터넷용 PC와 KVM 스위치를 합쳐놓거나, PC 2대와 KVM 스위치를 하나의 케이스 안에 다 구겨넣는 식이다.
- 논리적 망분리(가상화 기반)
- 서버나 클라이언트에 가상 머신을 띄우고, 가상 머신을 인터넷망 또는 업무망의 클라이언트처럼 사용하는 것이다. 클라이언트에 가상 머신을 띄우는 방식은 저렴하게 구축할 수 있다. 가상 머신 전용 서버를 구축한다면 재택근무 등 필요할 때 외부에서 폐쇄망에 접속할 수 있는 솔루션이기도 하다.
특징
- 보안 중심 구성
- 불편함
- 업무 메일 송신 등 인터넷과 업무망을 오갈 필요가 있는 경우 번거롭다. 물리적 망분리는 아예 USB나 CD 같은 이동식 미디어를 들고 옮겨야 하고, 업무망과 인터넷망을 왔다갔다 할 때 내부 문서가 유출되거나 악성코드가 옮아오는 문제가 발생할 수 있어 이동식 미디어 통제 등 추가적인 정책이 요구된다. 이런 불편함을 타개하기 위해 Geek같은 직원이 보안 지침을 위반하고 폐쇄망에 임의로 외부 접점(와이파이, 이동통신 등)을 만들려고 할 수도 있다.
무엇보다, 보안의 주체는 사람인 만큼 전체적인 보안 컴플라이언스 없이 단순히 망분리를 했다고 안전하다고 여기는 것은 금물이다.