망 연계 시스템 도입 시 선택 기준
황석영 선문대 컴퓨터공학과 교수
공공기관과 금융기관, 방위산업체 등은 망분리, 망 연계 시스템을 구축해야 하는 대표 기관이다. 이들 기관에서 망 분리 후 분리된 망 간 자료 전송이나 스트림 연계를 하는 망 연계 시스템의 보안성은 상당히 중요하다. 그 이유는 외부에 노출된 인터넷 망으로부터 분리된 내부 망을 연결하는 기능을 하면서 또한 내부 망으로의 보안 침해를 차단해야 하기 때문이다.
망 연계 시스템 대표 유형으로 ‘IEEE1394 전용 케이블 방식’과 ‘스토리지 방식’ ‘LAN 또는 인피니밴드 인터페이스 소켓 방식’이 있다. 이들 제품은 중앙부처나 지방자치단체, 은행·보험·증권사 등 금융기관, 기밀을 요하는 기관 들에 수년 동안 구축돼 사용되고 있다.
또 망 분리, 망 연계 시스템을 도입해야 하는 방산업체 가운데에는 이미 망 분리를 완료하고 ‘IEEE1394 전용 케이블 방식’ ‘스토리지 방식’ ‘소켓방식’ 제품을 이용해 사용하고 있는 기업도 있다. 이미 올해 6월 해당 감독기관에서 망 분리 사업 설명을 하면서 세가지 망 연계 제품 유형 가운데 어떤 것이라도 적용할 수 있다는 것을 안내했다.
세 가지 망 연계 시스템 유형의 가장 큰 차이점은 망 간 연계 채널이 다르고 개방형 시스템 간 상호 접속(OSI) 레이어에서의 구현 범위가 다르다는 것이다. 어떤 제품은 OSI 레이어 3~7계층, 다른 제품은 5~7계층에서 각각 구현됐기 때문이다.
제품의 차이점에도 세 가지 유형의 망 연계 제품은 오랜 기간 구축·사용되면서 검증받고 보완됐다는 점은 공통이다. 이에 따라서 새롭게 망 분리, 망 연계 시스템을 구축해야 하는 기관이나 기업에서는 제품 적용 사례등을 통해 보안성이나 신뢰성을 간접 증명할 수 있을 것이다.
물론 망 연계 시스템 유형에 따른 제품은 유형별로 아키텍쳐와 기능을 다르게 제공하고 있다. 그러나 가장 중요한 부분은 보안 기능이고, 그 가운데에서 암호 비트 및 무결성 검증을 위한 해시 함수 사용 유무와 사용비트는 중요한 부분이라 할 수 있다. 도입을 검토하는 관계자는 모든 제품이 높은 암호 비트를 사용하거나 해시 함수를 사용하고 있지 않기 때문에 제품 선정 때 이러한 부분을 상세히 검토 해야 한다.
망 연계 시스템 도입 시 오래 된 기준을 따르거나 CC 인증의 평가보증등급(EAL)이 높으면 무조건 보안성이 뛰어난 것으로 판단하는 시행착오를 범하지 않는 것이 매우 중요하다.
오래 된 기준에 따르는 것은 신제품 출시가 많았다는 점에서 최신 보안 제품을 검토하지 않은 문제점이 있을 수 있다. 이유는 초기 제품 출시 이후 더 많은 망 연계 제품이 출시됐고, 많은 기관에서 다양한 망 연계 제품을 도입해 사용하는 현재 상황과 맞지 않기 때문이다.
또 망 연계 제품 가운데에는 EAL이 높음에도 사용하는 암호 비트 수가 현저히 낮거나 해시 함수를 사용하지 않은 경우가 있다. 즉 새로운 제품이 보안성이 더 높을 수 있으며, EAL이 낮은 제품이 오히려 더 높은 암호 비트나 해시 함수를 사용하는 제품도 있다는 점을 도입 검토를 할때 반드시 유념해야 할 것이다.
실제로 모든 망 연계 제품은 모두 국내용 CC인증 제품이다. 즉 국내용 CC인증 EAL로 보안성을 평가할 수 없다는 것을 알아야 한다. 이에 따라서 망 연계 제품을 선택 할 때 보안성과 신뢰성 및 기능들을 모두 검토하고, 기존에 도입한 기관· 업체들의 사용 환경을 분석해서 적절한 제품을 도입하는 것이 보안 및 기능에 문제가 없는 제품을 구축하는 올바른 길이 될 것이다.