![Page 1: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/1.jpg)
물리적 망분리/망연계 구축의 통제요소 Case Study
정보보안팀 홍보성 팀장
CDNetworks
![Page 2: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/2.jpg)
![Page 3: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/3.jpg)
USB Thief
• 인터넷이 불가능한 망에서 데이터를 수집한 후 인터넷이 가능한 망에서는 유출을 시도
• 안티바이러스 및 디버깅 도구 우회 기능으로 자기 보호 기능 탑재
• USB 고유 ID와 파일생성시간을 암호화 키로 사용하여 AES-128bit 암호화
• 유출될 자료는 타원곡선 암호화로 저장 출처 : https://itsecuritything.com/usb-thief-trojan/
![Page 4: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/4.jpg)
망분리의 기본
• 보호해야 할 대상을 인터넷위협으로부터 원천 분리하고,
• 망간 이동을 일관성 있게 차단하며,
• 필요한 망간 연계를 명확히 통제하여야 한다.
![Page 5: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/5.jpg)
물리적 망분리의 선택 배경
• 사업의 특성 – 보호해야 할 업무망에 연결된 서비스 시스템들이 서비스 특성상
인터넷에 열려있어야 하는 형태임
– 젂 세계에 분포된 IDC와 사무실을 망분리, 통제해야 함
• 성능 이슈 – 당시 서버기반 망분리인 VDI를 적용한 기술은 화면 표시 속도로
인해 업무 효율 저하가 발생함
– VDI 개별 OS에 설치된 백신의 로드 문제 (비 업무적 I/O로 인한 성능 이슈)
• 관리 포인트의 증가, 비용의 차이 – 젂 법인의 가상화 솔루션 투자 및 운영 증가 비용 보다 PC와
Network 장비의 증가 비용이 더 저렴함
![Page 6: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/6.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• CDN Service 망분리 단위 구성도
![Page 7: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/7.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 위치별 통제 요소
Grey Network
Clean Network
Network Access Control
Gateway SystemAuthentication System
File/e-document System
Patch Management System
Configuration Management System
Gateway/FirewallAnti APT System
![Page 8: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/8.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 네트워크 단말기 접근 제어
Network Access Control
• 모든 Client의 MAC을 등록하고 등록된 네트워크로만 접속이 가능하도록 통제
• 모든 망 (Clean, Grey, Black)에 대한 MAC 감시
• Switch 1port – 1PC/1MAC • DHCP로 Static IP 할당
![Page 9: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/9.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 인증 통합관리
• Activedirectory 통합 인증 • 상용 OTP 인증 – OTP 중앙통제
• OTP 재사용 불가 • 특정 임계 기간 미 사용자 자동 차단 • 동일 OTP를 여러 단말기에 사용 불가
• 단말기 인증 – 외부 VPN • 자사에서 제작한 OS 연결만 허용
Authentication System
![Page 10: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/10.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 젂송간 위협 탐지/차단
• 모든 사무실간, 망은 Subnet으로 상세 분리하여 Anti-APT, Firewall을 통하도록 구성
• 망간 통신은 Firewall에서 ACL로 엄격하게 관리
• Anti-APT로 데이터 이동을 모니터링하고 차단
Gateway/FirewallAnti APT System
![Page 11: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/11.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 서비스망 접근을 중앙 통제
Gateway System • 모든 서비스망의 시스템에 접근할 때에는 반드시 Gateway System을 접속하여야 함
• 자사는 SSH Shell, RDP를 위한 2종류의 Gateway를 운영
• 사용자는 반드시 2Factor 이상의 인증을 통과해야 함 (OTP, Key, Password)
• 사용자는 root권한을 위해 root 암호를 알 필요가 없음 (Role base)
• 엄격한 유휴 세션 시간 제한 • 사용자 명령에 대한 제한 및 기록, 알람 • 파일 전송 및 인터넷 접근 불가
![Page 12: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/12.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 망간 파일 및 문서 이동을 위한 연계
• File/e-document System • 사내 Wiki를 통한 문서 및 파일 공유 • Https만 사용하고 SMB/CIFS는 사용 불가
• 통합인증 및 페이지별 사용자 권한관리
• IP ACL 통제 • 대용량 전송 시 자사 개발한 전용
Client 사용
File/e-document System
Patch Management System
Configuration Management System
![Page 13: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/13.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 망간 패치제공을 위한 연계
File/e-document System
Patch Management System
Configuration Management System
• Patch Management System • 인터넷을 통한 패치 배포 최소화 • OS Patch Repository • Anti-virus Repository
![Page 14: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/14.jpg)
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 서비스 제어 및 설정을 일괄 통제 연계
File/e-document System
Patch Management System
Configuration Management System
• Configuration Management System • 서비스/시스템 설정을 중앙에서 일괄 통제하여 배포
• 사람이 직접 개별 서버 설정 행위를 최소화
![Page 15: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/15.jpg)
망분리 환경의 통제 핵심 요약
1. 데이터 흐름의 통제 I. 필수 데이터 흐름을 중앙으로 집중하고 감시한다.
II. 최종 데이터 이동은 시스템이 처리한다.
III. 모든 데이터는 이동할 때 마다 위협을 확인한다.
2. 사용자 행동의 흐름을 통제 I. 티켓 기반의 요청/승인/처리 젃차를 상호견제하여 처리한다.
II. 2Factor 이상의 인증 및 사용자 명령을 제한/감사한다.
III. 서비스망의 단말기 형태를 제한한다.
3. 모든 흐름은 단일 경로로 집중
![Page 16: 물리적 망분리 망연계 구축의 통제요소 Case Studyconcert.or.kr/2016forecast/program/1_B.pdfCDNetworks USB Thief • 인터넷이 불가능한 망에서 데이터를 수집한](https://reader034.vdocuments.site/reader034/viewer/2022042107/5e873cd9e99c1c06966c144f/html5/thumbnails/16.jpg)
마치며
• 향후과제
– 망 연계의 데이터 이동에 대한 승인요청/허가 젃차의 개선
– Windows OS 필수 사용자의 망분리 적용 고민 (예외 관리)