기업 내부 정보 유출 단속하는 보안 기술

현장속으로/세미나 2013.03.30 07:00

지난 3월 7일, Network Security Vision 2013 세미나&전시가 열렸다. 세미나는 국내외 보안 업체들이 차세대 보안 로드맵을 제시하고, 보안 구축 방법과 업체의 솔루션을 소개하는 구성으로 짜여져 있었다. 보안 솔루션을 필요로 하는 업체는 보안 솔루션에 대한 정보와 신뢰를 얻어가는 시간이 되었으리라 생각한다. 대학생 입장에서는 보안 기술의 트렌드를 읽고, 보안 시장을 체험 할 수 있는 특별한 기회였다.

실무자를 대상으로 한 세미나였기에 발표 내용의 난이도가 높지 않을까 걱정스러웠다. 그러나 생소할 수 있는 용어는 한 번 더 짚어서 설명해 주었고, 관련된 시각자료를 충분히 보여주어 발표 내용을 이해하는데 큰 어려움은 없었다.

첫 발표였던 김홍선 안랩 대표이사는 '패러다임 변화와 차세대 보안전략'을 주제로 기업 보안의 현재와 미래, 2013 보안 트렌드 및 전략 로드맵을 다루며 세미나의 문을 열었다. 이후의 발표 내용들을 어우르는 굵직한 틀을 잡아주어, 다른 발표를 수월히 이해하는 데 많은 도움이 되었다. 전시는 보안 업체의 솔루션을 소개 및 체험하는 것이었으며, 세미나 진행 동안 전시 관람도 진행되었다.

오후에는 '클라이언트 가상화 기반의 정보보호' 발표를 들어보았다.


[클라이언트 가상화 기반의 정보보호]

-미라지웍스의 김해룡 상무

문제 인식: 보안 사고에 따른 업무 환경 전체를 감싸는 솔루션의 필요성


개인정보 유출과 기업정보 유출, 사이버 공격의 증가까지 합세하여 보안 사고 사례가 늘고 있는 실정이다. 최근 2년 간의 개인정보 유출 건수는 6,325만 여건에 달하고, 2012년 방통위의 통계 자료에 따르면 전 국민이 1회 이상 개인정보를 유출당했다.

이렇게 보안 사고의 피해 사례와 범위가 확대됨에 따라, 정부는 개인정보보호법과 정보 통신망법으로 대응하였다. 법적 강화를 통해 보안의 수준을 높이고자 한 것이다. 정보통신망법을 살펴보면 '개인정보 처리 시스템에 접속하는 개인정보 취급자 컴퓨터 등에 대한 외부 인터넷망 차단'이라는 항목이 있다. 업무 환경의 망 분리 대한 필요성을 강조한 것이다.

보안 업계는 사내 업무용 문서를 암호화하고, 외부 장치와 환경을 통제하고, SBC 환경을 구축하는 방식으로 보안 체계를 구축했다. 그러나 이러한 전통적 보안 방식은 업무환경의 일부만이 보호되는 포인트 보안 솔루션이다. 업무환경 전체를 보호하기에는 역부족인 것이다. 따라서 업무 환경 전체를 감싸는 차단 및 격리 솔루션이 필요하다.


해결책 제시: '클라이언트 가상화 기반'으로 하나의 PC를 둘로 쪼개서 쓰기


<Local Desktop / Virtual Desktop>

로컬 데스크탑 / 가상 데스크탑으로 나누어 업무환경을 분리하고 완벽하게 차단한다. 따라서 전체적인 업무환경이 보호된다. 분리되는 것은 파일 시스템, 서비스, 메모리, 프로세스이며, 공유되는 것은 OS와 커널이다.

로컬 PC에서는 클라이언트 기반 워크스페이스를 암호화한 이미지 파일로 인식한다. 예를 들어 1TB의 하드 디스크라면, 500GB 정도를 클라이언트 가상화를 위한 용량으로 잡아두고 사용하게 된다. 이 이미지 파일의 유출을 대비한 보호도 되어있다. 여기서 제시될 수 있는 의문점은 '하드 디스크 내부에서는 가상 데스크탑의 데이터가 어떤 방식으로 분리되는가?' 이다. 

<SandBox>

테두리를 경계로 안에서 모래놀이를 할 수 있는 공간을 샌드박스라 한다. 샌드박스의 테두리는 가상영역, 테두리 안의 모래는 가상 데스크탑의 자료라고 볼 수 있다. 이 가상영역의 데이터는 가상영역 밖으로 빠져나가지 못 한다. 가두리 양식장 안의 물고기가 빠져 나가지 못 하는 것과 비슷한 개념이다.

샌드박스 기반 가상화 기술을 이용하면, 가상 데스크탑의 데이터는 로컬 PC와의 원천적인 격리가 가능해진다. 샌드박스 기술로 구현한 것이 클라이언트 가상화이며, 클라이언트 가상화는 하나의 PC를 두 대처럼 나누어 사용할 수 있는 것을 뜻한다.

<SBC vs CBC>

전통적 보안 방식에서 언급되었던 SBC(Server Based Computing: 서버 기반 데스크탑 가상화)는 가상 머신을 띄워서 가상화하는 것으로 서버망, 네트워크, 스토리지 구축에서 여러 제약 사항을 갖는다. 반면 CBC(Client Based Comeputiog: 클라이언트 기반 워크스페이스 가상화)는 OS와 커널의 공유 외에 파일 시스템, 서비스, 메모리, 프로세스를 완벽히 분리 및 차단하는 기술이다.

<장점>

클라이언트 기상화는 워크스페이스를 분리하여 보안 수준을 높이고, 한 대의 PC만으로 2개의 워크스페이스를 사용함으로써 업무 생산성을 증대하며, 비용을 절감하는 친환경 IT 솔루션이라는 장점을 가진다.


보안 사고는 외부의 침입뿐 아니라 내부에서의 반출 또한 원인이 되므로 업무 환경 자체를 보안의 대상으로 볼 필요가 있다. 따라서 업무환경을 분리하여 관리하는 것은 포괄적이면서도 깔끔한 해결책이라고 생각된다.

한 대의 PC를 두 대의 PC처럼 쓸 수 있다는 점은 기업의 보안 측면에서뿐 아니라 일반 유저에게도 매력적인 장점이다. 좋은 보안 기술에 태클을 거는 것 같지만, 한 가지 우려가 생긴다. 지키는 데 뛰어난 제품은 감추는 데에도 뛰어날 것이라 생각되기 때문이다. 따라서 '도덕적 해이'를 불러 일으키지 못 할 선에서의 유용성을 기대하는 바이다.

이번 세미나와 전시는 다양한 보안 이슈와 함께 솔루션을 체험하며, 보안에 대한 시야를 개인에서 기업으로 넓힐 수 있게 된 좋은 기회였다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요