망분리 개선 주제로 팟캐스트 녹화를 마치며

2024년 8월에 금융위원회에서 망분리 개선 로드맵을 공개했습니다. 감사하게도 팀원 씬커님이 이 주제를 보고 팟캐스트를 진행하고 싶다고 하셔서 오프라인으로 팟캐스트를 진행했습니다.

• 보도자료 링크: https://www.fsc.go.kr/no010101/82885?srchCtgry&curPage&srchKey&srchText&srchBeginDt&srchEndDt 

 

쉬지 않고 약 2시간동안 녹음을 진행했습니다. 큰 주제만 정하고 대본 없이 진행을 했는데 정신차리고 보니 2시간이 지났습니다. 2시간을 녹음했지만 사실 진행은 매끄럽지 않았습니다. 이번 기회로 게스트가 답변을 잘 할 수 있도록 질문을 정리하는게 얼마나 중요한지 느끼게 되었습니다.

 

2시간 분량을 한번에 업로드하면 청취자가 듣기가 어렵다고 생각했습니다. 그래서 2시간 분량을 총 7편으로 나눠서 업로드를 진행했습니다. 망분리가 어떻게 개선되는지에 대한 내용과 우리나라와 해외 망분리 차이점 그리고 제로트러스트에 대한 내용도 다뤘습니다.

• 무편집: https://youtu.be/oFbdkwrqEGQ
• 1편 - 망분리와 공공기관, 금융권 관련 법: https://youtu.be/HRNi88q_eVk
• 2편 - 개인정보보호법과 관련된 망분리: https://youtu.be/BSgiStX8oqw
• 3편 - 국내와 해외 망분리 차이: https://youtu.be/fmdbXGNsexk
• 4편 - 망분리는 어떻게 완화될까? https://youtu.be/hiXGDxY4LkE
• 5편 - 개인정보처리시스템 기준이 아니더라도 망분리하는 이유: https://youtu.be/j-Th2UscmII
• 6편 - 접근통제를 IP로만 해야할까?(with 제로트러스트): https://youtu.be/O_oDjhAcddM
• 7편 - 개발자가 알았으면 하는 망분리: https://youtu.be/6QrXsUPBGW4

 

팟캐스트를 마치면서 첫 번째 느낀 것은 보안 엔지니어의 역할은 매우 어렵다고 느꼈습니다.

기술적인 내용도 어렵지만 어떤 근거로 개발자 또는 엔지니어가 이 사항을 꼭 지켜야한다라는 것을 설득하는 과정이 어렵다고 느꼈습니다. 근거자료는 법 또는 지침이 되기 때문에 보안 법과 법에서 말하는 그 의미를 잘 이해해야 합니다. 예로 6편의 주제는 접근통제를 IP로만 해야하는지 아니라면 무슨 근거로 안지켜도 되는지, 그렇다면 IP로 접근통제안하면 다른 방법으로 어떻게 통제할 것인지 라는 것을 생각해야 합니다. 법에서 이야기하는 접근통제는 IP 등이라고 표시되어 있기 때문에 IP 또는 다른 수단으로 해도 된다는 이야기이고 대안이 되는 기술은 제로트러스트가 될 수 있습니다.

 

두번째 느낀 것은 데브옵스에서 보안은 0순위로 중요하다입니다. 4년차에서 데브옵스에서 중요하는 것은 돌아가게 만드는 것도 중요하지만 보안이 제일 중요하다고 느끼고 있습니다. 팟캐스트에서 언급한 것 중에 데브옵스 엔지니어가 지켜야하는 보안은 인증/인가가 잘되어 있는가, 접근통제가 필요한 시스템인가, 그리고 접근이력 또는 행위에 대한 로그를 남기는가 입니다. 서비스를 운영하거나 구축할 때 놓칠 수 있는 부분인데 앞으로 꼭 체크리스트로 생각해서 업무를 진행해야겠다는 좋은 인사이트를 얻었습니다.