워크스페이스를 이용한 망분리 환경 구축하기

국내 유명 IT 기업은 한국을 넘어 세계를 무대로 할 정도로 뛰어난 기술과 아이디어를 자랑합니다. 이들은 기업 블로그를 통해 이러한 정보를 공개하고 있습니다. 요즘IT는 각 기업의 특색 있고 유익한 콘텐츠를 소개하는 시리즈를 준비했습니다. 이들은 어떻게 사고하고, 어떤 방식으로 일하는 걸까요?

이번 글은 국내 화장품 시장의 정보 비대칭 문제를 해결하고 소비자 중심의 뷰티 시장을 만들어 가고 있는 ‘화해’ 정보보안팀의 이야기입니다. 워크스페이스를 이용한 망분리 진행 방식과 그 과정에서 겪은 시행착오들을 소개하고 있습니다.

안녕하세요. 화해 정보보안팀 최종원입니다.

화해 서비스가 성장하면서 개인정보보호법에 따라 화해는 개인정보의 기술적・관리적 보호조치를 위한 망분리 적용 대상이 되었습니다. 내부적으로도 ‘사용자의 개인정보를 더욱 안전한 환경에서 다루고 폐기까지 이루어져야 한다’라는 망분리의 필요성이 대두되었습니다. 또한 ISMS 인증 요건에도 포함되면서 망분리는 화해 서비스의 ISMS 인증 획득을 위해 꼭 필요한 과제이기도 했습니다.

이에 따라 저희는 망분리를 진행했습니다. 지난번 DevDay에서 망분리 진행 방식과 그 과정에서 겪은 시행착오들을 버디즈분들(화해팀 구성원)에게 공유했습니다. 발표 당시 많은 버디즈가 응원과 격려를 해주셨는데, 이번에는 발표 내용을 블로그를 통해 공유해보고자 합니다.

화해에 맞는 망분리 환경 찾기

처음으로 고민한 부분은 모든 서비스 기술 환경이 클라우드 기반으로 구축, 운영되고 있는 화해에서 접근통제와 관련된 보안 위험을 해소하기 위한 방법을 찾는 것이었습니다.

여러 가지 관련 문서들을 찾아보던 중 망분리 환경 구축 방식을 두 가지 정도 조사하여 비교했습니다. 이 중 재택근무 환경을 지원하기 위해서는 논리적 망분리가 효과적인 방식이라고 판단해 논리적 망분리를 선택했습니다.

논리적 망분리 방식으로 망분리를 진행할 때 사용할 수 있는 솔루션은 VMware, Citrix Xen, Microsoft Hyper-v 등 여러 개가 존재합니다. 하지만 저희는 AWS Workspace를 선택하여서 직접 구축을 진행해보기로 결정하였습니다.

망분리 목표 설정

Workspace를 이용하여 망분리를 진행하면서 몇 가지 목표를 정해놓았습니다.

1. VDI 환경을 구축하여 개인정보보호법 및 ISMS 인증 요건을 준수하는 업무 환경을 구축한다.

2. 재택/원격근무 환경에서도 망분리에 대한 법적 요건을 준수할 수 있는 환경을 제공한다.

3. VDI 환경을 공통으로 제공함으로써 각각의 애플리케이션에서 중복 구현할 기능을 대체한다.

• MFA 인증, 개인정보처리 화면에서의 마우스 우클릭 제한

4. 로컬 PC와 VDI 간 파일 연계 시스템(망연계 솔루션)을 구축하여, 파일 송수신 시스템을 운영한다.

AWS Workspace 구축

1. Active Directory 서버 구축

• Workspace에서는 Active Directory(이하 AD)를 사용하여 Workspace 및 사용자의 정보를 저장하고 관리하는 역할을 수행한다.
• AD Group Policy를 사용하여 Workspace를 관리한다.

AWS Directory Service에서 AD를 생성합니다.

AD 생성이 완료되면 AWS Workspace에 생성한 AD를 등록하여 Workspace를 생성하여 사용할 수 있습니다.

2. Radius 서버 구축

• Workspace 사용자 인증 시 MFA 인증을 적용하기 위해 Radius 서버를 구축한다.

Radius 서버를 구축하게 되면, 아래와 같은 흐름으로 MFA 인증이 적용됩니다.

• 1단계 & 2단계: Workspace 사용자는 Google Authenticator와 같은 인증 앱에서 OTP를 발급받습니다.
• 3단계: Workspace Client는 ID/PW와 OTP Code를 AWS Directory Service로 전송합니다.
• 4단계 & 5단계: AWS Directory Service는 3단계에서 전달받은 ID/PW를 Domain Controller에 전송하여 ID/PW를 검증하여 도메인 자격 증명을 진행합니다.
• 6단계: AWS Directory Service는 3단계에서 전달받은 OTP Code를 Radius 서버로 전송합니다.
• 7단계: Radius 서버는 OTP를 확인하고 일치하는 경우 성공으로 응답합니다.
• 8단계: AWS Directory Service에서 인증을 완료하고 사용자가 Workspace에 접속할 수 있습니다.

Radius 서버를 구축한 후에 AD 서버에서 Multi-factor authentication에 Radius를 등록합니다.

Multi-factor authentication 적용 및 활성화가 완료되면 Workspace 사용자 인증 시 MFA 입력 창에 MFA Code를 입력해야지만 사용자 인증이 가능합니다.

3. Clipboard redirection 정책

• Workspace에서 Local PC로의 Copy & Paste를 차단한다.

AD 서버를 구축하고 해당 AD 서버에 Workspace들이 Join한 상태이기에 Group Policy Object에서 Clipboard redirection 차단 정책을 적용할 수 있습니다.

화해는 Enabled client to agent only 정책을 사용하여서 Local PC에서 Workspace로 Copy & Paste를 허용하고 Workspace에서 Local PC로 Copy & Paste는 차단하였습니다.

4. Outbound 트래픽 통제 적용

• Workspace에서 망분리 및 제한된 개인정보처리 시스템에만 접근 가능하도록 설정한다.

Outbound 트래픽 통제가 가장 많은 시행착오를 겪은 사항인데 지금까지 시도한 방법들입니다.

4-1. IP 기반의 Security Group 통제

개인정보처리 시스템에 접근할 때 사용하는 모든 IP를 찾아서 Security Group(이하 SG)에 등록하고, 생성된 Workspace의 IP를 Network interface에서 찾아서 SG를 변경해주는 방식으로 적용했습니다.

하지만! LB, Cloudfront 등 IP Range 안에서 가변적으로 변하기 때문에 변경되는 순간 접근이 안 되는 단점이 발생했습니다.

4-2. Managed Prefix를 사용하는 SG

Managed Prefix는 각 리전에서 사용하는 Cloudfront, S3, DynamoDB의 IP Range를 제공해주는 IP 목록이고, 해당 목록을 SG에 사용할 수 있습니다.

4-1에서 말씀드린 IP 기반의 SG에서 문제가 되던 Cloudfront의 가변성에는 어느 정도 대처를 할 수 있습니다. 하지만 LB의 IP Range는 제공해주지 않기에 LB는 별도의 대책이 필요합니다.

4-3. Network Firewall을 이용한 통제

계속해서 IP 기반의 통제만 시도하다 도메인을 기반으로 통제할 수 있는 방법을 찾던 중 AWS Native Service인 Network Firewall을 적용했습니다. Domain list 기반의 정책을 적용할 수 있다는 장점 때문이었습니다.

Network Firewall을 사용하게 되면 아래와 같은 구성이 되는데요. Workspace와 NAT GW 사이에 Network Firewall Endpoint를 연결해 Workspace에서 외부로 나가는 패킷에 대하여 Network Firewall의 정책을 적용하여서 Outbound 트래픽 통제를 진행할 수 있습니다.

5. 망연계 시스템 구축

• 망분리 환경에서는 외부 인터넷 및 사내 공용 시스템을 사용해 임의로 개인정보 파일을 전송할 수 없도록 통제한다.
• 구축한 망연계 시스템을 이용하여 Workspace에서 Local PC로 파일을 전송한다.

5-1. S3 파일 게이트웨이를 이용한 망연계 파일 전송

1) AWS Storage Gateway 서비스에서 Amazon S3 File Gateway 생성

2) 파일 공유 설정 시 망연계에 사용할 S3 Bucket 연결

3) Workspace에서 파일 공유 서버를 마운트 하여 파일 업로드

이렇게 설정 후 파일을 업로드하면 연결된 S3 Bucket에 업로드됩니다.

파일 공유 설정 시 로그 설정을 하게 되면 Cloudwatch에 아래와 같은 형태로 로그가 남아서 추적 감사에도 용이하고 개인정보 파일의 흐름을 파악하는 데 사용할 수 있습니다.

5-2. S3 Client Tool을 이용한 망연계 파일 전송

S3 Client Tool을 사용하기 위해서는 사용자분들에게 IAM Access key를 제공해야 합니다. 해당 IAM Access key를 사용해서 Amazon S3에 접근할 때 주의사항은 망연계 파일 전송을 하기 위한 S3 Bucket에만 접근이 가능하게 IAM 정책 설정하는 일입니다.

아래와 같이 Access key가 발급된 IAM에 S3 접근 권한을 설정하였습니다.

정책 설정 이후 허용된 S3 이외에는 Access Deny가 됩니다. S3 Client Tool을 사용해도 파일 전송 시 로그가 남아서 추적 감사 및 개인정보 파일 흐름을 파악할 수 있습니다.

여기까지 접근통제와 관련된 보안 취약점 해결을 위해 진행했던 AWS Workspace를 이용한 망분리 과제 실행 내용을 간단히 정리해보았습니다.

망분리 환경 구축은 그동안 정보보안팀 내부에서 해결해야 할 큰 숙제였습니다. AWS Native Service인 Workspace를 활용하기로 결정하고 구축하는 과정에서 시행착오도 있었지만 그럴 때마다 정보보안팀에서 함께 논의해가면서 문제들을 하나씩 해결하다 보니 멋진 VDI 업무 환경을 완성할 수 있었습니다.

화해 정보보안팀은 보안 취약점에 대한 리스크 해소를 과거 전통적인 방식의 솔루션에 집착하지 않으려고 노력합니다. 이를 위해 정부에서 제시한 보안 관련 법적 준거성을 충족하기 위한 관계 법령의 재해석과 이에 부합하는 기술적 보안조치를 신규 기술들을 활용하여 해결하고 있습니다.

앞으로도 많은 취약점 조치를 개선해 나가면서 비슷한 기술 환경의 다른 회사들도 고민할 수 있는 과제들을 종종 소개하겠습니다. 마지막으로 화해 정보보안팀이 보안 취약점 조치 과제를 바라보는 문장으로 마무리 인사를 대신하겠습니다.

“보안 취약점 조치는 우리의 업무 과정을 불편하게 만드는 행위가 아니라 우리의 업무 환경을 보다 안전하고 자유롭게 만들어주는 과정이다.”

감사합니다.

<원문>

워크스페이스를 이용한 망분리 환경 구축하기

©️요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.