SlideShare a Scribd company logo

(Action Plan Repor) Accomplish 1st Stage of Network Separation

Download as PPTX, PDF
J
Jintae Jeung
1 of 29
2014.8. 28 OOOO팀 업무 망/인터넷 망 분리 1차 사업 추진 전사 보안 강화를 위한 [방안 보고서]
약 1개월 간의 망 분리 태스크 포스 활동을 통해 수립한 방안을 아래에 요약함 EXECUTIVE SUMMARY 당사 망 분리는 사용자 직군 별로 단계적으로 적용하며 ‘전산 센터 / IT 본부’만의 물리적 망 분리를 1차 추진 각 사 망 분리 안으로 선 검토하고 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 향후 의사 결정 쉐어드 서비스의 메일 서비스 (IT 본부 임직원 계정) 만을 인터넷 망에 분리 구성 스팸 서버의 사용자 라우팅 기능으로 외부 메일을 신규 인터넷 망 메일 서버로 포워딩 PC 보안 솔루션 전개는 최소화함 사업 수행 비용 : 약 O.O억 ADSL 회선을 사용하는 유휴 PC를 인터넷 전용 PC로 배포 본 방안 보고 이후 그룹 각 사와 협의 개시
공개망을 통한 지속적인 금융권 침해 사고가 발생함에 따른 금융 감독 법 규제 준수의 일환으로 업무 망과 인터넷 망 분리를 실현하여 사이버 보안 위협 및 정보 유출 위험성을 억제함 추진 배경 및 관련 법 규제 금융권 망 분리 관련 법 규제 금융 전산 보안 강화 종합 대책 (2013.07) 금융 전산망 분리 가이드 라인 (2013.09) “전자 금융 기반 시설 보안 강화 - 망 분리 의무화” “전산 센터 – 물리적 망분리, 본점/영업점 – 단계적 추진” “망분리 적용시의 PC 보안, 메일, PMS※1) , NAC, 망간 자료 전송, 매체 제어, 프린터 등 주변 기기 운영 등의 가이드 라인 제시” 2013. 2 개인 정보 처리시스템과 인터넷 망을 분리조치 2013. 3 2013. 7 2013. 9 2013. 11 정보통신망법 전면 시행 3.20 사이버 테러 발생 금융 전산 보안강화 종합 대책 발표 금융 전산 망분리 가이드 라인 배포 전자 금융 감독 규정 개정 APT ※2) 공격으로 금융사및 고객 피해 발생 금융 기관 보안강화 및 보안 조직 ·인력 역량 강화 등 전산 센터 (2014년12월까지) 본점 영업점 (2016년말까지) 금융 전산 망분리의무화 금융권 보안 관련 주요 이벤트 ※ 1) PMS : Patch Management System, 패치 관리 시스템 ※ 2) APT : Advanced Persistent Threat, 지능형 지속적 위협
관련 법규에 의거하여 전산 센터/IT 본부의 물리적 망분리 구현 방안 및 아키텍처에 대해 금감원 사전 심의를 통과하고 2014년 12월까지 구현을 완료한 후 전사적 확대 적용을 대비 방안 수립 Agenda 및 사업 수행 범위 방안 수립 Agenda 방안 초안 작성 업체 기술 설명회 7/22 7/23 7/25 8/28 CIO 사업 방향성 보고 CIO 최종 보고 OOOO팀 IT 기획팀 OOOO팀 OOOO팀 7/24 8/29 금감원 사전 심의 OOOO팀 DC / IT본부 OOO 명 2대 PC 이용 내근직 O,OOO 명 2대 PC / 가상화 FC 및 기타 OO,OOO 명 2대 PC / 가상화 방안 리뷰 관계팀 사업 수행 범위 2014.12 2015.12 물리적 망분리 논리적 망분리 약 약 약 ! 전산센터의망분리에있어서 향후사업확장성을충분히고려한 아키텍처설계필요 8/21 CIO 중간 보고 OOOO팀 2016.12 망 분리 태스크 포스 활동
기초조사 현황분석및기초전략수립 전개기술검토 마스터플랜수립 방안 수립 프로세스 태스크 포스 활동을 통해 다음 4단계 프로세스를 수행하여 당사 (그룹사) 최적의 망 분리 전략 수립 당사 망 분리 구현 요건 정리 기초 아키텍처 도출 쉐어드 서비스 분리 방안 도출 업무 분리 방안 도출 최종 아키텍처 설계 전개 전략 및 확장 방안 수립 보안 솔루션 전개 방안 도출 1 동종 업계 사례 분석 관련 법규 및 규정 해석 기반 기술 이해 비용 최적화 2 3 4
망 분리 정의 목적 해킹 통로로서의 PC의 위험성을 최소화하여 업무 망 방어 적용 관점 서버 관점의 분리가 아니며 PC 사용자 관점에서의 분리 외부 이메일 송∙수신을 위한 메일 서버는 업무 망과 분리 망 분리 1차 (전산 센터 물리적 망 분리) 목표 전산 센터 직원/IT직원의 단말 환경을 업무용 PC와 인터넷 PC로 분리 망 분리 2차/3차(본점/영업점,내근직/영업가족)목표 해당 직원의 단말 환경을 업무 PC와 인터넷 PC로 분리 금융보안연구원과의 질의 응답 과정을 통해 아래와 같은 망 분리에 대한 기본적인 목적과 방향성을 이해하고 금융 전산 망 분리 가이드라인의 해석을 수행함
3종 4개의 대표적인 망 분리 구현 방식 중에서 전산 센터의 물리적 망 분리는 금융 전산 보안 강화 종합 대책(`13.07)에 따른 의무 사항이며, 전산 센터 망 분리 이후의 망 분리 확장 방안은 자율 선택 핵심 기술 검토 > 망 분리 방식 망분리 구분 당사 적용 대상 구현 방식 장점 단점 물리적 망분리 IT 본부 데이터센터 • 2대 PC 이용 망분리 • 타 방식 대비, 영역 간 연결 접점이 없어 보안 우수 • 별도 네트워크 구축, PC 등 추가 장비 비용 소요 내근직 FC 서버 기반 논리적 망분리 • 가상화 서버 기반 망분리 • 가장 저렴한 구축 비용 • 가상화 서버 환경에 대한 사용자 통제 및 관리 정 책 일괄 적용 가능 • 가상화 서버 구축 비용 발생 • PC와 가상화 서버 간 네트워크 트래픽 증가 • 가상화 서버 환경에서 실행되는 보안 프로그램 등 에 대한 추가적인 호환성 검토 필요 • 터미널 서버 기반 인터넷망 분리 • 터미널 서버의 보안 설정으로 통합 관리 가능 • 터미널 서버 구축 비용 발생 • PC와 터미널 서버 간 네트워크 트래픽 증가 • 터미널 서버(단일 운영 체제)에 대한 취약점 및 악성 코드 감염 대책 필요 PC 기반 논리적 망분리 • 가상화 PC기반 인터넷망 분리 • 가상화 영역에 대한 사용자 통제 및 관리 정책 일괄 적용 가능 • 기존 업무용 단말기 활용에 따른 낮은 도입 비용 • 가상화 영역에서 실행되는 보안 프로그램 등에 대한 추가적인 호환성 검토 필요 • 논리적 네트워크 분리를 위한 장비 필요 망분리 방식 별 기능 설명 예 : VDI 예 : MS 터미널 서비스 예 : Ezis-V 채택가능성이높은구현방식
금융 전산 망 분리 기본 원칙 [1] > 금융 전산 망 분리 가이드 라인 (2013년 9월 공표) 망 분리 관련 필수 구현 항목 보안 관리 방안 구현 방식 망분리 구현요건정리 참조번호 전산 센터 물리적 망 분리 • 인터넷 PC는 업무망 접속이 차단되며 외부 이메일, 웹서버 등 인터넷 망 사용 가능 • 업무 PC는 외부 이메일, 웹서버 접속 등 인터넷 접속이 차단되며 업무 망에만 접근 가능 • 네트워크 전환 장치가 적용된 PC가 인터넷용 하드 디스크로 부팅되었을 때만 인터넷 망 접근, 외부 이메일 등 사용 가능 • 네트워크 전환 장치가 적용된 PC가 업무용 하드 디스크를 통해 부팅되었을 때만 업무 망에 접근 • 2대 PC 이용 망 분리 • 네트워크 전환 장치 이용 망 분리 ① PC 보안 관리 • 인터넷 PC에서는 업무와 관련된 정보의 생성/저장 원칙적으로 불가, 업무 특성에 따라 제한적 승인 관리 • 외부 이메일 및 웹 서버 접속 등은 인터넷 PC를 통해서만 수행 • 웹하드, 인터넷 메신저 등의 사용을 원칙적으로 금지, 업무 특성에 따라 제한적 승인 관리 • 업무와 무관한 인터넷 사이트 불가 • 인터넷 망과 업무 망에 접근하는 PC 분리 • 인터넷 PC와 업무 PC에 대한 보안 관리를 각각 수행 ② ③ 인터넷 메일 • 메일로 전파되는 악성 코드, 스팸 메일 등 차단을 위한 메일 서버에 보안 시스템 적용 • 내부 메일 서버 : 인터넷 PC에서 접속할 수 없도록 차단 • 그룹사, 지주사 등의 그룹 웨어와 연동된 업무 메일 : 악성 코드 탐지 등 보안을 강화한 경우에 한정하여 제한적으로 업무 PC에서 접속 • 서버 인터넷 망 구간에 구축 • 내부 메일 서버 별도 구축 / 운영 ④ ⑤
금융 전산 망 분리 기본 원칙 [2] > 금융 전산 망 분리 가이드 라인 (2013년 9월 공표) 망 분리 관련 필수 구현 항목 보안 관리 방안 구현 방식 망분리 구현요건정리 참조번호 PMS (패치관리시스템) • 관리자가 패치를 수동 다운로드하고 무결성 검증 및 악성 코드 감염 여부 확인 후 PMS에 적용 • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 패치 현황 관리 : 수시로 최신 패치 현황 파악, 패치 수행 이력에 대한 로그 기록을 1년 이상 보존 • PC 패치 삭제 : 사용자 PC에 설치된 패치 파일 삭제 시 관리자 승인 후 절차에 따라 삭제 • 인터넷 망과 업무 망 각각 설치 • 인터넷 연결 차단 ⑥NAC • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 접근제어 이력 관리 : 접근 제어 이력에 대한 로그 기록을 1년 이상 보존 • 인터넷 망과 업무 망 각각 설치 • 인가된 기기만 네트워크 접근을 허용 (IP와 MAC주소 관리) • 망분리 PC 간 네트워크 혼용 차단 • 무선랜 보안 - 와이브로, 무선랜 등 비인가 무선인터넷 연결 차단 보조 기억 장치 관리 • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 보조 기억 장치 반출입 관리 : 업무 상 필요한 반출에 대해서만 승인 • 보조 기억 장치 사용 이력 관리 : 자료 전송 내역에 대한 로그 기록을 3년 이상 보존 • 인가된 보조 기억 장치(USB, CD, 이동식 하드 디스크 등)만 인터넷 PC와 업무용 PC에 사용 • 인터넷 망과 업무 망 각각에 보조 기억 장치 관리 서버 구축 /운영 망간 자료 전송 • 관리 시스템에 인가된 관리자만 접속 • 전송 통제 서버 간 통신은 TCP/IP가 아닌 암호화된 전용 프로토콜 사용 및 일방향성 유지 • 일반 USB를 서버에 등록 후 보안 USB처럼 사용하는 방식 금지 • 보안 USB 삽입 시 식별 및 인증 수행, 악성 코드 감염 여부 검사 (백신 설정) • 보안 USB 분실 시, 데이터 완전 삭제 또는 일정 기간 이후 삭제 등 보안조치 • 보안 USB 및 인터넷 PC와 업무 PC 간 자료 전송 내역 로그를 3년 이상 보존 • 인터넷 PC와 업무PC 간 자료 전송, 공개 서버와 업무 서버 간 실시간 업무 연계 • 보안 USB 활용 가능 ⑦ 프린터 등 주변 기기 운영 • 인가된 주변 기기만 사용 • 프린터 서버 접근 통제 적용 • 프린터 공유 시 접근 통제 : 공용 프린터에서 다른 연결 포트 사용, 프린터 서버 사용 접근 통제 • 인터넷 망과 업무 망 각각 설치 • 프린터 서버 등 추가 장비를 이용하여 보안성 강화 ⑧
당사 망 분리 구현 요건 정리 [1] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 대상 검토 내용 구현 방안 ∙ 인터넷VDI 상시 기동 VM 수 : 일 평균 OOvm/OOOvm (2014.7.현재) ∙ IT 본부 직원 OOO명의 PC 사용대수 : OOO대 (2014.7.현재)도입PC 수량 및 관리방안 IT 본부 전직원 PC 신규 도입 인터넷 실 사용자 부분 도입 ∙ IT 본부 직원 각각에게 유휴 PC를 인터넷망 용으로 배포 ∙ 인터넷PC에 문서 저작 도구(오피스)는 설치하지않으며 문서 뷰어만 설치 (망분리 가이드라인에서 인터넷 PC에서 의업무 관련 문서 작업 원칙적으로 금지) ③ ∙망전환시에재부팅이필요하여사용자불편이 예상되며배포된PC사양에따라구현불가능한 경우도있음 ∙ 관리요소가 증가하나 보안성 제일 우수 물리적 망 분리방식 네트워크 전환 장치 이용 2대PC 이용 금융위원회 「전자금융감독규정」 개정안의 15조(2013.11.)에 의거,전산 센터 망 분 리는 물리적 분리방안 이외 선택지 없음 ∙인터넷회선/ADSL 신규구축 ∙인터넷망전용PC 배포 ∙기존업무망PC로부터의인터넷 접근패킷에대한방화벽차단 .OOO사옥중심의IT 본부직원대상 ① 인터넷망 PC 유형 유휴 PC 미니 PC VDI (가상 데스크톱) ∙ 직원수에 맞춰 PC를 배포하기에는 공간협소하여 타당하나 비교적 고가임 ∙ 접속단말 비용 이외에 가상화서버 환경 구성 비용이 추가됨 ∙ 인터넷관련 업무만을 처리하기에 적합한저 사양 ② ∙ 법규상근거 없음 DMZ 방화벽 포트 정책 강화
당사 망 분리 구현 요건 정리 [2] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 구현 방안 검토 내용 방안 그룹사 쉐어드서비스 분리방안 망분리 인터넷 쉐어드 서비스 제공 ∙금융전산가이드라인(2013.9.) : 그룹사쉐어드서비스영역망분리명시 (1안) 그룹각사별도인터넷망구성 (2안) 그룹사공동인터넷망구성 ∙ 그룹사IT/보안 관계자 간 협의 후 구체적인방안 도출 ⑤ ∙ 그룹웨어,이메일,메신저, 모바일 서비스/ 인사,총무,재무 회계 시스템 조사 ∙금융전산가이드라인(2013.9.) : -인터넷메일의분리명시 -그룹사,지주사등의그룹웨어와연동된 업무메일은악성코드탐지등보안을 강화한경우에한하여제한적으로 업무PC로접속이용가능 ∙ 금융권사례 : 온라인서비스 시스템 이전 사례 없음 인터넷망 분리 대상업무 당사 DMZ 내 본업 업무 쉐어드 DMZ 내 협업 업무 ∙ 당사DMZ/쉐어드 DMZ 내의 온라인 서비스의이전에 대해서는 금융권 유사 사례를포함 종합 검토 후,2015년내추진 ∙ 모바일OOO원 현행 유지 : 신규인터넷 망에서 DRM 연계 불가 ∙ 쉐어드서비스의 그룹 웨어에서 이메일기능만을 인터넷 망에 추가 구성 ④ ∙ 본업업무 (온라인 서비스) 조사 ∙ 금융전산 가이드 라인 (2013.9.) : 성능이 중요시되는실시간 서비스는 추후 장기적으로안정성 확보 후 적용 검토
당사 망 분리 구현 요건 정리 [3] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 구현 방안 검토 내용 방안 망분리관련 필수 보안솔루션 ∙ 기도입 솔루션으로 대체 가능 범위 확인 ∙ 시장내 주요 솔루션 레퍼런스 조사 ∙ 망분리를 통한 보안 효과와의 중복성 .최소 도입 요건 파악 ∙인터넷망신규도입: PMS,스팸차단/악성코드차단솔루션 ⑥ ∙ 업무망 확장 도입 :없음 인터넷 망 대상 솔루션 업무 망 대상 솔루션 ∙인터넷망 확장도입: 방화벽,개인정보탐지,NAC,백신 ∙업무 망 확장 도입: 없음 망간연계 방법 망간 파일 전송 온라인 스트리밍 (망간실시간서비스호출) ∙ 금융권사례 : 현대해상,푸르덴셜생명,미래에셋생명등 ∙ 자료전송 기능을 이용하여 업무 망과 인터넷망의 메일 시스템 연계 ∙ 금융권사례 : 사례부족 , 업계 내성능 및 기능 검증 중 ∙ 기능/성능검증 후 적용 여부 결정 ⑦ 인터넷망 프린터 및 스캐너 프린터/스캐너 설치 대수 ∙ 6개 팀에서 21 대의 프린터 사용 중 ∙ 3개 팀에서 5대의 스캐너 사용 중 ∙ 인터넷망용 프린터를 팀당 1대설치 ∙ 인터넷망용 스캐너는 불필요함 프린터서버사용 ∙ 사용중인 업무용 프린터 서버 없음 ∙ 불필요함 ⑧
방안 구분 방안 상세 보안성 운영성 비용 그룹 각 사 별도 인터넷 망 구성 • 그룹사 별 인터넷 망 분리 정책에 따라 각 사가 자체 인터넷 망 구성 • 각 사 인터넷 망에 인터넷 메일 시스템 각각 구성 • 각 그룹사 별 자체적인 망 분리 정책 구성이 용이함 • 각 그룹사 별 보안 로그 관리 및 사후 감사가 편리함 • 인터넷 망에서의 보안 사고를 개별 회사 수준에서 격리할 수 있음 • 각 사 전담 운영 조직 구성 필요 • 기존 쉐어드 서비스와의 연동 인터 페이스가 복잡함 • 추가적인 구성 변경 용이 • 그룹 관점에서 조망하면 회선/하드 웨어/소프트웨어에 있어 중복 투자 요소가 많음 당사 그룹사 그룹사 공동 인터넷 망 구성 • 그룹사를 위한 공통 인터넷 망 분리 수행 • 공통 인터넷 망에 그룹사 전체 외부 메일 시스템 구성 • 망 연계 솔루션 / 보안 솔루션 적용의 단일화 (그룹 인터넷 망 보안 표준 수립 혹은 당사 인터넷 망 보안 표준을 그룹사 수용) • 인터넷 망 쉐어드 서비스 형태 • 각 그룹사 고유의 보안 정책을 탄력적으로 적용하기 어려움 • 보안 로그 분리와 보존이 어려움 • 인터넷 망에서의 보안 사고가 그룹 사 전체에 영향을 미칠 수 있음 • 보안 사고에 대한 책임 소재가 모호함 • 위탁 운영사(당사)의 보안 운영 범위가 확대됨 • 자원 증설 및 과금 체계 복잡 • 기존 쉐어드 서비스와의 연동 인터 페이스가 2안 대비 비교적 간단함 • 규모의 경제를 실현하여 당사를 제 외한 각 그룹사의 투자 비용이 낮음 (쉐어드 서비스 사용자의 대다수가 당사 소속) 당사 그룹사 쉐어드 서비스 망 분리 방안 금융보안연구원 검토 의뢰 결과, 공동 인터넷 망 구성에 대한 컴플라이언스 이슈는 없을 것으로 판단하며 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 장기적 분리 방안을 결정함 ※ 그룹사 중복투자분
메일 시스템 분리 방안 > 세부 요건 요건 구분 요건 내용 고려 사항 이메일접속 경로제한 • 내부메일은인터넷망에서직접 접속불가 • 외부메일은업무망에서직접 접속불가 • 망 분리가이드라인상의필수 구현사항 이메일연계 • 내부메일에서외부메일서버로메일발송가능 • 내부메일서버에서외부메일 서버로직접연결 (SMTP) • 내부메일에서인터넷메일로전달후 인터넷메일이 발송 (SMTP Relay) 이메일계정 • 가급적기존 사용이메일계정 (이메일주소)를 유지 • 신규이메일계정사용시에는전 임직원이메일 신청후 신규 명함제작의뢰 필요 • 사용자라우팅기능 이메일서비스제공형태 • 내부메일은 쉐어드서비스영역에서 사용 • 외부메일시스템은쉐어드서비스영역혹은각 사 인터넷망에구축 • 쉐어드서비스영역내부메일 : 각 사별로내부 메일또는인터넷 메일별도구축을원할경우고려 필요 이메일사용자규모 • 전사내부메일 사용자(내근직.IT 사용자포함): 3,783명 • 인터넷메일 사용자: 30,000명 기준 • 당사FC은내부메일사용대상에서제외 망 분리 핵심 업무 시스템인 메일 시스템의 분리 구성에 있어서 보안 요건 만족/변화 요소 최소화/사용자 편의성 최대화/구현 용이성을 중심으로 요건 정리
메일 시스템 분리 방안 > 분리 방안 후보 방안 분리 설치망 구현 내용 개괄 고려 사항 장점 단점 구축 기 간 및 비용 (1안) 인터넷메일시스템 신규구축 (IT 직원) 당사망 • 기존메일서비스는그대로유지하고IT본부사용 자용인터넷메일을추가구축함 • 쉐어드DMZ 스팸서버의사용자라우팅 구성으 로외부메일중IT 본부사용자계정으로오는메일 을신규구성한인터넷망메일서버로포워딩 • 스팸서버용량(IT 본부계정만을 포워딩하는것이기본기능이나전 체사용자계정에대한조건분기가 불가피) • 스팸서버의사용자라우팅기능 • 인터넷메일서버의Address Redirect 기능구현 • 2014년12월내구축가능 • 도메인변경없음 • 메일분기포워딩기능구축필요 • 투자비용중복이경미하게발생 • 기간:단기 • 비용:소 (2안) 인터넷메일시스템 신규구축 (IT 직원) 쉐어드 서비스 DMZ • 상기1안과동일하며인터넷망및인터넷메일 시스템구축위치만이다름 (쉐어드서비스DMZ의신규Zone) • 상기1안과동일 • 금감원심사및감사통과여부가 불투명 • 상기1안과동일 • 신규망구성요건이간소화됨 • 방화벽비용이차감됨 • 상기1안과동일 • 기간:단기 • 비용:소 (3안) 인터넷메일시스템 신규구축 (IT 직원,새도메인) 당사망 • 기존메일서비스는그대로유지하고IT본부사용 자용인터넷메일을추가구축함 • 인터넷메일도메인을신규구성 • 스팸서버용량(IT 본부계정만을 포워딩하는것이기본기능이나전 체사용자계정에대한조건분기가 불가피) • 스팸서버의사용자라우팅기능 • 2014년12월내구축가능 • 메일분기포워딩기능구축필요 • 외부고객/외부사용자혼선야기 • 전사메일분리이후원복필요 • 투자비용중복이경미하게발생 • 기간:단기 • 비용:소 (4안) 인터넷메일시스템 신규구축 (전체사용자) 당사망 • 사용중인쉐어드서비스메일시스템을사내업무 메일로제한하고,인터넷망에신규로인터넷메일 시스템을구축함 • 인터넷메일은MS익스체인지 기반 • 스팸메일서버로사용중인메일에 서외부발송차단 • (3안)대비중복투자비용발생 이없으며,단1회만시스템구축 • (5안)대비낮은투자 비용 • 2014년도내구축이어려움 • 기간:중기 • 비용:중 (5안) 내부메일신규구축 (전체사용자) 당사망 • 사용중인쉐어드서비스메일시스템을인터넷망 으로이관하고임직원전용내부메일시스템구축 • 내부메일은 MS 익스체인지기반 • 기존메일을인터넷메일로이전할 경우기존메일에서제공하던각종 기능을계속사용하기위해서는재 개발/변경이필요(조직도연계,명함 표시등) • 내부메일솔루션검토필요 • (4안)대비장점이없음 • 추가인프라구성비용,개발공수 등고려사항많음 • 기존메일에대한인터넷메일 시스템분리,내부메일시스템신 규구축의2개작업동시수행 • 2014년도내구축불가 • 기간:중기 • 비용:고 채택가능성이높은방안 <구축 기간 범례 > 단기 : 6개월 미만 중기 : 6개월 이상 1년 미만 장기 : 1년 이상 쉐어드서비스네트워크아키텍처(TO-BE 1안)장표참고 쉐어드서비스네트워크아키텍처(TO-BE 2안)장표참고
보안 솔루션 전개 방안 보안 솔루션 인터넷 망 업무 망 기 도입 솔루션 명 비고 도입 도입 적용하지 않음 (1차) 신규 도입 기 도입 PMS (패치관리) ○ ○ Microsoft WSUS 윈도우보안업데이트에해당, 추가기능은IT기획팀과검토 보조기억장치관리 ○ 망연계솔루션으로대체 스팸차단 ○ ○ Terrace Mail Watcher User Routing이가능한제품으로교체필요 악성코드차단 ○ ○ Symantec Endpoint Protection 망연계 ○ ○ 커스터마이징필요 방화벽 ○ ○ Juniper / Secure-i 유해사이트차단 ○ ○ 소만사 WebKeeper UTM 기본기능으로최소요건만족 침입 방지(IPS) ○ ○ 윈스테크넷 IPS UTM 기본기능으로최소요건만족 데이터유출방지(DLP) ○ ○ Symantec DLP 인터넷PC에서정보생성불가 개인정보검출 ○ ○ 인정보 PrivacyFinder 휘발성파일내의개인정보탐지 메일수발신이력관리 ○ ○ 소만사 Mail-i 출력통제 ○ ○ Wowsoft PrintChaser 인터넷PC에서정보생성불가 네트워크접근통제 ○ ○ Genian NAC 3.5 인터넷망에확장도입할 솔루션은Genian NAC 4.0 백신 ○ ○ Symantec Endpoint Protection Cross 점검용으로신규솔루션도입검토 전개 대상 보안 솔루션 일람 아래 14개 보안 솔루션 전체 적용을 원칙으로 하되 최종 확정된 네트워크 아키텍처에 맞춰 망 분리 가이드라인 요건을 만족하는 수준에서 솔루션 전개 범위를 최소화하여 비용 효율성 제고
OO 전산 센터의 OO 2G 회선을 통해 인터넷이 연결되어 있으며 OO 사옥/지점/영업소/LAN-TO- LAN 대리점의 ADSL 회선과 연계되고 OOO 사용자의 인터넷 사용 또한 이 회선을 사용함 당사 전체 시스템 및 네트워크 구성도 개괄 (AS-IS) 백본 스위치 C6509 OO 인터 넷 1G OOO 층간 스위치 콜센터 IP Phone MAIL DNS WEB SALES DMZ 그룹 쉐어드 VPN 게이트웨이 전국 부점소 VPN 기간계 시스템 BB BB 로드밸런싱 서버 팜 BB VDI BB Call Center C3845 BB 서버 팜 BB C7604 OO전산센터 OOO사옥 ① ② ③ ④ ⑥ ⑦ ※OOO근무자인터넷사용패킷루트 ①→②→③→④→⑤→⑥→⑦ 백본 스위치 L4 스위치 VPN 게이트웨이 보이스 라우터 라우터 L3 스위치 방화벽 범례 1G ⑤
쉐어드 서비스 네트워크 구성도 (AS-IS) 쉐어드서비스 서버 팜 인터넷 쉐어드라우터 쉐어드 VPN 쉐어드 대외연동 스위치 연동방화벽 쉐어드외부방화벽 쉐어드백본 쉐어드L4 쉐어드SLB 쉐어드 DMZ L4 쉐어드 DMZ L3 포탈 인사 재무회계그룹웨어 스팸 차단외부 웹 서버 쉐어드서비스 DMZ 전산센터내 각 사 LOCAL 회선 OOO자산OO OOOOO서비스 OOOOO서비스 모바일 OOO 금융지주 OOO OO OOO OOOO OOO OOO 업무 PC 업무 PC
망 분리 네트워크 아키텍처 (TO-BE) OO 인터 넷 백본 WEB DNS etc SALES DMZ그룹쉐어드/ 쉐어드DMZ C7604 OO전산센터 OOO사옥 OOO 업무용 PC 층간 스위치 콜센터 IP Phone 인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고, 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함 보안 시스템 (인터넷망) 스팸·악성 코드 차단 PMS NAC 백신 인터넷메일 DMZ 공유 스토리지 백본 스위치 C6509 BB ※ ※ OOO업무용PC의인터넷사용을 방화벽정책으로차단 보안 시스템 (업무망) 스팸·악성 코드 차단 기타PC 보안 PMS NAC 백신 BB 망간자료전송 망 분 리 업무망 인터넷망 BB ④⑥ ⑦ ※ ①②③과같은원문자항목의상세는 망 분리구현요건 정리장에기재함 ② 신규도입 영역 IT 외부 메일 릴레이 IT 외부메일용 PMS ④ ⑤ ⑥ OOO 인터넷 PC ② ③ ⑧ ADSL ISP 인터넷 ① 신규 인터넷 망 망간자료전송 전용선⑦
망 분리 네트워크 아키텍처 (TO-BE) OO 인터 넷 백본 WEB DNS etc SALES DMZ그룹쉐어드/ 쉐어드DMZ C7604 OO OO IDC 사옥 OOO 업무용 PC 층간 스위치 콜센터 IP Phone 인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고, 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함 보안 시스템 (인터넷망) 스팸·악성 코드 차단 PMS 인터넷메일 DMZ 공유 스토리지 백본 스위치 C6509 BB ※ ※ 업무용PC의인터넷사용을 방화벽정책으로차단 보안 시스템 (업무망) 스팸·악성 코드 차단 기타PC 보안 PMS NAC 백신 BB 망간자료전송 망 분 리 업무망 인터넷망 BB 신규도입 영역 IT 외부메일 차단/포워딩 IT 외부메일용 PMS 사옥 인터넷 PC ADSL ISP 인터넷 신규 인터넷 망 망간자료전송 전용선 스팸·악성 코드 차단 이메일 ㄱ,룹웨어 OO 전산 센터 OP 백본 스위치 L4 스위치 VPN 게이트웨이 보이스 라우터 라우터 L3 스위치 방화벽 범례 NAC 백신
쉐어드 서비스 네트워크 아키텍처 (TO-BE 1안) 신규로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
쉐어드 서비스 네트워크 아키텍처 (TO-BE 2안) 쉐어드 DMZ 내 신규 ZONE으로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
사용자 액세스 다이어그램 > 2014년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) 업무망전용PC인터넷망전용PC IT본부직원 (약OOO명) 내근직원 (약O,OOO명) 일반PC FC (약OO,OOO명) 망연계솔루션 인터넷 (외부) 이메일 (외부|내부) 이메일 물리적망분리 그룹쉐어드서비스 그룹사직원 ① 2014년 12월까지의 구축 범위 ② IT 본부 직원은 인터넷 망 전용 PC에서만 웹 서핑과 외부 메일 발송 가능 ③ 업무 망 PC에서 웹 서핑과 외부 메일 직접 전송 불가 ④ 필요에 따라 업무 망 PC에서 망 연계 솔루션 을 경유하여 외부 메일 발송 가능 ⑤ IT 본부 직원 망 분리에 의한 영향 요소 없음 ⑥ 그룹사 쉐어드 서비스 사용자는 IT 본부 직원 망 분리에 의한 영향 요소 없음 ⑦ 쉐어드 DMZ에 있는 스팸 서버의 사용자 라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩 ③ ① ② ④ ⑤ 다이어그램설명 ⑥ 사용자 라우팅 ⑦
사용자 액세스 다이어그램 > 2014년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) 업무망전용PC인터넷망전용PC IT본부직원 (약OOO명) 망연계솔루션 인터넷 (외부) 이메일 (내부) 이메일 물리적망분리 ① IT 본부 직원은 인터넷 망 전용 PC에서만 웹 서핑과 외부 메일 발송 가능 ② 업무 망 PC에서 웹 서핑과 외부 메일 직접 전송 불가 ③ 필요에 따라 업무 망 PC에서 망 연계 솔루션 을 경유하여 외부 메일 발송 가능 ④ 쉐어드 DMZ에 있는 스팸 서버의 사용자 라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩 ① ② ③ 다이어그램설명 사용자 라우팅 ④
내근직원 (약3,783명) FC (약30,000명) 사용자 액세스 다이어그램 > 2015~2016년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) IT본부직원 (약OOO명) (외부) 이메일 (내부) 이메일 업무망전용PC인터넷망전용PC 물리적망분리 인터넷 그룹쉐어드서비스 그룹사직원 가상PC를탑재한일반PC (PC 2대방식과혼합구성가능) ① 2015년 내 구축 범위 ② 2016년 내 구축 범위 ③ 각 사의 망 분리 방안에 따라 변경됨 ※ FC은 내부 메일을 사용할 수 없으며 외부 메 일 만을 사용 향후, 내근직원/FC들의 이메일 사용 현황을 조사하여 인터넷 메일 분리 운영 방안을 구체화할 계획임 다이어그램설명 ① ② ③ ※ 망연계솔루션
망 분리 방안 수립 세부 태스크 및 일정 수행 태스크 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 아키텍처설계 인터넷메일시스템아키텍처설계 물리적망분리네트워크아키텍처설계 도입대상보안솔루션선정 보안솔루션전개방안설계 사업수행비용분석 망분리PC 도입비용산정 보안관련H/W 용량산정(신규,확장) 보안관련H/W, S/W 도입비용산정(신규,확장) 인터넷메일H/W 용량산정(신규,확장) 인터넷메일H/W, S/W 도입비용산정(신규,확장) OO 인터넷회선대역폭감소량추정및절감비용산정 신규인터넷회선대역용량산정 인터넷망OOO-DC 신규회선포설및N/W 장비도입비용산정 신규장비설치상면확인및비용산정 사업확장방향및최적전략수립 방안개선 금감원심사제출준비 금감원심사제출 현재까지의 망 분리 방안 수립과 관련한 주요 잔여 태스크(아키텍처 설계/사업 수행 비용 분석/사업 확장 전략 수립)를 완료하고 8월 29일까지 금융감독원 심사 자료를 제출할 계획 완료 완료
사업 수행 비용 구분 유형 항목 상세 수량 단가 비용 비고 인터넷 망 PC 하드웨어 PC 257 - - 유휴장비활용 하드웨어 LCD 257 - - 유휴장비활용 하드웨어 모니터 전환 (KVM) 스위치 미정 35,000 1인2모니터사용자대상모니터전환스위치제공 인건비 랜 케이블 포설 257 - - 별도로월간인터넷사용료(OOO,OOO) 발생 소계 0 망 연계 어플라이언스 망간 자료 전송 솔루션 1 130,000,000 130,000,000 장비및전송승인프로세스커스터마이징비용포함 소계 130,000,000 네트워크 하드웨어 스위치 3 - - 유휴장비활용 회선 ADSL 회선 1 1,760,000 1,760,000 월간사용료(O,OOO,.OOO)발생 소계 1,760,000 메일 서버 하드웨어 서버 4 20,625,000 82,500,000 소프트웨어 운영 체제 4 1,100,000 4,400,000 소프트웨어 메일 엔진 1 7,150,000 7,150,000 메일엔진이자체제공하는사용자인터페이스 (예:MS Exchange OWA)사용 소프트웨어 백업 소프트웨어 4 3,300,000 13,200,000 소계 107,250,000 보안 솔루션 구축 하드웨어 서버 2 20,625,000 41,250,000 하드웨어 방화벽 1 30,800,000 (30,800,000) 인터넷망을쉐어드DMZ내에구축하면차감됨 어플라이언스 스팸/악성 코드 차단 2 52,800,000 105,600,000 어플라이언스 메일 수발신 이력 관리 1 29,700,000 29,700,000 어플라이언스 네트워크 접근 통제 1 - - NAC DB 이중화에의한유휴장비활용 소프트웨어 운영 체제 2 1,100,000 2,200,000 소프트웨어 개인 정보 탐지 1 20,000,000 22,000,000 소프트웨어 PMS (패치 관리) 1 5,216,200 5,216,200 소프트웨어 백신 1 5,610,000 5,610,000 소계 240,376,200 합계 (VAT 포함) 479,386,200 쉐어드DMZ내에인터넷망구축시: OOO,OOO,OOO (단위 : 원)
수행 과제 범위가 넓기에 다양한 수행 지원 조직의 적극적인 협조를 통해서만 사업을 성공적으로 수행할 수 있으며 사업 수행 방안 검토 단계에서부터 긴밀한 공조 체제를 구성할 계획 사업 수행 조직 구성도 OOO 팀장 PM OOO 차장 PL OOO 과장 보안 기획 OOO 상무 Steering OOO 차장 단말 OOO 차장 네트워크 OOO 차장 보안 운영 OOO 차장 서버 OOO 차장 Advisory (IT 기획) OOO 차장 Advisory (IT 기획) OOO 팀장 Advisory (IT 기획) OOO 팀장 Advisory (인프라 운영) 그룹웨어개발담당 개발 OOO 차장 인프라 운영 인터넷망연계서비스개발담당 개발 (외주) 사업 수행 인력 및 조직
사업 수행 일정 (안) 행정 측면에서 2개월/구축 2개월 총 4개월의 일정으로 사업을 추진하며 세부 태스크는 추후 정리 주요 수행 태스크 2014.9 2014.10 2014.11 2014.12 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 추진품의 제품선정 계약/발주 장비입고 환경구성 테스트 구성완료 주요 수행 태스크 스케쥴

Recommended

EEBus nowoczesny standard komunikacji
EEBus nowoczesny standard komunikacjiEEBus nowoczesny standard komunikacji
EEBus nowoczesny standard komunikacjiVaillant Saunier Duval Sp. z o.o.
 
Solar Photovoltaic Power Plant: Best Practices
Solar Photovoltaic Power Plant: Best PracticesSolar Photovoltaic Power Plant: Best Practices
Solar Photovoltaic Power Plant: Best PracticesPuneet Jaggi
 
Hybrid Controller | Design 150KW PV with DG1:700KW
Hybrid Controller | Design 150KW PV with DG1:700KWHybrid Controller | Design 150KW PV with DG1:700KW
Hybrid Controller | Design 150KW PV with DG1:700KWEyad Adnan
 
Ovation DCS & SCADA solutions for PV Solar Plant
Ovation DCS & SCADA solutions for PV Solar PlantOvation DCS & SCADA solutions for PV Solar Plant
Ovation DCS & SCADA solutions for PV Solar PlantAmit Sharma
 
Design and performance analysis of 500 KWp on-grid solar PV system
Design and performance analysis of 500 KWp on-grid solar PV systemDesign and performance analysis of 500 KWp on-grid solar PV system
Design and performance analysis of 500 KWp on-grid solar PV systemAmroSadulQuddus
 
From MVC to Component Based Architecture
From MVC to Component Based ArchitectureFrom MVC to Component Based Architecture
From MVC to Component Based ArchitectureBarak Drechsler
 
Juniper Chassis Cluster Configuration with SRX-1500s
Juniper Chassis Cluster Configuration with SRX-1500sJuniper Chassis Cluster Configuration with SRX-1500s
Juniper Chassis Cluster Configuration with SRX-1500sAshutosh Patel
 
Solar Roof top Project proposal delhi
Solar Roof top Project proposal delhiSolar Roof top Project proposal delhi
Solar Roof top Project proposal delhiTarun Rathore
 

Recommended

EEBus nowoczesny standard komunikacji
EEBus nowoczesny standard komunikacjiEEBus nowoczesny standard komunikacji
EEBus nowoczesny standard komunikacjiVaillant Saunier Duval Sp. z o.o.
 
Solar Photovoltaic Power Plant: Best Practices
Solar Photovoltaic Power Plant: Best PracticesSolar Photovoltaic Power Plant: Best Practices
Solar Photovoltaic Power Plant: Best PracticesPuneet Jaggi
 
Hybrid Controller | Design 150KW PV with DG1:700KW
Hybrid Controller | Design 150KW PV with DG1:700KWHybrid Controller | Design 150KW PV with DG1:700KW
Hybrid Controller | Design 150KW PV with DG1:700KWEyad Adnan
 
Ovation DCS & SCADA solutions for PV Solar Plant
Ovation DCS & SCADA solutions for PV Solar PlantOvation DCS & SCADA solutions for PV Solar Plant
Ovation DCS & SCADA solutions for PV Solar PlantAmit Sharma
 
Design and performance analysis of 500 KWp on-grid solar PV system
Design and performance analysis of 500 KWp on-grid solar PV systemDesign and performance analysis of 500 KWp on-grid solar PV system
Design and performance analysis of 500 KWp on-grid solar PV systemAmroSadulQuddus
 
From MVC to Component Based Architecture
From MVC to Component Based ArchitectureFrom MVC to Component Based Architecture
From MVC to Component Based ArchitectureBarak Drechsler
 
Juniper Chassis Cluster Configuration with SRX-1500s
Juniper Chassis Cluster Configuration with SRX-1500sJuniper Chassis Cluster Configuration with SRX-1500s
Juniper Chassis Cluster Configuration with SRX-1500sAshutosh Patel
 
Solar Roof top Project proposal delhi
Solar Roof top Project proposal delhiSolar Roof top Project proposal delhi
Solar Roof top Project proposal delhiTarun Rathore
 
JFall - Process Oriented Integration
JFall - Process Oriented IntegrationJFall - Process Oriented Integration
JFall - Process Oriented IntegrationBernd Ruecker
 
Inspecting Photovoltaic (PV) Systems for Code Compliance
Inspecting Photovoltaic (PV) Systems for Code ComplianceInspecting Photovoltaic (PV) Systems for Code Compliance
Inspecting Photovoltaic (PV) Systems for Code ComplianceJLanka Technologies (Pvt) Limited
 
Using InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI GraphicsUsing InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI GraphicsAVEVA
 
SWE-6 TESTING.pptx
SWE-6 TESTING.pptxSWE-6 TESTING.pptx
SWE-6 TESTING.pptxprashant821809
 
La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...Gestore dei Servizi Energetici
 
Lecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oopLecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oopktuonlinenotes
 
ABB Sami GS 501 Manual
ABB Sami GS 501 ManualABB Sami GS 501 Manual
ABB Sami GS 501 Manualalfreetti
 
Cisco nx os
Cisco nx os Cisco nx os
Cisco nx os Utpal Sinha
 
망분리에도 디테일이 필요하다!
망분리에도 디테일이 필요하다!망분리에도 디테일이 필요하다!
망분리에도 디테일이 필요하다!소비자 만족도 1위 그룹웨어,다우오피스
 
[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17Wonil Seo
 
통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 Webcash통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 WebcashSeunghyun Park, 박승현
 
배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일준일 엄
 
Understanding open api service 엄준일
Understanding open api service 엄준일Understanding open api service 엄준일
Understanding open api service 엄준일준일 엄
 
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제Yunho Maeng
 
네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서bna2015
 
20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)Guisun Han
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)Lee Chanwoo
 
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트RSUPPORT
 
2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안시온시큐리티
 
K-Wireless Router hacking
K-Wireless Router hackingK-Wireless Router hacking
K-Wireless Router hackingperillamint
 
4차산업혁명과 여론조사
4차산업혁명과 여론조사4차산업혁명과 여론조사
4차산업혁명과 여론조사Han Woo PARK
 
커뮤니케이션 Process mapping
커뮤니케이션 Process mapping커뮤니케이션 Process mapping
커뮤니케이션 Process mapping준완 박
 

More Related Content

What's hot

JFall - Process Oriented Integration
JFall - Process Oriented IntegrationJFall - Process Oriented Integration
JFall - Process Oriented IntegrationBernd Ruecker
 
Using InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI GraphicsUsing InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI GraphicsAVEVA
 
La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...Gestore dei Servizi Energetici
 
Lecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oopLecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oopktuonlinenotes
 
ABB Sami GS 501 Manual
ABB Sami GS 501 ManualABB Sami GS 501 Manual
ABB Sami GS 501 Manualalfreetti
 

What's hot (8)

JFall - Process Oriented Integration
JFall - Process Oriented IntegrationJFall - Process Oriented Integration
JFall - Process Oriented Integration
 
Inspecting Photovoltaic (PV) Systems for Code Compliance
Inspecting Photovoltaic (PV) Systems for Code ComplianceInspecting Photovoltaic (PV) Systems for Code Compliance
Inspecting Photovoltaic (PV) Systems for Code Compliance
 
Using InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI GraphicsUsing InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
Using InduSoft Web Studio to Create HTML5 SCADA/HMI Graphics
 
SWE-6 TESTING.pptx
SWE-6 TESTING.pptxSWE-6 TESTING.pptx
SWE-6 TESTING.pptx
 
La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...La qualifica SEU_le regole applicative del gse e il portale informatico - set...
La qualifica SEU_le regole applicative del gse e il portale informatico - set...
 
Lecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oopLecture 2 cst 205-281 oop
Lecture 2 cst 205-281 oop
 
ABB Sami GS 501 Manual
ABB Sami GS 501 ManualABB Sami GS 501 Manual
ABB Sami GS 501 Manual
 
Cisco nx os
Cisco nx os Cisco nx os
Cisco nx os
 

Viewers also liked

[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17Wonil Seo
 
통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 Webcash통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 WebcashSeunghyun Park, 박승현
 
배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일준일 엄
 
Understanding open api service 엄준일
Understanding open api service 엄준일Understanding open api service 엄준일
Understanding open api service 엄준일준일 엄
 
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제Yunho Maeng
 
네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서bna2015
 
20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)Guisun Han
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)Lee Chanwoo
 
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트RSUPPORT
 
2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안시온시큐리티
 
K-Wireless Router hacking
K-Wireless Router hackingK-Wireless Router hacking
K-Wireless Router hackingperillamint
 
4차산업혁명과 여론조사
4차산업혁명과 여론조사4차산업혁명과 여론조사
4차산업혁명과 여론조사Han Woo PARK
 
커뮤니케이션 Process mapping
커뮤니케이션 Process mapping커뮤니케이션 Process mapping
커뮤니케이션 Process mapping준완 박
 
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사Gina J Kim
 
모듈Iii. 보고서 작성방법
모듈Iii. 보고서 작성방법모듈Iii. 보고서 작성방법
모듈Iii. 보고서 작성방법Woongseok Yun
 
홍순성, 검색기반의 에버노트 분류법
홍순성, 검색기반의 에버노트 분류법홍순성, 검색기반의 에버노트 분류법
홍순성, 검색기반의 에버노트 분류법@hongss
 
Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석mangonamu
 
전략및전략이행모니터링
전략및전략이행모니터링전략및전략이행모니터링
전략및전략이행모니터링Woongseok Yun
 
Google Hacking
Google HackingGoogle Hacking
Google HackingIlsun Choi
 

Viewers also liked (20)

망분리에도 디테일이 필요하다!
망분리에도 디테일이 필요하다!망분리에도 디테일이 필요하다!
망분리에도 디테일이 필요하다!
 
[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17[Nsb] kisa 세미나자료 2016_11_17
[Nsb] kisa 세미나자료 2016_11_17
 
통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 Webcash통합 프레임워크 기반의 모바일 솔루션 Webcash
통합 프레임워크 기반의 모바일 솔루션 Webcash
 
배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일배포 아키텍처_2011-09-16_엄준일
배포 아키텍처_2011-09-16_엄준일
 
Understanding open api service 엄준일
Understanding open api service 엄준일Understanding open api service 엄준일
Understanding open api service 엄준일
 
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
2016 08-11 아산서원 나눔특강 - 빅데이터 분석을 통한 조혈모세포 기증에 대한 대중 인식과 실제
 
네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서네오문서도면관리솔루션소개서
네오문서도면관리솔루션소개서
 
20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)20150901 영상 보안감시 사업계획(안)
20150901 영상 보안감시 사업계획(안)
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
 
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
“비대면 인증으로 고객을 대면하라” 비대면 실명확인 구축방안과 사례 - 알서포트
 
2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안2015 내부정보유출방지 대책 및 방안
2015 내부정보유출방지 대책 및 방안
 
K-Wireless Router hacking
K-Wireless Router hackingK-Wireless Router hacking
K-Wireless Router hacking
 
4차산업혁명과 여론조사
4차산업혁명과 여론조사4차산업혁명과 여론조사
4차산업혁명과 여론조사
 
커뮤니케이션 Process mapping
커뮤니케이션 Process mapping커뮤니케이션 Process mapping
커뮤니케이션 Process mapping
 
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사
IT비즈니스맨, 테크라이터의 에버노트 활용법 - 다음 김지현 이사
 
모듈Iii. 보고서 작성방법
모듈Iii. 보고서 작성방법모듈Iii. 보고서 작성방법
모듈Iii. 보고서 작성방법
 
홍순성, 검색기반의 에버노트 분류법
홍순성, 검색기반의 에버노트 분류법홍순성, 검색기반의 에버노트 분류법
홍순성, 검색기반의 에버노트 분류법
 
Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석Warning.or.kr 취약점 분석
Warning.or.kr 취약점 분석
 
전략및전략이행모니터링
전략및전략이행모니터링전략및전략이행모니터링
전략및전략이행모니터링
 
Google Hacking
Google HackingGoogle Hacking
Google Hacking
 

Similar to (Action Plan Repor) Accomplish 1st Stage of Network Separation

통합유출방지 온라인 Gnet
통합유출방지 온라인 Gnet통합유출방지 온라인 Gnet
통합유출방지 온라인 Gnet시온시큐리티
 
포티넷 차세대 utm
포티넷 차세대 utm 포티넷 차세대 utm
포티넷 차세대 utm Yong-uk Choe
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티시온시큐리티
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온시온시큐리티
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온시온시큐리티
 
2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용 2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용 시온시큐리티
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z시온시큐리티
 
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차우진 신
 
Cloud security & apani
Cloud security & apaniCloud security & apani
Cloud security & apaniJaeWoo Wie
 
[이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) [이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) 시온시큐리티
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 시온시큐리티
 
DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리 DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리 시온시큐리티
 
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/Cloud
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/CloudNETSCOUT nGeniusPULSE for Client/Branch/SaaS/Cloud
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/CloudJay Hong
 
내부 유출방지 시스템 고도화 사업수행계획서
내부 유출방지 시스템 고도화 사업수행계획서내부 유출방지 시스템 고도화 사업수행계획서
내부 유출방지 시스템 고도화 사업수행계획서시온시큐리티
 
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3Ji-Woong Choi
 
It아웃소싱 최종본(0104)
It아웃소싱 최종본(0104)It아웃소싱 최종본(0104)
It아웃소싱 최종본(0104)sam Cyberspace
 

Similar to (Action Plan Repor) Accomplish 1st Stage of Network Separation (20)

통합유출방지 온라인 Gnet
통합유출방지 온라인 Gnet통합유출방지 온라인 Gnet
통합유출방지 온라인 Gnet
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
 
포티넷 차세대 utm
포티넷 차세대 utm 포티넷 차세대 utm
포티넷 차세대 utm
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
 
2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용 2017 오피스키퍼 제안서 중소기업용
2017 오피스키퍼 제안서 중소기업용
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
 
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차
사물인터넷을 활용한 디지털 도어락 DDiT 비교논문 발표자료 1차
 
Cloud security & apani
Cloud security & apaniCloud security & apani
Cloud security & apani
 
[이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화) [이노티움] 제안서_이노ECM(문서중앙화)
[이노티움] 제안서_이노ECM(문서중앙화)
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 
DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리 DLP 정보유출방지솔루션 ESM 보안관리
DLP 정보유출방지솔루션 ESM 보안관리
 
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/Cloud
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/CloudNETSCOUT nGeniusPULSE for Client/Branch/SaaS/Cloud
NETSCOUT nGeniusPULSE for Client/Branch/SaaS/Cloud
 
웹필터 시온
웹필터 시온웹필터 시온
웹필터 시온
 
2014 pc방화벽 시온
2014 pc방화벽 시온2014 pc방화벽 시온
2014 pc방화벽 시온
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
 
내부 유출방지 시스템 고도화 사업수행계획서
내부 유출방지 시스템 고도화 사업수행계획서내부 유출방지 시스템 고도화 사업수행계획서
내부 유출방지 시스템 고도화 사업수행계획서
 
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
[오픈소스컨설팅]유닉스의 리눅스 마이그레이션 전략_v3
 
It아웃소싱 최종본(0104)
It아웃소싱 최종본(0104)It아웃소싱 최종본(0104)
It아웃소싱 최종본(0104)
 

(Action Plan Repor) Accomplish 1st Stage of Network Separation

  • 1. 2014.8. 28 OOOO팀 업무 망/인터넷 망 분리 1차 사업 추진 전사 보안 강화를 위한 [방안 보고서]
  • 2. 약 1개월 간의 망 분리 태스크 포스 활동을 통해 수립한 방안을 아래에 요약함 EXECUTIVE SUMMARY 당사 망 분리는 사용자 직군 별로 단계적으로 적용하며 ‘전산 센터 / IT 본부’만의 물리적 망 분리를 1차 추진 각 사 망 분리 안으로 선 검토하고 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 향후 의사 결정 쉐어드 서비스의 메일 서비스 (IT 본부 임직원 계정) 만을 인터넷 망에 분리 구성 스팸 서버의 사용자 라우팅 기능으로 외부 메일을 신규 인터넷 망 메일 서버로 포워딩 PC 보안 솔루션 전개는 최소화함 사업 수행 비용 : 약 O.O억 ADSL 회선을 사용하는 유휴 PC를 인터넷 전용 PC로 배포 본 방안 보고 이후 그룹 각 사와 협의 개시
  • 3. 공개망을 통한 지속적인 금융권 침해 사고가 발생함에 따른 금융 감독 법 규제 준수의 일환으로 업무 망과 인터넷 망 분리를 실현하여 사이버 보안 위협 및 정보 유출 위험성을 억제함 추진 배경 및 관련 법 규제 금융권 망 분리 관련 법 규제 금융 전산 보안 강화 종합 대책 (2013.07) 금융 전산망 분리 가이드 라인 (2013.09) “전자 금융 기반 시설 보안 강화 - 망 분리 의무화” “전산 센터 – 물리적 망분리, 본점/영업점 – 단계적 추진” “망분리 적용시의 PC 보안, 메일, PMS※1) , NAC, 망간 자료 전송, 매체 제어, 프린터 등 주변 기기 운영 등의 가이드 라인 제시” 2013. 2 개인 정보 처리시스템과 인터넷 망을 분리조치 2013. 3 2013. 7 2013. 9 2013. 11 정보통신망법 전면 시행 3.20 사이버 테러 발생 금융 전산 보안강화 종합 대책 발표 금융 전산 망분리 가이드 라인 배포 전자 금융 감독 규정 개정 APT ※2) 공격으로 금융사및 고객 피해 발생 금융 기관 보안강화 및 보안 조직 ·인력 역량 강화 등 전산 센터 (2014년12월까지) 본점 영업점 (2016년말까지) 금융 전산 망분리의무화 금융권 보안 관련 주요 이벤트 ※ 1) PMS : Patch Management System, 패치 관리 시스템 ※ 2) APT : Advanced Persistent Threat, 지능형 지속적 위협
  • 4. 관련 법규에 의거하여 전산 센터/IT 본부의 물리적 망분리 구현 방안 및 아키텍처에 대해 금감원 사전 심의를 통과하고 2014년 12월까지 구현을 완료한 후 전사적 확대 적용을 대비 방안 수립 Agenda 및 사업 수행 범위 방안 수립 Agenda 방안 초안 작성 업체 기술 설명회 7/22 7/23 7/25 8/28 CIO 사업 방향성 보고 CIO 최종 보고 OOOO팀 IT 기획팀 OOOO팀 OOOO팀 7/24 8/29 금감원 사전 심의 OOOO팀 DC / IT본부 OOO 명 2대 PC 이용 내근직 O,OOO 명 2대 PC / 가상화 FC 및 기타 OO,OOO 명 2대 PC / 가상화 방안 리뷰 관계팀 사업 수행 범위 2014.12 2015.12 물리적 망분리 논리적 망분리 약 약 약 ! 전산센터의망분리에있어서 향후사업확장성을충분히고려한 아키텍처설계필요 8/21 CIO 중간 보고 OOOO팀 2016.12 망 분리 태스크 포스 활동
  • 5. 기초조사 현황분석및기초전략수립 전개기술검토 마스터플랜수립 방안 수립 프로세스 태스크 포스 활동을 통해 다음 4단계 프로세스를 수행하여 당사 (그룹사) 최적의 망 분리 전략 수립 당사 망 분리 구현 요건 정리 기초 아키텍처 도출 쉐어드 서비스 분리 방안 도출 업무 분리 방안 도출 최종 아키텍처 설계 전개 전략 및 확장 방안 수립 보안 솔루션 전개 방안 도출 1 동종 업계 사례 분석 관련 법규 및 규정 해석 기반 기술 이해 비용 최적화 2 3 4
  • 6. 망 분리 정의 목적 해킹 통로로서의 PC의 위험성을 최소화하여 업무 망 방어 적용 관점 서버 관점의 분리가 아니며 PC 사용자 관점에서의 분리 외부 이메일 송∙수신을 위한 메일 서버는 업무 망과 분리 망 분리 1차 (전산 센터 물리적 망 분리) 목표 전산 센터 직원/IT직원의 단말 환경을 업무용 PC와 인터넷 PC로 분리 망 분리 2차/3차(본점/영업점,내근직/영업가족)목표 해당 직원의 단말 환경을 업무 PC와 인터넷 PC로 분리 금융보안연구원과의 질의 응답 과정을 통해 아래와 같은 망 분리에 대한 기본적인 목적과 방향성을 이해하고 금융 전산 망 분리 가이드라인의 해석을 수행함
  • 7. 3종 4개의 대표적인 망 분리 구현 방식 중에서 전산 센터의 물리적 망 분리는 금융 전산 보안 강화 종합 대책(`13.07)에 따른 의무 사항이며, 전산 센터 망 분리 이후의 망 분리 확장 방안은 자율 선택 핵심 기술 검토 > 망 분리 방식 망분리 구분 당사 적용 대상 구현 방식 장점 단점 물리적 망분리 IT 본부 데이터센터 • 2대 PC 이용 망분리 • 타 방식 대비, 영역 간 연결 접점이 없어 보안 우수 • 별도 네트워크 구축, PC 등 추가 장비 비용 소요 내근직 FC 서버 기반 논리적 망분리 • 가상화 서버 기반 망분리 • 가장 저렴한 구축 비용 • 가상화 서버 환경에 대한 사용자 통제 및 관리 정 책 일괄 적용 가능 • 가상화 서버 구축 비용 발생 • PC와 가상화 서버 간 네트워크 트래픽 증가 • 가상화 서버 환경에서 실행되는 보안 프로그램 등 에 대한 추가적인 호환성 검토 필요 • 터미널 서버 기반 인터넷망 분리 • 터미널 서버의 보안 설정으로 통합 관리 가능 • 터미널 서버 구축 비용 발생 • PC와 터미널 서버 간 네트워크 트래픽 증가 • 터미널 서버(단일 운영 체제)에 대한 취약점 및 악성 코드 감염 대책 필요 PC 기반 논리적 망분리 • 가상화 PC기반 인터넷망 분리 • 가상화 영역에 대한 사용자 통제 및 관리 정책 일괄 적용 가능 • 기존 업무용 단말기 활용에 따른 낮은 도입 비용 • 가상화 영역에서 실행되는 보안 프로그램 등에 대한 추가적인 호환성 검토 필요 • 논리적 네트워크 분리를 위한 장비 필요 망분리 방식 별 기능 설명 예 : VDI 예 : MS 터미널 서비스 예 : Ezis-V 채택가능성이높은구현방식
  • 8. 금융 전산 망 분리 기본 원칙 [1] > 금융 전산 망 분리 가이드 라인 (2013년 9월 공표) 망 분리 관련 필수 구현 항목 보안 관리 방안 구현 방식 망분리 구현요건정리 참조번호 전산 센터 물리적 망 분리 • 인터넷 PC는 업무망 접속이 차단되며 외부 이메일, 웹서버 등 인터넷 망 사용 가능 • 업무 PC는 외부 이메일, 웹서버 접속 등 인터넷 접속이 차단되며 업무 망에만 접근 가능 • 네트워크 전환 장치가 적용된 PC가 인터넷용 하드 디스크로 부팅되었을 때만 인터넷 망 접근, 외부 이메일 등 사용 가능 • 네트워크 전환 장치가 적용된 PC가 업무용 하드 디스크를 통해 부팅되었을 때만 업무 망에 접근 • 2대 PC 이용 망 분리 • 네트워크 전환 장치 이용 망 분리 ① PC 보안 관리 • 인터넷 PC에서는 업무와 관련된 정보의 생성/저장 원칙적으로 불가, 업무 특성에 따라 제한적 승인 관리 • 외부 이메일 및 웹 서버 접속 등은 인터넷 PC를 통해서만 수행 • 웹하드, 인터넷 메신저 등의 사용을 원칙적으로 금지, 업무 특성에 따라 제한적 승인 관리 • 업무와 무관한 인터넷 사이트 불가 • 인터넷 망과 업무 망에 접근하는 PC 분리 • 인터넷 PC와 업무 PC에 대한 보안 관리를 각각 수행 ② ③ 인터넷 메일 • 메일로 전파되는 악성 코드, 스팸 메일 등 차단을 위한 메일 서버에 보안 시스템 적용 • 내부 메일 서버 : 인터넷 PC에서 접속할 수 없도록 차단 • 그룹사, 지주사 등의 그룹 웨어와 연동된 업무 메일 : 악성 코드 탐지 등 보안을 강화한 경우에 한정하여 제한적으로 업무 PC에서 접속 • 서버 인터넷 망 구간에 구축 • 내부 메일 서버 별도 구축 / 운영 ④ ⑤
  • 9. 금융 전산 망 분리 기본 원칙 [2] > 금융 전산 망 분리 가이드 라인 (2013년 9월 공표) 망 분리 관련 필수 구현 항목 보안 관리 방안 구현 방식 망분리 구현요건정리 참조번호 PMS (패치관리시스템) • 관리자가 패치를 수동 다운로드하고 무결성 검증 및 악성 코드 감염 여부 확인 후 PMS에 적용 • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 패치 현황 관리 : 수시로 최신 패치 현황 파악, 패치 수행 이력에 대한 로그 기록을 1년 이상 보존 • PC 패치 삭제 : 사용자 PC에 설치된 패치 파일 삭제 시 관리자 승인 후 절차에 따라 삭제 • 인터넷 망과 업무 망 각각 설치 • 인터넷 연결 차단 ⑥NAC • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 접근제어 이력 관리 : 접근 제어 이력에 대한 로그 기록을 1년 이상 보존 • 인터넷 망과 업무 망 각각 설치 • 인가된 기기만 네트워크 접근을 허용 (IP와 MAC주소 관리) • 망분리 PC 간 네트워크 혼용 차단 • 무선랜 보안 - 와이브로, 무선랜 등 비인가 무선인터넷 연결 차단 보조 기억 장치 관리 • 관리 시스템에 인가된 관리자만 접속 : 용역 업체 등 외부 원격 접속 금지, 관리자 PC만 접속할 수 있도록 네트워크 접근 통제 • 보조 기억 장치 반출입 관리 : 업무 상 필요한 반출에 대해서만 승인 • 보조 기억 장치 사용 이력 관리 : 자료 전송 내역에 대한 로그 기록을 3년 이상 보존 • 인가된 보조 기억 장치(USB, CD, 이동식 하드 디스크 등)만 인터넷 PC와 업무용 PC에 사용 • 인터넷 망과 업무 망 각각에 보조 기억 장치 관리 서버 구축 /운영 망간 자료 전송 • 관리 시스템에 인가된 관리자만 접속 • 전송 통제 서버 간 통신은 TCP/IP가 아닌 암호화된 전용 프로토콜 사용 및 일방향성 유지 • 일반 USB를 서버에 등록 후 보안 USB처럼 사용하는 방식 금지 • 보안 USB 삽입 시 식별 및 인증 수행, 악성 코드 감염 여부 검사 (백신 설정) • 보안 USB 분실 시, 데이터 완전 삭제 또는 일정 기간 이후 삭제 등 보안조치 • 보안 USB 및 인터넷 PC와 업무 PC 간 자료 전송 내역 로그를 3년 이상 보존 • 인터넷 PC와 업무PC 간 자료 전송, 공개 서버와 업무 서버 간 실시간 업무 연계 • 보안 USB 활용 가능 ⑦ 프린터 등 주변 기기 운영 • 인가된 주변 기기만 사용 • 프린터 서버 접근 통제 적용 • 프린터 공유 시 접근 통제 : 공용 프린터에서 다른 연결 포트 사용, 프린터 서버 사용 접근 통제 • 인터넷 망과 업무 망 각각 설치 • 프린터 서버 등 추가 장비를 이용하여 보안성 강화 ⑧
  • 10. 당사 망 분리 구현 요건 정리 [1] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 대상 검토 내용 구현 방안 ∙ 인터넷VDI 상시 기동 VM 수 : 일 평균 OOvm/OOOvm (2014.7.현재) ∙ IT 본부 직원 OOO명의 PC 사용대수 : OOO대 (2014.7.현재)도입PC 수량 및 관리방안 IT 본부 전직원 PC 신규 도입 인터넷 실 사용자 부분 도입 ∙ IT 본부 직원 각각에게 유휴 PC를 인터넷망 용으로 배포 ∙ 인터넷PC에 문서 저작 도구(오피스)는 설치하지않으며 문서 뷰어만 설치 (망분리 가이드라인에서 인터넷 PC에서 의업무 관련 문서 작업 원칙적으로 금지) ③ ∙망전환시에재부팅이필요하여사용자불편이 예상되며배포된PC사양에따라구현불가능한 경우도있음 ∙ 관리요소가 증가하나 보안성 제일 우수 물리적 망 분리방식 네트워크 전환 장치 이용 2대PC 이용 금융위원회 「전자금융감독규정」 개정안의 15조(2013.11.)에 의거,전산 센터 망 분 리는 물리적 분리방안 이외 선택지 없음 ∙인터넷회선/ADSL 신규구축 ∙인터넷망전용PC 배포 ∙기존업무망PC로부터의인터넷 접근패킷에대한방화벽차단 .OOO사옥중심의IT 본부직원대상 ① 인터넷망 PC 유형 유휴 PC 미니 PC VDI (가상 데스크톱) ∙ 직원수에 맞춰 PC를 배포하기에는 공간협소하여 타당하나 비교적 고가임 ∙ 접속단말 비용 이외에 가상화서버 환경 구성 비용이 추가됨 ∙ 인터넷관련 업무만을 처리하기에 적합한저 사양 ② ∙ 법규상근거 없음 DMZ 방화벽 포트 정책 강화
  • 11. 당사 망 분리 구현 요건 정리 [2] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 구현 방안 검토 내용 방안 그룹사 쉐어드서비스 분리방안 망분리 인터넷 쉐어드 서비스 제공 ∙금융전산가이드라인(2013.9.) : 그룹사쉐어드서비스영역망분리명시 (1안) 그룹각사별도인터넷망구성 (2안) 그룹사공동인터넷망구성 ∙ 그룹사IT/보안 관계자 간 협의 후 구체적인방안 도출 ⑤ ∙ 그룹웨어,이메일,메신저, 모바일 서비스/ 인사,총무,재무 회계 시스템 조사 ∙금융전산가이드라인(2013.9.) : -인터넷메일의분리명시 -그룹사,지주사등의그룹웨어와연동된 업무메일은악성코드탐지등보안을 강화한경우에한하여제한적으로 업무PC로접속이용가능 ∙ 금융권사례 : 온라인서비스 시스템 이전 사례 없음 인터넷망 분리 대상업무 당사 DMZ 내 본업 업무 쉐어드 DMZ 내 협업 업무 ∙ 당사DMZ/쉐어드 DMZ 내의 온라인 서비스의이전에 대해서는 금융권 유사 사례를포함 종합 검토 후,2015년내추진 ∙ 모바일OOO원 현행 유지 : 신규인터넷 망에서 DRM 연계 불가 ∙ 쉐어드서비스의 그룹 웨어에서 이메일기능만을 인터넷 망에 추가 구성 ④ ∙ 본업업무 (온라인 서비스) 조사 ∙ 금융전산 가이드 라인 (2013.9.) : 성능이 중요시되는실시간 서비스는 추후 장기적으로안정성 확보 후 적용 검토
  • 12. 당사 망 분리 구현 요건 정리 [3] 앞 장의 금융 전산 망 분리 기본 원칙을 중심으로 당사의 망 분리 요건을 도출하고 이에 대한 구현 방안 후보들의 법규/사례/기술 자료를 조사 분석하여 현실적으로 가장 적합한 방안 선정 핵심 구현 요건 검토 구현 방안 검토 내용 방안 망분리관련 필수 보안솔루션 ∙ 기도입 솔루션으로 대체 가능 범위 확인 ∙ 시장내 주요 솔루션 레퍼런스 조사 ∙ 망분리를 통한 보안 효과와의 중복성 .최소 도입 요건 파악 ∙인터넷망신규도입: PMS,스팸차단/악성코드차단솔루션 ⑥ ∙ 업무망 확장 도입 :없음 인터넷 망 대상 솔루션 업무 망 대상 솔루션 ∙인터넷망 확장도입: 방화벽,개인정보탐지,NAC,백신 ∙업무 망 확장 도입: 없음 망간연계 방법 망간 파일 전송 온라인 스트리밍 (망간실시간서비스호출) ∙ 금융권사례 : 현대해상,푸르덴셜생명,미래에셋생명등 ∙ 자료전송 기능을 이용하여 업무 망과 인터넷망의 메일 시스템 연계 ∙ 금융권사례 : 사례부족 , 업계 내성능 및 기능 검증 중 ∙ 기능/성능검증 후 적용 여부 결정 ⑦ 인터넷망 프린터 및 스캐너 프린터/스캐너 설치 대수 ∙ 6개 팀에서 21 대의 프린터 사용 중 ∙ 3개 팀에서 5대의 스캐너 사용 중 ∙ 인터넷망용 프린터를 팀당 1대설치 ∙ 인터넷망용 스캐너는 불필요함 프린터서버사용 ∙ 사용중인 업무용 프린터 서버 없음 ∙ 불필요함 ⑧
  • 13. 방안 구분 방안 상세 보안성 운영성 비용 그룹 각 사 별도 인터넷 망 구성 • 그룹사 별 인터넷 망 분리 정책에 따라 각 사가 자체 인터넷 망 구성 • 각 사 인터넷 망에 인터넷 메일 시스템 각각 구성 • 각 그룹사 별 자체적인 망 분리 정책 구성이 용이함 • 각 그룹사 별 보안 로그 관리 및 사후 감사가 편리함 • 인터넷 망에서의 보안 사고를 개별 회사 수준에서 격리할 수 있음 • 각 사 전담 운영 조직 구성 필요 • 기존 쉐어드 서비스와의 연동 인터 페이스가 복잡함 • 추가적인 구성 변경 용이 • 그룹 관점에서 조망하면 회선/하드 웨어/소프트웨어에 있어 중복 투자 요소가 많음 당사 그룹사 그룹사 공동 인터넷 망 구성 • 그룹사를 위한 공통 인터넷 망 분리 수행 • 공통 인터넷 망에 그룹사 전체 외부 메일 시스템 구성 • 망 연계 솔루션 / 보안 솔루션 적용의 단일화 (그룹 인터넷 망 보안 표준 수립 혹은 당사 인터넷 망 보안 표준을 그룹사 수용) • 인터넷 망 쉐어드 서비스 형태 • 각 그룹사 고유의 보안 정책을 탄력적으로 적용하기 어려움 • 보안 로그 분리와 보존이 어려움 • 인터넷 망에서의 보안 사고가 그룹 사 전체에 영향을 미칠 수 있음 • 보안 사고에 대한 책임 소재가 모호함 • 위탁 운영사(당사)의 보안 운영 범위가 확대됨 • 자원 증설 및 과금 체계 복잡 • 기존 쉐어드 서비스와의 연동 인터 페이스가 2안 대비 비교적 간단함 • 규모의 경제를 실현하여 당사를 제 외한 각 그룹사의 투자 비용이 낮음 (쉐어드 서비스 사용자의 대다수가 당사 소속) 당사 그룹사 쉐어드 서비스 망 분리 방안 금융보안연구원 검토 의뢰 결과, 공동 인터넷 망 구성에 대한 컴플라이언스 이슈는 없을 것으로 판단하며 그룹사 고유의 보안 정책과 망 분리 방향성을 고려하여 장기적 분리 방안을 결정함 ※ 그룹사 중복투자분
  • 14. 메일 시스템 분리 방안 > 세부 요건 요건 구분 요건 내용 고려 사항 이메일접속 경로제한 • 내부메일은인터넷망에서직접 접속불가 • 외부메일은업무망에서직접 접속불가 • 망 분리가이드라인상의필수 구현사항 이메일연계 • 내부메일에서외부메일서버로메일발송가능 • 내부메일서버에서외부메일 서버로직접연결 (SMTP) • 내부메일에서인터넷메일로전달후 인터넷메일이 발송 (SMTP Relay) 이메일계정 • 가급적기존 사용이메일계정 (이메일주소)를 유지 • 신규이메일계정사용시에는전 임직원이메일 신청후 신규 명함제작의뢰 필요 • 사용자라우팅기능 이메일서비스제공형태 • 내부메일은 쉐어드서비스영역에서 사용 • 외부메일시스템은쉐어드서비스영역혹은각 사 인터넷망에구축 • 쉐어드서비스영역내부메일 : 각 사별로내부 메일또는인터넷 메일별도구축을원할경우고려 필요 이메일사용자규모 • 전사내부메일 사용자(내근직.IT 사용자포함): 3,783명 • 인터넷메일 사용자: 30,000명 기준 • 당사FC은내부메일사용대상에서제외 망 분리 핵심 업무 시스템인 메일 시스템의 분리 구성에 있어서 보안 요건 만족/변화 요소 최소화/사용자 편의성 최대화/구현 용이성을 중심으로 요건 정리
  • 15. 메일 시스템 분리 방안 > 분리 방안 후보 방안 분리 설치망 구현 내용 개괄 고려 사항 장점 단점 구축 기 간 및 비용 (1안) 인터넷메일시스템 신규구축 (IT 직원) 당사망 • 기존메일서비스는그대로유지하고IT본부사용 자용인터넷메일을추가구축함 • 쉐어드DMZ 스팸서버의사용자라우팅 구성으 로외부메일중IT 본부사용자계정으로오는메일 을신규구성한인터넷망메일서버로포워딩 • 스팸서버용량(IT 본부계정만을 포워딩하는것이기본기능이나전 체사용자계정에대한조건분기가 불가피) • 스팸서버의사용자라우팅기능 • 인터넷메일서버의Address Redirect 기능구현 • 2014년12월내구축가능 • 도메인변경없음 • 메일분기포워딩기능구축필요 • 투자비용중복이경미하게발생 • 기간:단기 • 비용:소 (2안) 인터넷메일시스템 신규구축 (IT 직원) 쉐어드 서비스 DMZ • 상기1안과동일하며인터넷망및인터넷메일 시스템구축위치만이다름 (쉐어드서비스DMZ의신규Zone) • 상기1안과동일 • 금감원심사및감사통과여부가 불투명 • 상기1안과동일 • 신규망구성요건이간소화됨 • 방화벽비용이차감됨 • 상기1안과동일 • 기간:단기 • 비용:소 (3안) 인터넷메일시스템 신규구축 (IT 직원,새도메인) 당사망 • 기존메일서비스는그대로유지하고IT본부사용 자용인터넷메일을추가구축함 • 인터넷메일도메인을신규구성 • 스팸서버용량(IT 본부계정만을 포워딩하는것이기본기능이나전 체사용자계정에대한조건분기가 불가피) • 스팸서버의사용자라우팅기능 • 2014년12월내구축가능 • 메일분기포워딩기능구축필요 • 외부고객/외부사용자혼선야기 • 전사메일분리이후원복필요 • 투자비용중복이경미하게발생 • 기간:단기 • 비용:소 (4안) 인터넷메일시스템 신규구축 (전체사용자) 당사망 • 사용중인쉐어드서비스메일시스템을사내업무 메일로제한하고,인터넷망에신규로인터넷메일 시스템을구축함 • 인터넷메일은MS익스체인지 기반 • 스팸메일서버로사용중인메일에 서외부발송차단 • (3안)대비중복투자비용발생 이없으며,단1회만시스템구축 • (5안)대비낮은투자 비용 • 2014년도내구축이어려움 • 기간:중기 • 비용:중 (5안) 내부메일신규구축 (전체사용자) 당사망 • 사용중인쉐어드서비스메일시스템을인터넷망 으로이관하고임직원전용내부메일시스템구축 • 내부메일은 MS 익스체인지기반 • 기존메일을인터넷메일로이전할 경우기존메일에서제공하던각종 기능을계속사용하기위해서는재 개발/변경이필요(조직도연계,명함 표시등) • 내부메일솔루션검토필요 • (4안)대비장점이없음 • 추가인프라구성비용,개발공수 등고려사항많음 • 기존메일에대한인터넷메일 시스템분리,내부메일시스템신 규구축의2개작업동시수행 • 2014년도내구축불가 • 기간:중기 • 비용:고 채택가능성이높은방안 <구축 기간 범례 > 단기 : 6개월 미만 중기 : 6개월 이상 1년 미만 장기 : 1년 이상 쉐어드서비스네트워크아키텍처(TO-BE 1안)장표참고 쉐어드서비스네트워크아키텍처(TO-BE 2안)장표참고
  • 16. 보안 솔루션 전개 방안 보안 솔루션 인터넷 망 업무 망 기 도입 솔루션 명 비고 도입 도입 적용하지 않음 (1차) 신규 도입 기 도입 PMS (패치관리) ○ ○ Microsoft WSUS 윈도우보안업데이트에해당, 추가기능은IT기획팀과검토 보조기억장치관리 ○ 망연계솔루션으로대체 스팸차단 ○ ○ Terrace Mail Watcher User Routing이가능한제품으로교체필요 악성코드차단 ○ ○ Symantec Endpoint Protection 망연계 ○ ○ 커스터마이징필요 방화벽 ○ ○ Juniper / Secure-i 유해사이트차단 ○ ○ 소만사 WebKeeper UTM 기본기능으로최소요건만족 침입 방지(IPS) ○ ○ 윈스테크넷 IPS UTM 기본기능으로최소요건만족 데이터유출방지(DLP) ○ ○ Symantec DLP 인터넷PC에서정보생성불가 개인정보검출 ○ ○ 인정보 PrivacyFinder 휘발성파일내의개인정보탐지 메일수발신이력관리 ○ ○ 소만사 Mail-i 출력통제 ○ ○ Wowsoft PrintChaser 인터넷PC에서정보생성불가 네트워크접근통제 ○ ○ Genian NAC 3.5 인터넷망에확장도입할 솔루션은Genian NAC 4.0 백신 ○ ○ Symantec Endpoint Protection Cross 점검용으로신규솔루션도입검토 전개 대상 보안 솔루션 일람 아래 14개 보안 솔루션 전체 적용을 원칙으로 하되 최종 확정된 네트워크 아키텍처에 맞춰 망 분리 가이드라인 요건을 만족하는 수준에서 솔루션 전개 범위를 최소화하여 비용 효율성 제고
  • 17. OO 전산 센터의 OO 2G 회선을 통해 인터넷이 연결되어 있으며 OO 사옥/지점/영업소/LAN-TO- LAN 대리점의 ADSL 회선과 연계되고 OOO 사용자의 인터넷 사용 또한 이 회선을 사용함 당사 전체 시스템 및 네트워크 구성도 개괄 (AS-IS) 백본 스위치 C6509 OO 인터 넷 1G OOO 층간 스위치 콜센터 IP Phone MAIL DNS WEB SALES DMZ 그룹 쉐어드 VPN 게이트웨이 전국 부점소 VPN 기간계 시스템 BB BB 로드밸런싱 서버 팜 BB VDI BB Call Center C3845 BB 서버 팜 BB C7604 OO전산센터 OOO사옥 ① ② ③ ④ ⑥ ⑦ ※OOO근무자인터넷사용패킷루트 ①→②→③→④→⑤→⑥→⑦ 백본 스위치 L4 스위치 VPN 게이트웨이 보이스 라우터 라우터 L3 스위치 방화벽 범례 1G ⑤
  • 18. 쉐어드 서비스 네트워크 구성도 (AS-IS) 쉐어드서비스 서버 팜 인터넷 쉐어드라우터 쉐어드 VPN 쉐어드 대외연동 스위치 연동방화벽 쉐어드외부방화벽 쉐어드백본 쉐어드L4 쉐어드SLB 쉐어드 DMZ L4 쉐어드 DMZ L3 포탈 인사 재무회계그룹웨어 스팸 차단외부 웹 서버 쉐어드서비스 DMZ 전산센터내 각 사 LOCAL 회선 OOO자산OO OOOOO서비스 OOOOO서비스 모바일 OOO 금융지주 OOO OO OOO OOOO OOO OOO 업무 PC 업무 PC
  • 19. 망 분리 네트워크 아키텍처 (TO-BE) OO 인터 넷 백본 WEB DNS etc SALES DMZ그룹쉐어드/ 쉐어드DMZ C7604 OO전산센터 OOO사옥 OOO 업무용 PC 층간 스위치 콜센터 IP Phone 인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고, 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함 보안 시스템 (인터넷망) 스팸·악성 코드 차단 PMS NAC 백신 인터넷메일 DMZ 공유 스토리지 백본 스위치 C6509 BB ※ ※ OOO업무용PC의인터넷사용을 방화벽정책으로차단 보안 시스템 (업무망) 스팸·악성 코드 차단 기타PC 보안 PMS NAC 백신 BB 망간자료전송 망 분 리 업무망 인터넷망 BB ④⑥ ⑦ ※ ①②③과같은원문자항목의상세는 망 분리구현요건 정리장에기재함 ② 신규도입 영역 IT 외부 메일 릴레이 IT 외부메일용 PMS ④ ⑤ ⑥ OOO 인터넷 PC ② ③ ⑧ ADSL ISP 인터넷 ① 신규 인터넷 망 망간자료전송 전용선⑦
  • 20. 망 분리 네트워크 아키텍처 (TO-BE) OO 인터 넷 백본 WEB DNS etc SALES DMZ그룹쉐어드/ 쉐어드DMZ C7604 OO OO IDC 사옥 OOO 업무용 PC 층간 스위치 콜센터 IP Phone 인터넷 접속이 차단된 업무 망과 인터넷 망 사이의 자료 전달을 위해 망간 자료 전송 시스템을 도입하고, 기타 망 분리 관련 보안 솔루션을 두 네트워크 영역에 각각 설치 운영함 보안 시스템 (인터넷망) 스팸·악성 코드 차단 PMS 인터넷메일 DMZ 공유 스토리지 백본 스위치 C6509 BB ※ ※ 업무용PC의인터넷사용을 방화벽정책으로차단 보안 시스템 (업무망) 스팸·악성 코드 차단 기타PC 보안 PMS NAC 백신 BB 망간자료전송 망 분 리 업무망 인터넷망 BB 신규도입 영역 IT 외부메일 차단/포워딩 IT 외부메일용 PMS 사옥 인터넷 PC ADSL ISP 인터넷 신규 인터넷 망 망간자료전송 전용선 스팸·악성 코드 차단 이메일 ㄱ,룹웨어 OO 전산 센터 OP 백본 스위치 L4 스위치 VPN 게이트웨이 보이스 라우터 라우터 L3 스위치 방화벽 범례 NAC 백신
  • 21. 쉐어드 서비스 네트워크 아키텍처 (TO-BE 1안) 신규로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
  • 22. 쉐어드 서비스 네트워크 아키텍처 (TO-BE 2안) 쉐어드 DMZ 내 신규 ZONE으로 구성한 인터넷 망에 인터넷 메일 서버를 설치하고 스팸 차단 솔루션의 사용자 라우팅 기능을 이용하여 외부 메일을 인터넷 메일 서버로 포워딩
  • 23. 사용자 액세스 다이어그램 > 2014년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) 업무망전용PC인터넷망전용PC IT본부직원 (약OOO명) 내근직원 (약O,OOO명) 일반PC FC (약OO,OOO명) 망연계솔루션 인터넷 (외부) 이메일 (외부|내부) 이메일 물리적망분리 그룹쉐어드서비스 그룹사직원 ① 2014년 12월까지의 구축 범위 ② IT 본부 직원은 인터넷 망 전용 PC에서만 웹 서핑과 외부 메일 발송 가능 ③ 업무 망 PC에서 웹 서핑과 외부 메일 직접 전송 불가 ④ 필요에 따라 업무 망 PC에서 망 연계 솔루션 을 경유하여 외부 메일 발송 가능 ⑤ IT 본부 직원 망 분리에 의한 영향 요소 없음 ⑥ 그룹사 쉐어드 서비스 사용자는 IT 본부 직원 망 분리에 의한 영향 요소 없음 ⑦ 쉐어드 DMZ에 있는 스팸 서버의 사용자 라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩 ③ ① ② ④ ⑤ 다이어그램설명 ⑥ 사용자 라우팅 ⑦
  • 24. 사용자 액세스 다이어그램 > 2014년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) 업무망전용PC인터넷망전용PC IT본부직원 (약OOO명) 망연계솔루션 인터넷 (외부) 이메일 (내부) 이메일 물리적망분리 ① IT 본부 직원은 인터넷 망 전용 PC에서만 웹 서핑과 외부 메일 발송 가능 ② 업무 망 PC에서 웹 서핑과 외부 메일 직접 전송 불가 ③ 필요에 따라 업무 망 PC에서 망 연계 솔루션 을 경유하여 외부 메일 발송 가능 ④ 쉐어드 DMZ에 있는 스팸 서버의 사용자 라우팅 기능에 의해 IT 본부 직원 수신 외부 메일 만을 인터넷 메일 서버로 포워딩 ① ② ③ 다이어그램설명 사용자 라우팅 ④
  • 25. 내근직원 (약3,783명) FC (약30,000명) 사용자 액세스 다이어그램 > 2015~2016년 내 구성 대상 범위 인터넷 망 (외부 망) 업무 망 (내부 망) IT본부직원 (약OOO명) (외부) 이메일 (내부) 이메일 업무망전용PC인터넷망전용PC 물리적망분리 인터넷 그룹쉐어드서비스 그룹사직원 가상PC를탑재한일반PC (PC 2대방식과혼합구성가능) ① 2015년 내 구축 범위 ② 2016년 내 구축 범위 ③ 각 사의 망 분리 방안에 따라 변경됨 ※ FC은 내부 메일을 사용할 수 없으며 외부 메 일 만을 사용 향후, 내근직원/FC들의 이메일 사용 현황을 조사하여 인터넷 메일 분리 운영 방안을 구체화할 계획임 다이어그램설명 ① ② ③ ※ 망연계솔루션
  • 26. 망 분리 방안 수립 세부 태스크 및 일정 수행 태스크 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 아키텍처설계 인터넷메일시스템아키텍처설계 물리적망분리네트워크아키텍처설계 도입대상보안솔루션선정 보안솔루션전개방안설계 사업수행비용분석 망분리PC 도입비용산정 보안관련H/W 용량산정(신규,확장) 보안관련H/W, S/W 도입비용산정(신규,확장) 인터넷메일H/W 용량산정(신규,확장) 인터넷메일H/W, S/W 도입비용산정(신규,확장) OO 인터넷회선대역폭감소량추정및절감비용산정 신규인터넷회선대역용량산정 인터넷망OOO-DC 신규회선포설및N/W 장비도입비용산정 신규장비설치상면확인및비용산정 사업확장방향및최적전략수립 방안개선 금감원심사제출준비 금감원심사제출 현재까지의 망 분리 방안 수립과 관련한 주요 잔여 태스크(아키텍처 설계/사업 수행 비용 분석/사업 확장 전략 수립)를 완료하고 8월 29일까지 금융감독원 심사 자료를 제출할 계획 완료 완료
  • 27. 사업 수행 비용 구분 유형 항목 상세 수량 단가 비용 비고 인터넷 망 PC 하드웨어 PC 257 - - 유휴장비활용 하드웨어 LCD 257 - - 유휴장비활용 하드웨어 모니터 전환 (KVM) 스위치 미정 35,000 1인2모니터사용자대상모니터전환스위치제공 인건비 랜 케이블 포설 257 - - 별도로월간인터넷사용료(OOO,OOO) 발생 소계 0 망 연계 어플라이언스 망간 자료 전송 솔루션 1 130,000,000 130,000,000 장비및전송승인프로세스커스터마이징비용포함 소계 130,000,000 네트워크 하드웨어 스위치 3 - - 유휴장비활용 회선 ADSL 회선 1 1,760,000 1,760,000 월간사용료(O,OOO,.OOO)발생 소계 1,760,000 메일 서버 하드웨어 서버 4 20,625,000 82,500,000 소프트웨어 운영 체제 4 1,100,000 4,400,000 소프트웨어 메일 엔진 1 7,150,000 7,150,000 메일엔진이자체제공하는사용자인터페이스 (예:MS Exchange OWA)사용 소프트웨어 백업 소프트웨어 4 3,300,000 13,200,000 소계 107,250,000 보안 솔루션 구축 하드웨어 서버 2 20,625,000 41,250,000 하드웨어 방화벽 1 30,800,000 (30,800,000) 인터넷망을쉐어드DMZ내에구축하면차감됨 어플라이언스 스팸/악성 코드 차단 2 52,800,000 105,600,000 어플라이언스 메일 수발신 이력 관리 1 29,700,000 29,700,000 어플라이언스 네트워크 접근 통제 1 - - NAC DB 이중화에의한유휴장비활용 소프트웨어 운영 체제 2 1,100,000 2,200,000 소프트웨어 개인 정보 탐지 1 20,000,000 22,000,000 소프트웨어 PMS (패치 관리) 1 5,216,200 5,216,200 소프트웨어 백신 1 5,610,000 5,610,000 소계 240,376,200 합계 (VAT 포함) 479,386,200 쉐어드DMZ내에인터넷망구축시: OOO,OOO,OOO (단위 : 원)
  • 28. 수행 과제 범위가 넓기에 다양한 수행 지원 조직의 적극적인 협조를 통해서만 사업을 성공적으로 수행할 수 있으며 사업 수행 방안 검토 단계에서부터 긴밀한 공조 체제를 구성할 계획 사업 수행 조직 구성도 OOO 팀장 PM OOO 차장 PL OOO 과장 보안 기획 OOO 상무 Steering OOO 차장 단말 OOO 차장 네트워크 OOO 차장 보안 운영 OOO 차장 서버 OOO 차장 Advisory (IT 기획) OOO 차장 Advisory (IT 기획) OOO 팀장 Advisory (IT 기획) OOO 팀장 Advisory (인프라 운영) 그룹웨어개발담당 개발 OOO 차장 인프라 운영 인터넷망연계서비스개발담당 개발 (외주) 사업 수행 인력 및 조직
  • 29. 사업 수행 일정 (안) 행정 측면에서 2개월/구축 2개월 총 4개월의 일정으로 사업을 추진하며 세부 태스크는 추후 정리 주요 수행 태스크 2014.9 2014.10 2014.11 2014.12 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 추진품의 제품선정 계약/발주 장비입고 환경구성 테스트 구성완료 주요 수행 태스크 스케쥴