금융IT 인터뷰

“네트워크 가상화, VDI 기반 망분리 보안성 크게 강화”

이유지

[지상중계 / 2016 금융IT혁신 컨퍼런스] 임관수 VM웨어코리아 부장

[디지털데일리 이유지기자] “네트워크 가상화 기술이 가상데스크톱인프라(VDI) 환경의 네트워크 효율성뿐만 아니라 보안성도 크게 강화시킨다.”

VM웨어가 네트워크 가상화 기술을 바탕으로 VDI 기반의 인터넷망과 내부망 분리(망분리) 환경에서 보안성을 강화할 수 있는 방안을 소개했다.

10일 서울 프라자호텔에서 개최된 ‘2016년 전망, 금융IT 이노베이션’ 컨퍼런스에서 임관수 VM웨어코리아 부장은 “망분리가 내부망 보안성을 향상시키는 효과가 있지만 완벽한 보안을 담보하는 것은 아니다”고 화두를 던지며 “보다 완벽한 보안성을 확보하기 위해서는 가상 데스크톱이 모여있는 팜, 즉 가상화 클러스터가 항상 안전해야 하지만 내부자원을 통제하기 어려운 상태로 운영되고 있고, 보안 솔루션도 기존의 물리적 업무환경에 맞춰져 있다”고 지적했다.

임 부장에 따르면, 내부통제 정책이 제대로 구현돼 있지 않은 VDI 환경에서는 모든 VM이 같은 보안수준으로 지원되기 때문에 모든 사용자 접근이 가능하다. 하지만 네트워크 가상화 기술이 지원하는 ‘마이크로세그멘테이션(Micro-Segmentation)’ 기능을 적용하면 사용자별 보안정책을 적용할 수 있다. 따라서 임직원별, 부서별로 접근권한을 다르게 설정 가능하다.

VDI 팜에서 업무 서버팜으로 접근하는 경우에도 사용자나 조직에 따라 접근을 통제·제어할 수 있다.

임 부장은 “기존 환경에서는 VDI팜에서 서버팜으로 접근하는 트래픽을 방화벽이 검사한다. 이 경우엔 출발지·목적지IP와 포트만 검사할 수 있다. VM 생성·삭제가 빈번하고 유동IP를 쓰는 VDI 환경에서는 내부시스템 접근제어·관리 방법이 제한적이어서 세밀하게 통제하지 못했다. 하지만 네트워크 가상화 기술을 사용하면 하이퍼바이저단에서 사용자·업무/부서별로 내부시스템 접근경로를 제한할 수 있으며, VM 생성이나 IP 변경 여부에 관계없이 자동으로 정책을 적용할 수 있다”고 소개했다.

네트워크 가상화 기술은 VDI팜 내 VM 간 트래픽도 감시해 악성코드 감염, 사용자 이상행위를 탐지해낼 수 있다. 의심스러운 활동이 발견되면 단말을 즉시 자동 격리시켜 안전성 여부를 검사한다. 만일 문제가 발견되면 치료할 수 있는 방법을 제공한다. VM웨어는 시만텍, 인텔시큐리티(맥아피), 트렌드마이크로, 팔로알토네트웍스 등의 안티바이러스(백신)와 차세대방화벽과 연동할 수 있도록 지원하고 있다.

이밖에도 네트워크 가상화 기술은 하이퍼바이저 수준에서 백신 솔루션과 연동하기 때문에 가상호스트 성능도 개선시킨다는 장점을 제공한다.

한편, 네트워크 구축·관리 측면에서 확보할 수 있는 혜택으로 임 부장은 “기존에 독립적인 물리적 장비로 사용해온 L2 스위치와 L3 라우터, L4 로드밸런서, 방화벽, 가상사설망(VPN) 등의 서비스를 가상화 하이퍼바이저 위에서 구현할 수 있어 효율적이다”며 “가상화된 호스트를 연결할 L2 스위치만 연결하면, 기존 VDI를 구성할 때 필요했던 다양한 네트워크 장비를 복잡하게 구성할 필요 없이 단순하게 네트워크 서비스 구성이 가능하다”고 제시했다.

또한 그는 “VM을 삭제하고 다시 생성하거나 호스트·IP가 이동·변경되더라도 관리자가 수동 작업을 할 필요 없이 기존의 정책이 그대로 적용된다”고 덧붙였다.

임 부장은 “데스크톱과 서버 컴퓨팅 환경을 가상화하고 네트워크는 물리적 인프라로 구성할 경우엔 네트워크 운영관리 효율성이 떨어지고 관리복잡성도 증가한다”며 “하나의 가상 호스트 안에 서로 다른 네트워크상에 존재하는 VM이 혼재돼 있는 환경에서는 시스템 외부에 있는 여러 L3·L4 스위치와 방화벽 등의 물리적 인프라를 거칠 수밖에 없다”고 지적했다.

VM웨어는 네트워크 가상화 플랫폼으로 ‘NSX’를 제공하고 있다.

<이유지 기자>yjlee@ddaily.co.kr


이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널