Embed Size (px)
Citation preview
2014. 8. 28OOOO 팀
업무 망 / 인터넷 망 분리 1 차 사업 추진전사 보안 강화를 위한[ 방안 보고서 ]
약 1 개월 간의 망 분리 태스크 포스 활동을 통해 수립한 방안을 아래에 요약함 EXECUTIVE SUMMARY
당사 망 분리는 사용자 직군 별로 단계적으로 적용하며 ‘전산 센터 / IT 본부’만의 물리적 망 분리를 1 차 추진각 사 망 분리 안으로 선 검토하고 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 향후 의사 결정
쉐어드 서비스의 메일 서비스 (IT 본부 임직원 계정 ) 만을 인터넷 망에 분리 구성
스팸 서버의 사용자 라우팅 기능으로 외부 메일을 신규 인터넷 망 메일 서버로 포워딩PC 보안 솔루션 전개는 최소화함
사업 수행 비용 : 약 O.O 억
ADSL 회선을 사용하는 유휴 PC 를 인터넷 전용 PC 로 배포
본 방안 보고 이후 그룹 각 사와 협의 개시
공개망을 통한 지속적인 금융권 침해 사고가 발생함에 따른 금융 감독 법 규제 준수의 일환으로 업무 망과 인터넷 망 분리를 실현하여 사이버 보안 위협 및 정보 유출 위험성을 억제함
추진 배경 및 관련 법 규제
금융권 망 분리 관련 법 규제
금융 전산 보안 강화 종합 대책 (2013.07) 금융 전산망 분리 가이드 라인 (2013.09)
“ 전자 금융 기반 시설 보안 강화 - 망 분리 의무화”“ 전산 센터 – 물리적 망분리 , 본점 / 영업점 – 단계적 추진”
“ 망분리 적용시의 PC 보안 , 메일 , PMS 1)※ , NAC, 망간 자료 전송 , 매체 제어 , 프린터 등 주변 기기 운영 등의 가이드 라인 제시”
2013. 2
개인 정보 처리 시스템과인터넷 망을 분리 조치
2013. 3
2013. 7 2013. 9
2013. 11
정보통신망법전면 시행
3.20 사이버 테러 발생금융 전산 보안 강화종합 대책 발표 금융 전산 망분리가이드 라인 배포
전자 금융 감독 규정 개정APT 2)※ 공격으로 금융사 및
고객 피해 발생
금융 기관 보안 강화 및보안 조직 · 인력 역량 강화 등 전산 센터 (2014 년 12 월까지 )본점 영업점 (2016 년 말까지 )
금융 전산 망분리 의무화
금융권 보안 관련 주요 이벤트
※ 1) PMS : Patch Management System, 패치 관리 시스템 ※ 2) APT : Advanced Persistent Threat, 지능형 지속적 위협
관련 법규에 의거하여 전산 센터 /IT 본부의 물리적 망분리 구현 방안 및 아키텍처에 대해 금감원 사전 심의를 통과하고 2014 년 12 월까지 구현을 완료한 후 전사적 확대 적용을 대비
방안 수립 Agenda 및 사업 수행 범위
방안 수립 Agenda
방안 초안 작성 업체 기술 설명회
7/22 7/23 7/25 8/28
CIO 사업 방향성 보고 CIO 최종 보고OOOO 팀 IT 기획팀 OOOO 팀 OOOO 팀
7/24 8/29
금감원 사전 심의OOOO 팀
DC / IT 본부
OOO 명2 대 PC 이용
내근직
O,OOO 명2 대 PC / 가상화
FC 및 기타
OO,OOO 명2 대 PC / 가상화
방안 리뷰관계팀
사업 수행 범위
2014.12 2015.12
물리적망분리 논리적망분리약 약 약
! 전산 센터의 망분리에 있어서향후 사업 확장성을 충분히 고려한 아키텍처 설계 필요
8/21
CIO 중간 보고OOOO 팀
2016.12
망 분리 태스크 포스 활동
기초 조사 현황 분석 및 기초 전략 수립 전개 기술 검토 마스터 플랜 수립
방안 수립 프로세스
태스크 포스 활동을 통해 다음 4 단계 프로세스를 수행하여 당사 ( 그룹사 ) 최적의 망 분리 전략 수립
당사 망 분리 구현 요건 정리 기초 아키텍처도출
쉐어드 서비스분리 방안 도출
업무 분리 방안도출
최종 아키텍처설계 전개 전략 및 확장 방안 수립
보안 솔루션전개 방안 도출
1
동종 업계 사례 분석
관련 법규 및규정 해석
기반 기술 이해
비용 최적화
2 3 4
망 분리 정의
목적해킹 통로로서의 PC 의 위험성을 최소화하여 업무 망 방어
적용 관점
서버 관점의 분리가 아니며 PC 사용자 관점에서의 분리외부 이메일 송 수신을 위한 메일 서버는 업무 망과 분리∙
망 분리 1 차 ( 전산 센터 물리적 망 분리 ) 목표전산 센터 직원 /IT 직원의 단말 환경을 업무용 PC 와 인터넷 PC 로 분리
망 분리 2 차 /3 차 ( 본점 / 영업점 , 내근직 / 영업가족 ) 목표해당 직원의 단말 환경을 업무 PC 와 인터넷 PC 로 분리
금융보안연구원과의 질의 응답 과정을 통해 아래와 같은 망 분리에 대한 기본적인 목적과 방향성을 이해하고 금융 전산 망 분리 가이드라인의 해석을 수행함
3 종 4 개의 대표적인 망 분리 구현 방식 중에서 전산 센터의 물리적 망 분리는 금융 전산 보안 강화 종합 대책 (̀ 13.07) 에 따른 의무 사항이며 , 전산 센터 망 분리 이후의 망 분리 확장 방안은 자율 선택
핵심 기술 검토 > 망 분리 방식
망분리 구분 당사적용 대상 구현 방식 장점 단점
물리적 망분리
IT 본부데이터센터 • 2 대 PC 이용 망분리 • 타 방식 대비 , 영역 간 연결 접점이 없어 보안 우수 • 별도 네트워크 구축 , PC 등 추가 장비 비용 소요
내근직FC
서버 기반 논리적 망분리
• 가상화 서버 기반 망분리 • 가장 저렴한 구축 비용• 가상화 서버 환경에 대한 사용자 통제 및 관리 정책
일괄 적용 가능
• 가상화 서버 구축 비용 발생• PC 와 가상화 서버 간 네트워크 트래픽 증가• 가상화 서버 환경에서 실행되는 보안 프로그램 등에
대한 추가적인 호환성 검토 필요
• 터미널 서버 기반 인터넷망 분리 • 터미널 서버의 보안 설정으로 통합 관리 가능• 터미널 서버 구축 비용 발생• PC 와 터미널 서버 간 네트워크 트래픽 증가• 터미널 서버 ( 단일 운영 체제 ) 에 대한 취약점 및
악성 코드 감염 대책 필요
PC 기반 논리적 망분리 • 가상화 PC 기반 인터넷망 분리 • 가상화 영역에 대한 사용자 통제 및 관리 정책
일괄 적용 가능• 기존 업무용 단말기 활용에 따른 낮은 도입 비용
• 가상화 영역에서 실행되는 보안 프로그램 등에대한 추가적인 호환성 검토 필요
• 논리적 네트워크 분리를 위한 장비 필요
망분리 방식 별 기능 설명
예 : VDI
예 : MS 터미널 서비스
예 : Ezis-V
채택 가능성이 높은 구현 방식
금융 전산 망 분리 기본 원칙 [1] > 금융 전산 망 분리 가이드 라인 (2013 년 9 월 공표 )
망 분리 관련필수 구현 항목 보안 관리 방안 구현 방식 망 분리
구현 요건 정리 참조 번호
전산 센터물리적 망 분리
• 인터넷 PC 는 업무망 접속이 차단되며 외부 이메일 , 웹서버 등 인터넷 망 사용 가능• 업무 PC 는 외부 이메일 , 웹서버 접속 등 인터넷 접속이 차단되며 업무 망에만 접근 가능• 네트워크 전환 장치가 적용된 PC 가 인터넷용 하드 디스크로 부팅되었을 때만 인터넷 망 접근 , 외부
이메일 등 사용 가능• 네트워크 전환 장치가 적용된 PC 가 업무용 하드 디스크를 통해 부팅되었을 때만 업무 망에 접근
• 2 대 PC 이용 망 분리• 네트워크 전환 장치 이용 망 분리 ①
PC 보안 관리• 인터넷 PC 에서는 업무와 관련된 정보의 생성 / 저장 원칙적으로 불가 , 업무 특성에 따라 제한적 승인
관리• 외부 이메일 및 웹 서버 접속 등은 인터넷 PC 를 통해서만 수행• 웹하드 , 인터넷 메신저 등의 사용을 원칙적으로 금지 , 업무 특성에 따라 제한적 승인 관리• 업무와 무관한 인터넷 사이트 불가
• 인터넷 망과 업무 망에 접근하는 PC 분리• 인터넷 PC 와 업무 PC 에 대한 보안 관리를 각각 수행 ② ③
인터넷 메일• 메일로 전파되는 악성 코드 , 스팸 메일 등 차단을 위한 메일 서버에 보안 시스템 적용 • 내부 메일 서버 : 인터넷 PC 에서 접속할 수 없도록 차단 • 그룹사 , 지주사 등의 그룹 웨어와 연동된 업무 메일 : 악성 코드 탐지 등 보안을 강화한 경우에 한정하여
제한적으로 업무 PC 에서 접속
• 서버 인터넷 망 구간에 구축• 내부 메일 서버 별도 구축 / 운영 ④ ⑤
금융 전산 망 분리 기본 원칙 [2] > 금융 전산 망 분리 가이드 라인 (2013 년 9 월 공표 )
망 분리 관련필수 구현 항목 보안 관리 방안 구현 방식 망 분리
구현 요건 정리 참조 번호
PMS( 패치 관리 시스템 )
• 관리자가 패치를 수동 다운로드하고 무결성 검증 및 악성 코드 감염 여부 확인 후 PMS 에 적용 • 관리 시스템에 인가된 관리자만 접속 :
용역 업체 등 외부 원격 접속 금지 , 관리자 PC 만 접속할 수 있도록 네트워크 접근 통제 • 패치 현황 관리 : 수시로 최신 패치 현황 파악 , 패치 수행 이력에 대한 로그 기록을 1 년 이상 보존• PC 패치 삭제 : 사용자 PC 에 설치된 패치 파일 삭제 시 관리자 승인 후 절차에 따라 삭제
• 인터넷 망과 업무 망 각각 설치 • 인터넷 연결 차단
⑥NAC• 관리 시스템에 인가된 관리자만 접속 :
용역 업체 등 외부 원격 접속 금지 , 관리자 PC 만 접속할 수 있도록 네트워크 접근 통제 • 접근제어 이력 관리 : 접근 제어 이력에 대한 로그 기록을 1 년 이상 보존
• 인터넷 망과 업무 망 각각 설치• 인가된 기기만 네트워크 접근을 허용
(IP 와 MAC 주소 관리 ) • 망분리 PC 간 네트워크 혼용 차단 • 무선랜 보안 - 와이브로 , 무선랜 등 비인가
무선인터넷 연결 차단
보조 기억 장치 관리
• 관리 시스템에 인가된 관리자만 접속 :용역 업체 등 외부 원격 접속 금지 , 관리자 PC 만 접속할 수 있도록 네트워크 접근 통제
• 보조 기억 장치 반출입 관리 : 업무 상 필요한 반출에 대해서만 승인 • 보조 기억 장치 사용 이력 관리 : 자료 전송 내역에 대한 로그 기록을 3 년 이상 보존
• 인가된 보조 기억 장치 (USB, CD, 이동식 하드 디스크 등 ) 만 인터넷 PC 와 업무용 PC 에 사용
• 인터넷 망과 업무 망 각각에 보조 기억 장치 관리 서버 구축 / 운영
망간 자료 전송• 관리 시스템에 인가된 관리자만 접속 • 전송 통제 서버 간 통신은 TCP/IP 가 아닌 암호화된 전용 프로토콜 사용 및 일방향성 유지 • 일반 USB 를 서버에 등록 후 보안 USB 처럼 사용하는 방식 금지• 보안 USB 삽입 시 식별 및 인증 수행 , 악성 코드 감염 여부 검사 ( 백신 설정 ) • 보안 USB 분실 시 , 데이터 완전 삭제 또는 일정 기간 이후 삭제 등 보안조치• 보안 USB 및 인터넷 PC 와 업무 PC 간 자료 전송 내역 로그를 3 년 이상 보존
• 인터넷 PC 와 업무 PC 간 자료 전송 , 공개 서버와 업무 서버 간 실시간 업무 연계
• 보안 USB 활용 가능 ⑦
프린터 등 주변 기기 운영
• 인가된 주변 기기만 사용 • 프린터 서버 접근 통제 적용 • 프린터 공유 시 접근 통제 : 공용 프린터에서 다른 연결 포트 사용 , 프린터 서버 사용 접근 통제
• 인터넷 망과 업무 망 각각 설치• 프린터 서버 등 추가 장비를 이용하여 보안성 강화 ⑧
당사 망 분리 구현 요건 정리 [1]
앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규 / 사례 / 기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정핵심 구현 요건 검토 대상 검토 내용 구현 방안
∙ 인터넷 VDI 상시 기동 VM 수 : 일 평균 OOvm/OOOvm (2014.7.현재 )
∙ IT 본부 직원 OOO 명의 PC 사용 대수 : OOO 대 (2014.7. 현재 )도입 PC 수량 및관리 방안
IT 본부 전 직원PC 신규 도입
인터넷 실 사용자부분 도입
∙ IT 본부 직원 각각에게 유휴 PC 를 인터넷 망 용으로 배포 ∙ 인터넷 PC 에 문서 저작 도구 ( 오피
스 ) 는 설치하지 않으며 문서 뷰어만 설치 ( 망 분리 가이드라인에서 인터넷 PC에서 의 업무 관련 문서 작업 원칙적으로 금지 )
③
∙ 망 전환 시에 재부팅이 필요하여 사용자 불편이 예상되며 배포된 PC 사양에 따라 구현 불가능한 경우도 있음
∙ 관리 요소가 증가하나 보안성 제일 우수물리적망 분리 방식 네트워크 전환 장치이용
2 대 PC 이용 금융위원회 「전자금융감독규정」 개정안의 15 조 (2013.11.) 에 의거 , 전산 센터 망 분리는 물리적 분리 방안 이외 선택지 없음 ∙ 인터넷 회선 /ADSL 신규 구축 ∙ 인터넷 망 전용 PC 배포 ∙ 기존 업무 망 PC 로부터의 인터넷 접근 패킷에 대한 방화벽 차단. OOO 사옥 중심의 IT 본부 직원 대상
①
인터넷 망 PC 유형
유휴 PC
미니 PC
VDI ( 가상 데스크톱 )
∙ 직원 수에 맞춰 PC 를 배포하기에는 공간 협소하여 타당하나 비교적 고가임 ∙ 접속 단말 비용 이외에 가상화 서버 환경 구성 비용이 추가됨
∙ 인터넷 관련 업무만을 처리하기에 적합한 저 사양②
∙ 법규상 근거 없음DMZ 방화벽 포트 정책 강화
당사 망 분리 구현 요건 정리 [2]
앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규 / 사례 / 기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정핵심 구현 요건 검토 구현 방안 검토 내용 방안
그룹사 쉐어드 서비스분리 방안 망분리 인터넷쉐어드 서비스 제공 ∙ 금융 전산 가이드 라인 (2013.9.) : 그룹사 쉐어드 서비스 영역 망 분리 명시 (1 안 ) 그룹 각 사 별도 인터넷 망 구성 (2 안 ) 그룹사 공동 인터넷 망 구성
∙ 그룹사 IT/ 보안 관계자 간 협의 후 구체적인 방안 도출⑤
∙ 그룹웨어 , 이메일 , 메신저 , 모바일 서비스 / 인사 , 총무 , 재무 회계 시스템 조사 ∙ 금융 전산 가이드 라인 (2013.9.) : - 인터넷 메일의 분리 명시 - 그룹사 , 지주사 등의 그룹웨어와 연동된 업무 메일은 악성 코드 탐지 등 보안을 강화한 경우에 한하여 제한적으로 업무 PC 로 접속 이용 가능
∙ 금융권 사례 : 온라인 서비스 시스템 이전 사례 없음
인터넷 망 분리대상 업무
당사 DMZ 내본업 업무
쉐어드 DMZ 내협업 업무 ∙ 당사 DMZ/ 쉐어드 DMZ 내의 온라인 서비스의 이전에 대해서는 금융권 유사 사례를 포함 종합 검토 후 , 2015 년 내 추진 ∙ 모바일 OOO 원 현행 유지 :
신규 인터넷 망에서 DRM 연계 불가 ∙ 쉐어드 서비스의 그룹 웨어에서 이메일 기능만을 인터넷 망에 추가 구성
④
∙ 본업 업무 ( 온라인 서비스 ) 조사
∙ 금융 전산 가이드 라인 (2013.9.) : 성능이 중요시되는 실시간 서비스는 추후 장기적으로 안정성 확보 후 적용 검토
당사 망 분리 구현 요건 정리 [3]
앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규 / 사례 / 기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정핵심 구현 요건 검토 구현 방안 검토 내용 방안
망분리 관련 필수 보안 솔루션 ∙ 기 도입 솔루션으로 대체 가능 범위 확인 ∙ 시장 내 주요 솔루션 레퍼런스 조사 ∙ 망 분리를 통한 보안 효과와의 중복성
. 최소 도입 요건 파악
∙ 인터넷 망 신규 도입 : PMS, 스팸 차단 / 악성 코드 차단 솔루션
⑥
∙ 업무 망 확장 도입 : 없음
인터넷 망 대상솔루션
업무 망 대상솔루션
∙ 인터넷 망 확장 도입 : 방화벽 , 개인 정보 탐지 , NAC, 백신
∙ 업무 망 확장 도입 : 없음
망간 연계 방법망간 파일 전송
온라인 스트리밍( 망간 실시간 서비스 호출 )
∙ 금융권 사례 : 현대해상 , 푸르덴셜 생명 , 미래에셋생명 등 ∙ 자료 전송 기능을 이용하여 업무 망과 인터넷 망의 메일 시스템 연계 ∙ 금융권 사례 :
사례 부족 , 업계 내 성능 및 기능 검증 중 ∙ 기능 / 성능 검증 후 적용 여부 결정⑦
인터넷 망 프린터및 스캐너프린터 / 스캐너설치 대수 ∙ 6 개 팀에서 21 대의 프린터 사용 중
∙ 3 개 팀에서 5 대의 스캐너 사용 중 ∙ 인터넷 망용 프린터를 팀당 1 대 설치 ∙ 인터넷 망용 스캐너는 불필요함프린터 서버 사용 ∙ 사용 중인 업무용 프린터 서버 없음 ∙ 불필요함
⑧
방안 구분 방안 상세 보안성 운영성 비용
그룹 각 사 별도 인터넷 망
구성• 그룹사 별 인터넷 망 분리 정책에 따라 각 사가 자체 인터넷
망 구성• 각 사 인터넷 망에 인터넷 메일 시스템 각각 구성
• 각 그룹사 별 자체적인 망 분리정책 구성이 용이함
• 각 그룹사 별 보안 로그 관리 및사후 감사가 편리함
• 인터넷 망에서의 보안 사고를 개별 회사 수준에서 격리할 수 있음
• 각 사 전담 운영 조직 구성 필요• 기존 쉐어드 서비스와의 연동
인터페이스가 복잡함• 추가적인 구성 변경 용이
• 그룹 관점에서 조망하면 회선 /하드웨어 / 소프트웨어에 있어 중복 투자 요소가 많음
당사
그룹사
그룹사 공동 인터넷 망
구성
• 그룹사를 위한 공통 인터넷 망 분리 수행• 공통 인터넷 망에 그룹사 전체 외부 메일 시스템 구성• 망 연계 솔루션 / 보안 솔루션 적용의 단일화
( 그룹 인터넷 망 보안 표준 수립 혹은 당사 인터넷 망 보안 표준을 그룹사 수용 )
• 인터넷 망 쉐어드 서비스 형태
• 각 그룹사 고유의 보안 정책을탄력적으로 적용하기 어려움
• 보안 로그 분리와 보존이 어려움• 인터넷 망에서의 보안 사고가 그룹사
전체에 영향을 미칠 수 있음• 보안 사고에 대한 책임 소재가모호함
• 위탁 운영사 ( 당사 ) 의 보안 운영범위가 확대됨
• 자원 증설 및 과금 체계 복잡• 기존 쉐어드 서비스와의 연동
인터페이스가 2 안 대비 비교적 간단함
• 규모의 경제를 실현하여 당사를 제외한 각 그룹사의 투자 비용이 낮음 (쉐어드 서비스 사용자의 대다수가 당사 소속 )
당사
그룹사
쉐어드 서비스 망 분리 방안
금융보안연구원 검토 의뢰 결과 , 공동 인터넷 망 구성에 대한 컴플라이언스 이슈는 없을 것으로 판단하며 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 장기적 분리 방안을 결정함
※ 그룹사 중복 투자 분
메일 시스템 분리 방안 > 세부 요건
요건 구분 요건 내용 고려 사항
이메일 접속 경로 제한 • 내부 메일은 인터넷 망에서 직접 접속 불가• 외부 메일은 업무 망에서 직접 접속 불가 • 망 분리 가이드라인 상의 필수 구현 사항
이메일 연계 • 내부 메일에서 외부 메일 서버로 메일 발송 가능 • 내부 메일 서버에서 외부 메일 서버로 직접 연결 (SMTP)• 내부 메일에서 인터넷 메일로 전달 후 인터넷 메일이 발송
(SMTP Relay)
이메일 계정 • 가급적 기존 사용 이메일 계정 ( 이메일 주소 ) 를 유지• 신규 이메일 계정 사용 시에는 전 임직원이 메일 신청 후 신규 명함 제작 의뢰 필요
• 사용자 라우팅 기능
이메일 서비스 제공 형태 • 내부 메일은 쉐어드 서비스 영역에서 사용• 외부 메일 시스템은 쉐어드 서비스 영역 혹은 각 사 인터넷 망에 구축
• 쉐어드 서비스 영역 내부 메일 : 각 사별로 내부 메일 또는 인터넷 메일 별도 구축을 원할 경우 고려 필요
이메일 사용자 규모 • 전사 내부 메일 사용자 ( 내근직 . IT 사용자 포함 ) : 3,783명• 인터넷 메일 사용자 : 30,000명 기준 • 당사 FC 은 내부 메일 사용 대상에서 제외
망 분리 핵심 업무 시스템인 메일 시스템의 분리 구성에 있어서 보안 요건 만족 / 변화 요소 최소화 / 사용자 편의성 최대화 / 구현 용이성을 중심으로 요건 정리
메일 시스템 분리 방안 > 분리 방안 후보
방안 분리 설치 망 구현 내용 개괄 고려 사항 장점 단점 구축 기간
및 비용(1 안 )
인터넷 메일 시스템신규 구축(IT 직원 )
당사 망• 기존 메일 서비스는 그대로 유지하고 IT 본부 사용자용
인터넷 메일을 추가 구축함• 쉐어드 DMZ 스팸 서버의 사용자 라우팅 구성으로
외부 메일 중 IT 본부 사용자 계정으로 오는 메일을 신규 구성한 인터넷 망 메일 서버로 포워딩
• 스팸 서버 용량 ( IT 본부 계정 만을 포워딩하는 것이 기본 기능이나 전체 사용자 계정에 대한 조건 분기가 불가피 )
• 스팸 서버의 사용자 라우팅 기능• 인터넷 메일 서버의 Address Redi-
rect 기능 구현
• 2014 년 12 월 내 구축 가능• 도메인 변경 없음
• 메일 분기 포워딩 기능 구축 필요• 투자 비용 중복이 경미하게 발생
• 기간 : 단기
• 비용 : 소
(2 안 )
인터넷 메일 시스템신규 구축(IT 직원 )
쉐어드 서비스 DMZ
• 상기 1 안과 동일하며 인터넷 망 및 인터넷 메일 시스템 구축 위치만이 다름( 쉐어드 서비스 DMZ 의 신규 Zone)
• 상기 1 안과 동일• 금감원 심사 및 감사 통과 여부가
불투명
• 상기 1 안과 동일• 신규 망 구성 요건이 간소화됨• 방화벽 비용이 차감됨
• 상기 1 안과 동일• 기간 :
단기• 비용 : 소
(3 안 )
인터넷 메일 시스템신규 구축
(IT 직원 , 새 도메인 )
당사 망• 기존 메일 서비스는 그대로 유지하고 IT 본부 사용자용
인터넷 메일을 추가 구축함• 인터넷 메일 도메인을 신규 구성
• 스팸 서버 용량 ( IT 본부 계정 만을 포워딩하는 것이 기본 기능이나 전체 사용자 계정에 대한 조건 분기가 불가피 )
• 스팸 서버의 사용자 라우팅 기능• 2014 년 12 월 내 구축 가능
• 메일 분기 포워딩 기능 구축 필요• 외부 고객 / 외부 사용자 혼선 야기• 전사 메일 분리 이후 원복 필요• 투자 비용 중복이 경미하게 발생
• 기간 : 단기
• 비용 : 소
(4 안 )
인터넷 메일 시스템신규 구축
( 전체 사용자 )
당사 망• 사용 중인 쉐어드 서비스 메일 시스템을 사내 업무
메일로 제한하고 , 인터넷 망에 신규로 인터넷 메일 시스템을 구축함
• 인터넷 메일은 MS익스체인지 기반
• 스팸 메일 서버로 사용 중인 메일에서 외부 발송 차단
• (3 안 ) 대비 중복 투자 비용 발생이 없으며 , 단 1 회만 시스템 구축
• (5 안 ) 대비 낮은 투자 비용• 2014 년도 내 구축이 어려움
• 기간 : 중기
• 비용 : 중
(5 안 )
내부 메일 신규 구축( 전체 사용자 )
당사 망• 사용 중인 쉐어드 서비스 메일 시스템을 인터넷 망으로
이관하고 임직원 전용 내부 메일 시스템 구축• 내부 메일은 MS 익스체인지 기반
• 기존 메일을 인터넷 메일로 이전할 경우 기존 메일에서 제공하던 각종 기능을 계속 사용하기 위해서는 재개발 /변경이 필요 ( 조직도 연계 , 명함 표시 등 )
• 내부 메일 솔루션 검토 필요• (4 안 ) 대비 장점이 없음
• 추가 인프라 구성 비용 , 개발 공수 등 고려 사항 많음
• 기존 메일에 대한 인터넷 메일 시스템 분리 , 내부 메일 시스템 신규 구축의 2 개 작업 동시 수행
• 2014 년도 내 구축 불가
• 기간 : 중기
• 비용 : 고
채택 가능성이 높은 방안< 구축 기간 범례 >
단기 : 6 개월 미만중기 : 6 개월 이상 1 년 미만장기 : 1 년 이상
쉐어드 서비스 네트워크 아키텍처 (TO-BE 1 안 ) 장표 참고
쉐어드 서비스 네트워크 아키텍처 (TO-BE 2 안 ) 장표 참고
보안 솔루션 전개 방안
보안 솔루션인터넷 망 업무 망 기 도입
솔루션 명 비고도입 도입 적용하지 않음 (1 차 )
신규 도입 기 도입PMS ( 패치 관리 ) ○ ○ Microsoft WSUS 윈도우 보안 업데이트에 해당 ,
추가 기능은 IT 기획팀과 검토보조 기억 장치 관리 ○ 망 연계 솔루션으로 대체스팸 차단 ○ ○ Terrace Mail Watcher User Routing 이 가능한 제품으로 교체 필요악성 코드 차단 ○ ○ Symantec Endpoint Protection
망 연계 ○ ○ 커스터마이징 필요방화벽 ○ ○ Juniper / Secure-i
유해 사이트 차단 ○ ○ 소만사 WebKeeper UTM 기본 기능으로 최소 요건 만족침입 방지 (IPS) ○ ○ 윈스테크넷 IPS UTM 기본 기능으로 최소 요건 만족데이터 유출 방지 (DLP) ○ ○ Symantec DLP 인터넷 PC 에서 정보 생성 불가개인 정보 검출 ○ ○ 인정보 PrivacyFinder 휘발성 파일 내의 개인 정보 탐지메일 수발신 이력 관리 ○ ○ 소만사 Mail-i
출력 통제 ○ ○ Wowsoft PrintChaser 인터넷 PC 에서 정보 생성 불가네트워크 접근 통제 ○ ○ Genian NAC 3.5 인터넷 망에 확장 도입할
솔루션은 Genian NAC 4.0
백신 ○ ○ Symantec Endpoint Protection Cross 점검용으로 신규 솔루션 도입 검토
전개 대상 보안 솔루션 일람
아래 14 개 보안 솔루션 전체 적용을 원칙으로 하되 최종 확정된 네트워크 아키텍처에 맞춰망 분리 가이드라인 요건을 만족하는 수준에서 솔루션 전개 범위를 최소화하여 비용 효율성 제고
OO 전산 센터의 OO 2G 회선을 통해 인터넷이 연결되어 있으며 OO 사옥 / 지점 / 영업소 /LAN-TO-LAN 대리점의 ADSL 회선과 연계되고 OOO 사용자의 인터넷 사용 또한 이 회선을 사용함
당사 전체 시스템 및 네트워크 구성도 개괄 (AS-IS)
백본 스위치
C65
09
OO 인터넷1G
OOO
층간 스위치 콜센터 IP Phone
DNS
WEB
SALES
DMZ
그룹 쉐어드
VPN 게이트웨이전국 부점소 VPN
기간계 시스템
BBBB
로드밸런싱 서버 팜
BB
VDI
BB
Call Center
C3845
BB
서버 팜
BB
C7604
OO 전산 센터 OOO 사옥
①
②③
④
⑥
⑦
※ OOO 근무자 인터넷 사용 패킷 루트① → → → → → → ② ③ ④ ⑤ ⑥ ⑦
백본 스위치L4 스위치
VPN 게이트웨이보이스 라우터라우터
L3 스위치방화벽
범례
1G
⑤
쉐어드 서비스 네트워크 구성도 (AS-IS)
쉐어드서비스 서버 팜
인터넷
쉐어드 라우터
쉐어드VPN
쉐어드대외 연동스위치연동 방화벽
쉐어드 외부 방화벽
쉐어드 백본
쉐어드 L4
쉐어드 SLB
쉐어드DMZL4
쉐어드DMZL3
포탈 인사 재무회계그룹웨어
스팸 차단외부 웹 서버쉐어드서비스 DMZ
전산 센터 내각 사 LOCAL 회선
OOO 자산 OOOOOOO 서비스OOOOO 서비스
모바일
OOO금융 지주
OOOOO
OOOOOOO
OOOOOO
업무 PC
업무 PC
망 분리 네트워크 아키텍처 (TO-BE)
OO 인터넷 백본
WEB
DNS
etc
SALES
DMZ그룹 쉐어드 / 쉐어드 DMZ
C7604
OO 전산 센터 OOO 사옥
OOO 업무용 PC
층간 스위치 콜센터 IP Phone
인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고 , 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함
보안 시스템 ( 인터넷망 )
스팸 · 악성 코드 차단PMS NAC백신
인터넷 메일
DMZ
공유스토리지
백본 스위치
C65
09
BB
※
※ OOO 업무용 PC 의 인터넷 사용을 방화벽 정책으로 차단보안 시스템 ( 업무망 )
스팸 · 악성 코드 차단기타PC 보안
PMS NAC백신BB
망간 자료 전송
망 분 리
업무망
인터넷망
BB
④⑥
⑦
※ ①②③ 과 같은 원문자 항목의 상세는 망 분리 구현 요건 정리 장에 기재함
②
신규 도입 영역
IT 외부메일 릴레이
IT 외부 메일용PMS
④
⑤
⑥
OOO 인터넷 PC ②③⑧
ADSLISP인터넷①
신규 인터넷 망
망간 자료 전송
전용선⑦
망 분리 네트워크 아키텍처 (TO-BE)
OO 인터넷 백본
WEB
DNS
etc
SALES
DMZ그룹 쉐어드 / 쉐어드 DMZ
C7604
OO OO IDC 사옥
OOO 업무용 PC
층간 스위치 콜센터 IP Phone
인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고 , 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함
보안 시스템 ( 인터넷망 )
스팸 · 악성 코드 차단 PMS
인터넷 메일
DMZ
공유스토리지
백본 스위치
C65
09
BB
※
※ 업무용 PC 의 인터넷 사용을 방화벽 정책으로 차단보안 시스템 ( 업무망 )
스팸 · 악성 코드 차단기타PC 보안
PMS NAC백신BB
망간 자료 전송
망 분 리
업무망
인터넷망
BB
신규 도입 영역
IT 외부 메일 차단 / 포워딩
IT 외부 메일용PMS
사옥 인터넷 PCADSLISP인터넷
신규 인터넷 망
망간 자료 전송
전용선
스팸 · 악성 코드 차단이메일ㄱ ,룹웨어
OO 전산 센터 OP
백본 스위치L4 스위치
VPN 게이트웨이보이스 라우터라우터
L3 스위치
방화벽
범례
NAC백신
쉐어드 서비스 네트워크 아키텍처 (TO-BE 1 안 )
신규로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
쉐어드 서비스 네트워크 아키텍처 (TO-BE 2 안 )
쉐어드 DMZ 내 신규 ZONE 으로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
사용자 액세스 다이어그램 > 2014 년 내 구성 대상 범위
인터넷 망( 외부 망 )
업무 망( 내부 망 )
업무 망 전용 PC인터넷 망 전용 PC
I T 본부 직원( 약 OOO 명 )
내근직원( 약 O,OOO 명 )
일반 PC
FC( 약 OO,OOO 명 )
망 연계 솔루션
인터넷
( 외부 )이메일 ( 외부 | 내부 )이메일물리적 망 분리
그룹 쉐어드 서비스
그룹사 직원
① 2014 년 12 월까지의 구축 범위② IT 본부 직원은 인터넷 망 전용 PC 에서만웹 서핑과 외부 메일 발송 가능③ 업무 망 PC 에서 웹 서핑과 외부 메일 직접전송 불가④ 필요에 따라 업무 망 PC 에서 망 연계 솔루션을 경유하여 외부 메일 발송 가능⑤ IT 본부 직원 망 분리에 의한 영향 요소 없음⑥ 그룹사 쉐어드 서비스 사용자는 IT 본부 직원 망 분리에 의한 영향 요소 없음⑦ 쉐어드 DMZ 에 있는 스팸 서버의 사용자라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩
③
①
②
④
⑤
다이어그램 설명
⑥
사용자 라우팅⑦
사용자 액세스 다이어그램 > 2014 년 내 구성 대상 범위
인터넷 망( 외부 망 )
업무 망( 내부 망 )
업무 망 전용 PC인터넷 망 전용 PC
I T 본부 직원( 약 OOO 명 )
망 연계 솔루션
인터넷
( 외부 )이메일 ( 내부 )이메일물리적 망 분리 ① IT 본부 직원은 인터넷 망 전용 PC 에서만웹 서핑과 외부 메일 발송 가능
② 업무 망 PC 에서 웹 서핑과 외부 메일 직접전송 불가③ 필요에 따라 업무 망 PC 에서 망 연계 솔루션을 경유하여 외부 메일 발송 가능④ 쉐어드 DMZ 에 있는 스팸 서버의 사용자라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩① ②
③
다이어그램 설명
사용자 라우팅④
내근직원( 약 3,783 명 )
FC( 약 30,000 명 )
사용자 액세스 다이어그램 > 2015~2016 년 내 구성 대상 범위
인터넷 망( 외부 망 )
업무 망( 내부 망 )
I T 본부 직원( 약 OOO 명 )
( 외부 )이메일 ( 내부 )이메일
업무 망 전용 PC인터넷 망 전용 PC
물리적 망 분리
인터넷
그룹 쉐어드 서비스
그룹사 직원
가상 PC 를 탑재한 일반 PC (PC 2 대 방식과 혼합 구성 가능 )
① 2015 년 내 구축 범위② 2016 년 내 구축 범위③ 각 사의 망 분리 방안에 따라 변경됨
※ FC 은 내부 메일을 사용할 수 없으며 외부 메일 만을 사용
향후 , 내근직원 /FC 들의 이메일 사용 현황을 조사하여 인터넷 메일 분리 운영 방안을 구체화할 계획임
다이어그램 설명
① ② ③
※
망 연계 솔루션
망 분리 방안 수립 세부 태스크 및 일정
수행 태스크 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
아키텍처 설계인터넷 메일 시스템 아키텍처 설계물리적 망 분리 네트워크 아키텍처 설계도입 대상 보안 솔루션 선정보안 솔루션 전개 방안 설계
사업 수행 비용 분석 망 분리 PC 도입 비용 산정보안 관련 H/W 용량 산정 ( 신규 , 확장 )
보안 관련 H/W, S/W 도입 비용 산정 ( 신규 , 확장 )
인터넷 메일 H/W 용량 산정 ( 신규 , 확장 )
인터넷 메일 H/W, S/W 도입 비용 산정 ( 신규 , 확장 )
OO 인터넷 회선 대역폭 감소량 추정 및 절감 비용 산정신규 인터넷 회선 대역 용량 산정인터넷 망 OOO-DC 신규 회선 포설 및 N/W 장비 도입 비용 산정신규 장비 설치 상면 확인 및 비용 산정
사업 확장 방향 및 최적 전략 수립 방안 개선금감원 심사 제출 준비금감원 심사 제출
현재까지의 망 분리 방안 수립과 관련한 주요 잔여 태스크 ( 아키텍처 설계 / 사업 수행 비용 분석 / 사업 확장 전략 수립 ) 를 완료하고 8 월 29 일까지 금융감독원 심사 자료를 제출할 계획완료
완료
사업 수행 비용구분 유형 항목 상세 수량 단가 비용 비고
인터넷 망 PC
하드웨어 PC 257 - - 유휴 장비 활용하드웨어 LCD 257 - - 유휴 장비 활용하드웨어 모니터 전환 (KVM) 스위치 미정 35,000 1 인 2 모니터 사용자 대상 모니터 전환 스위치 제공인건비 랜 케이블 포설 257 - - 별도로 월간 인터넷 사용료 (\ OOO,OOO) 발생
소계 0 망 연계 어플라이언스 망간 자료 전송 솔루션 1 130,000,000 130,000,000 장비 및 전송 승인 프로세스 커스터마이징 비용 포함
소계 130,000,000 네트워크 하드웨어 스위치 3 - - 유휴 장비 활용
회선 ADSL 회선 1 1,760,000 1,760,000 월간 사용료 (\ O,OOO,.OOO) 발생소계 1,760,000
메일 서버하드웨어 서버 4 20,625,000 82,500,000
소프트웨어 운영 체제 4 1,100,000 4,400,000 소프트웨어 메일 엔진 1 7,150,000 7,150,000
메일 엔진이 자체 제공하는 사용자 인터페이스(예 : MS Exchange OWA) 사용
소프트웨어 백업 소프트웨어 4 3,300,000 13,200,000 소계 107,250,000
보안 솔루션 구축
하드웨어 서버 2 20,625,000 41,250,000 하드웨어 방화벽 1 30,800,000 (30,800,000) 인터넷 망을 쉐어드 DMZ 내에 구축하면 차감됨
어플라이언스 스팸 / 악성 코드 차단 2 52,800,000 105,600,000 어플라이언스 메일 수발신 이력 관리 1 29,700,000 29,700,000
어플라이언스 네트워크 접근 통제 1 - - NAC DB 이중화에 의한 유휴 장비 활용소프트웨어 운영 체제 2 1,100,000 2,200,000 소프트웨어 개인 정보 탐지 1 20,000,000 22,000,000
소프트웨어 PMS ( 패치 관리 ) 1 5,216,200 5,216,200 소프트웨어 백신 1 5,610,000 5,610,000
소계 240,376,200 합계 (VAT 포함 ) 479,386,200 쉐어드 DMZ 내에 인터넷 망 구축 시 : \
OOO,OOO,OOO
( 단위 : 원 )
수행 과제 범위가 넓기에 다양한 수행 지원 조직의 적극적인 협조를 통해서만 사업을 성공적으로 수행할 수 있으며 사업 수행 방안 검토 단계에서부터 긴밀한 공조 체제를 구성할 계획사업 수행 조직 구성도
OOO 팀장PM
OOO 차장PL
OOO 과장보안 기획
OOO 상무Steering
OOO 차장단말OOO 차장네트워크
OOO 차장보안 운영OOO 차장서버
OOO 차장Advisory
(IT 기획 )
OOO 차장Advisory
(IT 기획 )
OOO 팀장Advisory
(IT 기획 )
OOO 팀장Advisory( 인프라 운영 )
그룹 웨어 개발 담당개발
OOO 차장인프라 운영
인터넷 망 연계 서비스 개발 담당개발
( 외주 )
사업 수행 인력 및 조직
사업 수행 일정 ( 안 )
행정 측면에서 2 개월 / 구축 2 개월 총 4 개월의 일정으로 사업을 추진하며 세부 태스크는 추후 정리
주요 수행 태스크2014.9 2014.10 2014.11 2014.12
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
추진 품의
제품 선정
계약 / 발주
장비 입고
환경 구성
테스트
구성 완료
주요 수행 태스크 스케쥴
