물리적, 논리적 망 분리
네트워크 망과 외부 망을 분리하고자 하는데, 어떻게 분리해야 하는가를 보면 다음과 같다.
일단 가장 크게 보면 아래 그림과 같이 두 가지 방식으로 볼 수 있다.
 |
https://weeklypost.org/932?category=377009
|
물리적 망분리
업무시스템 접근용 네트워크와 인터넷 접근용 네트워크를 분리하여 각각 접속한다.
일반적으로 2대의 PC에 KVM 스위치를 이용하는 것으로 사용한다.
내부 사용자가 인터넷을 위한 PC와 업무를 위한 PC를 가각 사용해야 하고, 네트워크 장비도 추가적으로 필요하지만 논리적 구성과 비교했을 때 비용
책정이 명확한 편이다.
확장이 필요한 경우 PC만 유지/보수
하면 되기 때문에 나름 간단하다.
논리적 망분리
초기 구축 비용과 향후 유지관리 비용이 들어가기 때문에 미래에 어느정도의 비용이 들어갈 지 모른다.
중앙 서버에서 각 단말로 자원을 배분하는 가상화 방식에서 고부하 작업이 발생하는 경우 전체 서버에 부하가 걸려
전체적인 시스템 업무에 지장을 줄 수도 있다.
이 경우 서버를 추가로 구매해야 하는 이슈가 발생할 수 있다.
논리적 망분리를 조금 더 세분화해서 보면 SBC 방식과 CBC 방식으로 나눠서 볼 수 있다.
SBC(Server Based Computing) 방식
중앙 서버를 중심으로 가상화 환경을 구현하는 방식이다. 이 경우에는 아무래도 다양한 플러그인의 정상 동작을 보장하기가 어렵다.
VDI(Virtual Desktop Infrastructure, 데스크탑 가상화) 솔루션의 경우 동시 접속자 수 기준으로 라이선스를 확보해야
하므로 이에 따른 비용이 발생하기 때문에 적절한 라이선스 구매가 필요하다.
VDI 방식에서는 가상 데스크톱이 인터넷에 노출되어도 OS가 읽기 전용만 가능하고, 응용프로그램을 이미지화 한 것이므로 외부
공격에 안전하다는 장점이 있다.
CBC(Client Based Computing) 방식
PC를 일반영역과 가상 영역으로 나누어 사용하는 방식이다.
초기 비용절감 효과 및 기존 PC 운영 환경와 유사한 장점으로 초기에
주목받았으나 관리 문제로 인하여 현재는 SBC가 더 주목받는 상황이다.
OS를 공통으로 사용하므로 인터넷 망에서 유입된 악성코드가 내부 망에도
영향을 줄 수 있다.
 |
https://weeklypost.org/932?category=377009
|
아래에는 금융전산 망분리 솔루션 종류 파일을 가져왔다.
각 솔루션별로 실제 업무상의 특징도 함께 정리되어 있으니 참고하면 좋을듯
 |
https://docsplayer.org/20151065-Powerpoint-presentation.html
|
