VDI, 망분리 분야에 적용 `보안성 논란`

공공·금융기관 다수 채택… 보안업계 '서버해킹 무방비' 지적
데스크톱 PC와 서버를 가상화 해 사용 영역을 분리함으로써 이용 효율성을 높여주는 가상데스크톱(VDI)기술이 보안을 위한 망분리 분야에도 적용되면서 '보안성' 논란이 일고 있다.

현재 법률로 망분리를 의무화 한 국가 공공기관과 금융기관은 상당수가 VDI 기반 망분리 기술을 채택하고 있는데, 보안성에 이상이 있을 경우 막대한 예산을 들여 망분리를 다시 해야 한다는 지적까지 나온다. 하지만 VDI 기술업체 측은 '안전장치가 이미 마련돼 있으며 실제 해킹 사례도 없다'고 맞서고 있다. 20일 보안업계에 따르면 현재 다수의 공공기관과 금융업체가 채택하고 있는 VDI 기술은 '서버 해킹'에 무방비한 상태이며, 이 취약점을 이용할 경우 망분리를 해도 내부 업무망이 해킹에 무차별 공격을 받을 수 있다는 지적이 나와 논란이 일고 있다.

공공기관과 금융업체가 VDI를 망분리에 적용하고 있는 이유는 공공기관의 보안제품 도입시 준수해야 하는 보안 가이드라인에 VDI를 허용하고 있기 때문이다.

국가정보원 산하 IT보안인증사무국은 공공기관의 VDI 도입과 관련해 '서버 기반 가상화 제품(VDI)은 기관의 중요 데이터에 대한 통제 및 보호를 위해 업무자료를 서버에 저장하고 개인 사용자들은 서버에 접속, 서버의 자원을 활용해 업무를 수행하고 자료를 저장하는 정보보호 제품'이라고 규정하고 있다. 이는 서버 기반의 업무 가상화를 말하며 서버가 반드시 보안 장벽 안에 있는 내부 업무망에만 존재해야 보안 위협이 적다.

그런데 현재 망분리로 사용되는 VDI 기술은 외부 인터넷망 접속을 서버 가상화를 통해 분리하기 때문에, 결국 서버가 외부망과 직접 접속할 수 있는 '통로'를 만들게 돼 보안에 취약하다는 것이 보안업계의 주장이다. 이는 외부망을 타고 해커가 사이버 공격을 한다는 점에서 볼 때, 외부 인터넷 접속 PC와 내부 업무용 PC 접속망을 서로 분리하는 '망분리'의 취지와도 어긋난다.

하지만 국정원이 2007년 발행한 국가 공공기관 업무 전산망 분리 실무 매뉴얼에서는 '인터넷 접속시 기존 인터넷 PC를 활용하고 업무 전산망은 서버기반컴퓨팅(SBC)환경을 위한 전용 에뮬레이터를 사용함으로써 논리적으로 인터넷과 업무 전산망을 분리'하라고 안내해 SBC 방식의 하나인 VDI가 공공기관에 폭넓게 도입되고 있는 것이다.

공공기관 보안 가이드라인을 대부분 채용하는 금융권 역시 올해 말까지 완료해야 하는 영업점 망분리에 VDI 방식을 적용하고 있다.

보안 전문가는 "VDI의 보안 취약점을 실무자들은 알고 있지만 정부 가이드라인에 따라 도입할 수밖에 없는 것이 현실이기에 무작정 VDI 기반 망분리 발주를 내고 있다"면서 "만약 보안 취약점을 인정하고 보다 보안이 강화된 망분리 기술로 교체하려면 수백억원 이상의 예산이 소요되기 때문에 누구 하나 문제제기를 하는 것도 조심스러워 한다"고 지적했다.

이에 대해 VDI 업체들은 강하게 반발하고 있다. VDI 업계 관계자는 "SBC나 VDI가 논리적 망분리 기술로 적용되는 과정에서 데이터를 어디에 저장시키는가에 따라 보안에 위협이 될 수 있지만, '안전장치'가 있기 때문에 사실상 강력한 보안장치가 된다"면서 "VDI가 가질 수 있는 보안 취약점은 말 그대로 '이론'적인 것으로, 실제 보안사고 발생 사례조차 발견되지 않고 있다"고 강조했다.

업무용 운영체제는 내부망(인트라넷)에서만 사용하고 데이터도 서버에 저장되지만, 개인용 PC는 데이터 저장위치가 서버가 아닌 개인 단말기(클라이언트)에 있어 안전하다는 것이다.

이 관계자는 "단순히 VDI가 문제가 있다기 보다는 망분리 구축 사업자가 어떤 솔루션으로, 어떤 방식으로, 어떤 단계까지 가상화를 통한 분리를 하느냐가 중요하다"면서 "무작정 VDI 기술이 망분리 보안에 취약하다고 단정하는 것은 맞지 않다"고 목소리를 높였다.

강은성·정용철기자 esther@