UPDATED. 2024-03-28 16:55 (목)
세대별 홈네트워크 물리적·논리적 분리방법 해설
세대별 홈네트워크 물리적·논리적 분리방법 해설
  • 박광하 기자
  • 승인 2022.12.23 17:59
  • 댓글 0
이 기사를 공유합니다

■KISA, '홈네트워크 보안가이드' 제정

전송데이터 탈취 방지 위해
다른 세대 접근제한 구현해야

생략된 분리 구현 신기술
검증 거쳐 추가 반영 가능
세대별 홈네트워크 구성 요건 개념도. [자료=KISA]
세대별 홈네트워크 구성 요건 개념도. [자료=KISA]

[정보통신신문=박광하기자]

공동주택 사이버보안 강화를 위해 세대별로 홈네트워크를 분리토록 하는 정부 고시를 세부적으로 설명하는 해설서가 마련됐다. 이 해설서에는 세대별 홈네트워크를 물리적·논리적으로 분리하는 방안이 다수 제시됐다.

한국인터넷진흥원(KISA)는 최근 이 같은 내용의 '홈네트워크 보안가이드'를 제정, 공개했다.

가이드는 과학기술정보통신부, 산업통상자원부, 국토교통부 3개 부처의 공동고시인 '지능형 홈네트워크 설비 설치 및 기술기준' 제14조의2(홈네트워크 보안) 제1항 및 제2항에 대해 세부사항을 설명하고 있다.

가이드의 '일반사항'에서는 △적용범위 △참고기준 △용어정의 등을 담았다.

'홈네트워크 설비'란 주택의 성능과 주거의 질 향상을 목적으로 세대 또는 주택단지 내 지능형 정보통신 및 가전기기 등의 상호 연계를 통해 통합된 주거서비스를 제공하는 설비로 홈네트워크망, 홈네트워크장비, 홈네트워크사용기기 등으로 구분한다.

'홈네트워크망'은 홈네트워크장비 및 홈네트워크사용기기를 연결하는 것을 말하며 단지망과 세대망으로 구분한다. '단지망'은 집중구내통신실에서 세대까지를 연결하는 망, '세대망'은 전유부분(각 세대내)을 연결하는 망이다.

'홈네트워크 구성'에서는 △물리적 분리 방법 △논리적 분리 방법 등을 설명했다.

세대별 홈네트워크 분리 요건에 따라, 각 세대와 단지서버 사이의 망은 전송되는 데이터의 노출, 탈취 등을 방지하기 위해 분리해 구성해야 하며, 각 세대망은 단지서버 외에 다른 세대의 내부로 접근할 수 없어야 한다. 이를 구현하기 위해 물리적 방법 또는 논리적 방법을 활용할 수 있다.

물리적 분리는 단지서버와 각 세대망 사이의 네트워크 구성을 물리적인 단일 네트워크로 연결해 구성하는 방법을 의미한다. 단지서버와 각 세대망을 연결하는 네트워크를 세대마다 독립적으로 구축해 단지서버에 연결돼야 하는 세대수만큼 개별 구축한다.

전용선 라우터를 이용한 물리적 분리의 경우, 단지서버로부터 각 세대망까지 성형배선 등의 방식으로 케이블을 연결해 물리적으로 회선을 분리해 구축하는 방법 등을 사용한다. 성형배선이란 세대단자함에서 각각의 직렬단자까지 직접 배선(방송 공동수신설비의 설치기준에 관한 고시 제2조 제14호)되는 방식이다. 이 때, 단지서버에서 각 세대로 통신을 위해 인입되는 물리적인 네트워크 케이블을 세대별로 각각 설치해야 한다. 또한, 전용선 라우터 등을 활용해 세대망을 단일회선으로 구성해 연결한다.

망분리 솔루션 이용한 물리적 분리는, 망분리 솔루션을 이용해 단지서버망과 개별 세대망을 각각 구성하고 개별 세대망과 서버망을

연계시켜 통신이 가능하게 하도록 구성한다. 세대에서는 단지서버로만 통신가능하며, 세대에서 다른 세대의 내부로의 접속은 불가능하게 구성한다. KISA는 망분리 솔루션은 국가정보원의 '정보보호시스템 및 네트워크 장비 국가용 보안요구사항'의 '구간보안 제품군' 중 '망간 자료전송제품 보안요구사항'을 참조하라고 덧붙였다.

논리적 분리 방법은 네트워크 회선을 타세대와 공동으로 이용하더라도 물리적으로 분리된 것과 유사하게 운영하는 방법을 의미한다. 논리적 분리를 구현할 수 있는 기술로는 가상사설통신망(VPN), 가상근거리통신망(VLAN), 가상라우팅·포워딩(VRF, Virtual Routing & Forwarding), 소프트웨어 정의 네트워크(SDN, Software Defined Network), 마이크로 세그멘테이션(Micro Segmentation) 등이 있는 것으로 알려져 있다.

다만, 가이드에는 VPN과 VLAN 정도가 언급됐다.

VPN을 이용한 논리적 분리는 VPN 게이트웨이와 VPN 클라이언트간 가상경로를 설정하는 채널(터널)을 만들고 이를 통해 송수신되는 데이터를 암호화하는 것이다. 이를 통해 각 세대망은 단지서버 외에 다른 세대의 내부로 접근할 수 없다. VPN의 구성은 IPSec VPN, SSL VPN, L2 VPN(Layer 2 VPN) 등의 방식으로 구현할 수 있다. 단지서버와 각 세대망 간에는 홈네트워크 서비스 및 운영을 위해 필요한 통신만 허용하고 세대에서 다른 세대의 내부로 접속이 불가능하도록 접근제어(IP 주소, Port 등)를 설정해 관리한다.

VLAN을 이용한 논리적 분리는 네트워크 스위치를 이용해 각 세대별로 개별 네트워크를 별도로 할당함으로써 개별 세대 네트워크망을 논리적으로 분리하는 기술로 각 세대망은 단지서버 외에 다른 세대의 내부로 접근할 수 없도록 하는 것이다. VLAN은 일반적인 VLAN(IEEE 802.1Q)과 VxLAN(Virual Extensible LAN) 등의 방식으로 구현할 수 있다. VLAN 기술을 이용할 경우, 네트워크 스위치(L2, L3 등)를 이용해 세대별로 VLAN을 구성한다. 구성 방식에는 포트 기반 구성, IP 주소 기반 구성, MAC 기반 구성 등을 할 수 있다. 단지서버와 각 세대망 간에는 홈네트워크 서비스 및 운영을 위해 필요한 통신만 허용하고 세대에서 다른 세대의 내부로 접속이 불가능하도록 접근제어(IP 주소, Port 등)를 설정해 관리한다. KISA는 네트워크 스위치 장비 교체 등의 이슈 발생 시 VLAN 구성을 유지하고 지속적으로 관리될 수 있도록 해야 한다고 설명했다. 또한, VLAN을 이용한 방법은 구간 내 암호화 기능을 포함하고 있지 않으므로 네트워크 스니핑으로 인한 피해를 예방하기 위해 통신 암호화 등의 추가 보안을 권고한다고 덧붙였다.

'홈네트워크장비 보안요구사항'에서는 △일반사항 △단지네트워크장비 보안 △홈게이트웨이 보안 △세대단말기 보안 △단지서버 보안 등을 해설했다.

홈네트워크장비는 보안성 확보를 위해 고시의 '별표 1'에 따른 보안요구사항을 충족해야 한다. 다만, '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제48조의6에 따른 정보보호인증을 받은 세대단말기는 '별표 1'에서 정한 △데이터 기밀성 △데이터 무결성 △인증 △접근통제 △전송데이터 보안 등 보안요구사항을 충족한 것으로 인정한다.

KISA는 홈네트워크망의 분리와 관련된 신기술 등은 고시 제14조의2 제1항의 만족 여부를 전문가 검증을 거쳐 가이드에 추가 반영할 수 있다고 전했다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-28
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트