[망분리 PC] ②효과적인 물리적 망분리 도입 시나리오는?

노동균 기자
입력 2015.03.11 17:14 수정 2015.03.12 00:03

지난해 말 발생한 한국수력원자력 내부문건 유출을 비롯해 2013년 3.20 사이버테러와 같은 사고는 보안위협이 더 이상 일부 기관이나 기업만의 문제가 아님을 잘 보여준다. 이에 국내에서도 정부 차원에서 금융권 및 핵심 시설에 대해 외부 인터넷망과 내부 업무망을 분리시키는 망분리 의무화 조치에 나서기도 했다. 망분리는 접근 방법에 따라 물리적 또는 논리적으로 다양한 방식이 적용 가능한데, 1대의 PC로 물리적 망분리를 구현하는 망분리 PC도 대안 중 하나로 손꼽힌다. 침체된 PC 시장에서 차별화된 영역을 구축해가고 있는 망분리 PC 시장의 현황과 기술적 이슈를 짚어본다. <편집자주>


핵심 목적은 보안 위협의 ‘근본적 차단’

[IT조선 노동균] 망분리의 핵심 목적은 내부 업무망을 외부 인터넷망과 차단시킴으로써 보안 위협을 근본적으로 차단하고자 함에 있다. 망을 분리하는 방식은 크게 물리적 망분리와 논리적 망분리로 구분되는데, 각각의 방식에 따라 도입 비용은 물론 보안성, 업무 편의성, 유지보수 용이성 등에서 장단점이 있기 때문에 망분리 도입 전 면밀한 검토가 필요하다.

물리적 망분리는 2대의 PC를 사용하는 방식이 대표적이다. 하나의 PC로는 내부망에만 접속할 수 있고, 나머지 PC로는 인터넷망에만 접속할 수 있도록 함으로써 외부에서의 보안 위협 요소가 내부망에 영향을 미치는 것을 원천적으로 막을 수 있다. 2대의 PC를 사용하는 직관적인 방식인 만큼 가장 보안성이 높고, 도입 문턱도 낮지만 PC 구입비용이 기존 대비 2배로 늘어난다는 게 단점이다.

논리적 망분리는 일반적으로 가상화 기술을 기반으로 PC 또는 네트워크를 구분하는 방식이다. PC를 가상화하는 클라이언트 기반 컴퓨팅(CBC) 방식은 한 대의 PC만을 필요로 하기 때문에 초기 도입 비용이 가장 저렴한 편이다. 반면, 고장 발생 시 복구가 어려워 신속한 장애 대처가 쉽지 않은 점이 지적된다. 서버기반컴퓨팅(CBC) 방식은 사용자가 단말기로 중앙 서버에 접속해 가상 PC를 할당받아 사용하는 방식이다. 강력한 중앙 집중 관리가 가능하지만, 서버와 스토리지 등 대규모 인프라 구축으로 초기 도입비용이 높은 편이다.


물리적 망분리와 논리적 망분리 개념도

업계에 따르면 국내 망분리 시장은 지난해부터 본격적으로 판이 커지기 시작했다. 지난 2013년 발표된 ‘금융전산 보안 강화 종합대책’에 따른 후속 조치로 금융권의 망분리 의무화가 단계적으로 추진되면서부터다. 앞서 2008년 당시 행정안전부와 국가정보원, 한국정보사회진흥원의 ‘국가기관 망분리 구축 가이드라인’이 나오면서 주요 국가기관의 경우 거의 망분리 구축이 완료된 상태지만, 최근에는 산하기관을 대상으로도 망분리 도입 이슈가 뒤따르고 있다.

또한 보안성이 높고, 기존의 업무 환경에 크게 변화를 미치지 않는 물리적 망분리에 대한 선호도가 높아지고 있다는 것이 업계의 중론이다. 물리적 망분리 솔루션의 가격 하락과 함께 제각기 다른 도입처의 환경에 따라 다양한 시나리오로 유연하게 구축 가능하다는 점이 장점으로 손꼽힌다. 망분리 PC 또한 이러한 시장 요구에 따라 다양한 형태로 커스터마이징돼 제공된다는 점에서 성장 가능성이 높다는 평가를 받고 있다.


도입 시나리오로 보는 망분리 PC의 진화

기존에 데스크톱 PC를 사용하고 있는 환경에서 물리적 망분리를 도입하는 가장 손쉬운 방법은 기존 PC와 추가로 도입한 PC를 외장형 KVM으로 연결하는 것이다. PC와 노트북, 또는 노트북과 노트북으로 연결하는 방식도 마찬가지다. 이 경우 기존 PC를 활용할 수 있어 도입 비용 절감효과가 크다. 그러나 2대의 PC를 사용함에 따라 업무 공간이 좁아지고, PC에서 발생하는 소음 및 발열로 인해 업무 환경이 나빠진다는 점이 걸림돌이다.


2대의 PC를 운용하는 물리적 망분리는 가장 직관적이지만, 업무 공간이 협소해지고 2배의 소음 및 전력 소모가 문제점으로 지적된다.

기존 PC를 활용하는 시나리오에 상면적에 대한 고민까지 해소하는 대안으로 미니 PC가 부각되기 시작했다. 특히 미니 PC의 성능이 향상되면서 인터넷 등 비교적 단순한 작업에 큰 무리가 없다는 인식이 확산되면서 데스크톱 PC+미니 PC+KVM 구성으로 물리적 망분리를 도입하는 곳이 적지 않다. 다만, 이 경우도 여전히 케이블 구성이 복잡하고, 듀얼 모니터 활용이 불가능한 점 등이 아쉽다는 지적이 뒤따른다.


미니 PC를 도입해 기존 PC와 병행 사용하는 형태도 최근 많이 선호되지만, 이 역시 복잡한 케이블과 외장형 KVM 도입에 따른 편의성 문제가 남아 있다.

이에 등장한 망분리 PC의 초기 형태는 아예 1개의 케이스에 2대의 독립된 PC를 담고, KVM 스위치도 케이스 안으로 넣어 사용자가 망을 전환해가며 사용할 수 있도록 했다. 그러나 도입연한에 따라 순차적으로 시스템을 교체해야 하는 기업 및 기관들은 한꺼번에 PC를 교체하기보다는 부분적으로 PC를 추가 도입하는 방식을 선호한다는 점에서 크게 확산되지는 못했다.

결국 최근 망분리 PC의 핵심 경쟁력으로는 ‘유연성’이 단연 손꼽힌다. 특정 제품이나 솔루션에 종속되는 것이 아니라, 기존의 업무 환경을 최대한 해치지 않으면서도 손쉽게 확장할 수 있는 형태로 망분리 PC가 진화하고 있다. 망분리 도입 초기에는 기존 PC를 활용할 수 있도록 미니 PC와 KVM이 결합된 형태로 제공된 후 확장이 필요하면 스택 형태로 손쉽게 추가 증설이 가능한 형태의 제품도 등장했다.

다나와컴퓨터의 망분리 PC ‘듀얼나노’ 시리즈(사진= 다나와컴퓨터)

지난해 망분리 PC ‘듀얼나노’ 시리즈로 공공시장에 진출한 다나와컴퓨터가 대표적인 예다. 다나와컴퓨터의 듀얼나노 시리즈는 어떤 업무 공간에서도 최적의 유연성을 제공하는 ‘레고형 망분리 시스템’을 표방하는 망분리 PC로, PC 사양은 물론 형태까지 도입처 환경에 따라 커스터마이징 가능하다는 게 최대 강점이다.

사용 편의성도 빼놓을 수 없다. 일반적으로 망분리 PC는 본체에 망전환 스위치를 탑재하고 있는데, 일부 제품들은 이와 별도로 키보드에서 핫키로 망전환이 가능한 기능을 지원한다. 매번 망전환 버튼을 누를 필요없이 윈도에서 alt+tab으로 창을 전환하듯 내부망과 외부망을 오갈 수 있기 때문에 업무 효율 증대에도 기여한다.

향후에는 블루투스 및 근거리무선통신(NFC) 기술을 기반으로 직원이 자리를 비우면서 망분리 PC와 일정 거리 이상 떨어지게 되면 자동으로 시스템을 차단하는 기능 등도 망분리 PC에서 구현될 전망이다. 결국 올해를 기점으로 망분리 PC 시장은 보안을 핵심으로 하되, 얼마나 사용자 친화적인 인터페이스와 차별화된 편의 기능으로 무장했는지를 기준으로 새 판이 짜여질 전망이다.

노동균 기자 yesno@chosunbiz.com

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기