효율적인 망분리 사업 위해 다양한 각도로 고려해야
[컴퓨터월드] 지난해 제1금융권에 이어 올해까지 제2금융권 망분리 사업이 완료돼야 함에 따라 아직 사업을 진행하지 못한 제2금융권을 두고 업체와 고객간 움직임들이 분주해지고 있다. 각 솔루션 제조사 또는 파트너사들은 금융권 망분리 사업과 관련된 세미나 또는 콘퍼런스를 개최하면서 자사가 보유한 솔루션 홍보에 열을 올리고 있으며, 금융권 IT담당자들은 최근 망분리 사업의 트렌드와 타사 구축사례 등을 파악하면서 어떻게 사업을 진행해야 할지를 고민하고 있다. 이에 본지에서는 금융권 고객들이 좀 더 효율적인 망분리 솔루션 또는 방식을 선택할 수 있도록 업계와 시장에 퍼져 있는 ‘망분리에 대한 편견과 오해’들에 대해 정리해봤다.
금융당국이 권고한 대로 올해 말까지 망분리 적용을 의무화해야하는 제2금융권들의 움직임이 분주해지고 있다. ‘금융전산 보안 강화 종합대책’에 따라 전산센터는 대부분 물리적 망분리 적용을 끝냈더라도, 본점과 영업점까지 모두 망분리를 적용하지 못한 곳이 대부분이기 때문이다.
그래도 금융사들 사이에서도 이미 발 빠르게 사업을 시작해 구축 완료를 눈앞에 두고 있는 곳이 있는가 하면, 아직 사업 발주조차 내지 못한 곳들도 있는 것처럼 편차가 존재한다. 그럴 수밖에 없는 이유가 처음부터 확실하게 사업 방향과 예산을 설정해두지 않았다면, 한정된 예산으로 얼마나 비용 효율적으로 사업을 진행할 수 있을지에 대한 확신을 세우기가 쉽지 않기 때문이다. 이 때문에 금융권에서는 특히 타사에서 진행한 레퍼런스를 참조하는 경향이 크며, 이를 알고 있는 업계에서는 금융권 레퍼런스를 만들기 위해 안간힘을 쓰고 있는 것이다.
잘 알려진 것처럼 망분리는 크게 물리적 방식과 논리적 방식으로 나뉘며, 논리적 방식도 데스크톱 가상화(VDI)를 이용한 서버기반 컴퓨팅(SBC) 방식과 클라이언트기반 컴퓨팅(CBC) 방식으로 나뉜다.
각각의 망분리 방식은 <표 1>에서처럼 고유한 특징들을 갖고 있다. 다만 이러한 특징들은 그동안 그래왔거나 대체적으로 그래왔다고 알려져 있을 뿐이지, 항상 그러하다는 것은 아니다. 물리적 망분리를 적용했다 하더라도 논리적 망분리에 비해 보안이 취약할 수 있으며, VDI 방식도 적용 대상과 범위에 따라 결코 비용 효율적이지 않을 수도 있다.
그렇다면 지금까지 알려져 있는 망분리 방식별 업계와 시장에서 갖고 있는 편견과 오해들에 대해 살펴보도록 하자.
1. 망분리를 적용하면 보안 위협으로부터 안전하다?
결론부터 말하자면 반은 맞고 반은 틀리다. 망분리를 적용하는 이유는 업무망과 인터넷망을 분리시켜 인터넷망을 통해 침투하는 외부 공격으로부터 업무망을 지키기 위함이다. 물론, 망분리를 적용하면 원하는 효과는 얻을 수 있다. 그렇지만 망분리가 적용됐다고 해서 결코 안심해서는 안 된다는 이야기다.
보안업계에서 가장 흔하게 들을 수 있는 말은 “100% 완벽한 보안은 없다”다. 물론 100%를 추구해야겠지만, IT환경이 갈수록 다양해지면서 복잡해지고 있기 때문에 기술적인 부분뿐만 아니라 관리·운영적인 부분에서 많은 허점이 발생하고 있다.
물리적 망분리 방식은 2대의 PC를 이용해 업무망과 인터넷망을 완전히 나눠서 이용하기 때문에 외부 침입으로부터 내부에 있는 업무망을 보호할 수 있다. 그렇다고 해서 관리·운영을 소홀히 해서는 안 된다. 인가되지 않은 USB를 업무PC와 인터넷PC에서 임의로 이용하는 행위는 외부에서 침입한 악성코드 등을 내부 업무망으로 옮길 수 있기 때문에 금지돼야 한다. 지금껏 발생했던 많은 보안 사고들이 사람에 의해 발생한 인재(人災)가 더 많았다는 사실은 항상 기억하고 있어야 한다.
2. 국산 제품보다 외산 제품이 뛰어나다?
망분리 업계에 가장 흔히 알려진 편견이자 오해 중 하나를 꼽자면 바로 “외산 제품이 국산 제품보다 더 뛰어나다”일 것이다. 물론 외산 제품들은 좋다. 그렇지 않았다면 글로벌에서나 국내에서 많은 레퍼런스를 보유할 수는 없었을 것이다.
문제는 이러한 편견 때문에 일각에서는 무조건 외산 제품만 써야 한다는 시각이 너무 강하다는 점이다. 이 때문에 외산 제품과 국산 제품이 동일한 성능을 제공한다고 하더라도 외산 제품이 선택되는 경우가 다반사였으며, 국산 제품이 좋은 성능을 제공한다 하더라도 외산 제품을 카피해서 그렇다는 비난을 피하기가 어려웠다.
한 업계 관계자는 “초기 때는 외산 제품이 뛰어났겠지만, 국내 기업들도 꾸준히 R&D를 진행한 결과 이제는 국산 제품과 외산 제품의 성능차이가 대동소이해졌다”라며, “오히려 BMT에서 국산 제품의 성능이 외산 제품보다 더 뛰어난 결과를 낸 적도 있다. 글로벌 기업과 국내 기업의 연간 매출액과 직원 수, R&D 비용 등 단순 수치만 비교해 보면 외산 제품이 국산 제품보다 더 뛰어나야 정상이겠지만, 이처럼 그렇지 않은 결과들도 나오고 있다. 이는 외산 제품이라고 꼭 국산 제품보다 뛰어나다는 것을 의미하지는 않는다”고 설명했다.
그는 이어 “오히려 국산 제품은 빠른 기술 지원과 한글화, 국내 정서에 맞는 UI 구성 등 외산 제품이 갖지 못하는 차별화된 장점을 보유하고 있기에 충분히 경쟁력을 갖추고 있다고 본다”고 덧붙였다.
| 틸론, 유안타증권 망분리 시스템 구축 완료
이번 사업은 금융업계 망분리 사업의 모범적인 모델이 될 수 있다는 점에서 관심을 모았으며, 증권사 최초로 전사 논리적 인터넷 망분리를 성공적으로 구축, 기존에 제기됐던 논리적 망분리에 대한 우려를 잠재우는 계기가 됐다는 평가다. 그동안 다수의 금융회사가 논리적 망분리 도입을 검토해 왔으나 먼저 구축한 사례를 지켜본 후 추진한다는 입장이 많았다. 따라서 이번 유안타증권의 안정적인 구축을 시작으로 금융권의 망분리 도입이 속도를 내게 될 것으로 전망된다. 유안타증권 망분리 사업에 도입된 틸론의 데스크톱 가상화(VDI) 제품 ‘디스테이션(Dstation)’은 중앙에 위치한 서버에 다수의 가상 데스크톱을 생성, 필요할 때 보안 정책에 따라 접속해 사용하는 방식의 가상화 제품이다. 틸론은 지금까지 다수의 공공기관과 대규모 사이트에 망분리를 구축한 바 있으며, 이번 사업을 통해 금융권으로 고객사를 넓히게 됐다. 틸론은 증권회사의 특성상 발생할 수 있는 여러 업무 패턴을 사전 분석해 고객의 차별화된 요구에 맞춘 솔루션을 제공했을 뿐만 아니라, 자동화 포털을 사용해 최소 인원으로 대규모 시스템과 사용자를 관리하는 효율적인 운영관리 시스템을 구축했다. 또한 서버당 가상머신(VM)을 평균 65개, 최대 75개까지 사용할 수 있게 구축함으로써 서버 구매 수량을 줄여 예산을 크게 절감했다. 서동일 유안타증권 팀장은 “기존 구축사례를 면밀하게 조사·분석하고 객관적 BMT를 거쳐, 논리적 망분리가 다수의 지점과 대규모 사용자에 적합한 방식이라는 판단 하에 채택하게 됐다”며, “기존 PC 환경과 동일한 업무환경을 제공하면서 보안을 강화하는 두 마리 토끼를 잡을 수 있게 됐다”고 말했다. 이승택 틸론 본부장은 “이번 사업의 성공적 완수가 외산 제품이 좋을 것이라는 금융권의 보수적인 선입견을 깨는 계기가 됐다”며 “망분리 사업은 고객사마다 다른 IT환경에 최적화된 솔루션을 제공하고 다양한 경험과 노하우를 갖춘 인력이 투입돼야 한다. 틸론은 15년간 축적된 가상화 기술력과 망분리 노하우, 서비스 지원 능력을 바탕으로 올해 말까지 20여 개 금융회사에 망분리를 구축하는 것을 목표로 하고 있다”고 밝혔다. |
3. CBC 방식은 SBC 방식보다 불편하다?
논리적 망분리 방법 중 하나인 CBC 방식은 사용자 PC에 가상화 솔루션을 설치하고 이를 구동시켜 업무망과 인터넷망을 애플리케이션 레벨에서 논리적으로 분리하는 방식이 가장 대표적이다. 애플리케이션 레벨에서 분리됐기 때문에 속도 측면에서는 빠르지만 호환성 이슈가 존재할 수 있으며, 애플리케이션끼리 충돌하는 문제도 발생할 수 있다. 이 때문에 CBC 방식으로 망분리를 했다가 SBC 방식으로 전환하는 경우도 발생했으며, 이는 SBC 방식을 구현하는 VDI 솔루션 기업들이 빠르게 시장을 넓힐 수 있는 계기가 되기도 했다.
그렇다고 해서 CBC 방식을 폄하해서는 안 된다. CBC 방식은 규제에 대응해 가장 비용 효율적으로 빠르게 망분리를 적용할 수 있기 때문이다. 과거 문제가 발생했던 부분들 역시 이제는 대부분 해소된 상태다.
미라지웍스는 최근 ‘세이프넷(SafeNet)’을 출시, 기존 가상화 솔루션인 ‘아이데스크(iDesk)’와 더불어 망분리 시장 공략에 힘을 붙이고 있다. 세이프넷은 샌드박싱 기술을 통해 웹 브라우저를 격리·실행시키는 제품이다. 이 때문에 미라지웍스가 처음 의도한 바이러스 및 악성코드 방지를 위한 목적에 인터넷 망분리 효과도 제공하는 만큼, 이를 기반으로 망분리 시장에도 도전하고 있다. 가격 역시 매우 저렴하면서도 빠르게 구축할 수 있으며, 호환성 문제도 발생하지 않는다는 것이 회사 측의 설명이다.
브이엠크래프트는 애플리케이션 레벨에서 이뤄지는 CBC 방식의 망분리 한계를 타파하고자 하드웨어 가상화 방식을 적용, PC 자원을 논리적으로 완전히 분리시켜 사용할 수 있도록 하는 망분리 솔루션 ‘VMFort’를 출시, 시장에 공급하고 있다. SBC 방식과 유사하면서도 구축비용은 저렴하며, CBC 방식이기에 기존 네트워크 및 업무환경 변화를 최소화하면서 구축이 가능하다는 장점이 있다.
4. 망분리 사업은 망분리 솔루션만 잘 고르면 된다?
망분리 사업은 말 그대로 망을 분리하는 사업이기 때문에 망분리 솔루션이 가장 중요한 역할을 한다고 볼 수 있다. 그래서 망분리 방식에 따라 물리적과 논리적, 논리적에서도 SBC와 CBC 등 방식이 갈린다.
그러나 망분리 사업에는 망분리 솔루션만 도입되는 것이 아니다. VDI 방식으로 구축되는 망분리 사업을 예로 들면 VDI 솔루션을 포함해 망연계 솔루션, 서버, 스토리지, 스위치 등 여러 솔루션들이 들어가게 된다. VM웨어 파트너사 굿모닝아이텍의 이은경 이사는 “VDI를 적용한 망분리 사업에서 VDI 솔루션의 비중은 전체 프로젝트의 10~15% 정도밖에 해당하지 않는다. 경우에 따라 다르지만 서버와 스토리지가 대략 60% 내외로 가장 비중이 크다”고 설명했다. 즉, 망분리 솔루션도 중요하지만 다른 부분들 역시 함께 고려해야 하는 것이다.
그렇다면 망분리 사업에서 중요하게 봐야 할 점들은 어떤 것들이 있을까? 굿모닝아이텍 이은경 이사는 “VDI의 경우 VM웨어의 호라이즌(Horizon)이나 틸론의 디스테이션(Dstation), 시트릭스의 젠데스크톱(XenDesktop) 등이 각사의 솔루션들이 추구하고 있는 방향성은 조금씩 다르지만, VDI 솔루션 자체만 놓고 보면 거의 비슷하다고 봐도 무방할 정도”라며, “오히려 중요하게 봐야 할 것은 사업을 수행하는 업체의 기술력이다. 망분리 시장이 성장하면서 기술이 축적되지 않는 파트너들이 사업을 수행했다가 실패하는 경우도 발생한다”고 강조했다.
5. 타사 구축사례를 보고 똑같이 따라만 해도 된다?
기업들의 IT환경은 그 기업의 규모에 따라 다를 수밖에 없다. 직원 수가 많고 본사 이외에도 지점이 많으면 그만큼 복잡할 것이고, 직원 수가 적은데다가 사무실도 달랑 하나라면 큰 회사에 비해 단순할 수밖에 없다. 이 말은 곧 기업 환경과 목적에 따라 적절한 방식을 구축해야 한다는 것으로 풀이될 수 있다.
같은 VDI 방식의 망분리를 하더라도 업무망을 가상화하는 것과 인터넷망을 가상화하는 것에는 분명한 차이가 있다. 업무망을 가상화할 경우 직원들 PC에 있던 업무자료를 중앙에서 관리가 가능하며, 해당 자료들에 대한 정보유출의 위험성을 줄일 수 있다. 반면, 그만큼 많은 자료들을 중앙에 모아야 하는 만큼 더 많은 양의 가상환경 인프라를 구축해야 하고, 자료들을 마이그레이션 하는데도 시간과 비용이 많이 소요된다.
인터넷망을 가상화하는 경우 기존 사용자 환경의 변화 없이 구축이 가능하다는 장점이 있다. 가상머신을 통해 인터넷만 사용하면 되기 때문에 그만큼 구축비용과 시간을 줄일 수 있지만, 자료들이 직원 PC에 그대로 있어 정보유출의 위험성이나 문서중앙화를 통한 스마트워크 환경 구축 등은 기대할 수 없다.
이처럼 기업 환경에 따라, 그리고 필요에 따라 다른 망분리 솔루션이 구축돼야 하기 때문에 단순히 타사에서 한 것을 보고 따라 하기에는 무리가 있다. 기업의 IT환경을 가장 잘 아는 것은 기업의 IT관리자다. 망분리 솔루션을 도입하기 전, 회사의 IT환경과 향후 운영 방향 등을 고려해서 어떤 방식으로 할지 파악하는 것이 중요하다. 그 이후에 비슷한 사례가 있는지 파악하고, 솔루션 사업자와 논의하는 단계를 거치면 된다.