가상화 ‘정보유출 방지에서 스마트워크까지’
최근 가상화 기술을 통한 보안성 강화는 데스크톱 가상화 등 사용자 PC측면의 가상화 도입을 촉진시키고 있다. 이에 본고에서는 다양한 가상화 솔루션을 이용하여 새롭게 적용될 수 있는 보안 유형을 살펴보고자 한다. 아울러 가상화를 도입 및 구축하려는 기업이나 공공기관 입장에서 반드시 점검해야 하는 보안 관련 고려사항도 짚어보도록 하겠다.


       
가상화 기술이 기존의 IT 환경은 물론 우리의 일상 업무 환경을 급속히 변모시키고 있다. 특히 사용자 단에서의 가상화 기술을 통한 보안성의 강화 효과는 데스크톱 가상화를 비롯한 사용자 PC 측면에서의 가상화 도입을 촉진시키고 있다. 가상화란 한마디로 IT 시스템의 주요 구성요소인 하드웨어, 소프트웨어(운영체제, 애플리케이션)간의 연관성을 없애는 것이라고 할 수 있다. 각종 하드웨어 호스팅, 하이퍼바이저, 애플리케이션 스트리밍, 애플리케이션 분리 기술 등이 모두 여기에 해당한다. 이러한 가상화 기술로 인하여 전통적인 보안 기술 및 보안 정책에도 대대적인 수정이 불가피하게 되었다.

서버 가상화
서버 가상화의 경우 물리적인 서버 자원을 논리적으로 분할하여 사용률을 높이고자 하는 TCO 측면에서 먼저 출발하였다. 국내에서는 x86 서버 시장이 상대적으로 높지 않아 아직 커다란 변화가 감지되기 전이지만 선진국에서는 이미 데이터 센터 인프라 자체가 가상화 기반 환경으로 급속히 전화되고 있다. 특히 클라우드 컴퓨팅 관련 비즈니스 대응을 위해서도 이 영역은 지속적인 성장을 보일 것이다.

물리적인 서버와 네트워크 장비가 가상화됨에 따라 데이터 센터내의 기존 배치된 보안 관련 솔루션들도 커다란 위협과 동시에 기회를 안고 있다. 대표적으로 전통적인 네트워크 기반 보안 툴에 의해서는 이러한 가상 환경들이 기본적으로 인식되지 않을 수도 있는 점이다. 또한 다양한 가상 머신(VM) 단위까지의 구성 및 논리적인 모니터링이 필요하며 경우에 따라서는 새로운 보안 관련 메타 데이터들이 추가로 요구되기도 한다.

또한 가상 서버내의 각종 하이퍼바이저(hypervisor)나 Guest OS간의 상호 모니터링이 요구되며 기존의 물리적인 장치뿐만 아니라 다양한 가상 디바이스 단위까지도 관리 범위가 커지게 된다. 따라서 단순한 도입 비용 절감을 위한 가상화 서버 도입이 아닌 데이터 센터 전반적인 환경 변화 맥락에서 가상화 환경 전반에 대한 시스템 관리, 모니터링, 보안 솔루션 등에 대한 충분한 사전 검토가 요구된다.

데스크톱 가상화(VDI)
최근의 가상화 열풍의 진원지는 바로 서버 기반 컴퓨팅(SBC)에서 VDI 기술로 진화하고 있는 데스크톱 가상화 영역일 것이다. VDI(Virtual Desktop Infrastructure/Interface) 기술은 중앙 서버에 개별 사용자마다의 가상 머신(VM)을 두어 여기에 각 운영 체제 및 애플리케이션을 모두 설치하는 것은 물론 실행까지도 서버에서 처리한 후 네트워크를 통해 사용자 단말로 전달하여, 마치 로컬 PC를 사용하는 환경과 유사한 사용자 체험을 제공하는 방식이다.

상대적으로 높은 구축비용을 논외로 하더라도, 전사적인 도입을 위해서는 아직까지 네트워크 전송 성능 및 다양한 사용 프로그램 호환성, 그리고 보안 관점에서의 기술적 개선이 필요한 기술이다. 하지만 현재의 가상화 열풍을 이끌고 있는 기술로서 향후 기술이 성숙함에 따라 그 파급효과는 크다고 할 수 있다.

운영체제, 애플리케이션, 그리고 데이터가 모두 중앙 서버에서 저장되고 처리된다는 관점에서, 사용자 보안 관점에서도 커다란 패러다임 변화가 필요하다. 보안 측면에서 데스크톱 가상화와 서버 가상화의 가장 큰 차이점은 각 개별 운영체제 이미지(Guest OS) 관리일 것이다. 서버 가상화의 경우 시스템 관리자만 운영체제 관리가 필요할 것이지만 데스크톱 가상화의 경우 기본적으로 각 사용자가 개별 운영체제 이미지를 생성/변경/복제/삭제가 가능하며 또한 각종 패치 등도 각 사용자에게 맡겨져 있을 수 있다.

물론 많은 기업에서 패치관리시스템 등을 통해 표준화된 운영체제를 유지하고 있는 경우도 많지만 이러한 솔루션조차 가상 서버 내에서의 개별 가상 머신(VM)의 운영체제를 효율적으로 관리하기 위해서는 여러 가지 구성 및 운영 정책이 사전에 설계되어야 한다. 특히 잘못 설정된 각종 가상 디바이스나 클립보드를 통한 공유 서비스 등으로 인한 악성코드의 감염이나 내부 정보의 유출 등으로 인한 피해는 그 피해가 예상되지 않아 물리적인 PC 환경보다 심각할 수 있다.

표준화된 운영체제 관리는 때론 강제성을 띄어 사용자에게는 일정 부분 편리성을 저해할 수도 있다. 가령, 가상 머신(VM)이 부팅 될 때마다 표준 부팅 이미지로 로드하는 방식의 경우, 설사 사용자가 무단으로 전에 소프트웨어를 설치했더라도 원래 표준 이미지로 다시 복구되게 된다. 또한 사용자 단말로의 다운로드 차단 등으로 사용자 불만이 야기될 수 도 있다. 이는 시스템 관리자 입장에서도 운영체제는 물론 보안 솔루션 등 사내 표준 소프트웨어에 대한 상시 install/upgrade/patch 업데이트 유지는 물론 사용자와의 충분한 사전 교감이 필연적으로 요구된다는 점을 시사한다.

애플리케이션 가상화
갈수록 많은 기업들이 다양한 근무 장소와 근무 시간을 포함한 유연 근무 형태를 도입 중이다. 이는 사용자가 언제나, 어느 곳에서나 애플리케이션과 데이터에 대한 접근을 필요로 하게 되었다는 점을 시사한다. 애플리케이션 가상화는 사용자가 애플리케이션을 PC나 노트북에서부터 스마트폰에 이르기까지 다양한 물리적 환경에서 사용하려고 할 때 소프트웨어를 일일이 다 설치하지 않고도 사용할 수 있게 하는 기술이다.

애플리케이션 가상화의 한 종류인 프리젠테이션 가상화는 실제로는 애플리케이션을 중앙 서버에 설치하고 처리화면만 네트워크를 통해 단말로 보내는 방식이다. 사용자가 애플리케이션을 사용하면서 키보드를 입력하거나 마우스를 클릭한 정보는 다시 네트워크를 통해 서버로 보내지게 되며 이에 따라 스크린은 사용자 디바이스에 업데이트된 정보를 전달하게 되어 실제로는 그 어떠한 데이터도 사용자 디바이스에 저장되지 않는다는 점에서 VDI와 함께 대표적인 서버기반컴퓨팅(SBC) 기술이다. ‘애플리케이션 스트리밍’ 기술은 중앙 서버에서 필요 시 마다 요청하는 단말 쪽으로 해당 애플리케이션의 실행 패키지를 내려주어, 클라이언트에서 응용 프로그램을 실행하는 방식이다.

사용자 운영체제를 일일이 중앙에서 관리해야 하는 부담이 없고 서버 운영체제에서 적절한 애플리케이션 실행 및 배포 관리를 한다는 점에서 보안 측면에서도 부담이 적은 편이다(물론, 서버 단에서의 애플리케이션 패키지에 대한 악성코드 유입 방지와 클라이언트 특히 외장 매체의 개별 보안 관리는 필수적임). 이렇듯 애플리케이션 가상화 기술은 애플리케이션 설치 및 배포의 편리성, 다양한 환경에서의 애플리케이션 호환성 제공 등의 장점으로 오래 전부터 사용되어오고 있는 기술이다. 다만, 아직까지는 전사적인 업무를 위한 가상화 기술이다기 보다는 애플리케이션 배포 관리를 위하거나 원격 근무자나 이동형 근무자에 적합한 가상화 기술로 포지셔닝 되고 있다.

워크스페이스 가상화
워크스페이스 가상화 기술은 클라이언트 단에서 소프트웨어 가상화 기술을 통해 실제 OS 환경과 격리된 가상 워크스페이스를 제공하는 비교적 새로운 가상화 기술로, 가상화 소프트웨어가 클라이언트 단에서 실행된다는 점에서 서버기반컴퓨팅(SBC)과 대비해 클라이언트 가상화라고도 불린다. 기업의 핵심 정보인 문서나 도면 등과 관련된 애플리케이션을 가상 워크스페이스에서 실행해 정보 유출을 차단할 수 있으며 또는 인터넷 사용을 가상 워크스페이스로 제한해 악성코드의 유입 방지나 외부 해킹 차단 등을 위한 새로운 형태의 보안 기술로 적용될 수 있는 기술이다.

가령, 설계 작업이나 개발 작업 아웃소싱 프로젝트에서는 협력업체 직원에 의한 정보 유출 가능성이 커질 수 있다. 워크스페이스 가상화 기술을 적용하면, 협력업체 직원은 자신의 PC의 암호화된 가상 워크스페이스에서만 개발 작업을 할 수 있어, 모든 작업을 별도 서버 리소스가 아닌 개인 PC에서 작업하더라도, 개발 산출물(문서, 도면, 소스코드 등)을 외부로 유출이 차단된다.
이러한 별도의 가상 워크스페이스 개념은 인터넷 등의 대규모 네트워크에 폐쇄형 사설 네트워크를 생성하는 가상 사설망(Virtual Private Network, VPN) 기술에서 이미 채택된 가상화 개념이다. VPN 기술은 한 조직의 내부 사용자 간 혹은, 외부 사용자와의 통신에서 암호화 기술과 터널링 기술을 이용한 안전한 통신 채널을 제공하는 기술이다. 현재 대부분의 기업에서는 VPN 솔루션을 전 직원 또는 재택 근무자나 지사 직원, 출장자 등 원격 근무자에게 제공하여 안정적으로 업무 처리를 하고 있다.

하지만 한편으론 주요 보안 문서나 고객 정보를 취급하고 있는 기업 입장에서는 VPN이 새로운 보안 취약점으로 지적되고 있다. 일반적인 VPN 사용은 사외에서 직원의 안전한 사내망 접속을 보장하는 반면, 사외에서 (특히 회사PC가 아닌 컴퓨터를 통해) 직원에 의한 내부정보 유출 가능성은 커지기 때문이다. 보안을 위한 솔루션이 또 다른 보안 위협이 되고 있는 실정이다. 워크스페이스 가상화 기술을 통하면 개인 영역(인터넷 망)과 업무 영역(VPN망)을 완벽히 분리하여 VPN 영역에서의 데이터가 인터넷 영역으로의 유출되는 것을 원천적으로 봉쇄시킬 수 있다. 더욱이 VPN이 접속된 상태에서 인터넷 이용 시는 VPN망을 거치지 않고 현장에서 인터넷을 동시에 이용할 수 있어 보안성과 함께 생산성 향상까지 두 마리 토끼를 한꺼번에 잡을 수 있다.

또한 이러한 클라이언트 가상화 솔루션은 공공기관을 중심으로 현재 진행되고 있는 인터넷과 업무 네트워크 분리, 소위 망분리 영역에도 적용될 수 있다. 인터넷 사용을 가상 워크스페이스로 제한하여 영역으로의 침입 방지를 구현함으로써 물리적인 차단 방법과 유사한 효과를 얻을 수 있다. 클라이언트 가상화 기술을 통한 인터넷 영역의 분리는 공공기관의 망분리 모델뿐만 아니라 공공기관, 일반 기업, 학교, 도서관 등지에 설치된 공공 PC의 좀비화를 막기 위한 강력한 보안 모델로서도 대두되고 있다.

가상화 기술과 보안의 시너지 효과
이러한 다양한 가상화 기술들은 급속히 팽창하고 있는 클라우드 컴퓨팅 시장과 맞물려, 급격한 발전을 거듭하고 있다. 또한 기존의 유선 데이터 통신망뿐만 아니라, 스마트폰이나 각종 모바일 디바이스로 인해 촉발된 다양한 무선 데이터 통신망, 그리고 지능형 전력망인 스마트그리드 영역에서 전통적인 업무 유형 및 보안 접근에 대한 근본적으로 새로운 패러다임을 제시하고 있다.

      

데스크톱 클라우드를 사내나 원격에서 다양한 단말을 통해서 언제나 액세스 할 수 있어 업무 생산성을 향상시킬 수 있으며 또한 출장자나 이동 근무자들은 편리한 오프라인 작업을 위해서 클라이언트 가상화를 기반으로 한 가상 워크스페이스로 안전하게 문서를 다운로드 하는 것이 가능해진다. 물론 이러한 스마트워크 환경을 위해서는 모바일 디바이스에 대한 Wi-Fi 망 보안, 문서 암호화 등 각종 보안 솔루션과 정책들이 함께 준비 되어야 할 것이다. 이러한 여러 가지 가상화 기반 시스템들이 다양한 업무 유형에 적용됨으로써 또 다른 새로운 보안 관련 요구사항들을 제시하고 있는 상황이다.

IT의 미래상을 제시하고 있는 클라우드 컴퓨팅과 이를 제공하기 위한 기본 인프라에 해당하는 가상화 기술, 그리고 이와 접목된 연관 기술들(보안 등)의 성숙과 구축 사례 등의 추이는 IT 관계자뿐만 아니라 일반 사용자나 관리자들에게 조차도 무시할 수 없는 큰 흐름이 되고 있다.
[글 _ 박현호 노애드 사업본부 이사(hayward@no-ad.co.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>