망분리 의무화 시대, 어떤 방식을 선택해야 할까


물리적 망분리 대안으로 논리적 망분리 솔루션 부상

[김관용기자] 정부가 공공기관은 물론 기업들에게도 망분리 조치를 의무화함에 따라 정보통신서비스 사업자들이 어떤 방식으로 망분리를 실현할 지 고민하고 있다.

지난 8월 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 개정으로 100만명 이상 이용자의 개인정보를 보유했거나 정보통신서비스 매출이 100억원 이상인 정보통신서비스 사업자는 망분리 조치가 의무화 됐다.

기업들은 정부의 의무화 시책도 중요하지만 보안 강화 차원에서도 망분리가 도움이 될 수 있다고 보고 데스크톱 가상화(VDI) 등에 이를 적용하는 방안을 적극 검토하고 있다.

◆물리적 망분리 vs 논리적 망분리

망분리란 외부의 침입으로부터 내부 전산자원을 보호하기 위해 네트워크 망을 이중화시켜 업무용과 개인용을 구분하는 것으로 지난 2009년 국가정보원이 공공기관들에게 제시한 물리적 망분리와 논리적 망분리 두가지 방식이 있다.

물리적 망분리는 한 사람이 두개의 PC를 사용하거나 전환 스위치로 망을 분리해 내는 방식,네트워크 카드를 두개 탑재한 PC를 사용하는 방안 등이 있다.

논리적 망분리의 경우에는 과거 서버 기반 컴퓨팅(SBC)이 거론됐었지만, 최근 들어 가상화 기술을 활용한 VDI와 하나의 PC에 두개의 운영체제(OS)를 설치하는 OS 커널 분리 방식이 주로 이용되고 있다.

보안 등의 이유로 물리적 망분리를 권고한 국정원 의견에 따라 그동안 대부분의 공공기관들은 두대의 PC를 활용하는 물리적 망분리를 실시했다.

하지만 두대의 PC를 사용하기 위해서는 네트워크 망을 이중화 해야하기 때문에 과도한 투자가 발생하게 되고, 정부부처 이전이나 청사 이전을 해야 할 경우 구축한 인프라를 재활용 할 수 없다는 문제가 있었다. 특히 사무공간에 PC 수가 많아지면서 발열로 인해 업무환경이 악화되는 부작용도 발생했다.

이에 따라 2011년 우정사업본부를 시작으로 특허청, 남부발전 등의 공공기관들은 논리적 방식을 선택해 망분리 조치를 취했다. 올해 들어서는 물리적 방식보다는 대부분의 기관들이 논리적 망분리를 적용하는 상황이다.

시트릭스코리아 공공영업 담당 이웅세 부장은 "망분리의 경우 가상화를 활용하면 물리적으로 망을 이중화하지 않고 같은 단말기로 개인용과 업무용으로 나눠 사용할 수 있다"면서 "구축 비용이 물리적 망분리보다 많이 들기는 하나 비즈니스 환경 변화와 다양한 이슈들에 효과적으로 대응할 수 있다"고 설명했다.

◆논리적 망분리, VDI 방식 vs OS 커널 분리 방식

논리적 망분리는 가상화 기술을 이용한 VDI 방식과 PC 운영체제를 분리하는 OS 커널 분리 방식 두가지가 존재한다.

이 중 VDI는 데스크톱을 가상화시켜 서버에서 전산자원을 끌어다 사용하는 방식으로 업무용 VDI 전환을 통한 망분리와 개인용 VDI 전환을 통한 망분리로 분류된다.

업무용 VDI 구축의 경우 업무 전체의 전산 자원을 서버에서 가져오는 방식으로 정보자원의 중앙통제를 통한 보안 유지와 언제 어디서나 개인 단말기로 업무를 볼 수 있는 스마트워크, 효율적인 PC관리가 강점이다. 다만 업무용 VDI 전환을 통한 망분리는 전체 업무에 대한 가상화로 비용이 비싸다는 단점이 있다.

이로 인해 나온 개념이 개인용 VDI 전환을 통한 망분리다.개인용으로 활용하는 부분만을 가상화하는 것이라 상대적으로 비용이 저렴하다.이같은 VDI 컨셉트는 우리나라에만 존재하는 것으로 시트릭스나 VDI 구축 벤더들이 만들어 낸 정책이다.

현재 망분리 사업을 진행중인 대부분의 공공기관들은 망분리 솔루션으로 개인용 VDI를 선택하고 있다. 하지만 VDI의 장점으로 꼽히는 중앙화된 관리나 스마트워크, 보안 등의 혜택은 개인용 VDI에는 해당되지 않는다.

VDI 방식과는 다르게 운영체제를 이중화시켜 논리적으로 망을 분리하는 OS 커널 분리 솔루션도 많이 이용되고 있다. 이 솔루션은 안랩과 미라지웍스가 주로 제공하고 있는데, 업무용과 개인용으로 운영체제를 따라 만들어 네트워크에 연결시키는 방식이다.

OS 커널 분리 솔루션의 경우 VDI를 구축하는 것보다 가격이 훨씬 저렴하다. 특히 VDI는 시스템 장애시 전체 이용자가 피해를 보지만, OS 커널 분리 방식은 하나의 PC만 장애가 발생하기 때문에 위험 관리 측면에서 우수하다.

그러나 PC의 운영체제가 윈도XP에서 윈도7, 윈도8 등으로 계속해서 업데이트되는 상황에서 OS 분리를 지속적으로 보장해 주느냐의 문제와 PC에 애플리케이션을 추가할 때마다 호환성을 검증해야 한다는 부분은 단점으로 지적된다. 또한 스마트워크 등 유연한 업무 체제로의 전환을 지원하지 못한다는 문제점도 있다.

OS 커널 분리 솔루션인 '트러스존'을 개발한 안랩 측은 "트러스존은 한 PC에서 내외부 업무를 모두 볼 수 있는 논리적 망분리 제품"이라면서 "격리된 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹 등을 자유롭게 사용할 수 있다"고 설명했다.

김관용기자 kky1441@inews24.com







포토뉴스