정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 의해 2월18일부터 정보통신사업자들은 내부망과 외부망의 망분리 환경을 구축해야 한다. 이에 따라 망분리 시장에 총성없는 전쟁이 시작됐다. 특히 망분리 시장의 리더였던 안랩이 주춤하는 사이 경쟁기업들이 뛰어들면서 새로운 시장구도를 만들어나가고 있다. <편집자>
정보통신사업자의 망분리 의무화가 본격적으로 시작되면서 망분리 시장의 2차대전이 시작됐다. 망분리 의무화 대상 기업은 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있으며, 이용자 수가 일일평균 100만명 이상인 정보통신 사업자, 또는 정보통신서비스 부문 전년도 매출액 100억원 이상인 정보통신 서비스 제공자는 사내망과 외부망을 분리해 개인정보를 보호하도록 했다.
망분리는 업무망과 외부망을 나누어 네트워크를 사용하는 방법으로, 내부정보와 개인정보 유출을 방지하기 위해 도입된다. 외국에서는 비용효율성과 업무 생산성 향상을 위해 데스크톱 가상화(VDI)를 사용하지만, VDI는 가상PC로 업무를 수행하는 방식으로 우리나라 망분리 요건과는 개념이 다르다.
공공시장의 망분리 사업은 최근 몇 년간 뜨거운 감자였다. 많은 기업들이 독자적인 솔루션을 내놓고 경쟁을 벌여왔지만, 결국 대규모 사업은 안랩이 상당수 차지하고 미라지웍스, 틸론 등 국내 기업들이 각축전을 벌여왔다.
VM웨어, 시트릭스 등 VDI 솔루션 기업들도 망분리 시장에 적극적으로 뛰어들었지만, 공공시장에서는 큰 성과를 보지 못했다. 공공시장은 토종 솔루션을 우대하는 경향이 강하고 가격경쟁과 커스터마이징 요구가 많기 때문에 토종 솔루션의 민첩성과 유연함을 따라가지 못한 것이다.
그러나 최근 시작된 망분리 사업은 공공기관이 아닌 일반기업이기 때문에 외산 솔루션들도 충분히 승산이 있다고 판단하고 있다. 예산과 감사에 민감하게 반응해야 하는 공공기관과 달리, 일반 기업들은 비용보다 성능·안정성 등을 추구하기 때문에 글로벌 대규모 VDI 구축경험을 가진 외산 솔루션도 충분히 승산이 있다고 전망하는 것이다.
또한 VM웨어의 모회사인 EMC가 클라우드 컴퓨팅 사업의 일환으로 VDI 사업을 적극적으로 추진하고 있으며, 지난해 VDI를 위한 전용 어플라이언스를 출시하고, VDI 컨설팅과 구축·서비스 사업을 적극적으로 펼치고 있어 주목된다.
IBM도 다양한 기업의 IT 컨설팅과 서비스, 클라우드 컴퓨팅 구축 경험과 전문성 등을 들어 VDI 경쟁력을 강조하고 있으며, 국내 망분리 사업에 최적화된 전용 솔루션을 출시하고 본격적인 영업을 시작했다.
PC 가상화 이용한 망분리 ‘대세’
망분리는 물리적으로 행정망(내부망)과 외부망(인터넷망)으로 나누는 물리적 망분리와 가상화 기술을 이용해 한 대의 PC를 두 대처럼 쓰는 방법으로 구분된다. 물리적 망분리는 다시 PC를 두 대 쓰는 방식과 업무용 외장하드나 인터넷용 외장하드를 두고 망전환장치를 이용하는 방법으로 나뉘며, 논리적 망분리는 서버에 가상 데스크톱을 두고 원격에서 접속하는 서버기반 컴퓨팅(SBC)과 PC에 가상화 영역을 설치하고, 외부와 격리된 가상영역에서 외부 인터넷을 사용하는 PC 가상화 기술로 나뉜다.
물리적 망분리는 안전성이 높지만 비용이 많이 들고, 책상 위에 두 대의 PC를 두거나 외장하드를 사용해야 하기 때문에 불편하고 번거롭다. 논리적 망분리 중 SBC는 사용이 편리하지만 가상화 인프라 구축을 위한 고성능 서버와 대용량 스토리지를 도입해야 해 비용이 많이 든다. PC 가상화는 사용하던 PC를 그대로 사용할 수 있어 비용이 적게 들고 사용이 편리하다.
4가지 방식 모두 장단점이 있기 때문에 어느 방식이 절대적으로 옳다고 할 수 없다. 다만 초기 망분리 사업은 PC를 2대 놓고 사용하는 방식의 물리적 망분리가 주를 이뤘으며, 최근에는 사용하던 PC를 가상화하는 방식의 논리적 망분리가 주로 채택되고 있다.
망분리는 우리나라에만 있는 독특한 PC 사용 환경이다. 해외에서는 SBC의 하나인 데스크톱 가상화(VDI)가 유사한 기술로 제안된다. 그러나 VDI는 데스크톱 관리를 편하게 하기 위한 것이기 때문에 정보유출이나 해킹방지를 위해 구축하는 망분리와는 다른 측면이 있다.
VDI는 업무 생산성 향상과 모바일 오피스를 위해 제안된다. 중앙 서버에 할당된 가상PC로 업무를 하기 때문에 네트워크에 접속할 수 있으면 단말기의 종류에 상관없이 업무를 할 수 있다. 정부·공공기관에서 구축·운영중인 스마트워크센터는 대부분 VDI 방식의 가상 PC 환경을 구축해 공무원들이 외부 스마트워크센터에서도 자신의 PC에 접속해 사용할 수 있도록 한다.
데이터를 단말기에 저장하지 않고 중앙에서 체계적으로 관리할 수 있기 때문에 정보유출 방지에도 효과가 있으며, 데이터를 중앙에 집중시켜 데이터 수집 및 분석, 지식관리 시스템, 문서중앙화, 내부정보 유출방지 등 다양한 용도와 목적으로 이용할 수 있다.
VDI-PC 가상화, 망분리 장단점 고려해야
VDI는 VM웨어 ‘뷰’와 시트릭스 ‘젠데스크톱’이 대표적인 솔루션이며, 시트릭스는 프리젠테이션 가상화 기술을 기반으로 한 다양한 PC 가상화 제품을 공급해 사용환경에 따라 적합한 가상화 솔루션을 사용할 수 있다.
VM웨어는 안정적인 가상화 기술 기반의 제품을 공급하고 있다는 점과, 모회사인 EMC의 적극적인 지원, 다양한 에코 시스템을 경쟁력으로 내세운다. EMC는 클라우드 컴퓨팅 사업을 집중 드라이브하면서 컨설팅사업부의 전략 비즈니스 중 하나로 VDI 사업을 전개하고 있다.
EMC는 VDI에 필요한 하드웨어 인프라 일체를 공급할 수 있으며, 다수의 글로벌 고객 클라우드 사업의 컨설팅·수행 경험을 살려 VDI의 초기 설계부터 구축, 운영까지 도움을 줄 수 있다. EMC는 국내 대규모 은행과 콜센터, 병원 등 다양한 고객의 VDI 환경을 구축하면서, 컨설팅·서비스 전문성을 적극적으로 알리고 있다.
VDI는 BYOD를 위한 인프라로 꼽히는데, 모바일 단말기는 크기와 단말 제조사, OS와 OS 버전에 따라 사용환경이 달라서 업무 시스템을 사용하기 쉽지 않다. 직원 소유의 모바일 기기에 업무용 애플리케이션이나 보안 및 기타 정책을 위한 에이전트를 설치하는 것도 쉬운 일은 아니다.
가상 PC에 애플리케이션을 일괄적으로 설치하거나 특정 공간에서 공유하게 하고, 보안 및 기타 관리를 위한 에이전트도 가상PC에 설치해두면 보안정책과 관리정책을 일관성 있게 유지할 수 있다. 단말기마다 애플리케이션을 개발하지 않아도 돼 개발비용이 크게 낮아지며, 데이터를 중앙에서 관리하기 때문에 단말기를 분실했을 때, 혹은 악성코드에 감염돼 정보가 빠져나갔을 때도 기업의 중요정보를 보호할 수 있다.
그러나 VDI는 네트워크 트래픽이 증가하며, 초기 인프라 구축 비용과 VDI 솔루션 라이선스가 발생해 PC 가상화보다 많은 비용이 소요된다. 또한 VDI를 지원하는 상용 애플리케이션이 많지 않아 시스템 운영에 비용과 인력이 많이 소요된다는 단점이 있다.
PC 가상화는 PC에 가상화된 공간을 두고 물리적 환경과 가상환경의 연결을 막는 방식이다. 가상환경에서 업무를 수행하면 내부정보 유출방지를 위한 용도로 많이 사용하며, 가상환경에서 외부 인터넷에 접속하면 정통망법의 망분리 솔루션으로 활용할 수 있다.
PC 가상화는 데스크톱 리소스를 사용하기 때문에 고성능 서버가 필요없고, 네트워크 대역폭이 증가하지 않는다. 주로 국내기업 솔루션으로, 외산 VDI 보다 상대적으로 라이선스와 유지보수료가 저렴하고, 유연한 커스터마이징과 빠른 업데이트가 가능해 국내 환경에 최적화돼 있다.
PC 가상화는 정통망법의 망분리 요건에 부합되는 솔루션이다. 정통망법에서는 개인정보를 다루는 시스템과 외부 환경을 분리하도록 돼 가상영역에서 외부 인터넷을 사용하는 PC 가상화 환경이 적합하다.
공공시장 망분리 사업에서 상당한 성과를 올린 안랩의 ‘트러스존’은 PC 가상화 기술과 가상화 전용 장비(VTN)를 활용해 망분리 환경을 구축한다. 인터넷을 이용하는 가상환경에서 응용 프로그램을 동일하게 사용할 수 있고, 보안 걱정 없는 인터넷 뱅킹을 이용할 수 있다. 더불어 망분리 전용 하드웨어를 통해 업그레이드와 기술지원이 용이하다.
가상화 전문기업 미라지웍스는 가상영역에서 외부망을 이용하는 망분리 솔루션 ‘아이데스크’와 가상영역에서 업무를 수행하는 내부정보 유출방지 솔루션 ‘브이데스크’를 공급하고 있다. 아이데스크는 64비트 윈도우 운영체제까지 지원하며, USB 장치, 화면캡처 차단, 안정적인 확장이 가능하다. 운영중인 고객 인증 시스템과 연계해 정상적인 인증을 수행한 후 가상 데스크톱으로 실행할 수 있으며, VPN 인증과 연동할 수 있다.
망관리 솔루션으로 망분리 보안 강화
망분리 환경이 내부정보 유출 방지에 좋은 효과를 보이는 것은 사실이지만, 보안에 완벽한 환경이라고는 할 수 없다. 업무를 진행하다보면 인터넷망과 내부망을 함께 써야 할 경우가 많다.
예를 들어 공공기관의 대민서비스의 경우 외부 인터넷에 정보를 공개해야 하는데, 내부망에서 작성한 정보를 외부망으로 옮기려면 외부 저장매체에 저장하거나 이메일 등을 이용하는 방법을 사용해야 한다. 논리적 망분리 환경에서도 마찬가지로, 한 대의 PC에서 작성한 정보를 다른 망으로 옮기려면 외부 저장장치나 이메일 등의 방법이 필요하다.
망분리 사업을 할 때 내외부망간 정보가 오갈 때 업무를 편리하게 하기 위해 망연계 시스템이 함께 구축된다. 그러나 망연계 시스템이 있다는 것 자체가 망분리 취지에 어긋난다. 업무망과 외부망을 완벽하게 나눠 서로의 영역으로는 정보가 오갈 수 없도록 하는 것이 망분리를 구축하는 이유며, 내외부망을 연결시킨다는 전제는 망분리 이상에 반하는 것이다. 또한 망연계 시스템을 통해 내외부 정보가 불법적으로 유출될 가능성도 배제할 수 없다.
망분리의 또 다른 문제는 실제 데이터가 오고가는 물리적인 네트워크에 대한 보호 방법이 약하다는 것이다. 특히 PC 가까이에 위치한 L2/3 레벨에서는 네트워크 게이트웨이에 비해 보안이 상대적으로 소홀한 측면도 있고, 보안에 취약한 단말기가 악성코드에 감염됐을 때, 악성코드가 가상화 영역으로 침투하지 않는다고 장담할 수도 없다. 이미 클라우드 환경에서 가상화 하이퍼바이저 내부로 침투해 가상머신(VM)을 감염시키는 악성코드가 발견됐으므로, PC 가상영역으로 침투하는 악성코드는 더 쉽게 제작·유포될 수 있다.
망분리의 보안을 강화하기 위한 기술 중 하나로 망관리 솔루션이 주목받는다. 망관리 솔루션은 1990년대 말 물리적인 네트워크 관리와 IP 주소관리 기술을 제공하면서 발전하기 시작해 2010년까지 IP주소 관리와 IP/MAC 주소 제어에 포커스를 맞췄다.
2010년대에 들어서면서부터 IP관리는 보안 시장으로 적극 진출하고 있는데, IPv6 기반 네트워크가 발전하고, IP를 사용하는 단말기가 급증하면서 보안 요구사항도 대두되기 시작했다. 또한 U시티 등 사회기반시설도 IP를 기반으로 발전하고 있어 IP 주소에 대한 관리와 IP 충돌 방지, 장애예방, 보안 대책이 시급하게 됐다.
IP 관리 솔루션은 네트워크 접근제어(NAC) 분야로도 진출하고 있는데, 비인가 IP와 MAC 접근차단 정책을 제공할 수 있어 NAC의 기능을 일부 제공할 수 있이다. 망관리 환경에서는 L2/3 레벨에서의 보안 요구사항을 일부 수용할 수 있어 네트워크 보안을 강화할 수 있으며 가상환경에서 폭증하는 네트워크 트래픽을 효율적으로 사용할 수 있도록 한다.
넷맨의 ‘IP플러스’는 IP 주소와 MAC 주소, 호스트네임 정보를 실시간으로 자동수집해 IP 사용현황을 분석, 모니터링해 네트워크를 효율적으로 사용할 수 있도록 하고, 비인가 IP를 관리한다. 비인가 단말의 네트워크 접근을 차단하고, 네트워크 장비 및 서버 IP 충돌을 방지해 장애를 예방한다.
아이앤아이맥스는 에이전트리스 방식의 망관리 기술을 제공해 시스템 변경 없이, OS 영향 없이 망관리 솔루션을 적용할 수 있다. 이 회사의 ‘IP키퍼’는 국내 망분리 사업과 일본 NTT도코모에 공급됐다. 데스크톱가상화 환경에서도 버추얼 MAC 관리를 위해 IP키퍼가 사용된다.
에이전트 기반의 망관리 솔루션은 해커에 의해 장비가 무력화될 수 있지만 IP키퍼는 에이전트가 없어 해커의 공격대상이 없고, 자체적인 방어기능이 있어 망관리가 가능하다. 또한 IP키퍼는 블랙리스트 기반의 관리환경을 제공해 보다 강력한 보안환경을 제공한다.
스콥정보통신도 망관리 솔루션 ‘IP스캔’으로 망관리 이슈에 대응한다. 네트워크 사용자의 자원을 통합센터
에서 실시간으로 총괄운영하며, 사용자 IP에 대한 상세정보를 제공하고, 비인가 IP와 MAC을 차단한다. IP 충돌 보호와 주소변경 금지 기능을 제공하며, 미사용 IP 주소를 관리해준다.
