비용 및 관리 효율성으로 물리적 망분리 대체

[컴퓨터월드] 지난해까지 제2금융권 망분리가 의무적으로 도입됐어야 했지만, 각종 내부사정으로 도입이 예상보다 늦어지고 있다. 이에 따라 금융당국의 제재조치가 강화돼야 한다는 목소리도 덩달아 힘을 얻고 있다. 제2금융권들은 금융당국이 권고한 대로 지난해 말까지 망분리를 의무 적용해야했지만, 전산센터는 대부분 물리적 망분리 적용을 끝냈더라도, 본점과 영업점까지 모두 망분리를 적용한 곳은 많지 않다. 망분리 업체의 움직임이 분주한 이유이다. 이 와중에 제2금융권 특유의 다양한 요구사항으로 인해 ‘VDI 망분리’가 주목받고 있다.


VDI 주목받는 이유는 ‘효율’

망분리는 크게 물리적 방식과 논리적 방식으로 나뉜다. 논리적 망분리는 다시금 데스크톱 가상화(VDI)를 이용한 서버기반 컴퓨팅(SBC) 방식과 클라이언트기반 컴퓨팅(CBC) 방식으로 나뉜다. 각각의 망분리 방식은 고유한 특징들을 갖고 있다.

물리적 망분리의 경우 물리적인 업무망을 완벽하게 분리할 수 있어 보안의 이점이 높지만, 신규 망구축 및 각각의 PC가 필요해 고비용이 소요된다. 관리 부담 또한 상대적으로 높다. VDI방식의 경우 물리방식에 비해 비용효율이 높고 사용자 데스크톱 및 업무데이터 중앙화를 통해 관리 효율성 및 보안성을 제고할 수 있다는 장점이 있지만 가상화 서버팜 구축비용이 단점으로 꼽힌다. 클라이언트 기반 망분리는 비용이 효율적이라는 이점과 가상화SW 호환성과 안정성, 관리효율성 이슈가 존재한다.

▲ 망분리 방식의 종류와 장단점

다만 이러한 특징들은 일반적인 사항일 뿐 절대적인 기준은 될 수 없다. 물리적 망분리를 적용했다 하더라도 논리적 망분리에 비해 보안이 취약할 수 있으며, VDI 방식도 적용 대상과 범위에 따라 결코 비용 효율적이지 않을 수도 있다.

국내에서는 정보 유출 방지 목적으로 망분리 초기에 많은 기관과 기업에 물리적 망분리가 도입 됐다. 하지만 인터넷망과 업무망을 오가며 업무를 처리해야 하는 상황에서 구성원의 불편으로 인한 보안 취약성이 지속적으로 나타났다.

이 외에도 물리적 망분리가 가진 여러 불편사항(과다한 비용, 해외·지방 지사 관리 어려움)으로 VDI 방식의 망분리 수요가 늘어나기 시작했다. 특히 제2금융권의 경우 인터넷 망분리 뿐 아니라 업무 네트워크 접속용(업무 망분리)을 고려하는 등 요구사항이 다양한 것이 특징이다. 이에 따라 높은 서비스 안정성 및 보안성이 중요해 졌고, 이러한 요구사항은 도입 기관들이 VDI 방식을 선택하는 계기가 됐다.


금융권 도입 지체 원인은 ‘예산’

하지만 정작 제2금융권 금융사들의 망분리 도입은 지지부진한 실정이다. 여러 이유가 있지만 업계에서 공통적으로 지적되는 사항은 예산 문제다. 풍족한 예산을 통해 HW자원을 적절하게 배치하고, 할당되는 가상환경의 자원을 기존 PC 환경과 비슷하게 제공한다면 완벽한 사용환경을 제공할 수 있다는 게 관련 업계의 공통된 설명이다. 하지만 망분리 예산은 부족하게 책정되고, 이러한 상황 속에서 최선의 결과를 도출해야 하기에 성능을 다소 포기하더라도 가상머신을 공유하는 등 차선책이 강구되기도 한다.

또한 규제, 내부 불만 등에 동시에 부딪치게 된다. 도입기업은 충분한 컴퓨팅 리소스 확보를 위한 비용 뿐 아니라 규제·가이드라인 준수를 위한 불충 조건 해결, 망분리 도입 시 인터넷 사용 제약에 따른 내부 불만 등에 직면하게 된다.

▲ 망분리 도입 과정에서 발생하는 문제점(자료제공: 틸론)

도입 과정에서 발생하는 가장 큰 장애물로 지적받는 것은 변화 관리로, 망분리로 인해 변화하는 업무 환경에 대한 혼란과 초기 적응 실패, 내부 불만과 반발로 망분리 도입에 어려움을 겪기도 한다.

이러한 과정에서 가격에만 중점을 둔 탓에 검증되지 않은 제품을 도입해 전사적인 업무에 차질을 빚거나, CC인증 등 가이드라인을 준수하지 않아 책임을 묻게 되는 경우도 있다.

문제는 이러한 이유를 들어 당초 의무 도입시기를 넘어섰음에도 도입에 늦장을 부리고 있다는 점이다. 이로 인해 발생하는 업무상의 보안 공백은 순전히 금융권 이용고객에게 돌아갈 수밖에 없다.

이러한 배경에는 금융당국의 제재가 느슨하기 때문이라는 지적 또한 나온다. 현행법 상 전산망분리를 제때 완료하지 못한 금융사는 전자금융감독규정과 전자금융거래법에 따라 5,000만 원 이하의 과태료를 물어야 한다. 그런데 수십억 원 이상의 예산이 필요한 망분리 사업에 비해 5,000만 원은 상대적으로 무겁지 않은 벌금이라는 지적이다. 이에 따라 금감원 등 금융당국의 적극적인 제재가 필요하다는 의견 또한 힘을 얻고 있다.


‘망분리’ 맹신해선 안 돼

망분리를 적용하는 이유는 업무망과 인터넷망을 분리시켜 인터넷망을 통해 침투하는 외부 공격으로부터 업무망을 지키기 위함이다. 물론, 망분리를 적용하면 원하는 효과는 얻을 수 있다. 그렇지만 관계자들은 망분리가 적용됐다고 해서 결코 안심해서는 안 된다고 지적한다.

보안업계에서는 흔히 “100% 완벽한 보안은 없다”고 말한다. IT환경이 갈수록 다양해지면서 복잡해지고 있기 때문에 기술적인 부분뿐만 아니라 관리·운영적인 부분에서 많은 허점이 발생하고 있다.

물리적 망분리 방식은 2대의 PC를 이용해 업무망과 인터넷망을 완전히 나눠서 이용하기 때문에 외부 침입으로부터 내부에 있는 업무망을 보호할 수 있다. 그렇다고 해서 관리·운영을 소홀히 해서는 안 된다. 인가되지 않은 USB를 업무PC와 인터넷PC에서 임의로 이용하는 행위는 외부에서 침입한 악성코드 등을 내부 업무망으로 옮길 수 있기 때문에 금지돼야 한다. 지금껏 발생했던 많은 보안 사고들이 사람에 의해 발생한 인재(人災)가 더 많았다는 사실은 항상 기억하고 있어야 한다.

2014년 있었던 한국수력원자원 해킹이나 지난해 있었던 인터파크 정보유출 사고 역시 망분리를 사용하고 있었으나 관리소흘로 인해 사고가 발생한 것으로 알려져 있다.


BMT 등 구축 전 사전조사 필요

망분리를 도입하려는 기업들은 “외산 제품이 국산 제품보다 더 뛰어나다”는 편견을 갖고 있기도 한다. 이 때문에 외산 제품과 국산 제품이 동일한 성능을 제공하더라도 외산 제품이 선택되는 경우가 다반사였으며, 국산 제품이 좋은 성능을 제공하더라도 외산 제품을 카피했다는 비난을 피하기가 어려웠다.

한 업계 관계자는 “초창기 시장에서는 외산 제품이 뛰어났겠지만, 국내 기업들도 꾸준히 R&D를 진행한 결과 이제는 국산 제품과 외산 제품의 성능차이가 대동소이해졌다”라며, “오히려 BMT에서 국산 제품의 성능이 외산 제품보다 더 뛰어난 결과를 낸 적도 있다. 글로벌 기업과 국내 기업의 연간 매출액과 직원 수, R&D 비용 등 단순 수치만 비교해 보면 외산 제품이 국산 제품보다 더 뛰어나야 정상이겠지만, 이처럼 그렇지 않은 결과들도 나오고 있다. 이는 외산 제품이라고 꼭 국산 제품보다 뛰어나다는 것을 의미하지는 않는다”고 설명했다.

그는 이어 “오히려 국산 제품은 빠른 기술 지원과 한글화, 국내 정서에 맞는 UI 구성 등 외산 제품이 갖지 못하는 차별화된 장점을 보유하고 있기에 충분히 경쟁력을 갖추고 있다고 본다”고 덧붙였다.

다른 업계 관계자는 “도입 검토 시 BMT를 꼭 진행해야 한다는 점을 강조하고 싶다”며, “공정한 테스트를 통해 기업과 기관은 가장 필요한 솔루션을 선정할 수 있는 근거를 얻고, 실력 있는 공급사도 국내 레퍼런스를 확보해 성능과 체력을 갖추고 더욱 좋은 솔루션을 공급할 수 있는 계기가 될 것”이라고 언급했다.

또한 관계자들은 기업의 환경과 망분리 도입 목적 역시 잘 파악해야 한다고 조언했다. 망분리 사업에는 망분리 솔루션만 도입되는 것이 아니다. VDI 방식으로 구축되는 망분리 사업을 예로 들면 VDI 솔루션을 포함해 망연계 솔루션, 서버, 스토리지, 스위치 등 여러 솔루션들이 들어가게 된다. 즉, 망분리 솔루션도 중요하지만 다른 부분들 역시 함께 고려해야 한다.

 

[주요 업체 동향]

 
“VDI 넘어 SDDC로 도약”

망분리 관련 국내 시장은 점점 확대되고 있다. 한국정보보호산업협회(KISIA)에 따르면 국내 망분리 관련 시장규모는 2014년 333억원에서 2020년까지 연평균 30.9% 성장을 이어가 1,677억원 수준에 이를 것으로 예상된다. 이는 네트워크 보안 분야 중 가장 높은 폭의 성장률로, 업계 전체 연평균 성장률인 16.99%를 크게 웃도는 수치이다.

2013년 3.20 사태 등으로 망분리의 필요성을 절실히 느끼는 기업들이 증가했으나, IT 인력 부족과 비용 문제 등으로 도입을 망설이는 기업들도 있다. 하지만 정부에서 나서서 망분리 도입을 의무화하는 등 기업들 사이에서 망분리에 대한 논의는 점점 더 확장되고 있다. 비용 효율성 및 보안 측면을 고려하는 기업들이 증가하면서 도입 속도는 점차 가속화될 것으로 예상된다.

제1금융권, 즉 은행권 망분리 사업의 경우 VDI 기반 망분리를 인터넷 접속용(인터넷 망분리)으로 도입하는 경우가 많았으나, 제2금융권의 경우 인터넷 망분리뿐 아니라 업무 네트워크 접속용(업무 망분리)을 고려하는 등 요구사항이 다양하다. 인터넷 망분리의 경우 비용 효율성이 가장 중요한 요소이며, 업무 망분리는 높은 서비스 안정성 및 보안성이 중요하다. VM웨어는 서로 다른 시장 요구에 부응하기 위해 기본적인 VDI와 VM웨어의 새로운 기술을 접목한 솔루션을 제안할 계획이다.

망분리 시장에서 가장 중요한 가치는 높은 보안성이며, 보안성이 담보된 후 기업이 제한된 운영인력 및 예산 범위 내에서 사업을 수행하기 위해선 비용효율성 또한 중요한 가치다. 기업이 솔루션을 선택할 때 고려하는 가장 중요한 가치인 보안과 비용효율성을 달성하고, 경쟁력을 강화하기 위해 VM웨어는 끊임없이 새로운 기술을 접목하고 있다.

VDI 기반 망분리는 기본적으로 아키텍처를 통해 높은 보안성을 보장한다. 최근에는 급속하게 지능화되고 있는 IT 보안 위협을 고려, VDI 기반 망분리 인프라 또한 진화할 필요가 있다. VDI의 성능이 점점 향상되고 있는 것은 사실이지만 이를 받쳐주는 아키텍처는 아직 정체돼있다. VM웨어는 소프트웨어 정의 데이터 센터(SDDC)에 주목했다.

SDDC의 이점은 초기 과투자와 벤더 종속성의 해결이다. 기업은 VDI를 구성하는데 필요한 인프라와 최대 사용자 숫자를 사전에 가정하고 투자한다. 그러나 전사적으로 도입하는 데까지는 많은 시간이 소요되기 때문에 실제 필요한 것보다 미리, 더 많이 구매할 수도 있는 것이다.

SDDC를 활용하면 하이퍼바이저를 통해 필요한 인프라를 언제 어디든지 사용할 수 있다. 처음부터 고가의 스토리지나 네트워크 장비를 구성할 필요가 없으니 기업은 보다 유연하게 VDI 환경을 만들 수 있다.

이 밖에 네트워크 가상화도 VDI 성능을 한층 강화하는데 중요한 역할을 한다. 네트워크 가상화 플랫폼인 NSX는 높은 수준의 보안성을 유지하는데 효과를 발휘한다. 특히 마이크로-세그멘테이션(Micro-segmentation)은 VDI 팜 안에서 가상 머신(VM)간의 보안 통제 정책을 적용해, 사용자 유형이나 업무별 VM에 따라 격리 조치를 취할 수 있다. 따라서 내부의 악의적 사용자를 차단하고, VM에서 발생한 문제가 VDI 인프라 전체에 영향을 미칠 수 없도록 보호한다. 또한 NSX의 ID 기반 방화벽(Identity Firewall) 기능을 통해 VDI 사용자가 자신에게 허가된 업무 애플리케이션 서버 및 데이터에만 접속할 수 있도록 관리한다. 이러한 NSX의 기술은 VDI를 통한 망분리 인프라를 한층 더 안전하게 보호한다.

VM웨어는 기존 VDI에 VM웨어만의 새로운 기술을 적용한 차세대 VDI를 강화할 예정이다. VM웨어는 네트워크 가상화 플랫폼 ‘NSX’를 VDI에 적용, 경쟁사 대비 보다 안전한 VDI 인프라를 고객에게 제공할 예정이다. 또한 사용자 애플리케이션 관리(App Volumes) 및 ‘VM웨어 v리얼라이즈 오퍼레이션 포 호라이즌(vRealize Operations for Horizon)’을 통합적으로 제공해 부족한 운영 인력과 예산으로도 효율적인 구축, 운영이 가능하도록 지원할 것이다. VM웨어의 스토리지 가상화 솔루션인 ‘VM웨어 vSAN’은 VDI 구축비용을 절감하고자 하는 고객에게 매우 큰 도움이 될 것으로 예측한다.

VM웨어가 강조하는 SDDC 역시 기업에게 꼭 필요한 아키텍처로 자리 잡을 것이다. 아키텍처의 변화 없이는 더 나은 VDI 성능을 기대하기 어렵다. 데스크톱 가상화는 SDDC로 향한 여정의 첫 걸음이자, 최종 사용자들을 위한 디지털 워크스페이스의 필수 요소이다. 그렇기 때문에 VM웨어는 기업의 성공적인 VDI가 디지털 비즈니스 트랜스포메이션을 이끄는 견인차가 될 수 있도록 지원할 것이다.

디지털 워크스페이스는 이제 기업들의 비즈니스 혁신을 위한 필수 요소이자 경제적인 가치를 창출하는 기회로 부상했다. 기업들은 데스크톱 가상화를 도입해 인프라를 개선하고, 편리하고 혁신적인 모바일 업무 환경을 구성해 경쟁력을 높이고 성장을 가속화할 수 있다.

금융권, 공공 기관 등 다양한 기업들이 앞다퉈 망분리를 도입하고 있는 최근, 비용 효율성과 보안성을 모두 고려한 논리적 망분리를 도입, 다양한 보안 위협으로부터 귀중한 정보를 보호하고 업무 환경이 개선될 수 있다는 것이 VM웨어의 주장이다.


<VM웨어 적용사례>

  • 인천유시티
    관제 센터에 데스크톱 가상화 적용해 모니터링 업무 환경 넓혀
    인천유시티는 데스크톱 가상화 솔루션인 ‘VM웨어 호라이즌’으로 모니터링 업무 환경을 넓혔다. 기존 센터 내에 있던 모든 PC 모니터들을 그대로 가상 환경으로 옮겨 관제 센터 직원들은 장소에 관계 없이 동일한 고화질 화면을 통해 업무 연속성을 유지할 수 있게 됐다.
     
  • 서울대학교
    VDI 통해 공간 활용도 및 관리 편의성 향상, 비용 절감 달성
    서울대학교는 중앙도서관 관정관에 ‘호라이즌 6’를 도입, 전체 PC 중 약 80%에 해당하는 204대에 가상 데스크톱을 구축했다. 가장 큰 혜택은 공간 활용도와 관리 편의성의 향상이라고 볼 수 있다. 제로 클라이언트 도입으로 기존의 하드웨어 장비들이 차지하고 있던 공간이 90% 이상 줄어들어 전력 사용량도 함께 낮아졌고, 소음도 줄어 학생들은 보다 쾌적한 환경에서 정보검색을 할 수 있게 됐다. 먼지로 인한 하드웨어 고장이나 부품 오류 발생 건수도 현저히 줄어 하드웨어 교체 주기는 늘어나고, 예비 부품 또한 구매할 필요가 없어져 예산을 절감하고 있다.
     
  • 분당서울대학교병원
    태블릿으로 출장 중에도 응급 환자 진료
    분당서울대병원은 가상 데스크톱 환경을 통해 1,600여명의 의료진 및 병원관계자들을 지원하고 있으며 이를 계속 확대하고 있다. 학회나 세미나로 인한 해외 출장이 잦은 의료진들은 해외에 있는 동안에도 환자의 상태를 실시간으로 체크하고 병원에 있는 의료진에게 투약 처방 등 지시를 내릴 수 있게 됐다. 더불어 환자들은 입원 진료 시 일일이 의사의 진료실로 방문할 필요 없이 편안히 침대에 누워 설명을 들을 수 있게 됐으며, 수술동의서도 전자화 돼 태블릿PC에 서명하는 방식으로 개선됐다. 또한 시스템 회전 속도도 약 1.5배 빨라져 종합병원의 주요 불만사항 중 하나였던 긴 대기시간도 짧아졌다.
     
  • 강남세브란스병원
    VDI로 모바일 스마트워크 구현
    강남세브란스병원은 병원 의료정보시스템을 사용하기 위한 별도의 모바일 앱을 개발, 운영하고 있었다. 하지만 만만치 않은 개발비용뿐 아니라 광범위한 의료분야의 각기 다른 의료진의 요구사항을 반영해야 하는 등 프로젝트 수행에 번거로움이 컸다. 그러나 VM웨어 솔루션 도입으로 인해 별도의 모바일 앱을 개발할 필요가 없어졌다. 의료진이 가지고 있던 태블릿PC에서 바로 환자들의 정보 시스템에 접속할 수 있는 체계가 마련돼 모바일 스마트 워크를 실현했기 때문이다. 이로 인해 의료진의 만족도가 향상된 것은 물론 24시간 PC운영 때문에 만만치 않았던 전력소모도 줄었다.
     
  • 알리안츠생명
    VDI 기반의 망분리로 보안 강화
    알리안츠생명은 VDI를 통한 망분리로 악성코드의 유입을 원천 차단하고, 데이터 중앙화를 통해 중요 기업 정보 분실의 위험성을 현저히 줄여 보안을 크게 향상시켰다. 또한 가상 데스크톱의 스크리닝 정책과 자동 재부팅 기능 등으로 깨끗한 데이터 및 OS를 유지하게 된 것도 보안을 더욱 강화하는데 한몫 했다. 데이터 백업, PC 신규 배포 시간 등 전반적인 PC 관리를 향상시켜 PC관리 비용도 크게 줄인 것으로 평가되고 있다.

 

 
 클라우드 기술력 통한 ‘보안 가상화’

지난 한 해는 그 어느 때보다 망분리에 대한 시장 요구가 뜨거웠다. 틸론의 경우 토지주택공사, 도로공사 등 공공기관과 일반 기업은 물론, 제2금융권 적용 의무화 기간이 연말까지 진행되면서 다수의 증권사와 보험사에도 망분리 솔루션을 공급했다.

지난해까지 제1, 2 금융권의 망분리가 대부분 완료됐다. 올해는 통합, 인수 등의 내부 사정으로 망분리가 늦어진 금융사와 제3금융권 및 금융 연계 기업의 망분리까지 대부분 진행하게 될 것으로 예상하고 있다. 또 공공기관 및 일반 기업, 방위산업체, 학교 및 병원 등에도 망분리 도입을 위한 정책 사항과 보안 강화 요건이 포함되고 있는 상황이다. 특정 업종에서 벗어나 가상화와 망분리 수요는 증가할 것으로 보인다.

이로인해 지난해 전년 대비 약 40%까지 망분리 매출이 증가했으며, 올해 망분리 시장과 요구가 더욱 확대됨에 따라 시군구청 등의 지자체와 SMB 부분에까지 시장이 확대될 것으로 보인다. 틸론은 지난 해 지자체 최초로 부산시청 망분리 시범 사업을 성공적으로 완료하는 등 한 발 앞서 신규 시장에 대응하고 있다.

지난 해 가상화와 망분리 사업 분야 수주 규모는 약 100억원으로, 올해는 지난해 성과를 토대로 시장을 넓혀 망분리 분야 매출 150억원, 전체 매출은 200억원을 목표로 하고 있다.

해외의 경우 ‘망분리’ 개념보다는 ‘자료유출방지’에 초점을 두고 정보보호사업이 진행되고 있다. 전자는 네트워크를 분리하는 데 중점을 둔다면, 후자는 침해로 인한 피해를 방지하는 데 중점을 두고 있다고 할 수 있다.

국내는 클라우드 컴퓨팅 자체가 타 IT산업과 달리 ‘규제’의 대상으로 여겨졌기 때문에 그 도입과 활성화가 매우 미진했다. ‘클라우드 발전법’을 통해 관련된 각종 규제들을 이제야 조금씩 풀어가고 있는 실정이다. 클라우드 선진국이라 불리는 미국/일본/영국 등은 해당 산업의 87%를 정부가 발주하고 있기 때문에 우리나라는 이제야 그 태동기라고 볼 수 있다.

우리나라에만 존재했던 ‘물리적 망분리’의 기형적인 모습들이 각 대형 은행과 카드사, 한수원 해킹, 최근 행자부 성적 조작 사건 등 매우 좋지 않은 결과로 귀결되고 있어, 그 실효성에 많은 문제점을 내포하고 있었다. ‘보안 가상화’라는 이름으로 하이브리드 클라우드 컴퓨팅(Hybrid Cloud Computing) 분야를 발전 시켜온 선진국과는 정 반대의 행보를 해왔던 셈이다. 이제 물리적 망분리가 자취를 감춰가고 있어서 향후 클라우드 컴퓨팅 산업이 더욱 성장할 것으로 예상된다.

수년 전부터는 물리적 망분리가 갖는 여러 불편 사항, 과다한 비용과 해외, 지방 지사 관리의 어려움 등으로 데스크톱 가상화를 통한 망분리가 일반화 됐다. 불편함은 상당 부분 개선 됐으나, 국내 PC 환경이 가지고 있는 특징인 액티브엑스(Active X)나 보안 모듈과의 충돌, 메신저 등의 이용 편의성이나 기관 특성에 맞는 커스터마이즈가 필수적인 경우가 대부분이다.

틸론의 가상화 솔루션은 액티브엑스, 보안 모듈의 안정적인 지원과 함께 대규모 운영 환경에 적합한 관리 포털 등의 연계 기능을 지속적으로 개발하고 제조사에서 일원화된 커스터마이즈 정책을 제공하여 국내 망분리 요구사항에 최적화된 제품을 선보이고 있다.

망분리 도입 기업은 비용과 규제, 내부 불만에 동시에 부딪치게 된다. 1) 충분한 컴퓨팅 리소스 확보를 위한 비용과 2) 규제, 가이드라인 준수를 위한 불충 조건 해결, 3) 망분리 도입 시 인터넷 사용 제약에 따른 내부 불만이 모두 발생하게 된다. 이러한 과정에서 가격에만 중점을 둔 탓에 검증되지 않은 제품을 도입해 전사적인 업무에 차질을 빚거나 큰 문제가 발생할 수도 있고, CC인증 등 가이드라인을 준수하지 않아 책임을 묻게 되는 경우도 있다.

틸론은 2001년 창립 이래 16년 동안 시스템 소프트웨어 개발 능력을 기반으로, 신생 기업이 다가가기 어려운 분야에서 국내를 대표하는 기술지향형 회사로 성장해 왔다. 올해는 ‘수출하는 회사’를 목표로 가상화 분야 국내 1위를 넘어 일본과 동남아, 미주로 진출하는 것을 목표로 하고 있다.

성공적인 망분리를 위해서는 솔루션과 경험에 대한 검증이 무엇보다 중요하다. 틸론은 도입 검토 시 BMT(성능테스트)를 꼭 진행해야 한다는 점을 강조하고 있다. 공정한 테스트를 통해 기업과 기관은 가장 필요한 솔루션을 선정할 수 있는 근거를 얻고, 실력 있는 공급사도 국내 레퍼런스를 확보해 성능과 체력을 갖추고 더욱 좋은 솔루션을 공급할 수 있는 계기가 될 것이라는 이유 때문이다.

특히 올해 틸론은 일체형 제로클라이언트를 공개할 예정이다. 디자인과 금형 모두 틸론에서 투자, 제작하고 LG전자 자회사를 통해 국내 생산되며, 에어리어 방식 지문인식의 보안성과 블루투스, 피봇 편의성을 대폭 개선한 것이 특징이다.

▲ 틸론의 일체형 제로클라이언트

 

<틸론 적용사례>
유안타증권 망분리 시스템 구축 완료

틸론은 지난해 유안타증권의 인터넷 망분리 시스템을 성공적으로 구축했다. 유안타증권은 금융감독원의 지침 사항을 이행하고 자사 보안 역량을 강화하기 위해 망분리 시스템 구축을 시작했다. 이를 위해 제품 성능과 안정성, 그리고 편의성 등을 모두 평가한 후 틸론을 사업 파트너로 선정했다.

이번 사업은 금융업계 망분리 사업의 모범적인 모델이 될 수 있다는 점에서 관심을 모았으며, 증권사 최초로 전사 논리적 인터넷 망분리를 성공적으로 구축, 기존에 제기됐던 논리적 망분리에 대한 우려를 잠재우는 계기가 됐다는 평가다.

그동안 다수의 금융회사가 논리적 망분리 도입을 검토해 왔으나 먼저 구축한 사례를 지켜본 후 추진한다는 입장이 많았다. 따라서 이번 유안타증권의 안정적인 구축을 시작으로 금융권의 망분리 도입이 속도를 내게 될 것으로 전망된다.

유안타증권 망분리 사업에 도입된 틸론의 데스크톱 가상화(VDI) 제품 ‘디스테이션(Dstation)’은 중앙에 위치한 서버에 다수의 가상 데스크톱을 생성, 필요할 때 보안 정책에 따라 접속해 사용하는 방식의 가상화 제품이다. 틸론은 지금까지 다수의 공공기관과 대규모 사이트에 망분리를 구축한 바 있으며, 이번 사업을 통해 금융권으로 고객사를 넓히게 됐다.

틸론은 증권회사의 특성상 발생할 수 있는 여러 업무 패턴을 사전 분석해 고객의 차별화된 요구에 맞춘 솔루션을 제공했을 뿐만 아니라, 자동화 포털을 사용해 최소 인원으로 대규모 시스템과 사용자를 관리하는 효율적인 운영관리 시스템을 구축했다. 또한 서버당 가상머신(VM)을 평균 65개, 최대 75개까지 사용할 수 있게 구축함으로써 서버 구매 수량을 줄여 예산을 크게 절감했다.

서동일 유안타증권 팀장은 “기존 구축사례를 면밀하게 조사·분석하고 객관적 BMT를 거쳐, 논리적 망분리가 다수의 지점과 대규모 사용자에 적합한 방식이라는 판단 하에 채택하게 됐다”며, “기존 PC 환경과 동일한 업무환경을 제공하면서 보안을 강화하는 두 마리 토끼를 잡을 수 있게 됐다”고 말했다.

이승택 틸론 본부장은 “이번 사업의 성공적 완수가 외산 제품이 좋을 것이라는 금융권의 보수적인 선입견을 깨는 계기가 됐다”며 “망분리 사업은 고객사마다 다른 IT환경에 최적화된 솔루션을 제공하고 다양한 경험과 노하우를 갖춘 인력이 투입돼야 한다. 틸론은 15년간 축적된 가상화 기술력과 망분리 노하우, 서비스 지원 능력을 바탕으로 올해 말까지 20여 개 금융회사에 망분리를 구축하는 것을 목표로 하고 있다”고 밝혔다.

 

 
 자체 프로토콜과 네트워크 역량 갖춰

지난 2년간 40여 개의 금융 고객사에서 망분리를 위해 ‘시트릭스 젠데스크톱(Citrix XenDesktop)’을 선택했다. 금융권 망분리는 2015년부터 2016년까지 진행됐으며 대부분의 금융사가 프로젝트를 완료했거나 마무리 중에 있다. 단, 제2,3금융권에 아직 망분리를 하지 않은 고객사들도 있다.

해외의 경우 일본이 우리 나라와 유사하게 업무망과 인터넷 망을 논리적으로 분리하는 망분리 프로젝트를 하고 있으며, 다른 나라의 경우 망분리 개념보다는 보안을 위한 업무 VDI 구축을 하고 있다. VDI 자체가 OS 및 DATA를 데이터 센터 내의 서버에서 가동하는 개념이기 때문에 정보에 대한 보안이 강화된다.
도입 희망기업은 가격을 가장 큰 어려움으로 손꼽는다. 서버, 스토리지등 하드웨어가 많이 필요하기 때문에 프로젝트 비용이 높은 편이고 이를 부담스러워 한다. 시트릭스는 고객의 어려움을 해결하기 위해 다양한 방법의 접근을 통해 가격에 대한 부담을 줄이는 노력을 지속적으로 하고 있다.

물리적 망분리는 2개의 분리된 네트워크가 필요해 비용이 비싸고 PC도 2대씩 써야 하는 불편함이 있다. 반면에 논리적 망분리는 기존의 네트워크 구성을 최대한 유지하고 한 대의 PC에서 업무를 볼 수 있기 때문에 사용자의 편의성이 높아진다. 이 때문에 대부분의 금융사에서 물리적 망분리가 아닌 논리적 망분리 방식을 선택하고 있다.

제2금융권의 경우 프로젝트 규모가 제1금융권데 대비해 작지만 도입 품목이나 구성은 동일하다. 2015년 제1금융권에서의 노하우를 가지고 제2금융권은 비교적 수월히 구축 진행 중에 있다.

시트릭스는 국내외로 가장 많은 레퍼런스와 구축 사례를 가지고 있기 때문에 시장에서 검증된 솔루션이다. VDI의 핵심 기술은 화면값을 네트워크를 통해 클라이언트에게 잘 전달할 수 있는 프로토콜이라고 할 수 있다. 시트릭스는 자체 개발한 ICA 프로토콜을 이용해 최고의 성능을 내고 있다. 프린터 연결이나 주변 기기와의 호환성도 중요한 부분이며 이를 완벽히 지원하는 솔루션이라고 할 수 있다.

망분리는 금융권뿐 아니라 학교, 병원, 공공 시장에서의 요구 사항도 많이 있다. 망분리 관련 지속적으로 시장을 이끌어 나갈 예정이다. 최근에는 퍼블릭 클라우드에 대한 고객 요구사항이 많아짐에 따라 시트릭스 제품을 퍼블릭 클라우드상에서 서비스하기 위한 준비도 완료했다. 또한 시트릭스 또 하나의 사업 영역인 ADC(Application Delivery Controller) 시장에도 집중할 예정이다.

시트릭스의 ADC는 ‘넷스케일러(NetScaler)’라는 제품이며 기업에서의 안정적인 서비스를 위한 네트워크 스위치로 도입되고 있다. 넷스케일러를 통해 웹 가속 및 트래픽 방지, 서비스거부(DoS) 및 분산서비스거부(DDoS) 방어 기능을 제공한다. L7 기반 장비이기 때문에 통상적인 L4 장비가 막을 수 없는 애플리케이션 단의 공격들까지 방어할 수 있다는 것이 장점이다. 비정상적인 접속이나 무차별 인터넷 트래픽 패킷 유발을 차단하고 시스템을 안전하게 보호할 수 있다.

망분리는 클라이언트 단의 환경이 바뀌기 때문에 사용자 변화 관리가 매우 중요하다. 망분리 솔루션을 선정함에 있어 솔루션 자체의 성능은 물론 구축 경험과 노하우가 중요한 이유이다.


<시트릭스 적용사례>
한국광해관리공단, 전사적 망분리 및 스마트워크 환경 구축

한국광해관리공단(이사장 김익환)은 지난 달 시트릭스(한국지사장 이동운)의 데스크톱가상화(VDI) 솔루션을 도입해 전사적 망분리 및 스마트워크 환경 구축을 완료했다.

한국광해관리공단은 지난 2015년 12월 말부터 2016년 5월까지 총 150일간 진행된 이번 프로젝트로 스마트워크센터를 구축해 지방이전에 효율적으로 대처할 수 있게 됐으며, 장기적으로는 클라우드 도입과 활용이 쉬운 환경을 구축함으로써 정부의 클라우드 활성화 정책을 손쉽게 이행할 수 있는 기반도 마련했다.

또한 외부 해킹으로부터 개인정보 및 중요한 데이터를 안전하게 보호할 수 있는 환경을 갖추면서, 물리적 망분리 대비 17억 원의 예산을 절감했다. 5개 지사와 연구소 등으로 보직이 변경될 경우에도 PC를 재배치할 필요가 없어지고 인수인계가 간편해졌다. 보안패치 및 PC 업데이트 등 업무용 PC 관리 정책을 강화하면서도 중앙집중식 관리를 통해 업무는 최소화할 수 있게 됐다.

한국광해관리공단 정보관리팀 관계자는 “한국광해관리공단은 2차례에 걸친 컨설팅과 64개 기관의 망분리 사례를 검토, 국가보안규정을 준수하면서 장기적으로 클라우드로까지 확장할 수 있는 VDI 도입을 결정했다”며, “그 결과 물리적 망분리 대비 17억 원 수준의 예산을 절감했으며, 외부망 차단 및 스마트워크 기반 환경을 조성할 수 있게 됐다”고 말했다.

이번에 도입된 시트릭스의 ‘젠데스크톱’은 국제보안기구인 영국 통신전자보안그룹(CESG)으로부터 국제공통평가기준(CC) EAL2 등급을 획득한 바 있다. 시트릭스는 ▲가상화 접속 프로토콜 ▲접속 에이전트 ▲가상화 데스크톱 ▲데이터베이스 ▲접속 포털 ▲패스워드 관리 ▲가상화 접속시스템 관리 등 서버가상화 및 데스크톱가상화 전반에 대한 보안평가를 통과했다.

 

 
 오픈소스 기반 VDI 원천기술 확보

물리적 망분리까지 포함한 2017년 망분리 전체시장은 약 3,000억원 선으로 예상된다. 망분리 시장은 매년 30%에 육박하는 성장률을 보인다. 퓨전데이타의 작년 2016년 잠정 매출실적은 약 280억원이며, 이 중에서 50 ~ 60% 정도가 망분리 사업 매출이다.

국내 망분리 시장은 개인정보를 취급하는 공공, 금융, 의료, 교육 그리고 정보통신서비스 분야에 의무적으로 망분리를 구축하도록 규제돼 있으며, 이로 인해 매년 구축하고자 하는 기관과 기업이 증가하는 추세다. 업무망과 인터넷망을 분리하는 망분리 개념은 국내에서 최초로 도입됐으며 이미 상용화가 진행 중인 보안영역의 선도사업이다. 해외에서는 기밀자료 유통망과 일반 업무자료 유통망을 분리하여 사용하는 비슷한 개념이 있지만, 기밀자료 유통망도 외부와의 접점은 존재한다는 측면에서 내부망을 완전히 격리하는 망분리와는 차이가 있다.

도입 기업에게는 부족한 예산이 가장 큰 문제다. 풍족한 예산을 통해 H/W자원을 적절하게 배치하고, 할당되는 가상환경의 자원을 기존 PC 환경과 비슷하게 제공해준다면 완벽한 사용환경을 제공할 수 있다. 하지만 망분리 예산은 늘 부족하게 책정되고, 부족한 상황 속에서 최선의 결과를 도출해야 하기 때문에, 성능을 다소 포기하더라도 가상머신을 공유하는 등의 차선책을 통하여 구축하는 예도 있다.

물리적 망분리나 논리적 망분리나 망을 분리한다는 보안 효과는 같다. 망을 분리하는 기술 및 개념이 동일하게 적용되기 때문이다. 오히려 외부망과 내부망의 유일한 터널인 망연계 구간의 보안정책을 어떻게 가져가는지가 훨씬 중요한 부분이다.

물리적 망분리 방식의 단점은 크게 세 가지로 볼 수 있다.
첫째로 PC의 대수가 사용자만큼 늘어나고, 네트워크 회선도 두 배로 증설해야 하며, 내·외부 네트워크선을 바꿔서 꽂을 경우 등을 대비해 각종 보안 방비를 추가로 구성함에 따른 값비싼 비용이다. 둘째로 업무 공간이 협소해지고 두 개의 모니터를 번갈아가며 봐야 하는 사용자 불편함이 발생한다. 마지막으로, 관리자의 관리 포인트가 급격하게 증가한다. 기존에 1,000대의 PC를 관리하던 관리자가 2,000대의 PC를 관리하면 업무에 로드가 생기고 이는 근로자의 생산성 저하라는 결과를 초래하게 된다.

결국은 기존의 네트워크망을 활용하고, 1대의 PC로 망분리를 구현하며, 일괄적으로 가상환경을 제어할 수 있는 VDI 기반의 망분리 방식이 최적의 방법이다.

퓨전데이타는 자체적으로 제품개발에 성공해 오픈소스기반의 원천기술을 보유하고 있으므로 시장에서 원하는 제품 공급과 커스터마이징이 원활하다는 장점이 있다. 또한, 관리자가 중심이 돼 가상환경을 관리했던 과거의 방식과 달리, 현재는 가상환경을 사용자와 관리자가 커뮤니케이션을 통해 운용할 수 있도록 자동화 포탈기능까지 내장해 IT 관리자의 부담을 한층 더 완화할 수 있다.

VDI 기술은 원래 클라우드 서비스 구현에 핵심이 되는 기술이다. 그래서 VDI기반의 망분리 구축 역시 큰 기술적 범주로 본다면 프라이빗 클라우드(Private Cloud) 기술의 한 종류로 볼 수 있다. 그리고 최근 클라우드 기술의 중요성이 대두함에 따라 VDI 기술도 함께 진화하고 있다.

기존에는 서버, 스토리지, 네트워크 스위치 등 각종 H/W장비를 구성하고 그 위에 VDI 솔루션을 설치해 시스템을 구성했다. 고객 입장에서는 이에 따른 비용과 확장성이 많이 부담되는 상황이다.

퓨전데이타는 이러한 가상화 시스템의 고질적 한계를 극복하고자 한다. HW 고유의 기능을 소프트웨어적으로 구현할 수 있는 하이퍼컨버지드 기술을 활용해, 어플라이언스 장비만 증설하면 바로 VDI 구성이 가능하도록 비즈니스모델을 개선하고 있다. 고객은 이를 통해 구축비용을 절감하고 구축시간을 단축할 수 있는 효과를 볼 수 있게 된다.

망분리 시장은 의무화 규정을 넘어 보안을 강화하고자 하는 기업이 자발적으로 구축하는 상황까지 확대되고 있다. 성공적인 망분리 구축을 위해선 여러 방법이 존재하겠지만, 크게 세 가지 정도로 요약된다.

첫째, 구축 경험이 많은 회사와 함께 해야 한다. 망분리는 기업의 IT 인프라를 변화시키는 사업이다. 기업의 전산실은 업종과 규모에 따라 그 구성이 천차만별이다. 어떤 곳은 본점보다 지사나 영업점 구축대상이 많고, 어떤 곳은 전산실이 두 군데에 구성된 곳도 있으며, 어떤 곳은 해외에 전산실이 구성돼어 있는 경우도 있다. 이런 특성들을 자주 경험한 망분리 구축 업체와 함께해야 시스템 분석/설계단계에서 착오가 생기지 않고 원활히 사업을 진행할 수 있다.

둘째, 사용자와 관리자에게 편의성을 제공할 수 있는 제품을 선택해야 한다. 망분리 사업은 사용자나 관리자의 업무환경을 통째로 변화시킨다고 봐야 한다. 당연히 불편함이 뒤따를 수밖에 없는 부분이다. 결국, 망분리 구축에 따른 직원 생산성을 얼마나 유지할 수 있느냐는 제품의 기능과 성능에 기인하게 된다. 수천, 수만 대의 가상 환경을 효율적으로 관리할 수 있고, 사용자에게 불편함을 유발하지 않는 것이 성공적인 망분리 구축에 중요한 핵심요소라고 할 수 있다.

셋째, 그 무엇보다도 망분리 시스템 구축 후, 사후관리가 중요하다. 망분리 사업을 완료했다 하더라도 사후관리를 철저히 하지 않으면, 결국 업무망과 인터넷망 간에 빈 틈이 생기게 되고, 이는 심각한 문제를 초래할 수 있는 원인이 된다. 실제로 망분리 구축 후 불편해진 업무환경 때문에, 특정 임·직원 PC를 과거처럼 내·외부망을 모두 이용할 수 있게 해두었다가 발생한 사고가 보도된 적이 있다. 이처럼 망분리 시스템의 원칙은 직원의 고하를 막론하고 지켜져야 하며, 보안의식을 높일 수 있도록 꾸준한 직원교육도 병행해서 진행해야 한다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지