사내 인터넷 차단, 어떻게 할까?
상태바
사내 인터넷 차단, 어떻게 할까?
  • 투이컨설팅
  • 승인 2019.01.03 06:22
  • 조회수 10893
  • 댓글 0
이 콘텐츠를 공유합니다

투이컨설팅 하성호 이사

회사가 인터넷 사용을 차단하는 이유는 다음과 같다.

첫째, 기업의 중요 자산인 데이터의 외부 유출을 차단하기 위해서이다.
둘째, 직원이 업무와 무관한 일을 업무 시간에 못하도록 통제하기 위해서이다.
셋째, 내부 업무 처리에 지장을 줄 수 있는 외부 네트웍 접속 부하를 통제하기 위해서이다.

 투이톡_인터넷차단_2.jpg

인터넷을 차단하면, 직원들이 업무를 수행하면서 필요할 수도 있는 외부 연결을 제한하게 된다. 영업 담당 직원은 고객과 PC메신저로 소통하는 것이 고객 서비스를 더 잘할 수도 있다. 기획 담당 직원은 구글이나 다음과 같은 포털을 검색하면서 필요한 정보를 확보할 수도 있다. 상품 담당 직원은 경쟁사 웹사이트에 접속하여 상품 정보를 확인 하는 것이 필요할 수도 있다. 대학교의 연구자는 자신의 연구를 위해 관련 학술 논문을 폭 넓게 연구할 수 있어야 한다. 네트웍 사용자들이 조직의 목적에 맞게 규정에 따라 외부 인터넷을 이용한다면 문제는 없을 것이다. 하지만 연결성(connectivity)을 허용하면 보안성(security)이 손상을 입는다. 조직 특성에 따라 패턴이 다를 수 밖에 없다.

‘이것만 해’ vs ‘이것 빼고 다 해도 돼’

화이트리스트 방식은 ‘허용 목록’을 사전에 정의해 둔다. 즉, 접속할 수 있는 서비스나 웹사이트 목록을 정의하고 그 이외의 접속을 차단한다. 정해준 ‘이것만 해라’ 라고 이해하면 되는데, 폐쇄성은 크지만 보안성은 우수하다.

블랙리스트 방식은 정의된 ‘금지 목록’을 제외하고는 모든 인터넷 접속을 허용한다. ‘이것만 빼고 다 해도 된다’ 의미인데, 화이트리스트 방식 대비 개방성은 높지만, 보안성은 떨어진다.

대학교: 높은 연결성을 보장하되 불필요한 부하는 통제

전반적으로 망에 큰 영향을 주지 않는 한도 내에서 대부분의 트래픽을 허용해 주는 블랙리스트 방식이다. 특히 연구활동을 위해 외부와의 다양한 자료 송수신이 필요하므로 보안성 보다는 연결성을 더 중요시 한다. 무분별한 인터넷 다운로드(P2P등)과 학사 행정 시간 내 게임을 하는 등의 행위는 통제를 하고 있다. 학업과 무관한 게임/음란/도박 사이트 접속 자체를 차단하고 있으며, 그 이외 동영상이나 다운로드의 경우 속도 제한을 통해 망에 부하를 주지 않도록 하고 있다.

일반기업: 업무와 무관한 웹서핑 통제
사용자의 인터넷 접속 환경과 보안성과의 균형을 맞추기 위한 정책을 추구하는 경우가 많다. 금융기관이나 관공서와는 달리 보안 감사에서 어느정도 자유로운 점도 있지만, 회사 업무가 외부와 관계가 많은 경우가 있기 때문에 연결성이 중요시 된다. 기본적으로 블랙리스트 방식이다.

하지만 사내 내부 기밀 정보 유출 등의 위험에 대비해야 되기 때문에 보안성 또한 중요하다. 이를 위해 다양한 보안 솔루션 등을 이용하여 계층 별로 보안 정책을 다르게 구현하는 방식을 사용한다. 예를 들어 업무와 무관한 주식/웹메일/커뮤니티 등은 접속이 불가능하나 경영팀 또는 VIP의 경우 예외적으로 허용해 준다거나 하는 식이다. 당연히 보안 정책이 더 세밀해야 되고 관리 노력도 증가하게 된다.

금융회사: 개인정보 유출 및 해킹 제로 추구
금융감독원등의 감사기관이 정해 놓은 금융 보안 정책을 따르게 되어 있다. 보안 사고로 인한 금전적 피해 리스크가 매우 크므로, 인터넷 연결성 보다는 보안성이 최우선으로 취급된다.

기본적으로 금융기관 보안 가이드 라인에 따라 망 자체가 업무 망과 인터넷 망으로 분리되어 있는데 업무망에서는 망 연계를 제외한 모든 인터넷 트래픽이 차단되며, 인터넷 망에서도 인터넷이 허용되는 PC는 극히 일부만 존재한다.

허용되는 PC 마저도 대부분의 사이트가 차단되고 주요 포탈이나 업무상 필요한 웹메일 사이트만 허용된다. 철저하게 화이트리스트 방식으로 보안 정책이 수립되어 있으며, 외부 감사 기관의 보안 감사를 통해 정기적으로 확인을 받는다.

공공기관: 기밀 유출 방지를 위해 엄격한 보안 정책
업무망(행정망)과 인터넷망으로 분리되어 있다. 업무망(행정망)에서는 인터넷 자체가 차단되어 있으며 인터넷 망에서만 인터넷 접속이 가능하다. 금융권과 동일하게 화이트리스트 방식을 지향하지만 기관의 특성에 따라 인터넷의 경우 일반 기업 수준의 통제를 적용하는 경우도 있다. 공사 등 공기업의 경우에는 보안성 보다는 연결성을 중요시 하기도 한다.

사내 인터넷 차단은 필요하다

인터넷 보안 통제는 임직원 입장에서는 불편하고 반발을 일으키는 정책이다. 사내 주요 이해관계자들은 여러가지 이유를 대며 보안 예외처리 요구를 하고 있으며, 심지어는 전사 보안 통제 정책 자체를 부정하는 경우도 있다. 차단된 서비스나 사이트를 우회할 수 있는 시도를 하는 경우도 있다. 일정수준의 IT지식을 가지고 있어야 하지만 이미 Proxy 서버, SSH터널링, VPN 사용 등 여러가지 우회 방법들이 인터넷을 통해 알려져 있다. 회사는 이러한 시도를 막기 위한 보안 투자를 강화하는 추세이다.

보안성을 확보하는 것이 연결성을 높여주는 것보다 더 중요하다. 연결성은 업무 편의성, 임직원 불만 감소, IT팀의 업무 경감 등의 장점이 있다. 그러나 이들은 회사의 이익에 크게 영향을 주지는 않는다. 보안성을 확보하면, 잠재적 보안 사고 예방, 임직원 업무 집중도 향상, 인터넷 회선 비용 절감 등의 이점이 있다. 이는 회사의 이익에 큰 영향을 주는 요소이다. 모바일기기의 보급에 따라 인터넷 접속을 통제하기가 점점 어려워지고 있다. 일본의 어느 기업은 출근할 때 개인 스마트폰을 보관시키는 경우도 있다고 한다. 사내 인터넷 허용 정책과 기준 그리고 이를 효율적으로 관리하기 위한 솔루션 적용을 통해 임직원의 업무 생산성을 높일 수 있는 방안을 추진해야 할 것이다.

-끝-

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
투이컨설팅
투이컨설팅 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.