정의
VDI는 데스크탑 가상화를 가능하게 하는 서버 컴퓨팅 모델
가상화 환경을 지원하는데 필요한 하드웨어와 소프트웨어로 구성
국내에서의 VDI 시장은 노후화 PC 교체와 PC의 중앙관리를 위해 시작됨.
중앙의 운영자가 사용자의 PC를 통합 관리하고 사용자의 접속 단말기가 전국적으로 분포되어 PC의 관리가 어려운 환경에서 많은 이점을 보임(콜센터와 같은 다수의 사요자가 동일한 업무환경에서 적합했음)
망분리 규제가 시작된 후 VDI는 망분리를 위한 솔루션으로 각광받기 시작했고 이제는 보편적인 기술이 되었음.
지금은 스마트오피스, 재택근무 등 시대에 따른 업무 변화 흐름에 따라 디지털 워크스페이스의 개념으로 확장됨.
인프라와 서비스 측면에서 온프레미스형 VDI, 그룹 통합형 DaaS, 클라우드 DaaS등올 다양해 지고 있음
망분리
망분리란 무엇인가? 망분리는 외부의 침입으로부터 내부 전산 자원을 보호하기 위해 네트워크망을 이중화시켜 업무용(내부망PC)과 개인용(인터넷PC)으로 분리하는 것을 말한다. 망분리는 물리적 망분리와 논리적 망분리로 나뉜다.
즉, 망분리는 외부 침입으로부터 내부 전산자원을 보호하고자 내부망과 외부망을 분리하는 네트워크 보안기법이다.
물리적 망분리
물리적 망분리는 개인당 두 개의 PC를 사용하거나 전환 스위치로 망을 분리하는 방식, 네트워크 카드를 두 개 탑재한 PC를 사용하는 방안 등이 있다. 일반적으로는 인터넷PC와 내부망PC를 별도로 두 대 설치하는 방식을 사용한다. 물리적 망분리의 장점은 완벽한 망분리가 지원돼 내부망의 안전성이 높다는 점이다. 하지만 개인당 두 대의 PC를 사용하는 것은 비용이 많이 들고, PC의 수가 물리적으로 많아지면서 발열로 인해 업무환경도 악화된다는 단점이 있다.
우리나라는 내부망과 외부망의 전산시스템·단말기를 별도로 두는 물리적 망분리 제도를 운영 중이다.
망 분리 규제는 2013년 대규모 은행 전산망 마비 사고를 계기로 도입됐다. 당시 악성코드 감염으로 국내 주요 방송사와 금융회사 전산망이 마비됐을 때 망이 분리되지 않아 피해가 컸다는 분석이 나오면서 전 금융권에 도입됐다.
망 분리가 금융시스템을 안전하게 보호한 것은 맞는 말이다. 하지만 클라우드와 같은 혁신 기술 활용의 걸림돌로 작용하고, 금융회사 업무의 범위나 성격을 고려하지 않은 채 일괄적으로 적용돼 개발 업무 효율성을 저해한다는 점은 지적을 받았다.
논리적 망분리
2013년에 들어서는 물리적 망분리보다 논리적 망분리를 선호하는 추세다. 논리적 망분리는 일종의 가상화 영역의 망분리로, 개인당 한 대의 PC에서 내부망과 외부망을 분리하는 방식이다. 논리적 망분리는 기반 환경 구축에 대한 관리 및 운영비용이 물리적 망분리보다 저렴하다는 장점이 있다. 하지만 웜이나 바이러스 유입이 가능하고 내부망에서 인터넷망으로 바로 연결될 수 있다는 보안의 위험이 있다는 단점이 있다.
자금융감독규정에 의해 금융권은 물리적 망분리를 하도록 명시하고 있다. 장비 구축과 보안 업무의 증가로 비용 부담은 커졌지만, 물리적으로 차단된 상황이기 때문에 악성코드나 바이러스 유입 가능성은 적어졌다. 규제가 적용되기 시작한 그때는 망분리가 최선의 방법으로 여겨졌다.
그때는 맞고 지금은 틀리다
금융권에 망분리 규제가 도입된 지 8년이 지났다. 8년의 시간 동안 많은 것들이 달라졌다. 핀테크 업체들이 시장에 뛰어들고 있다. 핀테크 개발자들은 모바일 중심으로 금융서비스를 제공한다. 따라서 외부 소프트웨어 자원인 오픈소스 활용도가 높다. 이때 인터넷 연결은 필수다.
망분리 규제 하에서는 연결된 환경에서 개발할 수 없다.
핀테크 업체들은 망분리 규제를 진입장벽으로 꼽는다. 망분리를 구축할 수 있는 대형 금융회사만 사업을 독점하게 된다는 것이다. 부담을 줄이기 위해 논리적 망분리를 구축한 핀테크 기업들은 벌금을 부과받았다. 2021년 카카오페이는 망분리 이행 위반 등을 포함해 과태료 6960만원을, 토스를 운영하는 비바리퍼블리카는 망분리 이행 위반 등이 적발돼 과태료 3720만원을 부과받았다.
망분리는 물리적으로 가장 높은 수준의 보안이다. 하지만 물리적 분리가 모든 보안을 해결하지는 않는다. 예를 들어 사람에 의한 보안 사고는 물리적 망분리로도 막을 수 없다. 망분리만이 최선의 수단은 아니라는 것이다. 해외의 경우, 보안 방법을 하나로 정해주기 보다는 보안 수준을 감독하는 경향이다.
망분리 규제를 두고 핀테크 개발자들은 8년 전에는 최선이었지만, 시간이 흐른 지금에는 맞지 않는 보안책이라는 것이다. 개발자들이 핀테크 회사에 가면 망분리 적응 기간이 길기 때문에 핀테크 입사를 기피하려는 경향도 있다. 이는 산업 발전을 저해하는 큰 요인이 되고 있다.
망분리의 대안
그렇다면 망분리의 대안은 무엇일까? 대안 중 하나로 데이터를 중심으로 망을 분리하는 방법이 있다. 내부망을 아예 차단하는 것이 아니라 데이터를 중요도 순으로 나눠서 저장하는 방법이다. 데이터를 중요도에 따라 분류하고 이에 따라 중요한 데이터는 폐쇄망에, 그렇지 않은 데이터는 인터넷망에 저장해 활용할 수 있도록 하는 것이다. 현재 한국의 도메인 중심(망분리) 보안 정책에서 해외의 데이터 중심 보안 정책으로 가도록 해야 한다는 것이다.
또 다른 대안 중 하나는 최신 보안 기술을 도입하는 것이다. 예를 들어, 글로벌 보안 시장은 제로 트러스트 시대를 향하고 있다. 제로 트러스트는 모든 접근을 의심하고 점검·모니터링한다는 개념의 보안 운영 방법이다. 이는 망분리보다 훨씬 진화된 보안책으로 평가된다. 글로벌 보안 시장은 매우 빠른 속도로 변화하고 있는데 국내는 이러한 변화를 따라가지 못하고 있다. 우리도 과거를 살고 있는 규제를 완화하고 보다 적극적으로 최신 보안 기술을 도입해야 한다.
쳇바퀴를 돌던 망 분리 정책에 대한 분위기가 달라지기 시작한 것은 코로나19 덕(?)이다. 디지털전환 가속화와 재택근무 증가로 금융권에서도 클라우드 활용이 필요한 환경에 직면하게 된 것이다. 최근에는 데이터 분석과 시스템 관리, 인터넷·모바일 뱅킹 등 핵심업무에도 클라우드를 활용한다.
DaaS(Desktop as a Service)
VDI와 DaaS 모두 최종 사용자가 가상 데스크탑에 액세스 할 수 있도록 하고 관리자가 회사 내 각 개별 장치에 운영체제를 설치 및 관리하지 않아도 되도록 한다.
그러나 이 두가지 유형의 가상화에는 주요 차이점이 있음
-
VDI를 통해 회사는 자체 온프레미스 데이터 센터에서 가상 데스크톱을 배포. 사내 IT 팀은 가상 데스크탑 배포와 인프라 구매, 관리 및 업그레이드 담당
-
DaaS도 본질적으로는 동일하지만 클라우드 기반의 인프라 환경임.
DaaS 솔루션을 구독하는 조직은 자체 하드웨어를 관리할 필요가 없음.
대신 사용자당 지불 구독 모델을 사용해 필요에 따라 확장하거나 축소함. 이를 통해 기업은 성수기에는 임시 직원을 위해, 인수 합병을 통해 작업할 때는 신규 사용자를 위해 증가하는 인력을 수용하기 위해 클라우드 데스크탑을 신속하게 제공 가능
출처 :
http://www.nspna.com/news/?mode=view&newsid=509426http://it.chosun.com/site/data/html_dir/2022/04/27/2022042702298.html
https://www.namutech.co.kr/daas-%EC%99%80-%EC%9D%BC%EB%B0%98%EC%A0%81%EC%9D%B8-vdi-%EC%9D%98-%EC%B0%A8%EC%9D%B4%EC%A0%90-%ED%95%B5%EC%8B%AC%EC%9D%80-%EB%B3%B4%EC%95%88/
