[기고] 정보보안 규정 준수와 생산성…'두마리 토끼' 잡는 망분리 전략


정재하 한국 델 테크놀로지스 전무

코로나 팬데믹(대유행)으로 인해 부상한 '비대면' 키워드 속 특히 주목 받은 영역은 원격근무제다. 백신 접종 후 사회 집단 면역이 달성돼도 업무 환경 만큼은 어디서나 일하는 '워크 프롬 애니웨어(Work-from-anywhere)'가 새로운 표준이 될 것으로 전망된다.

지난해 정부 주도 하에 공무원 대상으로 교대 재택근무를 의무화하는 근무 지침이 내려지는 한편, 민간 영역에서도 업종을 막론하고 대대적인 유연근무가 실시됐다.

그러나 원격근무는 필연적으로 새로운 위협 요소를 만들어 낸다. 이를 보완하기 위해 공공기관들은 가상사설망(VPN) 사용을 권장하고, 재택근무자 대상 보안 지침을 마련하는 등의 정보보호 수칙을 권고하고 있다. 또 단말기·서비스·콘텐츠 보안 등의 가이드라인도 제시됐지만, 외부망 데스크톱 가상화(VDI) 망분리가 구축된 기관은 출장 중에 업무망 접속이 불가능해 업무 처리의 불편함이 초래되기도 했다.

◆ 네트워크 분리 보안의 고려 사항

네트워크 보안 기법의 일종인 망분리는 인터넷과 연결되지 않은 폐쇄 망에서 업무를 수행하게 하는 것이다. 공격자가 인터넷을 통해 사용자 PC에 침입하더라도 주요 정보가 담긴 시스템에는 접근하지 못한다.

망분리 유형은 크게 물리적 망분리와 논리적 망분리로 분류된다. 전자는 개인이 여러 대의 PC를 사용하는 방식이다. 후자는 소프트웨어를 통해 하나의 PC에서 여러 대의 PC를 구현 것으로, 이는 다시 'PC 기반 가상화'와 '서버 기반 가상화'로 나뉜다.

국내 망분리 정책은 2006년, 중앙 정부에 물리적 망분리를 도입하는 것에서 시작됐다. 2009년 7.7 디도스, 2011년 3.4 디도스, 2013년 3.20 디도스 등 다양한 사이버 공격을 겪으며 보안 향상에 대한 필요성이 대두됐기 때문이다. 이에 대응하기 위해 '망분리'가 제시됐고, 이는 지자체, 공공기관을 거쳐 민간 부문까지 확산됐다. 2012년 정보통신망법 시행령 개정, 2013년에는 전자금융감독규정 개정 등이 이뤄졌다.

그리고 지난해와 올해 코로나19로 촉발된 재택근무 확산으로 금융권에서는 망분리 개선안을 논의하고 있다. 금융권은 공공기관과 달리 외부 업무망이 아닌 내부 업무망을 VDI 솔루션으로 구축하는 것이 일반적이다.

내부 업무망에 VDI 솔루션을 적용하기 위해서는 다양한 보안 사항이 고려돼야 한다. 우선 외부망 개별 사용자들의 PC, 모바일 기기에서 단말 보안 모듈을 검증해야 하며, 원격 접속을 위한 DMZ 구간, VDI 솔루션, 업무 시스템 애플리케이션 연동성에 대한 모든 검증이 이뤄져야 한다.

내부 업무망을 위한 VDI 솔루션은 IT 인프라 관점에서 여러가지가 고려돼야 한다. 핵심이 되는 가상화 소프트웨어를 어떤 서버로 구성하는지에 따라 생산성·안정성에 차이가 발생하기 때문이다. 사용자 가상머신(VM)당 가상 프로세서(vCPU)를 어떤 비율로 구성할지, 메모리는 어떻게 할당할지, 엔지니어링 VDI에는 어떤 그래픽처리장치(GPU)를 적용할지에 대해 안정적인 운영이 가능한 사이징을 구성해야 한다.

◆ 효율성과 보안을 고려한 망분리 구축 사례

내부 업무망 VDI를 위한 인프라 구성도 예시 [사진=델테크놀로지스]

첫 번째 사례는 업무망 VDI 추가 적용 관련이다. 기존에 7천300여명 사용자 규모로 외부 인터넷망에 VDI를 구축한 이 회사에서는 긴급 사항 시 외부에서 내부 업무망 접속이 필요한 비즈니스 케이스가 발생함에 따라, 인가된 기기에서 관리자 승인을 통해 사내 업무용 VM에 접근하도록 하는 VDI 환경을 추가하게 됐다.

프로젝트 기간 단축을 위해 사전 검증된 서버, 스토리지, 네트워크 일체형의 하이퍼 컨버지드 인프라(HCI)를 활용했으며, 이를 통해 최소한의 자원 투자로 긴급 장애 대응 환경을 구축했다. 일부 인원에 대한 파일럿 프로젝트로 진행되며 구축된 HCI 시스템은 향후 내부망 확장 시 스케일 아웃 확장을 통해 아키텍처를 활용할 수 있도록 설계됐다.

두 번째 사례는 전사 VDI 운영체제(OS) VM의 윈도7을 윈도10으로 업그레이드하는 경우다. 윈도7의 경우 OS 영역이 25~30기가바이트(GB) 이하에 운영됐지만 사용자 수가 많은 경우 윈도10에는 60GB로 용량 증설이 필요한 상황이었다.

고객은 도입 비용 최소화 및 자산 재활용을 위해 대규모 중앙 지법에 운영 중인 올플래시 스토리지를 소규모 지법에 증설용으로 재배치했고, 용량 증설 예산으로는 중요 지법에 최신 NVMe 스토리지인 '델 EMC 파워스토어'를 도입해 사용자 실제 체감의 성능 향상 성과를 거뒀다.

윈도10 업그레이드에 따른 용량 증설 [사진=델테크놀로지스]

세 번째는 특정 시간대에 대규모 데이터 입출력(I/O)이 발생할 때에도 사용자 응답 체감 시간을 보장한 사례다. 다수 사용자들이 동시에 접속할 때 I/O가 몰리는 현상인 부트스톰(Boot Storm)은 망분리 구축의 가장 대표적인 이슈 중 하나다.

또 OS의 대규모 업그레이드, MS 오피스 2019 및 오피스365 파일의 대용량화로 인해 사용자들의 생산성이 저해될 수 있는 상황에서 델테크놀로지스는 올플래시 NVMe 스토리지와 스케일아웃 네트워크 연결형 저장소(NAS)를 통해 피크 I/O 성능을 보장하고, IT 관리자의 운영 부담을 덜어냈다.

네 번째는 VDI OS 이미지의 압축중복 제거 사례다. 사용자 VM 증가에 따른 스토리지 공간 부족을 해결하기 위해 VDI OS 영역을 동일한 템플릿으로 구성한 것으로, 최초 템플릿 배포 시 78대1에 이르는 압축률을 달성했다. 이후 5년 이상 운영 중에도 VDI OS 영역의 압축중복 제거율은 통상 10대1의 효과가 검증됐으며, 실제로 파워스토어 고객들에게는 어떤 앱이든 데이터 절감률 4대1을 보장하는 프로그램이 제공된다.

다섯 번째는 3차원(3D) 엔지니어링 사용자들을 위한 VDI 사례다. 이전에는 설계·제조(CAD·CAM) 및 카티아(Catia) 등의 엔지니어링 소프트웨어 환경에는 VDI를 적용하기 어려웠으나, 이제 vGPU를 지원하는 서버를 통해 효과적인 VDI 구현이 가능해졌다. 특히 보안이 중요한 제조 산업의 경우 해외 공장과도 업무 시스템이 연결된 상황에서, 지적재산권 보호 및 설계 기밀자료 유출 방지를 위해 백업 시스템이 지원되는 VDI 구축 수요가 높아지고 있다.

망분리를 위한 VDI는 단순한 인프라 구축 이상의 의미가 있다. 비즈니스 위험을 완화해야 하며, 데이터 거버넌스에 미치는 영향을 고려하고, 또 조직 내 임직원들의 업무 생산성에 미치는 영향을 최소화해야 한다.

따라서 기술 파트너를 선택할 때에는 최적화된 설계를 바탕으로 배포함으로써 가치 실현 시간을 단축할 수 있는지, 사전 예방적인 지원 서비스가 제공되는지, 클라이언트 시스템, 스토리지, 백업, 컨버지드 인프라 전반에 대한 디지털 혁신 가치를 실현할 수 있는 역량을 보유했는지 다각적으로 검토해야 한다.

/정재하 한국 델 테크놀로지스 전무

정재하 한국 델테크놀로지스 전무 [사진=델테크놀로지스]








포토뉴스