망분리가 의무화 된 공공·금융기관 뿐 아니라 의무 대상이 아닌 일반 기업들도 망분리를 구축하면서 망분리 시장에 다시 관심이 쏠리고 있다. 기업/기관들은 지능형 사이버 공격을 방어하는 방법 중 하나로, 인터넷 접점을 제거하고자 하고 있으며, 그 방법 중 하나로 업무망에서 인터넷 연결을 제한하는 망분리를 구축하고자 한다.<편집자>
VDI 기반 망분리, ‘VM웨어 vs 시트릭스’ 양강구도
토종 솔루션 기업들이 VDI 시장 공략을 강화하고 있지만, 현재 VDI 기반 망분리 시장은 VM웨어와 시트릭스가 매우 높은 점유유을 차지하고 있다. VM웨어는 서버가상화 전문기술을 기반으로, 시트릭스는 애플리케이션 가상화 전문 기술을 기반으로 VDI 솔루션을 발전시켜왔으며, 전용 프로토콜을 각각 자체개발해 전송속도 문제를 해결해왔다. 엔비디아 vGPU를 적용시켜 CAD와 같이 그래픽 집약적인 업무에도 VDI를 적용해 보안을 강화할 수 있도록 한다.
VM웨어는 가상화 기반 소프트웨어 정의 네트워크 솔루션 ‘NSX’를 VDI에 접목해 네트워크 운영과 보안 구성을 단순화 할 수 있도록 한다. 농협은행, 기업은행 등 제1 금융권 뿐 아니라 공공기관, 병원, 제조기업 등에서 VDI 시스템을 구축하면서 시장을 확장해나가고 있다.
시트릭스는 금융시장을 중심으로 강세를 보이고 있으며 특히 국내 최대규모 망분리 사업으로 꼽히는 H금융그룹은 5개 계열사의 망분리 통합사업을 진행하고 있다.
미래에셋생명의 경우, 보안의 목적으로 본사에 1차 도입했다가 전국 46개 거점지역으로 확대해 스마트오피스 환경을 구현했다. 이를 통해 금융감독원의 망분리 권고에 대응하는 환경을 갖추면서 본사 및 설계사 인력들이 외부에서 모바일을 통해 보험설계 업무 시스템을 활용하는 가상 데스크톱 환경을 구현했다.
시트릭스는 모바일 업무 구축 시 전통적으로 강점을 갖고 있는 애플리케이션 가상화 솔루션 ‘젠앱’을 이용해 모바일 업무의 편의성과 보안성을 높였다고 강조한다.
이형봉 시트릭스코리아 이사는 “시트릭스는 단말에 대한 가상화 전문 기술을 가진 기업으로, 솔루션의 완성도가 높아 고도의 안정성과 보안성, 편의성을 요구하는 금융시장에 가장 많은 성공사례를 갖고 있다”며 “특히 국내 사용자의 요구에 맞게 유연한 커스터마이징을 지원하며, 본사에서도 국내 고객의 요청을 적극적으로 수용하고 있어 고객 만족도가 높다”고 말했다.
망분리·스마트워크 가능한 VDI, 은행권 도입 활발
VM웨어와 시트릭스는 자사의 VDI 솔루션을 이용해 망분리와 스마트워크가 동시에 가능하다는 점을 강조한다. 최근 금융기관은 하나의 컴플라이언스만을 위한 포인트 솔루션 도입을 지양하고, 장기적으로 운영 가능한 시스템으로 구축하고자 한다. 단일 가상화 플랫폼으로 망분리 요건을 만족시키면서 외부에서도 다양한 모바일 기기로 업무를 진행할 수 있어 일석이조의 효과를 볼 수 있다.
망분리 서버에는 인터넷 전용 가상PC를, 업무용 서버에는 업무용 가상PC를 할당해 사용자의 권한과 업무 특징에 맞춰 배포하는 방식으로 두마리 토끼를 잡을 수 있다. 양사는 모두 해외에서 VDI를 이용한 스마트워크 구축 사업을 오랫동안 성공적으로 전개해왔다는 점을 강조하면서 다양한 업무환경 지원을 요구하는 국내 고객도 만족시키고 있다고 주장한다.
망분리 의무화 적용대상이 아닌 제조, 유통 등의 기업에서도 VDI를 이용해 망분리와 스마트워크를 동시에 진행하고자 하는 수요는 꾸준히 늘고 있다. 사용자가 어느 단말을 이용해 어느 위치에 있든지 상관없이 업무망에 접속할 수 있으며, 동시에 보안을 강화할 수 있는 VDI의 이점을 활용할 수 있게 됐다.
“VDI vs 스마트워크, 병행할 수 없는 상이한 환경”
VDI를 이용해 망분리와 스마트워크를 동시에 구축한 사례에 대해 국내 CBC 업계에서는 “망분리와 스마트워크는 근본적으로 배치되는 개념이기 때문에 동시에 운영할 수 없는 환경이다. 해당 사례는 스마트워크에 방점이 찍혀있는 것이지, 망분리는 아니다”고 주장한다.
이창열 브이엠솔루션 대표이사는 “망분리는 망을 폐쇄시키는 것이고, 스마트워크는 오픈하는 것이다. 두 개념이 완전히 다르다”며 “하나의 솔루션으로 보안과 편의성을 만족시킨다는 이상은 좋지만, 망분리 요건을 충실히 따르지 않는 것”이라고 비판했다.
외부에서 모바일 기기로 업무서버에 접속해 업무를 수행할 때 인터넷망을 이용한다. 인터넷 망과 업무망을 분리하는 것이 망분리이므로, 모바일 기기로 인터넷망을 이용해 업무망에 접속한다면 망분리 요건에 어긋나게 된다.
9월 발표된 전자금융감독규정 시행세칙 망분리 예외조항에 따르면 보험설계사나 외주직원이 소유한 단말기로 금융회사 내부망에 연결하는 경우에도, 망분리 대상에 포함된다고 적시돼 있다. 다만 내부망과 분리된 망(DMZ 등)에 위치한 시스템에만 접속하는 경우에는 망분리 대상에 포함되지 않는다. 이 예외조항을 이용해 금융권의 아웃도어세일즈(ODS) 인력이 이용하는 모바일 기기는 망분리 단말에서 제외돼 스마트워크가 가능한 것으로 해석될 수 있다.
VDI 기반 망분리는 서버가 인터넷에 연결되기 때문에 인터넷 사용환경에서는 망분리 안했을 때나 마찬가지로 해킹 위협에 노출된다. 인터넷만 사용하는 PC는 고사양 하드웨어를 필요로 하지 않기 때문에 한대의 서버에 많은 가상PC를 구동시키는데, 이 서버가 감염되면 모든 가상PC가 감염될 수 있고, 망연계 시스템을 통해 업무망에도 영향을 미칠 수 있다.
남승우 미라지웍스 대표는 “사용자에게 배포된 VM은 인터넷 연결이 자유로우며, 국내 인터넷 환경에서 사용자는 VM 관리자 권한을 갖게 된다. 공격자가 관리자 권한을 이용해 VM에 악성코드를 설치하면 같은 네트워크의 다른 VM에 순식간에 전파될 수 있다. 대규모 DDoS 공격인 좀비PC가 발생할 위험이 높다”고 말했다.
그는 “글로벌 VDI 솔루션은 전 세계 해커의 공격대상이며, 보안 패치가 완료된 취약점이 공개돼 있기 때문에, 패치를 적용하지 않은 시스템을 대상으로 취약점 공격을 할 때 성공률이 높다. 이 취약점으로 게스트OS를 해킹하면 하이퍼바이저 해킹이 가능하고, 해당 서버의 모든 가상PC를 감염시켜 내부로 확산하는데 용이하다”며 “VDI 서버가 인터넷에 연결돼 있는 이상 보안 취약점은 해결할 수 없을 것”이라고 주장했다.
