공무원 재택근무? ㅋㅋ 어림도 없지 K-보안 아키텍쳐 맛 좀 볼래?

왜 사용자한테 보안을 신경쓰래? 정작 내부망 안쪽은 신경도 안쓰면서?

Jun Noh
#회고 #공공IT #망분리 #ZeroTrust

오늘 와이프가 첫 부분 재택근무를 하기로 했다.

오일 쇼크 여파로 공무원 사회에 부분 재택 지침이 내려왔고, 와이프 부서도 이번 주부터 시범 운영. 옆에서 보기에도 들떠 보였다. 출퇴근 시간도 절약, 점심도 같이 먹을 수 있고, 무엇보다 사무실 아저씨들의 관심으로도 해방이니까.

근데, 그 들뜸은 딱 30분만 갔다.

자리에 앉아서 시작하는 풍경이 이랬다.

  1. 재택근무 사이트 접속
  2. VPN 확장 프로그램 설치
  3. 보안 프로그램 두 개 추가 설치
  4. 망분리 통과 후 진입

여기까지는 그래, 공무원 시스템이니까 민감하지… 하고 옆에서 보고 있었다.

근데 글 작성 화면에서 갑자기 익스플로러로 강제 전환되더니, iframe이 떡칠된 폼이 나타났다.

당연히 잘 될 리가 없지.

결정타는 SSO 인증서 플러그인이 엣지 호환이 안 되어서 익스플로러로 다시 로그인해야 한다는 안내문이었다.

예???? 2026년인데요?

결국 와이프는 한참 끙끙대다가 옷 갈아입고 출근했다. (내가 도와주려고 했지만… devTool 이 켜져야 뭘 하던말던하지..)

2026년에. 강제 익스플로러 로그인을 보고.

옆에서 보면서 진심으로 미안한 마음이 들었다.

보안기사 공부할 때도 망분리니 perimeter니 하는 걸 한참 외웠는데,

막상 그게 사용자한테는 어떻게 보이는지를 옆에서 다시 본 셈이다.

근데 그때마다 들었던, 그리고 선배들도 다 한 번씩 했다는 의문이 다시 떠올랐다.

왜 매번 이 꼴인가.

오늘 글은 그 답을 한번 정리해보려 한다.

물론 내가 뭐라고, 직접 본 건 일부고, 보안기사 공부할 때 배운 내용과 나머지는 글 쓰면서 찾아본 거다.

결론부터 말하면, 이게 SI 업체가 게을러서 그런 게 아니라, 좀 더 들여다보면 구조 자체가 이렇게 굳도록 짜여 있는 것 같다.

1. 왜 안 뜯어고치고 계속 덧붙이기만 할까

답은 의외로 단순했다.

뜯어고치는 게 관계자 누구한테도 이득이 없기 때문이다.

하나씩 풀어보자.

조달 구조가 “덧붙이기”를 합리화한다

나라장터 최저가 낙찰 + 고정가 계약 구조에서, 풀 리뉴얼은 발주처도 SI도 둘 다 기피한다.

큰 프로젝트일수록 위험 비용이 크고, 고정가라 마진을 깎아 먹으니까.

근데 더 큰 건 발주 공무원 입장에서 봐도 새로 만들 이유가 없다는 점이다.

새로 만들었다가 문제 터지면 본인이 감사받는다.

근데 그냥 두면? 책임이 없다.

변화에 대한 인센티브가 완전히 반대 방향으로 꽂혀 있는 셈.

정보화 담당자도 보통 2~3년이면 인사 이동이라, 임기 안에 큰 프로젝트 시작해서 끝낼 일도 거의 없다고 들었다.

시작했다 끝 못 보고 떠나면 다음 사람이 욕한다.

그러니 손 안 댄다.

망분리

이 부분은 솔직히 나도 헷갈려서 좀 찾아봤는데, 망분리 의무화는 2006~2007년부터 공공기관에 시작돼 있었다.

흔히 “2009년 7.7 DDoS 이후”라고 기억하는데, 그건 정보보호의 날이 지정된 계기였고, 망분리 자체는 그보다 먼저였다.

거기서 끝이 아니라 2009년 7.7 DDoS, 2013년 3.20 사이버테러를 거치면서 점점 강하게 굳어졌고, 2013년에 금융권까지 망분리 의무화가 들어가면서 지금의 모양이 거의 완성됐다고 한다.

근데 이게 의외로 큰 변수다.

인터넷망/업무망이 사실상 법적으로 분리되면서, 모던 웹 아키텍처에서 당연시되는 것들이 거의 다 막혔다.

  • 외부 CDN 사용 어려움
  • 클라우드 SaaS 도입 까다로움
  • 외부 OAuth/OIDC 연동 불가능
  • 최신 npm 생태계 활용 제약

그래서 표준 OIDC 대신 자체 SSO + native 인증서 플러그인이 굳어졌다.

와이프가 익스플로러를 띄워야 했던 이유의 뿌리가 여기서부터 시작이다.

보안 SW + 책임 분산 구조

안랩, 잉카인터넷, 라온시큐어, 드림시큐리티 같은 데에서 만든, 행안부/국정원 가이드를 통과한 native 보안 SW들이 사실상 강제로 깔린다.

사용자 입장에선 “왜 이렇게 많이 깔라는 거야” 싶지만, 발주처 입장에선 다 이유가 있다.

“이만큼 깔았는데도 뚫렸다”가 사고 났을 때 변명이 된다.

그러니 보안 SW는 절대 줄지 않고 계속 누적된다. UX는 망해도 책임은 분산되니까. 사용자만 죽어 나간다.

전자정부 프레임워크 종속성

표준 eGovFrame이 한참 동안 Spring 3.x / Java 7~8 기반에 묶여 있었다. 거기 맞춰 짠 SI 코드들이 그 생태계에 굳어버렸다.

지금은 4.x가 나온 지 시간이 좀 됐고(Spring 5.3, JDK 11, Spring Boot 2.4 지원) 4.3까지 가 있긴 한데, 마이그레이션 비용을 댈 사람이 없다는 게 문제다. 발주처는 돈을 안 주고, SI는 그 돈에 마이그레이션해줄 이유가 없다. 새 버전이 있어도 현장 시스템은 계속 옛 버전에 머문다.

보안 지침 누적

행안부, 국정원, 개인정보위, 금융위(금융 분야면)… 각자 가이드라인을 찍어내는데 폐기되는 건 거의 없다.

새 지침이 나오면 기존 시스템에 또 덧붙여야 한다.

그래서 보안 프로그램 개수는 계속 늘어나고, 사용자한테 “이거도 허용해주세요, 저거도 설치해주세요”가 누적된다.

대충 이런 게 다 겹치면, 와이프가 오늘 본 그 화면이 나오는 것 같다.

2. 더 황당한 건: 망분리 안쪽은 평지다

여기까진 그렇다 치자. 보안 강하게 하려고 그러는 거라고 좋게 봐주자.

근데 진짜 황당한 건 따로 있다.

그 모든 걸 통과한 내부망 안쪽이 사실상 무법지대라는 것.

VPN으로 들어가고 나면 인증서도 없고, 도메인 검증도 없고, 그냥 평지인 케이스가 많다.

보안기사 공부할 때 본 표현으로는 이걸 “M&M 보안” 또는 “성벽 모델” 이라고 부른다. 겉은 단단하고 안은 물렁물렁한 그것.

내부망 안쪽에 흔히 빠져 있다고 지적되는 것들:

  • 서비스 간 mTLS (내부 통신은 plain HTTP인 경우 흔하다)
  • 서버↔서버 PKI (인증서 체계가 사용자 SSO 단에서 끝남)
  • 측방 이동(lateral movement) 탐지/차단
  • 네트워크 단 RBAC (보통 앱 단에서만 권한 체크)
  • 협력업체/유지보수 업체 분리 (다 같은 내부망에 들어와 있음)

비용/효과가 완전 비대칭이다

  • 일반 사용자: 매일 5단계 인증, 익스플로러, 보안 SW 3종, 망분리 통과 → 어마어마한 UX/생산성 비용
  • 진짜 공격자(국가급 APT, 내부자, 협력업체 침해): 성벽 한 겹만 뚫으면 끝

가장 비싼 방어를 가장 약한 지점에 세워둔 셈이다.

왜 이 비대칭이 안 바뀌나

망분리는 국가정보보안기본지침상 의무사항이다. 안 하면 감사받는다.

반면 내부 zero-trust(서비스 간 인증, 측방 이동 탐지 같은 것)는 한참 동안 권고사항이었다. 안 해도 감사 안 받았다.

또 인센티브 구조 문제로 회귀한다. 담당자 입장에선 “지침 충족” 도장만 받으면 되는데, 실질적 보안과 그 도장은 다른 얘기니까.

실제로 뚫린 사례들

이게 이론만이 아니라는 건 검색해보면 사례가 줄줄이 나온다.

  • 한수원 해킹 (2014) — 협력업체 대표 PC가 악성코드 첨부 이메일로 감염된 게 진입점. 그 한 명 뚫리니까 한수원 자료 72만 건이 흘러나갔다.
  • 카드 3사 정보 유출 (2014) — 카드사에 파견 나간 KCB 신용평가사 용역 직원이 FDS 시스템 작업 중에 USB로 1억 건을 빼냈다. 외주 한 명이 내부망 한복판에서.
  • 국방부 내부망 해킹 (2016) — 이건 더 심각한데, 국방통합데이터센터에서 국방망 스위치와 인터넷망 스위치가 같은 서비스망 포트에 잘못 연결되어 망접점이 발생. 그 틈으로 들어온 다음 백신 중계 서버로 악성코드를 뿌려 PC 약 3,200대를 감염시키고 170GB 자료를 털어갔다. 망분리가 막아준 게 아니라 물리적으로 망분리가 깨진 채 굴러가고 있던 거다.
  • 최근 공공기관/대기업 랜섬웨어 사례들 — 거의 다 동일 패턴이라고 한다. VPN/협력업체로 한 번 들어오면 → 내부 평지 → 도메인 컨트롤러 장악.

망분리가 막아준 게 아니다. 망분리만 믿고 그 뒤를 비워둔 게 매번 깨졌다.

3. 답은 알려져 있다 — Zero Trust

“내부망이라도 매 요청마다 다시 인증/검증, 아무도 안 믿는다”는 모델. 이게 zero trust다.

  • 미국: 2021년 5월 EO 14028, 2022년 1월 OMB M-22-09로 연방기관 zero trust 의무화. 회계연도 2024 종료까지 목표 달성하라고 못박았다.
  • 한국: KISA가 2023년 7월 제로트러스트 가이드라인 1.0, 2024년 12월 2.0 발표. 디지털플랫폼정부 차원에서 추진 중.

근데 망분리 정책 자체를 재검토하지 않으면 진짜 도입은 어려워 보인다. 둘이 철학이 정반대이기 때문이다.

망분리Zero Trust
신뢰 모델안과 밖을 나눠서 안은 믿는다안과 밖 구분 없이 아무도 안 믿는다
경계네트워크 경계모든 요청 경계
가정내부는 안전내부도 침해됐다고 가정

둘 다 하면 사용자만 두 번 죽는다.

그게 지금 한국 공공이 하고 있는 일이다.

그나마 다행히, 정책은 움직이기 시작했다

이거 글 정리하다 알게 된 건데, 사실 정책 단에서는 이미 변화가 시작된 것 같다.

  • 2024년 5월 — 국가사이버안보기본지침 개정. 공공기관 보안정책이 “망을 무조건 나누는 방식”에서 “정보 중요도/위험에 따른 통제 방식”으로 전환 명시.
  • 2026년부터 — 국정원이 공공기관에 “PC 한 대로 모든 업무” 정책 시행 발표. 물리적 망분리 → VDI 등 논리적 망분리 + 제로트러스트 검증 병행.

그러니까 이 글이 가리키는 문제를 정부도 인지는 했다는 거다.

다만 — 지침이 바뀐다고 SI 발주 사이클이 따라오는 건 별개다.

지금 굴러가는 시스템들은 다음 큰 발주가 한 번 돌고 나서야 새 지침을 반영하기 시작할 거고, 그 사이엔 와이프 같은 사용자들이 옛 지침으로 만들어진 화면을 계속 마주한다.

4. 결론

와이프가 오늘 겪은 그 지옥은, “성벽은 과잉, 내부는 빈약” 이라는 한국 공공 보안의 구조적 모순이 사용자한테 전가된 결과다.

뜯어고치려면 셋이 동시에 가야 할 것 같다.

  1. 정치적 의지 — 디지털플랫폼정부급의 강한 드라이브
  2. 망분리 정책 재검토 — 그대로 둔 채 zero trust만 얹으면 사용자만 죽는다 (← 다행히 2024년부터 움직이기 시작)
  3. 조달 방식 전환 — 고정가 최저가에서 가치 기반/성과 기반으로

1번과 2번은 시작은 됐다. 진짜 어려워 보이는 건 3번이다. 조달 방식은 지침으로 바꾼다고 바뀌는 게 아니라, 발주처와 SI 양쪽의 인센티브 구조를 같이 흔들어야 하는 일이라서. 이건 내가 5년차로 보기엔 너무 큰 문제고, 솔직히 어떻게 풀어야 할지 모르겠다.

그래서 와이프는 2026년에 익스플로러 띄우다 결국 출근했다.

내부 보고서에는 사용자가 익스플로러를 띄워 로그인하다 결국 출근했다는 줄은 안 들어간다.

“재택근무 시스템 정상 운영 중”이라는 한 줄만 들어간다.

이 글이 5년 뒤에도 그대로 유효한 글로 남지 않기를 바라지만 — 솔직히 별로 기대는 안 된다.

지침이 바뀐다 해도 와이프가 그 효과를 체감하려면 SI 발주 사이클이 한 바퀴 돌아야 한다는데, 그게 짧아도 몇 년 걸리는 모양이다.

그 동안 누군가의 와이프는 계속 옷 갈아입고 사무실로 출발하고 있을 거다.

마침.

목록으로 가기

다른 글 보기