보안을 강화하기 위해 가상 데스크톱(VDI)과 망분리 솔루션을 동시에 구축하는 사례가 생겨나 주목받고 있다. 기존 PC를 VDI화하는 경우 인터넷으로 악성코드가 유입될 수 있는데 망분리로 이를 원천봉쇄할 수 있기 때문이다.
4일 업계에 따르면 한 대형 시중은행이 수백대 규모의 PC를 대상으로 VDI와 망분리를 동시에 적용하는 프로젝트를 곧 시작할 예정이다. 일찌감치 VDI를 도입해 전사로 확대하고 있는 삼성화재는 최근 500대 규모 망분리 솔루션을 기존 VDI에 추가로 구축하고 있다. 두 솔루션의 장점을 결합해 보안을 극대화하기 위해서다.
VDI는 인터넷 업무를 처리하는 일반 영역과 내부 업무를 처리하는 가상 영역으로 구분된다. 서버기반컴퓨팅(SBC) 방식을 활용해 서버에 가상머신(VM)을 만들어두고 내부 업무는 이 VM에 접속해 처리한다. 인터넷을 비롯한 사적인 업무는 일반 영역에서 처리하게 된다.
VDI는 일반 PC나 신클라이언트, 제로클라이언트를 활용해 언제 어디서나 중앙 서버에 접속해 업무를 처리할 수 있다. 외부 이동이 잦은 고객에게 최적의 환경을 제공한다. 최근엔 모바일 기기와 연동해 그 활용성이 더욱 높아졌다. 중앙에서 모든 업무를 관리하기 때문에 자원 관리가 효율적이며 내부 정보유출 방지에도 효과적이다.
제로클라이언트의 경우 PC 자체에 구동 부분이 전혀 없기 때문에 인터넷을 통한 악성코드 감염 우려도 없다. 하지만 기존 PC를 VDI화하는 경우엔 문제가 다르다. PC가 인터넷을 통해 악성코드에 감염될 경우 자칫 내부 서버까지 감염될 우려가 있기 때문이다. 서버 내 가상영역에도 문제가 생길 수 있다는 게 업계 관계자들 얘기다.
일부 기업에서 `VDI+망분리` 방식의 프로젝트를 추진하는 것도 이런 이유에서다. 일반적으로 가상 영역에서 업무를 처리하는 VDI와 달리 망분리는 가상 영역을 외부 인터넷 접속 용도로 활용한다. 이에 따라 `VDI+망분리` 방식은 업무 영역과 인터넷 영역 모두 가상 영역에 존재한다.
VDI의 업무 영역은 서버 가상 영역에 망분리의 인터넷 영역은 PC의 가상 영역에 위치한다. 이렇게 되면 인터넷 망으로 악성코드가 유입되더라도 PC가 감염될 우려가 사라진다. 두 영역 외에 문서작성 등 개인적으로 필요한 영역은 PC에 별도로 존재한다. PC 1대에 세 가지 다른 영역이 존재하는 셈이다.
한 가상화 업체 관계자는 “최근 악성코드가 워낙 지능적으로 발전하고 있어 VDI 환경에서도 내부 시스템에 악성코드가 유입될 소지가 충분하다”면서 “VDI와 망분리를 동시에 적용하는 만큼 비용은 늘어나겠지만 업무편의성과 보안 강화를 동시에 노린다면 `VDI+망분리` 조합을 눈여겨봐야 한다”고 말했다.
안호천기자 hcan@etnews.com