데스크톱 가상화 기능으로 보안 강화...“어떤 솔루션 있을까?”
 
가상?遮?기술이 국내에 소개된 것은 벌써 몇 년 전 일이지만 아직도 가상화 기술이 도입적인 차원이 아니라 신기술 적인 의미의 이슈에 머물고 있다는 것은 아쉬운 일이다. 이제 가상화에 대한 기술적인 의미보다는 그 활용에 초점을 맞춰야할 때가 아닌가 싶다. 특히 가상화가 시스템을 효율적으로 사용한다는 장점을 넘어 관리기술적인면에서 본다면 보안정책으로의 접근이 가능해 보인다. 이에 따라 이번 보안뉴스 특집에서는 가상화의 활용과 관리 솔루션을 이용한 보안정책 수립 가능성을 짚어보고 활용적인 측면을 찾아보고자 한다.  - 편집자 주 -

순서 - 1. 가상화 어떻게 활용할 수 있을까?
       - 2. 가상화 솔루션과 보안에서의 활용
       - 3. 가상화를 이용한 보안정책 수립
 
가상화 특집기사에서는 가상화를 응용해 보안관리 차원에서 접근이 가능하다는 것을 이야기 했다. 이번에는 가상화를 이용해 보안 관리가 가능한 솔루션에 대해 살펴보도록 하겠다.

현재 사용하는 시스템의 모든 영역에서 가상화모델은 존재한다. 가장많이 알려진 서버가상화와 네트워크가상화, 스토리지가상화 심지어 최근에는 데스크톱 가상화까지 가상화의 영역은 매우 넓어졌다.

그중 데스크톱 가상화는 기업의 PC의 보안수준을 높여주는 기술이 많이 적용돼 있다. 얼마 전에 일어났었던 GS칼텍스 사건은, 내부자에 의한 기업의 중요 정보유출에 대한 경각심을 심어주기에 충분했다. 따라서 기업들은 이런 사건을 미리 예방할 수 있는 방법을 찾기에 고심하고 있다. 어떻게 보면 데스크톱가상화는 이런 문제에 조금은 도움이 될 솔루션이 될 수 있다.

데스크톱 보안문제 대두
기업에서 이용하는 데스크톱은 항상 보안위험에 노출돼 있다. 데스크톱에 저장된 정보는 빼내기도 쉽고 데스크톱의 성능을 높이기위해 데스크톱을 교체할 경우 새어나가는 정보도 적지 않다. 게다가 하드디스크의 고장이라도 나면 수리업체에 넘겨지는 단계에서 내부데이터가 유출될 수도 있다. 이런 문제점은 쉽게 해결할 수 없다. 내부자가 마음먹고 유출을 시도한다면 방법이 없기 때문이다.

데스크톱가상화는 모든 사용자의 PC를 하나로 모아 중앙에서 관리하는 기술을 중심으로 발전하고 있다. 이런 관리가 이뤄진다면 중요 데이터에 대한 접근을 막을 수도 있고 허용된 사용자에게만 정보 접근권을 줄 수도 있다.

데스크톱 가상화란?
데스크톱 가상화의 원리는 간단하면서도 복잡하다. 데스크톱에 가상화 에이전트가 설치가 되면 데스크톱을 모두 연결된 서버를 거쳐 하나의 거대 시스템이 되고, 이 시스템 안에 각 데스크톱을 위한 가상 공간이 마련된다. 이 가상공간에는 기존 데스크톱과 똑같은 역할을 하게 만들어준다. 마치 독립된 데스크톱을 이용하는 것처럼 만들어 주는 것.
 

 ▲ 데스크톱 가상화 개념도  ⓒ아이오차드

이런 데스크톱가상화는 어떻게 보면 SBC(Server-Based Computing, 서버기반컴퓨팅)와 개념이 비슷하다고 볼 수 있다. SBC는 서버한대서 여러 대의 씬클라이언트(Thin Client)를 연결해 기존 데스크톱과 같은 기능을 구현하게 만드는 기술이다.

씬클라이언트는 네트워크만 가능하게 한 최소한의 컴퓨터라고 볼 수 있다. 이 컴퓨터의 CPU와 메모리는 최소구동을 위한 사양으로 구성돼 있고, 하드디스크와 같은 저장장치는 없다. 즉 사용자가 이용하는 모든 프로그램은 서버에서 실행이 되지만 사용자는 씬클라이언트를 통해 실행된 결과를 보는 것이라고 볼 수 있다.

하지만 데스크톱 가상화는 씬클라이언트까지 포함한 개념이라고 볼 수 있다. 게다가 씬클라이언트가 없어도 기존의 데스크톱으로 가상화를 구현할 수 있다.

데스크톱가상화를 통해 이용할 수 있는 보안 기능

- 사용자별 권한 및 자원 관리
관리자는 여러 가상 OS에 대한 접근 권한을 사용자별로 통제할 수 있고 OS에 할당할 수 있는 자원 (메모리, 하드디스크 등)을 제한할 수 있다. 이를 통해 사용자의 데이터접근 수준을 조정할 수 있다.

- 사용자 OS의 오류로부터 빠른 복구
사용자의 실수 또는 OS의 시스템 불안정으로 인한 오류를 전역 OS 이미지로부터 빠르게 복구할 수 있다. 관리자는 가상 OS를 쉽게 설치, 백업, 복제, 그리고 복구할 수 있다. 따라서 데스크톱 문제로 인해 타인의 데스크톱 사용 막을 수 있다. 

- 백신 등 소프트웨어 배포의 단일화
관리자가 전역 OS 이미지에 소프트웨어를 설치하면 사용자는 바로 소프트웨어를 사용할 수 있습니다. 사용자마다 소프트웨어를 설치할 필요가 없고 소프트웨어 업그레이드 등의 관리가 쉬워진다. 특히 OS의 보안패치나 바이러스백신의 업그레이드를 중앙에서 관리해 일괄적으로 업그레이드 할 수 있기 때문에 데스크톱의 보안수준을 높일 수 있다.

- 독립된 가상 데스크탑 환경
사용자는 개인 폴더에 가상 OS마다 자신만의 실행 환경을 저장할 수 있다. 저장한 이미지는 해당하는 가상 OS가 구동될 때 자동으로 적용됨으로써 사용자는 운영체제별 환경을 독립적으로 구축할 수 있어 개인 데스크톱을 이용하는 것과 같은 효과를 얻을 수 있다. 하지만 실제 데이터는 하나로 관리가 되기 때문에 데이터 유출에 대한 문제를 해결할 수 있다.

- 악성 프로그램으로부터 보호
바이러스, 웜, 스파이웨어 등과 같은 악성 프로그램에 감염되더라도 전역 OS 이미지로부터 바로 복구할 수 있습니다. 특히 가상화를 통한 복구시간은 매우 짧기 때문에 거의 지체없이 실시간으로 최적화된 데스크톱을 이용할 수 있다.

- 노후화된 PC통한 데이터 유출 방지
사용자의 하드웨어에 대한 의존성을 최소화하여 노후화된 PC에서도 하드웨어의 업그레이드 없이 높은 사양의 소프트웨어를 서버 기반으로 실행해 사용할 수 있다. 이는 PC의 교체로 인한 데이터유출을 차단할 수 있다. 더불어 기업의 총소유비용(TCO)과 하드웨어 유지 비용을 절감하는 효과가 있다.

데스크톱 가상화 솔루션 “어떤 제품이 있나?”
흔히 가상화솔루션에 대해 말하면 서버가상화를 이야기했다. 하지만 가상화의 영역이 점차 넓어지면서 다양한 가상화 솔루션이 늘고 있다. 특히 최근에는 가상화 벤더들이 데스크톱 가상화 솔루션을 강조하면서 제품 출시를 늘리고 있다.
 
이는 가상화기능이 관리의 영역에 이르렀다는 것을 보여준다고 볼 수 있다. 가상화 업계에서 가장 두각을 나타내는 회사는 단연 VM웨어다. 이 회사는 서버 가상화가 글로벌시장에서 주목을 받음에 따라 크게 성장한 회사다. 현재 이 회사의 가상화 기술은 가장 뛰어나다고 시장에서 평가받고 있다.
 
최근 마이크로소프트(MS)는 가상화 전문기업을 연속으로 인수하면서 가상화시장의 본격적인 공략을 선언했다. MS는 가상화 360도 전략을 통해 전방위 가상화 솔루션을 시장에 선보였다.
 
시트릭스는 젠소스를 인수해 가상화 시장을 본격적으로 공략하고 있다. 국산 가상화 솔루션도 등장했다. 국내 벤처회사인 아이오차드는 ‘펭그리스 데스크탑’이라는 데스크탑가상화 솔루션을 발표했다. 이 회사는 ‘펭그리스 엔터프라이즈’라는 서버가상화 솔루션도 발표했다. 

VM웨어 데스크톱 가상화 솔루션 ‘VMware VDI’
VM웨어는 가상화 분야의 선두라고 볼 수 있다. 이 회사의 VM웨어 VDI(Virtual Desktop Infrastructure)는 서버기반 데스크톱 솔루션으로 기존 PC와 씬클라이언트를 통해 가상화를 구현하는 제품이다. VM웨어 버츄얼센터(VMware Virtual Center)를 이용하면 데스크톱 환경의 프로비저닝, 구성, 자원관리 및 업무부하 관리를 이용할 수 있다.
 

 ▲ ‘VMware VDI’ 가상화 개념도  ⓒVM웨어

또한 데스크톱관리자는 기존 데스크톱 데이터를 템플릿으로 표준화해 쉽게 관리할 수 있으며, 사용자는 독립적인 가상 데스크톱을 이용할 수 있다. 또한 권한에 따라 사용자는 단일 데스크톱에서 여러 데스크톱 환경을 엑서스할 수 있다. 이는 관리자로부터 접근권한을 받아 이뤄진다. 그리고 관리자는 사용하지 않는 데스크톱을 즉각적으로 폐기할 수 있고 이때 이용했던 데스크톱의 용량은 다시 다른 데스크톱에서 이용하기 위해 자원확보할 수 있다.

데스크톱에서 문제가 발생할 경우 관리자는 현재 데이터센터에서 사용하는 것과 동일한 데스크톱을 즉시 복구할 수 있다. 그리고 모든 데이터가 서버에 있기 때문에 데이터보안작업 역시 간소화할 수 있는 장점이 있다.
 
시트릭스 데스크톱 가상화 솔루션 ‘시트릭스 젠데스크탑’
시트릭스는 지난해 젠소스 인수를 마무리하고 통합 솔루션 브랜드인 '시트릭스 딜리버리 센터(Citrix Delivery Center)'를 발표했다. 그중 데스크톱 가상화 제품은 시트릭스 젠데스크탑(Citrix XenDesktop) 제품이다.

시트릭스 젠데스크탑(Citrix XenDesktop)은 집이나 사무실의 PC를 통해 어떤 컴퓨터에서나 가상 데스크탑에 액세스할 수 있다. 사무실에서 데스크탑 어플라이언스에 연결되어 있을때는 간편하게 디바이스를 옮겨 인증 요청에 응할 수도 있고 집에서 연결했을 때는 그냥 웹 페이지를 통해 인증할 수도 있다.

 ▲ 시트릭스 젠데스크탑 사용 화면  ⓒ시트릭스

인증 후에 데스크탑 딜리버리 컨트롤러(Desktop Delivery Controller (DDC))가 사용자를 확인하여 가상 데스크탑을 사용할 수 있도록 해준다
개방형 아키텍쳐 시트릭스 젠데스크탑(Citrix XenDesktop)은 개방형 아키텍처를 사용하고 있어 Microsoft Hyper-V, VMware Virtual Infrastructure 3, blade PC나 Citrix XenServer 등 유연하게 활용될 수 있으며 Windows, Windows XPe, Windows CE, Linux, Mac OS, Windows Virtual Server 등 플랫폼 활용 범위도 넓다. (물론 시트릭스 젠앱이나 마이크로소프트 애플리케이션 가상화와도 가능)

유저 인증이 이루어지면 가상 환경이 ICA 프로토콜을 통해 딜리버리 된다. 보안정책 단계를 다양하게 설정하여 집에서 접속할 때는 사용자 파일 업로드 및 다운로드를 제한한다든지 하는 정책을 적용할 수 있다.

MS의 데스크톱 가상화 솔루션 ‘MED-V’
‘MED-V’는 PC 안에 새로운 가상의 데스크톱을 제공한다는 개념이다. 즉, 윈도우 비스타를 데스크톱에서 사용하면서, 가상화 환경 내 윈도우 XP를 설치해서 XP 환경에서만 호환되는 응용 프로그램을 사용하는 것을 예로 들 수 있다.

비스타를 표준 데스크톱으로 사용하는 조직이 업무상 Internet Explorer(IE) 6.0이나 엑셀 2003을 IE 7이나 엑셀 2007과 함께 동작하고 싶다면 데스크톱 가상화 환경을 사용하면 된다. 이렇게 데스크톱 가상화는 운영체계에 따라 응용 프로그램을 선택해야 하는 종속성을 끊어 모든 응용 프로그램의 호환성을 제공한다.

마이크로소프트는 올해 이스라엘의 키다로(Kidaro)라는 업체를 인수해 2009년 1분기 경 데스크톱 가상화 솔루션인 마이크로소프트 엔터프라이즈 데스크톱 가상화(MED-V: Microsoft Enterprise Desktop Virtualization)를 선보인다. 특히 마이크로소프트의 MED-V는 별도의 로그인이나 부팅 없이 기존에 사용하고 있던 클라이언트 환경에서 그대로 가상 머신에서 운영되고 있는 운영체계와 응용 프로그램을 사용할 수 있다.

즉, 가상화 데스크톱에 대한 이원화된 환경이 아니라 하나의 물리적인 하나의 데스크톱에서 가상화 환경까지 한번에 처리할 수 있는 일원화된 사용자 경험으로 편의성을 제공한다. MED-V는 마이크로소프트 데스크톱 최적화 팩(MDOP)의 형태로 공급할 예정이다

아이오차드 데스크톱 가상화 솔루션 ‘펭그리스 데스크탑’
아이오차드의 가상화 제품 ‘그릭스 가상 서버 데스크탑 에디션(이하 펭그릭스 데스크탑)’은 완벽한 국산 가상화 제품이라고 평가받고 있다.
 

 ▲ ‘펭그리스 데스크탑’ 사용 화면   ⓒ아이오차드


이 제품은 오픈소스인 젠 가상화 기술을 이용해 개발됐다. 펭그릭스 데스크탑은 LDAP 디렉토리 서버를 이용해 사용자 및 그룹 계정 관리를 할 수 있다. 모든 사용자/그룹 계정 정보는 LDAP 디렉토리 서버에 저장되어 여러 서버에 분산을 하더라도 LDAP서버를 통해 인증/권한 제어 등을 하므로 중앙 계정 관리가 가능하다. 펭그릭스 데스크탑은 관리자만이 쓰기 가능한 전역 운영체제 이미지와 각 사용자 별 이미지로 나누어진다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>