Prisma Access 활용 개인정보 망분리 효과와 인터넷 통제 및 보호 조치

주요 인터넷망 차단 조치 방식 비교

「개인정보보호법」 및 「개인정보의 안전성 확보조치 기준」에서는 대규모 개인정보 처리자에 대해 망분리를 요구합니다. 망분리의 목적은 개인정보가 저장된 내부 업무망을 인터넷으로부터 물리적 또는 논리적으로 완벽히 분리하여 개인정보 유출 위험의 최소화입니다.

물리적 망분리 (Physical Separation)

• 개념
  • 인터넷망과 업무망을 독립된 단말과 네트워크로 완벽히 분리
• 특징
  • 가장 높은 수준의 보안성 제공
  • 개인정보 처리 PC에서 인터넷 접근이 불가능하여 악성코드나 공격 차단 효과가 큼
• 단점
  • 사용자 불편 증가, 업무 생산성 저하 우려
  • 망연계 솔루션(스토리지, VDI 등) 별도 구축 필요하여 비용 증가

논리적 망분리 (Logical Separation)

• 개념
  • 하나의 단말에 가상화 기술을 활용하여 인터넷 영역과 업무영역을 논리적으로 분리
• 특징
  • 단일 PC에서 인터넷 및 업무망 접근 가능 (가상화 기반 VDI 또는 SBC 방식)
  • 사용자 편의성과 관리의 효율성 증가
• 단점
  • 가상화 관리 및 성능 이슈 존재
  • 물리적 분리 대비 일부 보안 취약성 존재

논리적 망분리 솔루션 방식 (Secure Browser 등)

• 개념
  • PC 내에서 전용 보안 웹브라우저(Secure Browser)를 통해 제한된 인터넷 접근을 허용하고 나머지 접근 차단
• 특징
  • 별도의 복잡한 인프라 없이 간단한 논리적 망분리 환경 구축 가능
  • 비용 및 관리가 간편하며 빠른 구축 가능
• 단점
  • 개인정보 접근 단말에서 인터넷 접속이 일부 허용되므로 공격 표면 존재
  • 별도의 망분리 솔루션 보안 관리 철저 필요

Prisma Access Browser (PAB) 활용방식

PAB 방식의 개념

• 물리적 망분리 환경에서도 Prisma Access를 활용하여 클라우드 기반 보안정책을 적용하는 방식
• 인터넷 연결이 없는 업무망에서 PAB 중계를 통해 일부 허용된 SaaS 서비스 또는 외부 서비스에 안전한 접근 제공

PAB 방식의 장점

• 기존 물리적 망분리 환경을 유지하면서도 필요한 SaaS 서비스에 제한적이고 안전하게 접근 가능
• 별도의 복잡한 망연계 솔루션 없이 Prisma Access의 클라우드 보안 기능을 직접 적용 가능
• 기존 물리적 망분리의 보안성과 클라우드 보안서비스의 유연성을 동시에 확보 가능

개인정보 유출통제 관점에서의 PAB 적용 시 대응방안

Prisma Access Browser(PAB)를 개인정보 보호 규정 준수와 유출통제 관점에서 도입할 때 다음과 같은 대응방안을 수립하고 적용해야 합니다.

 

(1) 접근 통제 및 인증 강화

• PAB 사용 시 접근 가능 SaaS 서비스 최소화
• Prisma Access의 인증정책(Cloud Identity, MFA 등)을 강화하여 사용자 및 디바이스 인증 필수화
• 적용 예시
  • 사용자 및 디바이스 기반 제로 트러스트 정책 적용
  • Prisma Access에 MFA(다중 인증) 필수 설정

 

(2) 데이터 유출 방지(DLP) 정책 필수 적용

• 개인정보 및 중요 정보가 클라우드 기반 SaaS 서비스 사용 시 유출되지 않도록 DLP 기능을 Prisma Access에 반드시 적용
• 적용 예시
  • 주민번호, 신용카드번호 등 민감정보 포함 시 업로드 및 다운로드 자동 차단
  • 업무 자료의 외부 클라우드 서비스 전송 시 로깅 및 차단

 

(3) 보안 트래픽 경로 강제화

• PAB를 통한 트래픽이 인터넷으로 직접 나갈 수 없도록 네트워크 정책을 설정하여 모든 트래픽이 Prisma Access의 보안 기능을 경유하도록 설정
• 적용 예시
  • 내부망에서 Prisma Access의 PoP(Point of Presence) IP만 허용, 그 외 인터넷 IP 전부 차단
  • PAB의 네트워크 트래픽 라우팅은 내부망 또는 VPN 터널을 통해서만 설정

 

(4) Endpoint 보안 상태 점검 필수

• PAB를 사용하는 단말기에 대한 Endpoint Compliance를 Prisma Access와 연계하여 필수적으로 적용하고, 조건을 만족하지 않을 시 접근 차단
• 적용 예시
  • Cortex XDR 등의 Endpoint Agent 설치 및 정상 작동 확인 후 SaaS 접근 허용
  • 단말기 보안 업데이트 및 무결성 상태 검증 후 접근 승인

 

(5) 로그 및 모니터링 강화

• 개인정보 유출 사고 방지와 사고 대응력을 높이기 위해 PAB 및 Prisma Access를 통한 모든 접근 로그를 철저히 관리 및 모니터링 수행
• 적용 예시
  • Prisma Access 로그 실시간 모니터링 및 이상징후 경고(Threat Alert) 시스템 운영
  • 개인정보가 포함된 데이터 접근 시 즉시 관리자 알림 및 자동 차단

 

개인정보 보호법 준수 및 개인정보 유출통제 목적의 망분리는 물리적 분리가 가장 확실한 보호 수단이지만 업무 효율성, 비용 문제로 논리적 분리 솔루션이 일반적으로 병행 사용됩니다. 최근에는 이러한 기존 방식에 Prisma Access와 같은 클라우드 보안 서비스(PAB)를 접목하여 더 유연한 보안 환경을 구축할 수 있습니다. 다만, PAB 방식을 사용할 경우 다음과 같은 사항이 필수적으로 지켜져야 합니다.

🛡️ 권장 보안 조치 핵심 요약

접근 가능한 서비스 최소화 및 MFA 등 인증 강화

• DLP 정책 필수화하여 개인정보 유출 사전 차단
• 트래픽 강제 경로 설정하여 우회 인터넷 차단
• Endpoint Compliance 필수 적용
• 로그 및 모니터링 시스템으로 실시간 관리

 

이러한 방안을 통해 개인정보보호법 준수와 업무 효율성을 동시에 달성하기 위해 Palo Alto Networks의 Prisma Access는 클라우드 기반의 SASE(Secure Access Service Edge) 솔루션으로, 인터넷 보안 및 망분리 효과를 제공하는 데 유용합니다. 이를 통해 원격 근무 환경과 내부 네트워크를 보호하고, 인터넷 사용을 통제할 수 있습니다.

1. Prisma Access를 활용한 망분리 효과

망분리는 기본적으로 내부 업무망과 인터넷망을 논리적으로 혹은 물리적으로 분리하는 개념입니다. Prisma Access는 논리적 망분리(Soft Separation)를 효과적으로 수행할 수 있습니다.

(1) 인터넷 망과 업무 망 분리

• 사용자 그룹별 인터넷 접근 통제
  • 보안이 필요한 내부 업무 시스템(ERP, DB 등)에 접근하는 트래픽은 Prisma Access를 통해 직접 기업망으로 연결되도록 설정
  • 인터넷 사용이 필요한 트래픽은 인터넷 통제로 사전 필터링 후 인터넷으로 분기
• 제로 트러스트 보안 적용
  • 업무 시스템에 대한 접근을 사용자 인증 및 디바이스 보안 상태 기반으로 제어
  • 인터넷 트래픽과 내부망 트래픽을 다른 경로로 처리하여 망분리 효과 제공

(2) 클라우드 기반 보안으로 망연계 기능 대체 가능

• 기존 망분리 환경에서는 망연계 솔루션(데이터 교환, VDI 등)이 필요하지만,
  • Prisma Access를 통해 업무망과 인터넷망을 분리하면서도 보안 위협을 차단할 수 있음
  • SaaS(예: Office365, Google Workspace) 접근을 제어하면서 내부망에 직접 연결하지 않고도 사용 가능

2. Prisma Access를 통한 인터넷 통제 및 보호조치

Prisma Access는 Secure Web Gateway(SWG), Firewall as a Service(FWaaS), CASB(Cloud Access Security Broker) 등의 기능을 통해 인터넷 사용을 효과적으로 통제하고 보호할 수 있습니다.

(1) 인터넷 접근 통제 정책

• URL 필터링
  • 업무에 불필요한 사이트(예: 게임, SNS, 성인물, 피싱 사이트) 차단
  • 특정 사이트만 허용하는 Whitelist 정책 적용 가능
• 애플리케이션 제어
  • 특정 애플리케이션(예: P2P, Tor, VPN, 원격 접속 툴) 사용 차단
  • 기업이 허용한 SaaS(예: Google Drive, Dropbox)만 사용 가능하도록 정책 설정
• 사용자 기반 정책
  • AD/IDP 연동을 통해 부서별, 사용자별 인터넷 정책 차등 적용
  • 예를 들어, 개발자는 GitHub 접근 가능, 일반 직원은 불가능하도록 설정

(2) 인터넷 보안 보호조치

• SSL 검사(SSL Decryption)
  • HTTPS 트래픽을 복호화하여 악성 트래픽 탐지
  • 피싱, 멀웨어 배포 사이트로 연결되는 트래픽 차단
• 악성 코드 탐지 및 차단
  • WildFire 기반의 실시간 위협 인텔리전스를 활용하여 악성 파일 다운로드 차단
  • DNS Security를 통해 악성 도메인 접근 방지
• DLP(Data Loss Prevention)
  • 내부 정보가 이메일, 클라우드 스토리지, 웹을 통해 유출되지 않도록 제어
  • 예: 내부 직원이 업무자료를 개인 Gmail, WeTransfer로 전송 시 차단
• 제로 트러스트 네트워크 액세스(ZTNA)
  • 인터넷을 통한 불필요한 네트워크 접근을 차단하고, 업무 시스템에 대한 접근을 최소화
  • VPN 없이 안전한 원격근무 환경 구축 가능

3. Prisma Access를 통한 구축 시나리오

(1) 온프레미스 기반 기업 환경

✅ 기존 망분리 환경에서 인터넷망을 Prisma Access로 대체
✅ 업무망은 본사 또는 데이터센터와 연결, 인터넷 트래픽은 클라우드 보안 게이트웨이(SWG) 경유

🔹 이점

• 인터넷망과 업무망의 논리적 분리
• 기존 방화벽, 프록시 없이 클라우드 기반 인터넷 보안 제공

(2) 원격근무 환경

✅ VPN 없이 Prisma Access의 ZTNA 기능을 활용하여 보안 적용
✅ 원격근무자가 업무 시스템은 보안 터널을 통해 접근, 인터넷은 보안 정책에 따라 차단

🔹 이점

• VPN 접속 없이 보안이 강화된 원격 접속 제공
• 기업 내부망 보호 및 인터넷 위협 차단

4. Prisma Access의 도입 효과

✅ 논리적 망분리를 통한 보안 강화
✅ 인터넷 및 SaaS 접근 통제
✅ 제로 트러스트 보안 적용
✅ 보안 위협 대응 및 악성 코드 차단
✅ VPN 없이 안전한 원격근무 지원

 

Prisma Access를 도입하면 기존 망분리 방식보다 유연하고 보안이 강화된 환경을 구축할 수 있습니다. 이를 통해 내부 시스템을 보호하면서도 인터넷 통제를 효과적으로 수행할 수 있습니다.

 

여기에서 Prisma Access와 PAB(Prisma Access Browser)는 Palo Alto Networks의 보안 솔루션이지만, 개념과 역할이 다릅니다. Prisma Access는 SASE(Secure Access Service Edge) 아키텍처를 기반으로 하는 클라우드 네이티브 보안 서비스입니다. 온프레미스 보안 장비 없이도 클라우드 환경에서 보안 정책을 적용할 수 있도록 지원합니다.

주요 기능

✔ SASE 기반 보안 제공
✔ 원격 사용자 및 지사 연결 보호
✔ 인터넷 및 SaaS 접근 제어
✔ 제로 트러스트 네트워크 액세스(ZTNA)
✔ FWaaS(Firewall-as-a-Service)
✔ CASB(Cloud Access Security Broker) 기능 포함
✔ DLP(Data Loss Prevention) 및 DNS Security

동작 방식

• 사용자는 Prisma Access PoP(Point of Presence) 네트워크를 통해 인터넷 및 내부 리소스에 접근
• 글로벌 보안 정책을 클라우드에서 일관되게 적용
• 트래픽을 검사하여 멀웨어, 데이터 유출, 피싱 등 보안 위협 차단

 

PAB(Prisma Access Browser)는 Prisma Access의 일부 기능으로, 기존의 망분리 환경에서도 Prisma Access를 활용할 수 있도록 지원하는 역할을 합니다. 즉, 기존 물리적 망분리 환경에서 Prisma Access를 적용할 수 있도록 돕는 중재 역할을 합니다.

주요 기능

✔ 망분리 환경에서도 Prisma Access를 활용 가능
✔ 업무망과 인터넷망을 안전하게 연계하는 역할
✔ 보안 정책을 기존 망분리 환경에서도 유지 가능
✔ 데이터 유출 방지(DLP) 및 클라우드 보안 기능 제공

동작 방식

• 기존 물리적 망분리 환경에서 PAB를 거쳐 Prisma Access와 연결
• 인터넷 연결이 차단된 환경에서도 보안이 필요한 SaaS 및 외부 서비스 사용 가능
• 기업 내부망과 연결된 지점에서도 Prisma Access의 보안 정책을 적용

Prisma Access와 PAB의 차이점

구분	Prisma Access	PAB (Prisma Access Browser)
역할	SASE 기반의 클라우드 보안 플랫폼	물리적 망분리 환경에서 Prisma Access 연동
보안 방식	인터넷 및 SaaS 접근 제어, ZTNA, SWG	망분리 환경에서 인터넷 접근 제어
적용 환경	인터넷 연결이 있는 환경	인터넷 연결이 제한된 환경
트래픽 처리	클라우드 기반 보안 서비스로 직접 트래픽 처리	망분리 환경에서도 Prisma Access 활용 가능
보안 기능	SWG, CASB, FWaaS, DLP, DNS Security 제공	Prisma Access 기능을 망분리 환경에서도 사용 가능

어떤 경우에 사용해야 할까?

✅ Prisma Access 사용 추천 경우

• 원격 근무자, 분산된 지사, 클라우드 환경을 보호할 때
• 인터넷 및 SaaS 접근을 통제하고 보안을 강화하고 싶을 때
• 기존 방화벽 없이 클라우드 보안을 적용하고 싶을 때

✅ PAB 사용 추천 경우

• 기존 물리적 망분리 환경에서도 Prisma Access를 적용하고 싶을 때
• 인터넷 연결이 차단된 내부망에서도 SaaS 및 외부 서비스 접근이 필요할 때
• 망분리 환경에서도 CASB, SWG, DLP 등의 보안 기능을 활용하고 싶을 때

 

Prisma Access는 완전한 클라우드 기반 보안 서비스, PAB는 망분리 환경에서도 Prisma Access를 사용할 수 있도록 돕는 기능입니다. 망분리가 필요한 환경이라면 PAB을 활용하여 Prisma Access의 보안 기능을 적용할 수 있습니다.

 

다만, 망분리 환경의 핵심 요건은 단말기에서 직접 인터넷에 접속하지 못하도록 차단하는 것입니다. PAB(Prisma Access Browser)는 망분리 환경에서도 Prisma Access를 활용할 수 있도록 중계하는 역할을 하지만, 인터넷이 가능한 단말기에서 사용하면 망분리 정책을 위반할 가능성이 있습니다. 이를 방지하기 위한 보안 강화 방안을 적용해야 합니다.

PAB 사용 시 망분리 규정 준수를 위한 주요 대응 방안

① 인터넷이 차단된 환경에서 PAB 사용

 

📌 가장 안전한 방법은 인터넷이 차단된 단말기에서만 PAB를 실행하도록 하는 것입니다.

• 내부망에서만 실행 가능하도록 PAB 실행 환경을 제한
• 인터넷이 허용된 단말기에서는 PAB 실행을 차단하는 정책 적용
• 인터넷망 단말기와 업무망 단말기의 사용자 계정 및 권한을 분리하여 PAB가 실행되지 않도록 설정

 

✅ 적용 방법

• 그룹 정책(GPO) 또는 MDM을 통해 인터넷이 가능한 단말기에서는 PAB 실행을 차단
• 망분리 구간에서만 PAB를 설치 및 사용 가능하도록 설정
• OS 수준의 정책을 활용하여 PAB 실행을 특정 네트워크(내부망)에서만 가능하도록 제한

 

② PAB를 통해 허용된 도메인만 접근 가능하도록 제한

 

📌 PAB가 프록시 역할을 수행하는 경우, 인터넷 사용이 가능한 단말기에서도 특정 사이트만 접근하도록 제한할 수 있습니다.

 

✅ 적용 방법

• Prisma Access에서 인터넷 접속을 전면 차단하고, 업무 시스템 및 허용된 SaaS 서비스만 접근 가능하도록 설정
• Cloud SWG(Secure Web Gateway) 기능을 활성화하여 비업무 사이트 접근을 차단
• URL 필터링을 통해 허용된 도메인 외에는 접근 불가하도록 설정

 

✅ 구성 예시

1. Prisma Access의 SWG 및 URL 필터링을 활용하여 업무 관련 사이트만 허용
2. WildFire 기반 악성코드 탐지 및 웹 콘텐츠 검열 적용
3. DLP(Data Loss Prevention) 정책 적용하여 내부 자료가 외부로 유출되지 않도록 설정

 

③ 단말기별 네트워크 라우팅을 강제하여 인터넷 우회 불가 설정

 

📌 인터넷이 가능한 단말기에서 PAB를 실행하더라도 인터넷을 직접 사용하지 못하도록 네트워크 정책을 설정

 

✅ 적용 방법

• PAB가 사용하는 트래픽은 내부망 또는 VPN을 통해서만 통신 가능하도록 설정
• 로컬 네트워크에서 PAB가 특정 IP 및 포트만 사용하도록 제한
• 인터넷망에서는 PAB 서버와 통신하지 못하도록 방화벽 및 ACL(Access Control List) 설정
• SD-WAN 또는 VPN을 통해 PAB의 네트워크 트래픽을 중앙 집중식 관리

 

✅ 구성 예시

• PAB가 인터넷이 직접 연결되지 않은 내부망 또는 보안 터널을 통해서만 Prisma Access로 접속하도록 구성
• 보안 정책을 통해 인터넷망에서는 PAB의 서버 IP를 차단

 

④ 인터넷망에서 PAB 실행 시 사용자 인증 및 단말기 검증 강화

 

📌 PAB 사용을 제한할 수 없는 경우, 인터넷망에서 PAB가 실행되더라도 보안 검증을 거치도록 구성

 

✅ 적용 방법

• 사용자 인증을 강화하여 인터넷망에서 실행 시 관리자 승인이 필요하도록 설정
• Prisma Access의 Cloud Identity 기반으로 보안 정책을 강화
• 단말기 보안 상태 확인 후 접속 허용(Endpoint Compliance Check)
• 인터넷이 가능한 환경에서 PAB 실행 시 MFA 적용 및 추가 검증 수행

 

✅ 구성 예시

1. PAB 실행 시 사용자 MFA(다중 인증) 요구
2. 보안 에이전트(Cortex XDR, ZTNA)와 연동하여 무결성 검증 후 실행 허용
3. 인터넷망 단말기에서 PAB를 실행하려는 경우 추가 로그 및 감사를 수행

최적의 대응 방안 조합

망분리 환경에서 PAB 사용 시 보안 규정을 준수하면서도 업무 생산성을 유지할 수 있도록 최적의 방법을 조합하는 것이 중요합니다.

 

🛠 망분리 환경에서의 PAB 보안 대응 조합 예시

보안 요구사항	적용 솔루션	주요 적용 방법
인터넷이 차단된 환경에서 PAB 실행	네트워크 정책	인터넷 단말기에서 PAB 실행 차단 (GPO, MDM 활용)
PAB를 통한 접근 제한	Prisma Access SWG	업무 관련 도메인만 허용, URL 필터링 적용
인터넷망에서 PAB 실행 제한	방화벽 및 ACL	인터넷망에서는 PAB 서버 접속 차단
인터넷망에서 PAB 실행 시 보안 강화	사용자 인증	MFA, ZTNA, Endpoint Compliance 적용

 

PAB는 망분리 환경에서도 Prisma Access의 보안 기능을 활용할 수 있도록 도와주는 솔루션이지만, 잘못 사용하면 망분리 규정을 위반할 수 있습니다. 이를 방지하기 위해 네트워크 정책, SWG 및 보안 인증 강화 등의 다양한 보안 조치를 함께 적용하는 것이 필수적입니다.

 

✅ 권장 보안 조치 요약
✔ 인터넷이 차단된 단말기에서만 PAB 실행 가능하도록 정책 적용
✔ PAB를 통한 인터넷 접근을 SaaS 및 업무 관련 사이트로만 제한
✔ 방화벽 및 ACL을 통해 인터넷망에서는 PAB의 서버 접근 차단
✔ 인터넷망에서 PAB 실행 시 MFA 및 보안 검증 적용