기업에서 폐쇄망을 구축하면 보안이 더 강해진다고 믿는 경우가 많지만, 현실은 그렇지 않다. 폐쇄망은 종종 편의와 책임 회피의 수단으로 사용되고, 결국 필연적으로 ‘양다리 호스트(Multi-homed Host : 다중 네트워크 호스트)’가 등장하여 보안 정책을 무너뜨린다. 이 글에서는 실제 업무 환경에서 폐쇄망의 문제점과 양다리 호스트가 위험한 이유, 그리고 네트워크를 안정적으로 설계하기 위한 트리-스타 구조 원칙을 살펴본다.
폐쇄망 네트워크의 장점은 분명히 존재한다
폐쇄망(망분리)은 외부 인터넷과 물리적으로 단절되어 있어 악성 코드나 외부 공격으로부터 상대적으로 안전하다는 장점이 있다. 외부 침입을 원천적으로 차단할 수 있고, 특정 시스템을 외부와 완전히 격리할 수 있다는 점은 보안상 큰 이점이다. 국방, 금융의 핵심 시스템, 산업 제어망과 같이 극도로 높은 보안이 요구되는 환경에서는 폐쇄망의 효과가 충분히 입증되어 있다.
그러나 문제는 일반 기업 환경에서 폐쇄망을 구축하는 이유가 항상 합리적이지는 않다는 점이다. 필자가 현장에서 경험한 바로는 보안을 그토록 강조하는 겉모습과는 다르게, 속을 들여다보면 다음과 같은 경우가 더 많았다.
- 맹목적 추종 : 타사의 도입 사례나 유행을 주어듣고, 조직의 환경을 고려하지 않고 무비판적으로 도입
- 역량 부족 : 네트워크와 워크플로어에 대한 이해가 부족해 보안정책을 설계하고 구성할 능력이 없음
- 책임 회피 : 보안 문제가 발생했을 때 정책 결정자의 목을 보전하기 위한 책임 회피용 결정
- 관성 유지 : 구성 변경에 따른 책임 발생을 회피하고 돌아만 가면 된다는 무사안일주의
- 절차 부재 : 격리만 했지 운영 정책과 관리 체계가 없는 주먹구구식 운용
이러한 폐쇄망은 실제 보안 효과보다 운영상의 불편함만 크게 만들고, 그 불편함을 피하기 위한 예외 조치들이 점점 늘어나기 시작한다. 그리고 이 예외 조치가 폐쇄망 보안을 무너뜨리는 씨앗이 된다.
핵시설의 폐쇄망 보안도 무너진다: 스턱스넷(Stuxnet) 사례
폐쇄망이면 절대 안전할 것이라 믿는 경우가 많지만, 현실은 그렇지 않다. 대표적인 예가 바로 스턱스넷(Stuxnet)이다. 세계에서 가장 높은 보안 수준을 갖춘 시설 중 하나인 이란 나탄즈(Natanz) 핵시설은 외부 인터넷과 완전히 단절된 철저한 폐쇄망이었다.
그러나 스턱스넷은 USB 메모리처럼 평범한 물리적 이동 매체를 통해 폐쇄망 내부로 유입되었고, 결국 원심분리기 제어 시스템을 교란시키는 데 성공했다. 즉, 외부와 완전히 격리된 핵시설조차 사람의 행동과 작은 예외 때문에 공격을 받을 수 있다는 사실이 증명된 것이다.
스턱스넷은 다음과 같은 중요한 메시지를 준다.
- 폐쇄망이라고 해서 악성 코드의 유입 경로가 완전히 차단되는 것은 아니다.
- 사람의 편의, 예외 처리, 절차 위반이 모든 보안 체계의 가장 큰 취약점이다.
- 운영 상의 ‘예외’가 결국 공격의 입구가 된다.
스턱스넷은 최고 수준의 보안 시설에서 벌어진 사건이다. 일반 조직이나 기업의 보안 수준은 어떨까? 현실적으로 폐쇄망을 운영하는 일반 기업과 조직이 핵시설만큼 강력한 정책, 교육, 통제, 절차를 갖추고 있으리라 기대하는 것은 무리가 있다.
핵시설에서도 무너졌다면, 일반 기업 환경에서는 더 쉽게 무너진다 결국 더 작은 편의, 더 간단한 이유로 폐쇄망은 쉽게 무너진다. 그중에서도 가장 자주 등장하고 가장 위험한 형태가 바로 이어서 설명할 Multi-homed Host(다중 네트워크 호스트)이다.
폐쇄망 구조가 망가지는 과정
아래의 그림은 각 업무 영역별로 완전히 분리된 네트워크의 예이다. 인터넷과 연결된 네트워크 그룹은 나머지 업무 네트워크와 완전히 분리되어 있으며, 그야말로 폐쇄망의 정석과도 같은 구조이다.
이렇게 네트워크를 분리해 놓으면 확실히 각 네트워크는 안전하게 유지될 수 있다. 하지만 업무라는 것은 결국 데이터를 주고받는 과정이고, 업무를 하다 보면 업무에 필요한 파일을 외부에서 FTP를 이용해 받는다거나, 경영진의 비용 절감 기조로 세 가지 업무 영역에 모두 필요한 기능을 처리해야 하는 PC가 단 두 대뿐이라든가 하는 상황이 생긴다.
물론, 명확한 목적과 정확한 보안 정책에 따라 네트워크가 운영되고 있다면, 절차와 정책, 그리고 사용자들의 의식이 합쳐져 별다른 문제가 생기지 않을 수도 있…기는 개뿔!
그리고 굳이 이런 이유가 아니더라도 약간의 시간이 흐르면 반드시 이런 요청이 등장한다.
이 데이터를 저쪽 네트워크의 PC로 옮겨야 해요
이 컴퓨터는 양쪽 데이터를 모두 사용해야 해요
이 PC에만 랜카드를 하나 더 꽂아서 양쪽 네트워크에 연결할게요
업무 효율성만 보면 너무나 타당해 보이는 요구이다. 그러나 이 선택이 바로 폐쇄망 보안 정책이 무너지는 첫 번째 단추다.
다중 네트워크 호스트(Multi-homed Host)의 등장
그 결과 등장하는 것이 두 개 이상의 네트워크에 동시에 연결된 호스트(Multi-homed Host), 즉 양다리 호스트라고 부르는 다중 네트워크 호스트이다. 랜카드를 하나 더 꽂고, IP를 두 개 이상 설정하며, 서로 다른 게이트웨이를 모두 활성화하는 구조가 자연스럽게 만들어진다.
이 구조는 스턱스넷과 본질적으로 동일한 문제를 갖고 있다. 네트워크의 경계를 장비가 아니라 사람의 편의가 결정하는 순간, 폐쇄망 보안은 이미 무너진 것이다. 그리고 이 예외는 한 번으로 끝나지 않는다.
양다리 호스트의 증식
무슨 일이든 한 번이 어렵지, 두 번은 쉽다. 정말 어쩔 수 없이 한 대의 양다리 호스트가 생겨나면, 이 양다리 호스트는 점차 역할과 영역을 확장해 나가게 되며 또 다른 양다리 호스트들이 여기저기에서 생겨나게 된다. 그리고 여기저기서 아래와 같은 이야기들이 들리기 시작한다.
이 장비도 붙여야 해요
보안 정책은 균열이 아니라 붕괴를 일으킨다. 한 번의 예외가 계속 반복되며 점차 네트워크는 혼돈과 파멸의 구렁텅이를 향해 달려가게 된다. 결국 아래와 같이 네트워크 경계가 무너진 끔찍한 혼종 구조가 만들어진다.
이 시점이 되면 폐쇄망이라는 구조적 보안 장점은 사실상 의미가 없어지며, 외부 인터넷과 직접 연결된 것보다 더 위험해지는 경우도 흔하다. 장비가 아니라 사람의 손과 운영상의 편의에 의해 네트워크 경계가 무너졌기 때문이다.
이상적인 네트워크 : 트리-스타 구조
본 필자가 생각하는 정석적이고 이상적인 네트워크 토폴로지(Topology)는 단순한 원칙을 따른다. 바로 하나의 호스트는 하나의 랜카드, 하나의 IP 주소를 가지고, 오직 하나의 네트워크에만 속해 있는 것이다.
이 단순한 원칙을 가장 자연스럽게 구현하는 네트워크 형태가 바로 트리-스타 토폴로지(Tree-Star Topology) 구조이다. 그룹(업무 단위) 내부 통신은 엣지 스위치를 통해 이루어지는 스타 구조(Star Topology)를 따르고, 서로 다른 네트워크 간의 통신은 상위 라우터를 통해 이루어지는 트리 구조(Tree Topology)를 기반으로 한다.
이 두 구조가 결합된 트리-스타 구조(Tree–Star Topology)는 다음과 같은 이유로 대부분의 환경에서 가장 바람직한 네트워크 운영 모델이 된다.
- 역할과 경계가 명확하다 : 엣지 스위치는 사용자 단말을, 라우터는 네트워크 간의 경계를 명확하게 분리하여 담당한다.
- 문제 발생 시 추적이 쉽다 : 장애 발생 시 어느 계층, 어느 구간에서 문제인지 비교적 빠르게 좁혀갈 수 있다.
- 보안 정책 적용이 용이하다 : 네트워크 경계가 명확하게 집중되어 있기 때문에 방화벽, 접근 통제 목록(ACL), 모니터링 지점을 설계하기 쉽다.
- 확장성과 운영 안정성이 뛰어나다 : 새로운 부서, 장비, 시스템을 추가해도 전체 네트워크를 뒤질 필요가 없다. 하위 그룹은 스위치, 상위 연결은 라우터—역할이 명확해 유지보수가 쉽다.
- 업무 흐름을 예측하기 쉽다 : 트래픽 흐름이 예측 가능한 경로를 따라 이동한다.
폐쇄망에 비해 취약한 것은 사실이지 않은가?
취약한것은 사실이다. 아무리 네트워크를 잘 설계한다 해도, 만의 하나라는 것이 있기 때문이다. 하지만, 네트워크는 항상 문제가 발생한다는 전제를 두고 설계해야 한다. 핵심은, 문제가 발생했을 때 얼마나 빠르게, 정확하게 차단할 수 있는가이다.
트리-스타 구조에서는 문제가 다음 단계를 넘지 못하도록 경계 장비(라우터, 방화벽, L3 스위치)에서 차단할 수 있다. 반면, Multi-homed Host가 여기저기 존재한다면 문제는 단계적 차단 없이 가장 취약한 경로를 타고 옆 네트워크까지 그대로 번진다.
즉, 잘 짜인 구조의 위험은 예측 가능한 위험이고, 잘못된 구조의 위험은 통제할 수 없는 위험이다. 둘 중 어떤 것이 더 위험한지는 말할 필요도 없다.
트리-스타 구조는 만능이 아니다.
트리-스타 구조가 기술적으로 다른 모든 토폴로지보다 우월하다는 의미는 아니다. 단지 현실적인 제약 속에서도 네트워크 보안에 대한 요구를 만족시키는 동시에, 네트워크 구조의 근간에 변형이 가해지는 경우가 매우 드물기때문에 일반적인 업무 환경에서의 최소 기준이 되는 것이다.
그럼에도 불구하고 현실에서는 여러 정책적·행정적·조직적 이유(대부분 기술적인 이유가 아니다)로 이러한 구조를 적용하지 못하는 경우가 많다. 그리고 그 빈틈을 “예외”가 파고들고, 그 예외가 결국 네트워크 전체를 잠식하여 보안 정책을 무너뜨린다.
결론
다중 네트워크 호스트를 만드는 것은 기술적으로 어렵지 않다. 랜카드를 하나 더 꽂고, IP와 게이트웨이를 더 설정하면 된다. 필요하다면 정적 라우팅을 통해 통신 문제도 어느 정도는 해결된다. 그러나 이것은 어디까지나 임시방편이며, 장기적 관점에서는 반드시 위험 요소가 된다.
네트워크를 설계하고 관리할 때 반드시 기억해야 할 포인트
- 예외를 만들지 마라 — 한 번 생긴 예외는 순식간에 표준이 된다.
- 정책은 없을수록, 강력할수록 좋다 — 정책을 만들때는 세밀하고 강력하게 구성해야 한다. 하지만 가장 좋은 정책은 정책이 없는 것(All Deny)이다.
- 네트워크 경계는 사람의 손이 아니라 장비가 책임져야 한다.
- 운영상 편의보다 정책 일관성을 우선하라.
- 양다리 호스트가 필요하다는 것은 설계가 현실을 반영하지 못했다는 증거다.
- 폐쇄망을 안전하게 유지하려면 절차·정책·교육·통제가 반드시 병행되어야 한다.
이 5가지가 갖춰지지 않은 폐쇄망은 단순한 불편함만 남기고, 오히려 더 위험한 네트워크로 변질될 수 있다. 네트워크 보안의 본질은 기술이 아니라 정책과 운영임을 잊지 말아야 한다.
명확한 원칙을 세우고, 그 원칙에 따라 네트워크를 설계하고 운용한다면, 사실 양다리 호스트는 애초에 나올 일이 없다. 그럼에도 불구하고 현실 속에는 어쩔 수 없는 상황이 항상 존재한다. 그런 경우에도 예외가 어느 순간 전체 구조를 잠식해 버리지 않도록, 설계 단계에서 충분히 고민해야 하리라 생각한다.
그리고 혹 호스트에서 정적 라우팅을 설정했다면, 가능한 한 빠른 시일 내에 제거할 수 있기를 바란다.