오랜만에 블로그 글을 쓰는데 거의 일기 겸 그냥 개념 정리이다.
나는 솔루션 회사에 다니고 있는데 공공기관 프로젝트에 SI 파견나왔다.
스타트업이나 다른 솔루션 회사 다니고 있는 친구들이 너무 부러웠다.
그들은 망분리가 아니었기에...
지금은 망분리 11개월차 적응될만하지만, 남들은 다 챗지티, 코파일럿, 커서 AI 를 쓰며 무궁무진하게 지식의 양을 학습하는데
나는...옛날 코드 긁어다 쓰는 수준이다.
구글검색도 안돼. 뭐 아무것도 안되니까. 공식문서? 볼시간이 어딨음 인터넷이 안되는데~~
보통은 폰으로 지피티 검색을 많이 한다. 그마저도 질문을 잘해야한다.
pc였으면 복붙해서 질문할텐데 모바일로 질문하니..질문도 잘해야한다.
폐쇄망이 계속 유지가 된다면 AI 에게 개발자는 대체 안되고, 계속 살아남을수도 있다 생각한다.
(다음 논의주제, 폐쇄망에서 AI 는 어떻게 적용될것인가)
암튼 각설하고!! 내가 폐쇄망에서 일하고 있지만, 정확한 개념 정리가 안돼서 개념 정리하려고 함
망(Network) : 데이터를 주고받는 통신체계
✅내부망 (LAN, Local Area Network)
- 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC 끼리 자원 공유하게 하는 것
- 사내 서버와 PC 가 연결
(ex : 기업 내부 네트워크, 학교 내부망, 군대 인트라넷)
- 왜 사용함 ? : 보안 네트워크를 구성하기 위해
✅외부망 (WAN, Wild Area Network)
- 인터넷 사용할 수 있는 공간(누구나 다 개방되어있는 공간)
✅망분리
🔸망분리
- 내부망과 외부망을 분리하는 것
- 도입배경 : 여러 회사의 개인정보 유출을 통해 외부 인터넷망을 통해 불법적인 접근과 내부 정보 유출을 차단하기 위해 망 차단조치를 함
- 긍정적인 효과 : 최근 전세계 금융기관이 피해를 입은 '워너크라이' 랜섬웨어 공격에서 국내 금융권만 비껴갈 수있었음
1) 논리적 망분리
- '가상화 기술'(VDI)을 이용해서 서버 또는 컴퓨터를 가상화함으로써 논리적으로 업무망과 인터넷망을 분리하는 방식
- VDI( Virtual Desktop Infrastructure) : 중앙에서 가상화로 동작하는 서버의 자원을 활용해 사용자 별로 '가상의 데스크탑'과 '데이터 저장공간'을 제공하는 방식, 즉 가상화 구간에서 '가상 데스크탑 환경'을 개인 사용자가 받아 사용하는 방식
| 서버기반 논리적 망분리 (SBC : Server Base Computing ) |
- 모든 어플리케이션이 중앙 서버에서 실행되고 사용자들은 자신의 컴퓨터에서 서버에 접속하여 화면을 받아보는 방식
- 사용자 컴퓨터(클라이언트) 에는 실제 어플리케이션이 설치되지 않고, 서버에 접속하여 필요한 어플리케이션을 실행하고 그 화면을 전송받아 작업을 수행한다. ex) SBC 서버에 접속해서 워드, 엑셀 실행하고, 서버에서 작업이 처리된 결과 화면만 클라이언트로 전송 |
| 컴퓨터 기반 논리적 망분리 (CBC : Client Base Computing) |
- 한 대의 컴퓨터에서 가상화를 통해 두개의 운영체제(내부망용, 외부망용)을 구동
- 사용자의 pc에서 VM(가상머신)을 설치하여 분리된 ‘가상 데스크탑 환경’을 사용하는 방식. - 즉, 사용자의 컴퓨터 영역을 분리하는 컴퓨터 가상화 전용프로그램을 설치하고, 분리된 가상영역에서 인터넷 등을 사용하도록 구성.
- 서버가상화 기반 망분리 방식에 비해 별도의 가상화 서버 구축이 불필요함에 따라 비용이 상대적으로 절감되나, 사용자 컴퓨터에 설치된 운영체제, 응용프로그램과의 호환성 등에 대해 충분한 검토가 필요.
|
2) 물리적 망분리
- 업무망과 인터넷망을 물리적으로 분리
- 동일한 시점에 1개의 컴퓨터에서 업무망과 인터넷망을 동시에 접속할 수 없도록 하는 방식
- 업무망 컴퓨터에서 인터넷망과의 연결점을 제거 -> 인터넷으로부터 악성코드 감염, 해킹, 개인정보 유출 등의 경로를 원천적으로 차단
| 2대 컴퓨터 이용 |
- 인터넷용 컴퓨터와 업무용 컴퓨터를 구분. 인터넷용 컴퓨터는 인터넷망에, 업무용 컴퓨터는 업무망에 연결하여 사용함.
- 보안성이 높다는 장점.
- 별도 네트워크 구축, 컴퓨터 추가 구매 등에 따라 비용증가 및 관리의 어려움이 단점
|
| 1대 컴퓨터 이용 |
- 하드디스크, IP주소 등 정보처리 및 네트워크 연결자원을 분할한 컴퓨터에 망전환장치를 사용하여 인터넷망과 업무망에서 선택적으로 접속하는 방식.
- 인터넷망과 업무망 간 접근경로가 물리적으로 차단되어 보안성면에서 탁월하나, 별도 네트워크 구축, 망 전환장치 설치 등 추가 장비에 비용이 소요되며, 망전환시 재부팅이 필요할 수 있어 업무수행시간 지연 가능,
|
| 물리적 폐쇄망 구성 |
- 업무적으로 인터넷 사용이 반드시 필요한 때가 아니면, 업무망 컴퓨터에 인터넷망과의 연결점을 제거하여 특정 물리적 공간을 “폐쇄망”으로 구성하는 방식
- SOC(Security Operation Center) : 물리적으로 접근이 통제된 공간을 폐쇄망으로 구성하여 개인정보처리시스템의 운영, 관리 목적의 접근은 SOC에서만 가능하도록 구성
- 데이터센터 운영실을 인터넷 접속이 불가능한 폐쇄망으로 구성하고 인터넷 접속이 필요할 때 별도의 인터넷 접속용 컴퓨터를 통해서 접속.
|
✅금융권에서 망분리 규제 완화 된다는 소식있음
- 2013년 대규모 금융사고 이후, 내부 전산망과 외부망을 분리하도록 규제 받아옴
- 올해부터, 내부망 PC에서 인터넷을 기반으로 작동하는 클라우드 서비스 등을 쉽게 쓸 수 있도록 허용하는 쪽으로 논의중
- 프로그램 개발 업무에 인터넷망을 활용하는 것도 허용할 방침
✅2026년부터 공공기관 PC 1대로 업무
- 국가정보원이 2026년 국가/공공기관에서 한대의 개인용 컴퓨터(PC) 로 모든 업무를 볼 수 있도록 망분리 정책 변경하기로 함
- 물리적 망분리 대신 데스크톱 가상화(VDI) 논리적 망분리를 채택하고 제로 트러스트 등 망분리 보완기술 검증할 방침
참고자료)
https://sangbeomkim.tistory.com/174
내부망, DMZ구간, 외부망 이란?
개인정보보호법이 시행되면서 개인정보보호의 기술적 보호대책을 위해 내부망, DMZ구간, 외부망이라는 말이 많이 언급되고 있습니다. 내부관리계획을 세우다보면, 내부망을 단순히 사내조직원
sangbeomkim.tistory.com
https://www.youtube.com/watch?v=YPSfR8QnKO0
망분리(물리적vs논리적)
망분리 개념
velog.io
https://blog.naver.com/mint860703/222009286392
[망분리] 망분리의 모든 것
신종 코로나19 사태로 원격근무가 증가하면서 금융회사 등 기업에 획일적으로 적용되고 있는 망분리 환경에...
blog.naver.com
https://hyeri0903.tistory.com/225
[네트워크] DMZ(Demilitarized Zone) 의미와 뜻
네트워크에서 내부망과 외부망에대해서 이야기할 때가 있습니다. 이때 DMZ라는 용어도 함께 언급되는데요 DMZ란 한국어로 직역하면 비무장지대로 아군과 적군 어느쪽이든 무장을 하지 않은 상태
hyeri0903.tistory.com
'컴퓨터 기초 지식 > 네트워크' 카테고리의 다른 글
| 브라우저 주소창에 google.com 을 입력하면 어떤 일이 일어날까? (0) | 2023.08.04 |
|---|