“데스크탑 가상화로 컴플라이언스 준수하고 보안도 강화”
[인터뷰] 김승현 비씨카드 정보보안실 정보보안팀 팀장

[보안뉴스 김태형] 비씨카드가 가상화 환경의 망분리 구축으로 컴플라이언스의 준수뿐만 아니라 금융권 처음으로 전사적 망분리 구축·적용으로 보안도 강화하는 1석 2조의 효과를 얻고 있다. 

지난해 8월 18일 개정 정보통신망법이 시행되면서 정보통신사업자들의 망분리 조치가 의무 적용됐다.

이는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상 이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등에 해당되며 내부망과 외부망을 분리해 개인정보를 보호하도록 하고 있다.

이에 대해 김승현 비씨카드 정보보안실 정보보안팀 팀장은 “지난 2011년부터 컴플라이언스 준수와 내부보안 규정에 의한 전사 차원의 망분리를 검토하고 있었다. 아울러 정보통신망법의 개정 시행으로 올해 2월 18일부터 망분리가 의무화되었고 금감원의 전자금융감독 규정에 의해 업무용 PC에는 고객 정보를 저장하지 못하며 부득이하게 저장할 경우 암호화 및 승인 절차에 따라야 한다”고 망분리 구축에 대한 배경을 설명했다.

비씨카드 측은 △소프트웨어 방식의 망분리, △PC 2대로 내·외부 망을 분리해 사용하는 물리적 망분리, 그리고 △데스크 탑 가상화(VDI, Virtual Desktop Infrastructure) 기반의 망분리 방법들 가운데 데스크탑 가상화를 통한 망분리를 구축했다.

이에 비씨카드는 지난 해 10월부터 KT와 데스크탑 가상화를 통한 망분리 사업을 시작해 올해 2월 중순부터 전사에 적용하고 있다.

김승현 팀장은 “그동안 망분리에 대한 많은 고민과 함께 사전 준비를 철저히 했기 때문에 빠르게 망분리 구축을 완료할 수 있었다”라고 강조했다.

또한 김 팀장은 “처음에는 전 사적으로 데디케이티트(Dedicated) 방식으로 구축하려 했으나 초기 투자비용이 매우 높아 비용 대비 효율성 등을 고려하여 시스템 구축 파트너인 KT의 제안에 따라 데디케이티트(Dedicated) 방식(사용자가 VDI 인프라를 개별적으로 할당 받아 사용하는 방식)과 풀(Pool) 방식(사용자가 VDI 인프라를 공용으로 사용하는 방식) 등의 두 가지 방식을 혼용한 Hybrid 방식으로 VDI 환경을 구축함으로써 최초 산정한 총예산 대비 1/5 수준인 약 10억원 규모로 구축이 가능했다”고 설명했다.

김 팀장은 “우선 사내 ‘고객정보 취급 인가자 제도’를 도입하여 고객정보를 취급하는 사용자를 최소화한 후, 전체 내부 업무망 사용자 중 고객정보 취급 인가자와 팀장급·부서장급 관리자 등을 포함해 약 10% 가량의 사용자를 데이케이티드(Dedicated) 방식의 VDI 환경으로 구축했다”고 설명했다.

그리고 그는 “이는 허가된 업무자만 가상화 PC를 할당받아 고객정보 취급 업무에 활용하도록 하고 고객정보를 포함한 중요정보는 개별 PC에 저장 없이 VDI 서버 상의 가상화 PC에 저장함으로써 중요 정보에 대한 중앙 집중·통제하고 있다”고 덧붙였다.

또한 그는 “그리고 전체 내부망 사용자의 모든 업무용PC에 대한 외부인터넷망 직접 접속을 차단하고 외부인터넷 사용은 공용 가상화 PC를 이용하여 게이트웨이 서버를 통해서 인터넷 서버로 나가도록  별도의 VDI 환경으로 구축했고, 전체 사용자 수의 1/3 정도의 동시접속 가상화 유저를 전체사용자가 공용으로 사용하며, 다운로드나 불법 사이트 접속은 원천 차단해 보안 위협을 최소한으로 낮췄다”고 덧붙였다.

이어서 그는 “이렇게 망분리 구축을 하면서 나타나는 효과는 컴플라이언스 준수라는 기본 목적 외에 외부 인터넷 접속 차단으로 악성코드 감염에 의한 정보유출 사고 발생을 예방하고 고객정보 인가자 관리를 통한 고객정보 및 중요 정보에 대한 중앙집중·통제가 가능해 보안이 강화되었다”고 설명했다.

김 팀장은 “현재 한달 남짓 VDI 환경을 업무에 적용한 결과, 일부 업무에서 직원들의 불편사항이 표출되고 있으나 일반적으로 새로운 보안 통제 도입 시, 이에 익숙해질 때까지는 불편한 점이 있기 마련이다”면서 “하지만 이러한 시행착오 및 지속적인 모니터링을 통해 업무상 불편한 점은 하나씩 개선해 나가고 있으며 이와 동시에 운영 정책과 인프라 투자도 동시에 진행되고 있다”고 밝혔다.

이와 같이 비씨카드의 가상화 기반 망분리 구축은 다른 기업에서 적용한 방법과 달리 개별 데이케이티드 방식과 공용 풀 방식을 혼용해 구축함으로써 투자비용 대비 효과를 극대화했고, VDI 환경의 망분리를 전사적으로 실질적 금융 업무 분야에 도입한 것은 이번이 처음으로 다른 금융권에서도 많은 관심을 갖고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>