[컴퓨터월드] 3.20 전산대란 이후 1년이 지났지만 우리나라 정보보호 수준은 여전히 취약하고 위험한 상태다. 최근 카드사 고객정보 유출사고와 같은 사이버범죄 위협이 계속되고 있으며, 애플리케이션에 대한 공격보다 운영체제(OS) 쪽을 노린 공격이 늘어나고 있는 등, 알려지지 않은 취약점을 노린 공격에서 더 큰 피해가 발생하고 있다.

최근 사이버테러는 APT(지능형지속공격) 공격 형태로 특정 목적을 이루기 위해 공격 대상 시스템에 장기적으로 은밀히 침입하여 공격함으로써, 방화벽이나 침입차단시스템(IPS) 등과 같은 전통적인 보안 솔루션만으로는 방어하기가 어려워졌다.

따라서 진화하는 보안 위협에 대응하기 위해서는 인터넷으로부터의 보안 위협 자체를 차단하는 망분리가 좋은 해법으로 조명 받게 됐다. 특히 대규모 보안사태가 발생할 때마다 망분리 의무화가 강조되는 등 망분리의 중요성이 높아지고 있다. 그러나 망분리만 진행하면 보안 문제가 사라지는 것은 아니다. 망분리와 함께 외부 자료전송에 대한 권한 관리, 인터넷 PC에 대한 데이터 유출 방지 등 추가적인 보안대책이 반드시 필요하다.

주목받고 있는 논리적 망분리

망분리는 크게 물리적 방식과 논리적 방식으로 구분된다. 논리적 방식은 다시 서버 기반의 SBC(Server Based Computing) 방식과, 클라이언트 기반의 CBC(Client Based Computing) 방식으로 구분된다. 어떠한 방식과 제품을 선택할 것인지는 보안성 및 안전성(호환성)과 경제성 등을 고려하여 검토하는 것이 필요하다.

물리적 망분리는 보안성과 안전성이 가장 좋은 반면, 새로운 망을 구축하고 인터넷용 PC를 추가로 사용해야 한다는 단점이 있다. 매체제어 등 추가적인 보안 솔루션을 통해 PC 사용을 통제하고 자료유출 방지를 위해 암호화를 해야 하는 등 업무 효율성과 경제성에 대한 문제점도 있다. 게다가 최근 불고 있는 그린 IT 방침에 역행한다. 가상화 기술을 사용한 논리적 망분리가 주목받고 있는 이유다.

3.20 전산대란 때는 업무용 PC의 마스터 부트 레코드(MBR)가 파괴되어 작동이 멈춘 뒤 부팅이 되지 않은 상황이 발생했다. 이와 같은 유사 사례 방지를 위해서 OS와 MBR이 반드시 분리된 제품이 선택될 필요가 있다.

SBC 방식은 서버에서 가상 PC를 구동하고 사용자는 씬(Thin)클라이언트 및 제로클라이언트로 접속해 사용하기 때문에 중앙 집중화된 관리가 가능하다. 그러나 SBC 방식은 기본적으로 가상 PC를 구동하기 위한 서버와 SBC 솔루션 비용이 가장 큰 영향을 끼친다.

일반적으로 서버 당 약 30명 정도의 사용자를 할당하게 되며 개별 OS를 설치하기 위한 스토리지 공간에 따라서 SBC는 비용 차이가 많이 발생한다. 이와 별도로 SBC 서버를 운영하기 위한 별도의 운영 관리 비용과, 물리적 망분리와 동일하게 OS 및 소프트웨어에 대한 추가 라이선스 비용 등 초기투자 및 유지보수 비용이 들어간다. 대량의 네트워크 트래픽도 발생하기 때문에 새로 인프라를 구축해야 하는 경우 추가적인 투자비용까지 필요해 부담스럽다는 점도 있다.

CC인증 받은 논리적 망분리 솔루션 ‘VMFort’

반면 CBC 방식은 사용자 PC에서 가상 PC를 구동하여 사용하기 때문에 기존 IT 인프라의 변화가 거의 없으며, 기존 PC 사용방식과 동일하고, 관리 및 운영이 단순하고 편리하다.

일반적으로 관리서버와 보안게이트웨이만 추가되고, 기본적으로 보안 솔루션 관점에서 출발해 매체제어, 화면 캡처 방지 및 보안 정책 관리, 내부 저장소 암호화 등을 포함한 경우가 대부분이다. 때문에 보안 방식에 대해서 추가로 도입할 솔루션이 앞선 두 가지에 비해서는 많지 않고, 클라이언트 라이선스 방식이므로 초기투자 및 유지보수 비용이 매우 저렴하다.

최근에는 MS 라이선스에 대한 이슈가 정리되면서 구축 및 유지보수 비용이 저렴하고, 운영 및 관리가 단순하며, 논리적 망분리 방식 중 가장 보안성이 우수한 솔루션으로 각광받고 있다.

CBC 방식은 애플리케이션을 가상화하는 방식과 2개의 다른 OS를 사용하는 방식으로 구분한다. 애플리케이션 가상화는 사용자 PC의 리소스를 적게 사용한다는 장점이 있으나, 애플리케이션 호환성을 위해 지속적인 패치가 필요하고, OS와 MBR이 별도로 분리되지 않다는 걸림돌이 있다. 반면 2개의 다른 OS를 사용하는 방식은 OS와 MBR이 별도로 분리되어 있어 애플리케이션 호환성에 대한 문제가 없고, 보안성이 우수하다. 이와 같이 2개의 다른 OS를 사용하고 CC인증을 받은 망분리 솔루션으로는 브이엠크래프트의 ‘VMFort’ 제품이 있다.

VMFort는 논리적 망분리 솔루션으로 CC인증을 획득한 제품이다. 논리적 망분리 솔루션의 경우 물리적 망분리 수준의 보안성이 요구되는 만큼 CC인증 획득과 보안성 검토가 중요하다. 브이엠크래프트의 VMFort 솔루션으로 망분리를 구축할 경우, 인터넷 접속이 필요할 때 가상 PC를 띄워 보안게이트웨이를 통해 인터넷을 사용하면 된다.

망분리 솔루션을 이용하면 외부로부터의 해킹과 바이러스로부터 인터넷 PC(가상 PC)가 공격을 당해도 업무 PC(실제 PC)에는 지장이 없다. 또한 외부 위협으로 인한 가상 PC가 피해를 입더라도 신속하게 복구가 가능하다. 이를 위해서 VMFort는 사용자 메뉴에서 백업 및 복구 기능을 제공하여 신속하게 대응할 수 있도록 한다.

CBC방식은 SBC방식 대비 구축비용이 저렴할 뿐만 아니라 ▲관리와 운영이 간단하고, ▲다양한 운영체제를 지원하며, ▲1대의 PC에서 4개의 가상 PC를 운영할 수 있고, ▲업무 PC 데이터의 외부유출이 불가능하다는 장점이 있다.

VMFort의 특장점

1. 보안성

업무망과 인터넷망을 완전히 분리하기 위해서는 네트워크 정보가 완전히 분리되어 있어야 하고, 업무 PC와 인터넷 PC가 완전히 분리되기 위해서는 OS, MBR, 파일시스템, 프로세스, 메모리가 완전히 분리되어 있어야 한다. 이를 만족하기 위해서는 애플리케이션 가상화 기술보다 앞선 하이퍼바이저(Hypervisor) 가상화 기술이 적용돼야 한다.

VMFort는 하이퍼바이저 가상화 기술을 적용한 HW레벨 가상화 제품으로 OS, MBR, HW가 분리되어 있다. 실제 PC와 가상 PC의 MBR이 완전히 분리되어 있어 가상 PC의 MBR이 파괴되어도 실제 PC에는 영향이 없어 업무 연속성을 보장한다.

또한 OS가 분리되어 있어 다양한 OS를 지원할 뿐만 아니라 윈도우 XP 환경에서 윈도우 7, 윈도우 8을 사용하는 크로스플랫폼이 가능하다. 전자금융사기에 대응할 수 있도록 가상 PC에서 이용 PC 지정서비스가 가능하며, 가상 PC와 실제 PC는 각각 별도의 PC로 등록이 가능하다.

2. 안정성(호환성)

논리적 망분리 검토에 있어서 액티브엑스(Active-X) 등 충돌 문제로 인한 인터넷뱅킹, 증명서 인터넷 발급 등 인터넷 사용 제약, 보안모듈 및 SW 충돌 문제로 인한 인터넷망 보안정책 적용 제약 및 업무 SW 사용제약이 없어야 한다. 또한 활성 디렉토리(Active Directory) 등 인증서버 연동이나 싱글 사인 온(SSO) 연동 문제와 추가적인 망연계 솔루션 등과의 연동 호환성 문제에서 자유로워야 한다.

VMFort는 OS가 분리되어 있어 액티브엑스, DRM/DLP 등 보안모듈 설치 및 윈도우 업데이트 시에도 충돌이 없어 구축 시나 사용 중인 기간에도 별도의 커스터마이징이 필요하지 않다.

3. 편의성

논리적 망분리 구축을 위해 추가적인 인프라 구축 및 증설, 업무환경 변화를 최소화해야 하고, 중앙 집중 관리가 가능하여 한다. 가상 PC가 실제 PC의 리소스를 사용하므로, 가상 PC 사용 시 불편함이 없도록 리소스를 최소한으로 사용하면서 사용자가 속도에 대한 변화를 체감할 수 없어야 한다. 또한 외부로부터의 공격이나 악성코드 감염으로 인한 장애 시 복구가 편리해야 한다.

VMFort는 사용자가 가상 PC를 일정 시간 동안 사용하지 않으면 자동으로 가상 PC 세션을 종료할 수 있는 기능을 제공하며, 실제 PC 리소스 사용에 대한 임계치를 적용하고 범위 내에서 유동적으로 할당하여 사용한다.

브이엠크래프트는 CBC 방식의 논리적 망분리 솔루션의 첨단 기술을 보유하고 있다. 하이퍼바이저 가상화 기술을 적용한 VMFort는 MBR을 2개로 만들어 3.20 전산대란과 6.25 사이버테러와 같은 상황에서도 업무망 PC는 안전하게끔 물리적 망분리와 동일한 보안성을 보장한다. VMFort는 금융감독원, NH농협증권, 현대홈쇼핑, 삼성SDS, SBS콘텐츠허브, 고려제강, 국립환경과학원, 국가기록원, 국립수산과학원 등에서 사용되고 있다.