[정보보호] 접근통제를 위한 망분리 방법

법률상 근거

• 개인정보의 안전성 확보조치 기준 제6조(접근통제)
  ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.

 
참고자료 : 개인정보 포탈 > 자료 > 자료보기 > 안내서 > 개인정보의 안전성 확보조치 기준 안내서(2024.10.)

망분리 체계도

• 물리적 망 분리
  1. PC 2대 사용
     – 업무용 PC와 인터넷용 PC를 각각 구축하고 네트워크를 물리적으로 분리하여 구축
     업무망 PC에서 인터넷이 접속되거나 악성코드가 감염되지 않도록 하는 등의 보안 정책을 수립하고 안전하게 관리하는 것이 중요하며, 업무망 컴퓨터에서의 테더링 등 망분리 우회 등을 통한 인터넷 사용 차단, 프린터 등 주변기기에 대하여도 업무용, 인터넷용 분리 운영 등의 방법 활용이 필요하다.
  2. PC 1대 사용(망 전환)
     – PC 영역을 이중화 한 후 망전환 장치를 사용하여 망 연결을 전환함
     – PC 영역은 업무용 HDD/인터넷용 HDD 등으로 나누어 이중화
     “1대 컴퓨터를 이용한 물리적 망 분리(망 전환장치)”란 하드디스크, IP주소 등 정보처리 및 네트워크 연결 자원을 분할한 컴퓨터에 망 전환장치를 사용하여 인터넷망과 업무망에 선택적으로 접속하는 방식을 의미함. 하나의 컴퓨터 케이스에 2개의 메인보드, HDD, NIC가 각각 설치되어 동시에 부팅 및 사용이 가능한 듀얼 컴퓨터 등 다양한 하드웨어 장치 활용이 가능하다.
• 논리적 망 분리
  1. CBC 방식(PC 가상화)
     – PC에 가상화 S/W를 설치하여 외부와 격리된 가상공간을 구축하여 인터넷 영역으로 사용
     CBC 방식은 사용자 컴퓨터의 영역을 분리하는 컴퓨터 가상화 전용 프로그램을 설치하고, 분리된 가상환경에서 인터넷 등을 사용하도록 구성함. 가상화 영역에서 사용자 통제 및 관리 정책 일괄 적용이 가능한 장점을 가진다
  2. SBC 방식(서버 가상화)
     – 서버 가상화 솔류션을 사용해서 가상PC 환경을 구축(예, VDI)하고 업무용 PC나 인터넷용 PC로 사용
     – 사용자 컴퓨터는 업무용으로 사용하고 가상PC는 인터넷 접속용으로 사용하는 것을 권장
     SBC 방식을 사용할 때는 개인정보처리시스템의 운영·개발·보안을 목적으로 DB 서버 등에 접속하는 개인정보취급자의 컴퓨터는 인터넷망 영역을 가상화하는 방식으로 적용하여야 한다. 업무망 영역을 가상할 때는 사용자 컴퓨터(로컬영역)가 악성코드에 감염되거나 해킹을 당할 때, 업무망으로 악성코드 유입 및 불법적인 침해 발생이 가능하기 때문이다.

특징 및 장단점 비교