CDS (Cross Domain Solution, CD)
3. CDS (Cross Domain Solution, CD) · 17개 통제항목
정의
크로스 도메인 솔루션(CDS)은 상이한 보안 등급 또는 네트워크 도메인 간의 정보 교환 시, 인가된 통신만을 허용하고 미인가 접근·정보 유출을 방지하기 위해 설계된 보안 장치이자 체계이다. 정보가 고신뢰 영역에서 저신뢰 영역으로 이동할 경우 강력한 검증, 필터링, 무해화 등을 수행하며, 릴레이 시스템, 콘텐츠 무해화(CDR) 등의 기술이 적용된다.
보안통제 항목 (17)
| N2SF ID | 소항목 | 보안통제설명 | 분류 |
|---|---|---|---|
| N2SF-CD-1 | 도메인 간 정보 흐름 검증 및 통제 | 서로 다른 보안 도메인 간 정보 흐름 시 데이터 유형, 등급, 출처를 검증하고 사전에 정의된 정책에 따라 전송을 허용, 차단 또는 보류한다. | C S |
| N2SF-CD-2 | 다단계 보안 레이블 적용 | 전송되는 정보에 대해 다단계 보안 등급(예: 기밀, 민감, 공개)을 태깅하고, 대상 도메인의 수신 허용 기준에 부합하는 경우에만 전달한다. | C |
| N2SF-CD-3 | 일방향 전송 기술 적용 (Data Diode) | 정보 유출 방지를 위해 단방향 전송 장치(Data Diode)를 활용하여 물리적 또는 논리적 단방향 정보 흐름을 강제한다. ※ N2SF-IF-5와 유사하지만, CDS에서 단방향 보장 장비 사용 시 구체적으로 분리 필요 | C S |
| N2SF-CD-4 | 검증 기반 릴레이 시스템 적용 | 수신된 정보는 릴레이 서버를 통해 악성코드 스캔, 포맷 검증, 콘텐츠 정제 후 안전성 판단을 거쳐 송신된다. | C S |
| N2SF-CD-5 | 파일 유형 기반 전송 정책 | 파일 확장자, MIME 타입, 내부 Magic Number 등을 기준으로 허용된 파일 유형만 송수신 허용하고 나머지는 격리 또는 삭제한다. | C S |
| N2SF-CD-6 | 콘텐츠 무해화 (CDR) 적용 | 전송 전 파일 내 삽입된 숨겨진 객체, 매크로, 스크립트 등을 제거하고 안전한 형식으로 변환하여 콘텐츠를 정제한다. | C |
| N2SF-CD-7 | 메타데이터 기반 통제 정책 | 파일 메타데이터의 생성일, 작성자, 등급 등 정보에 따라 송수신 정책을 달리 적용하고, 필요 시 메타데이터 제거 후 전송한다. | C S |
| N2SF-CD-8 | 승인된 CDS 구성 요소만 사용 | 크로스 도메인 연계를 위한 CDS는 기관이 검증하고 승인한 하드웨어/소프트웨어 구성 요소만을 사용해야 한다. | C S O |
| N2SF-CD-9 | CDS 우회 경로 탐지 및 차단 | CDS를 우회하여 다른 경로(USB, 무선, 별도 링크 등)로 도메인 간 전송을 시도하는 행위를 탐지하고 차단한다. | C S |
| N2SF-CD-10 | 전송 실패 보호 및 무결성 보장 | 전송 중 실패 시 데이터가 잔존하거나 일부가 누락되지 않도록 조치하고, 수신자가 정보의 완전성과 무결성을 검증할 수 있도록 한다. | C S |
| N2SF-CD-11 | 등급 간 콘텐츠 정책 적용 | 다양한 등급 간 콘텐츠 전송 시 등급 정책에 따른 필터링, 수정, 전환 작업을 수행할 수 있도록 한다. | C S |
| N2SF-CD-12 | 사용자 및 단말 등록 기반 접근 제어 | CDS 접근을 허용할 사용자와 단말 정보를 사전에 등록하고, 정책에 기반해 인증을 수행한다. | C S O |
| N2SF-CD-13 | 트래픽 흐름 컨텍스트 분석 | 동일 사용자·단말의 연속적인 전송 흐름을 분석하여 비정상 컨텍스트(다량, 시간외 등)를 차단한다. | C S |
| N2SF-CD-M1 | CDS 운용 정책 수립 | CDS 구성, 운용, 접근, 예외 처리 절차 등을 포함한 관리 정책을 수립하고 주기적으로 갱신한다. | C S O |
| N2SF-CD-M2 | CDS 통제 로그 기록 및 감사 | CDS를 통한 정보 흐름의 허용, 차단, 예외처리 등의 모든 활동을 로깅하고 주기적으로 감사한다. | C S O |
| N2SF-CD-M3 | 도메인 간 정보 교환 승인 프로세스 | 도메인 간 정보 교환은 사전 승인된 업무 목적 및 사용자에 한정되며, 자동화된 승인 및 검토 체계를 갖추어야 한다. | C S |
| N2SF-CD-M4 | CDS 구성요소 무결성 검증 | CDS 시스템의 구성요소(소프트웨어, 펌웨어 등)에 대한 무결성을 정기적으로 검증하고 변경 시 승인 절차를 거친다. | C S O |
구현 방법 예시
통신 모니터링 및 제어 기술
- 시스템 내·외부 경계에서 이루어지는 통신 흐름을 모니터링하고, 보안정책에 따라 차단 또는 허용 한다. 승인되지 않은 통신이나 의심스러운 트래픽이 내부 네트워크에 영향을 주지 않도록 보장한다.
- 외부망과 내부망, 업무망과 제어망 등 네트워크 도메인 간 물리적 또는 논리적 분리를 적용하여 상호 직접적인 연결을 차단하고, 오직 CDS를 통한 승인된 경로에서만 통신이 가능하도록 한다.
전송 흐름 통제 및 단방향성 보장
- CDS는 정보가 저신뢰 영역에서 고신뢰 영역으로 흐르는 것을 차단하며, 고신뢰에서 저신뢰 영역으로의 전송만 허용하는 단방향 전송 장치를 적용한다.
- 모든 정보는 릴레이 서버를 통해 전송되며, 이 서버는 AV 검사, 포맷 유효성 검증, 정책 기반 승인 절차를 거쳐야만 다음 단계로 전송이 가능하다.
콘텐츠 검증 및 무해화 처리(CDR)
- 송수신되는 모든 파일은 콘텐츠 내 스크립트, 매크로, 숨겨진 객체 등을 제거하고, 정형화된 포맷으로 재조합하여 전송한다.
- 이 과정에서는 MIME Type, Magic Number 등을 기반으로 한 파일 유형 검증과 함께, 허용된 포맷 외의 파일은 차단되거나 격리된다.
메타데이터 분석 및 정책 기반 전송 제한
- 전송 대상 문서의 생성일, 작성자, 보안등급 등 메타정보를 식별하고, 조직의 정책에 따라 송수신 여부를 결정한다.
- 필요 시 보안등급을 하향 조정하거나, 메타데이터를 삭제 후 전송하는 정책도 적용 가능하다.
우회 경로 탐지 및 전송 차단
- CDS를 우회한 USB, 무선통신, 외부 링크 연결 등의 시도를 탐지하며, 이러한 우회 행위가 발생할 경우 즉시 관리자에게 경고하고 해당 경로를 자동으로 차단한다.
- EDR 및 NAC 연동을 통해 비인가 장비나 네트워크 연결을 통제한다.
전송 실패 대응 및 무결성 보장
- 정보 전송 중 실패가 발생할 경우 잔존 데이터가 남지 않도록 자동 삭제되며, 부분 전송 누락 여부를 확인하고, 필요시 자동 재전송이 수행된다.
- 이때 체크섬, 해시값 검증을 통해 수신된 정보의 무결성을 보장한다.
정책 수립 및 감사 로그 기록
- CDS 구성과 운영을 위한 정책은 조직 내 보안 수준 및 업무 흐름에 따라 정의되며, 예외 전송 요청이나 허용된 흐름은 모두 로그로 기록된다.
- 로그는 정기적으로 감사되며, 이상 징후 발생 시 즉시 대응이 가능해야 한다.
다등급 정보처리를 위한 세분화된 접근 제어 적용
- 일부 환경에서는 동일 단말 내에서 다등급 정보 접근이 요구되므로, MLS 보안 원칙을 적용한 논리적 격리 환경(예: VDI, 컨테이너, MAC 기반 OS)을 활용한다.
- 이를 통해 동일한 사용자가 서로 다른 등급의 데이터를 동시에 다루더라도 정보가 교차되지 않도록 보호한다.
Access CDS, Transfer CDS, MLS CDS 활용
- Access CDS를 통하여 고등급 도메인의 데이터베이스 또는 웹 서비스에 대해 단방향 요청/응답 구조로 구성하며, 단말 접근은 터미널 서비스 방식 또는 프록시 서버를 통해 제한적으로 허용한다.
- 또한, 데이터 유출 방지를 위해 출력 제한(프린트/다운로드 차단) 및 화면 캡처 방지 기술 적용한다.
- Transfer CDS를 구성 시, 송수신 파일은 파일 검사 서버(Relay Server) 를 거쳐야 하며, 전송 가능 한 파일 포맷, 크기, 내용 등을 정책 기반으로 정의한 후, 악성코드 검사, CDR, 메타데이터 정제, 포 맷 검사 후 데이터를 전송한다.
- MLS CDS를 이용하여, 동일 시스템 상에서 보안 등급을 구분해 정보 접근 제어를 수행하며, 사용자나 프로세스에 보안 레이블을 부여하고, 데이터 저장 시 등급 정보 태깅, 접근 시 적절한 보안 수준 여부를 검증한다.
적용 기술 요약
| 항목 | 적용 기술 또는 방식 |
|---|---|
| 도메인 간 흐름 통제 | 릴레이 서버, 전송 흐름 정책, 다단계 보안 레이블 |
| 단방향 전송 기술 적용 | Data Diode(단방향 전송 장비), 송신→수신 방향 제한 |
| 콘텐츠 검증 및 정제 | CDR, 파일 정적 분석, 포맷 유효성 검사 |
| 파일 유형 및 메타데이터 검증 | MIME Type 검사, Magic Number 검사, 메타정보 정책 분석 및 삭제 |
| 우회 경로 탐지 및 격리 | USB/Wi-Fi/외부 링크 감시, 비인가 전송 차단, NAC/EDR 기반 자동 격리 |
| 전송 실패 대응 및 무결성 보장 | 전송 실패 감지, 자동 재전송, 체크섬 검증, 해시 기반 무결성 검증 |
| CDS 정책 수립 및 감사 | 중앙 정책관리 서버, 전송 정책 정의, 자동화된 로그 수집 및 감사 체계 |
| 승인 프로세스 자동화 | 업무 목적 기반 전송 요청 시스템, 사용자별 정책 연계, 자동/반자동 승인 절차 |
| 무결성 검증 및 구성요소 보호 | 구성요소 무결성 검증, 펌웨어 변경 시 승인 프로세스 적용, 서명 확인 |