교통안전공단은 가상 데스크톱(VDI)과 망 분리 솔루션을 동시 구축하는 프로젝트를 국내 최초로 완료했다고 7일 밝혔다. `VDI+망분리` 구축은 VDI만으로는 부족한 보안성을 망분리 솔루션을 추가해 강화하는 것으로 금융과 공공 분야에서 점차 사례가 늘고 있다.
이번에 교통안전공단이 추진한 `외주용역업체 보안 강화 시스템 구축 프로젝트`는 외주 유지보수 용역 직원용 PC 50대가 대상이다. 교통안전공단은 우선 이 PC들을 제로클라이언트로 교체하고 VM웨어 가상화 솔루션으로 VDI 환경을 구축했다. 유지보수 업무를 개인 PC가 아닌 가상환경에서 처리하게끔 했다.
VDI 환경이 구현되면서 모든 자료가 통합 스토리지에 저장돼 자료유출 방지가 손쉬워졌다. 시스템 정기점검 시에 외주 용역업체 직원에게 VDI를 제공해 농협 사태와 같은 보안사고를 막을 수 있게 됐다. 또 PC 관리를 중앙에서 일원화함으로써 관리비용이 대폭 줄어들었다.
하지만 가상머신(VM) 내에서 인터넷 영역과 업무 영역은 여전히 혼재해 있었다. 즉 인터넷을 통해 언제든지 업무 영역의 정보가 유출될 가능성이 존재했다. 악성코드 유입 가능성도 있었다.
이런 이슈를 해결하기 위해 교통안전공단이 선택한 것은 VDI에 망분리 솔루션을 추가로 구축하는 것이었다. VM을 두개 구성해 하나는 인터넷용으로, 다른 하나는 업무용으로 사용하는 방법도 있었지만 이는 구축비용이 두 배로 들기 때문이다.
교통안전공단은 VDI를 구축하면서 망분리 솔루션 구축도 동시에 진행했다. 망분리 솔루션으로는 미라지웍스 아이데스크가 사용됐다. PC 기반 망분리 솔루션인 아이데스크는 PC 1대에서 인터넷 영역과 업무 영역을 분리해준다. 교통안전공단은 VM 내부에 설치된 업무 환경을 망분리함으로써 내부 자료의 외부 유출을 차단했다.
업무 영역과 인터넷 영역은 완전히 독립된 공간이다. 이에 따라 인터넷 영역에서 감역된 악성코드 역시 업무 영역으로 유입될 수 없게 됐다. 내부 망에 대한 보한 위협을 완전하게 차단한 것이다.
VDI+망분리 도입은 제로클라이언트뿐만 아니라 기존 PC를 VDI화하는 경우에도 유용하다. PC 자체가 악성코드에 감염돼 가상 영역까지 감염되는 상황을 막을 수 있다. 이런 장점 때문에 교통안전공단 외에도 삼성화재가 기존 VDI 환경에 망분리 솔루션을 추가로 구축하고 있다. 이 외에 외환은행, 주택금융공사 등이 VDI와 망분리 솔루션 동시 구축을 검토 중이다.
안호천기자 hcan@etnews.com
