솔루션
[2013년 강화된 금융 IT보안 대책] VDI를 활용한 금융사 망분리 방안은?
디지털데일리
발행일 2013-08-22 17:47:06
- VM웨어코리아 “VDI, 사용자 업무환경 최소화·투자 보호·빠른 장애복구 장점”
[디지털데일리 이유지기자] “‘망분리’에서 가장 중요한 것은 기존에 사용자들이 사용해온 PC 업무환경을 바꾸지 않는 것이며, 기존 투자를 최대한 보호하면서 전체 인프라 구축비용을 최소화할 수 있는 방안을 고민해야 한다.”
정석호 VM웨어코리아 부장은 22일 서울 명동 은행연합회관에서 열린 ‘2013년 강화된 금융 IT보안 대책과 효과적 대응전략을 위한 특별 세미나’에서 이같이 강조하면서, 최적의 금융권 망분리 방안으로 가상데스크톱인프라(VDI)를 제안했다.
VDI를 이용한 망분리는 기존의 물리적 데스크톱 PC를 서버상의 가상화 환경에서 구성, 독립된 가상데스크톱을 제공해 작업 공간을 분리하는 방식이다.
정 부장에 따르면, 이같은 방식은 기존 물리적 PC에서와 똑같이 가상데스크톱을 할당받아 로그인하면 모니터 화면만 원격 전송받아 격리된 환경을 가져갈 수 있으며, 기업의 환경에 따라 기존 투자를 보호할 수 있도록 다양한 선택이 가능하다.
정 부장은 금융당국의 ‘금융전산 보안 종합 강화대책’에 따른 금융사 VDI 기반의 망분리 방법으로 전산센터를 위한 물리적 망분리 방안과 본사·영업점을 위한 논리적 망분리 적용방안 세가지를 제시했다.
일단 물리적 망분리는 인터넷 연결용 VDI와 사내업무용 VDI 서버를 분리, 별도 독립된 VDI 풀을 구성한다. 클라이언트는 운영체제(OS)와 하드디스크가 없는 제로클라이언트를 활용해 망에 접속한다. 인터넷망과 사내망을 연결하는 네트워크 스위치는 별도로 구성해 개별 스위치가 각 VDI 풀에 접속하는 형태다.
정 부장은 “기존에 금융사 전산센터에 VDI가 구축돼 있는 경우, 공유 PC 개념으로 인터넷 연결용 VDI를 사용하면 비용을 절감하면서 좀 더 쉽고 빠르게 구축할 수 있을 것”이라고 설명했다.
논리적 망분리가 가능한 본사 및 영업점의 경우에는 우선 인터넷과 사내업무용 VDI 서버를 분리해 모두 독립된 VDI 풀을 구성한다. 이 경우에 클라이언트는 제로클라이언트나 씬클라이언트를 활용하면 된다.
두 번째 방법은 업무용 데스크톱을 VDI로 구성해 이 환경을 통해서만 접속토록 하고, 인터넷은 기존 사용자 단말 환경에서 사용하는 방식이다. 이 경우 노후 단말을 인터넷용으로 그대로 사용할 수 있어 추가 투자를 방지할 수 있다.
세 번째 방법은 인터넷용 데스크톱만 VDI로 구성해 공유 PC 형태로 사용하고, 사내 업무는 기존 단말 환경에서 사용하는 방식이다.
이들 세 방법 모두 네트워크는 인터넷과 업무망을 논리적으로 분리해 트래픽 정책을 적용한다. 업무용 또는 인터넷용 데스크톱 하나씩만 VDI를 적용하는 경우엔 단말기에서 사내 시스템 접속을 차단하거나 사용자 클라이언트에서 인터넷 직접 접속을 차단하는 방식이다.
정 부장은 “인터넷 연결용 VDI는 보통 웹브라우징만 사용하므로 가상 리소스를 적게 할당하면 서버당 많은 가상머신(VM)을 올릴 수 있고 공유PC 형태로 활용해 전체 인프라 구축비용을 절감할 수 있다”고 말했다.
더욱이 “VDI 프로젝트를 수행할 때 하드웨어 인프라나 스토리지에 소요되는 비용이 컸는데, 소프트웨어(SW) 기반 스토리지 솔루션을 이용하면 이를 획기적으로 절감할 수 있다”고 말했다. VM웨어도 오는 9월부터 SW 기반 스토리지 솔루션을 출시한다.
이어 그는 “업무용 VDI를 구성하는 것은 기업의 모든 사내업무 데스크톱을 가상화해 클라우드로 전환하는 것이므로 모바일 환경 등 이동성을 쉽게 지원할 수 있다”고 덧붙였다.
정 부장은 “VDI 환경에서 보안 이슈 발생시에 빠른 대응과 손상·장애 복구가 가능한 것이 장점”이라고 강조했다.
VM웨어는 내부 감염PC가 인트라넷상의 전체 PC로 확산되는 것을 방지하기 위해 보안 솔루션을 통해 VM간 트래픽 모니터링을 수행함으로써 침입을 탐지하며, 이상 트래픽이 탐지된 가상데스크톱은 네트워크에서 격리시킨다.
만일 좀비PC가 돼 공격에 악용된 후 OS나 마스터부트 등 하드디스크를 손상시켰을 경우에도 저장된 VM 이미지를 활용해 재배포해 빠르게 복구하고, 통합 스토리지에 적용된 백업 정책을 활용해 복구할 수도 있다.
정 부장은 비용절감과 보안뿐만 아니라 최근 빠르게 변화하고 있는 기업 데스크톱 기반의 업무 환경에 대처할 수 있도록 향후 3~5년을 내다본 투자의 중요성도 강조했다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지