(전문가칼럼)망 분리 시장 현황 및 대안으로서의 누크팜 적용-RDI 기반 망 분리 제안

Want create site? Find Free WordPress Themes and plugins.

망 분리 시장 현황 및 대안으로서의 누크팜

RDI 기반 망 분리 제안

망 분리란 무엇인가?

망 분리는 내부 네트워크망과 외부 인터넷 망을 분리하여 외부로의 침입을 막고 내부 정보의 유출을 막는 것을 말 한다.

여기서 내부 망은 업무 망이며 인터넷 망은 인터넷을 통한 이메일 송수신 과 정보 획득의 창구로서 인터넷 서핑 등의 업무에 사용하게 된다.

망 분리의 통상적인 방법은 물리적 망 분리와 논리적 망 분리로 나뉘어진다

출처  http://www.comworld.co.kr/news/articleView.html?idxno=48991

 

출처 www.griffins.co.kr

 

통상적인 망 분리 필요성은 보안강화 이다.
보안 이라는 큰 카테고리 안에서도 망분리의 핵심 목적은 내부 업무망을 외부 인터넷망과 차단시킴으로써 보안 위협을 근본적으로 차단하고자 함에 있다.
기타 자료유출 방지 등 목적에 따라 따라서 망 분리 방식에 따라 다양한 망 연계, 매체 제어, 프린터 등 디바이스 공유, NAC, PMS 등의 복합적인 솔루션이 사용된다.

위의 도표처럼 망을 분리하는 방식은 크게 물리적 망분리와 논리적 망분리로 구분되는데, 각각의 방식에 따라 도입 비용은 물론 보안성, 업무 편의성, 유지보수 용이성 등에서 장단점이 있기 때문에 망분리 도입 전 면밀한 검토가 필요하다.

물리적 망분리는 2대의 PC를 설치하고 하나의 PC로는 내부망에만 접속할 수 있고, 나머지 PC로는 인터넷망에만 접속할 수 있도록 함으로써 외부에서의 보안 위협 요소가 내부망에 영향을 미치는 것을 원천적으로 막을 수 있다.
2대의 PC를 사용하는 직관적인 방식인 만큼 가장 보안성이 높고, 도입 문턱도 낮지만 PC 구입비용과 유지보수 비용이 2배로 늘어난다.

논리적 망분리는 가상화 기술을 기반으로 PC 또는 네트워크를 구분하는 방식이다.
PC를 가상화하는 클라이언트 기반 컴퓨팅(CBC) 방식은 한 대의 PC만을 필요로 하기 때문에 초기 도입 비용이 가장 저렴하지만,
고장 발생 시 복구가 어려워 장애 대처가 쉽지 않다.

서버기반컴퓨팅(CBC) 방식은 사용자가 단말기로 중앙 서버에 접속해 가상 PC를 할당 받아 사용하는 VDI 방식이다.
강력한 중앙 집중 관리가 가능하지만,
서버와 스토리지 등 대규모 인프라 구축으로 초기 도입비용이 높다.

기존에 데스크톱 PC를 사용하고 있는 환경에서 물리적 망분리를 도입하는 가장 손쉬운 방법은 기존 PC와 추가로 도입한 PC를 외장형 KVM으로 연결하는 것이다.
PC와 노트북, 또는 노트북과 노트북으로 연결하는 방식도 마찬가지다.
이 경우 기존 PC를 활용할 수 있어 도입 비용 절감효과가 크다.
그러나 2대의 PC를 사용함에 따라 업무 공간이 좁아지고,
PC에서 발생하는 소음 및 발열로 인해 업무 환경이 나빠진다.

기존 PC를 활용하는 시나리오에 업무공간까지 고려해 미니 PC가 부각되기 시작했다.
특히 미니 PC의 성능이 향상되면서 인터넷 등 비교적 단순한 작업에 큰 무리가 없다는 인식이 확산되면서 데스크톱 PC+미니 PC+KVM 구성으로 물리적 망분리를 도입하는 곳이 적지 않다.
다만, 이 경우도 여전히 케이블 구성이 복잡하다.

최근 망분리의 요구사항은 기존의 업무 환경을 최대한 해치지 않으면서도 손쉽게 확장할 수 있는 형태의 망분리 PC를 요구하고 있다.
망분리 도입 초기에는 기존 PC를 활용할 수 있도록 미니 PC와 KVM이 결합된 형태로 제공된 후 확장이 필요하면 스택 형태로 손쉽게 추가 증설이 가능한 형태의 제품도 등장했다.

이처럼 망분리 시장은 점차 커지고 있고 기존에 물리적 망분리나 논리적 망분리를 도입했던 많은 업체와 기관에서도 사용연한 한계가 가까워오면서
좀더 편리하고 도입과 유지 비용이 낮은 신규 망분리 솔루션을 도입하려는 의지가 강하다.

특히 VDI 기반의 SBC 나 PC운영체제 상에 가상머신을 생성하는 CBC 방식의 망분리 솔루션은 구축과 운영의 어려움은 물론 매년 발생하는 라이선스 유지비용 부담이 크고 성능상의 문제가 많아 점차 시장에서 사라지고 있으며 미니피씨 등을 이용한 원초적인 물리적 망분리 후 KVM 을 이용해 한 세트의 키보드 마우스 모니터로 구축하는 사례가 늘고 있다.
국내에서 잘 알려진 I사의 T 솔루션의 경우 KVM 스위치를 내장한 미니피씨를 선보여 물리적 망분리시 사용자의 불편을 일정부분 해소할 수 있어 지난 몇 년간 굵직한 프로젝트를 수주해왔다.

망분리 솔루션은 크게 하드웨어적인 구성과 망분리에 따른 각종 보안 솔루션의 총합으로 구성된다.
이때 도입하는 회사나 기관의 요구사항에 따라 보안 솔루션의 필요 정도가 결정된다.
USB 등의 매체를 통한 자료 반출이 가능한지 여부를 결정하고,
분리된 망에서 생성된 데이터나 자료 문서를 인쇄할 필요가 있느냐에 따라 매체 보안이 필요하고,
양 망간의 자료 교환을 위해 중간 게이트웨이에서 자료별로 바이러스 등 각종 보안 위협을 확인 위해 망연계 솔루션도 필요하다.

PMS 는 각 망에 연결된 단말기의 OS와 어플리케이션에 대한 패치를 위해 필요하고, 인가되지 않은 단말기의 망 연결을 제한하기 위해 NAC 들 사용한다.
마지막으로 외주 작업자나 게스트의 임시 연결 제어를 위한 승인 정책과 절차도 필요하다.

또 정책에 따라 인터넷 전용 단말의 영구적 자료 저장을 제한하거나 허용할 수 있고 외부 이메일 이용시 자료전달은 망연계 솔루션을 통해서만 이루어 지도록 제한 할 수 있다.
논리적 망분리라 불리는 방식중 PC 내에 가상머신을 생성하는 방식은 한때 저렴한 비용 때문에 많이 도입했으나 관리의 어려움 때문에 국내에서 거의 찾아보기 어렵다.

이제 최근 당사가 출시한 누크팜 솔루션을 하이브리드 망분리에 적용하는 예를 들어보자.

NUC팜이라 불리는 이 솔루션은 당사에서 2015년 출시한 NUC서버(NUCserver)를 기반으로 하고 있다.
NUC서버는 인텔이 발표한 가로세로 4인치 크기인 초소형 저전력 임베디드 미니 데스크톱 PC NUC(Next Unit of Computing) 를 데이터센터 환경에 적용하기 위해 업계 표준인 19인치 42U 렉마운팅 시스템에 최대 192대의 NUC를 장착하고 서버 수준의 통합 관리를 적용한 솔루션이다.

NUC팜은 이 NUC서버를 DaaS 플랫폼으로 사용할 수 있도록 디스크 가상화 솔루션과 연계하고 라이선스 관리 기능 등을 추가로 탑재한 솔루션이다.

기존의 DaaS 솔루션들이 대부분 가상 데스크톱 인프라 (Virtual Desktop Infrastructure, VDI) 를 기반으로 개발된 것에 비해 NUC팜은 이런 가상머신을 대체하기 위해 실제 데스크톱 PC를 집적하여 물리적 데스크톱 인프라(Real Desktop Infrastructure, RDI)로 구성한 것이 가장 큰 특징이다

0이에따라, 기존에 VDI를 구축하기 위해 다수의 가상머신을 생성하고 관리하는데 필요한 각종 가상화 솔루션 비용을 절감할 수 있으며,
중소규모의 기업에서 DaaS를 도입하는데 가장 큰 걸림돌이었던 복잡한 아키텍처에 대한 검토, 설계, 운영상의 어려움을 가시적으로 검토 가능한 간단한 구조로 대체하고 필수 솔루션 도입 비용을 획기적으로 낮출 수 있다.
특히 필요에 따라 선형적 확장과 예측이 가능한 아키텍처 는 기업의 인프라 관리와 유지보수에 대한 리스크를 최소화할 수 있다.

또한 VDI 솔루션 도입 후 사용자의 불만 요소였던 비교적 낮은 성능에 대해 물리적 데스크톱 PC를 요청 시점에 사용자에게 전용으로 할당함으로서 성능 문제를 해결한 영리한 솔루션이다.

NUC팜은 하드웨어인 미니PC와 운영체제, 소프트웨어, 사용자 데이터를 완전히 분리하고 각 요소를 능동적으로 조합하여 사용자의 요청 시점에 구성하고 제공함으로서 전체 사용자 수가 아닌 동시사용자 수만큼만 데스크톱 PC가 필요하며,
향후 확장이 필요한 경우에도 동시사용자가 늘어나는 만큼만 확장 구축이 필요하여, 운영체제 및 가상화 라이선스 비용 절감 및 IT 복잡성 감소와 총소유비용(TCO) 절감에 최적화 되어있다.

기존에 VDI방식의 논리적 망분리 도입을 고려하던 기업이 NUC팜 솔루션을 도입하면 가상화 솔루션, 운영체제 등의 소프트웨어 라이선스 도입과 갱신 비용 및 고가의 하드웨어 비용에 따른 고민을 덜 수 있으며 간단한 교육만으로 내부 전산 담당자가 직접 운영할 수 있을 정도로 편리한 관리 환경을 제공한다.

기존 VDI는 서버 내에 구성된 많은 가상머신 중 하나가 자원을 많이 사용할 경우 동일한 물리적 서버 내의 다른 사용자들에게 영향을 줄 수 있는 반면,
NUC팜은 서버 내 집적된 하나의 물리적 PC를 단일 사용자에게 할당하는 구조로 다른 사용자에게 전혀 영향을 미치지 않는 장점도 있다.

특히, 전체 전체 사용자 수에 비해 동시사용자가 적은 인터넷 전용 PC로 활용하면 단기간에 투자비용 대비 매우 큰 효과를 기대할 수 있을 것으로 전망된다.

 

 VDI 방식 망분리NUC
운영체제 라이선스총 사용자 수동시 사용자 수
어플리케이션 라이선스

(라이선스 정책에 따름)

총 사용자 수동시 사용자 수
가상화 솔루션 라이선스필요불필요
VDA 라이선스필요불필요
기존 PC대비 성능비교적 낮음기존 PC와 동일
유지 보수 난이도복잡함간단함
전문 운영 인력필요불필요

 

위 표의 내용을 요약하면, NUC팜을 도입하면 기존의 VDI 방식 망분리 와 비교해 구축 비용이 낮고 외산이 대부분인 가상화 솔루션을 도입할 필요가 없어 연간 유지비용을 지불할 필요가 없으면서 기존 PC 사용환경과 동일한 성능을 기대할 수 있다.

이제 100명 규모에서 기존에 PC 한대를 사용해 업무망과 인터넷망을 혼용중인 환경이라 가정하고 각종 망분리 시 필요한 망연계 나 매체보안 솔루션을 제외한 순수 구축 비용 측면 물리적 망분리와 서버방식 논리적 망분리를 분석해 보자.

물리적 망분리

  • 미니 PC 100 대 7,000만원
  • 인터넷 전용 네트워크 구성 100포트 2000만원
  • 2포트 KVM 100대 약 1000만원
  • 총액 1억원

 

가상서버 방식 망분리

  • 서버, 스토리지,네트워크 등 하드웨어 7000만원
  • 가상화 라이선스 100팩 + 연간 서포트 5000만원
  • 설치지원 등 기술료 1000만원
  • 씬/제로 클라이언트 100개 3000만원(옵션)
  • 윈도우 추가 라이선스 연간 1000만원
  • 2포트 KVM 100대 약 1000만원(옵션)
  • 윈도우 서버 및 CAL 약 2000만원
  • 총액 2억원(옵션제외시 6억) + 연간 2000만원의 라이선스 유지비용

 

NUC팜 방식

  • 디스크 가상화를 위한 서버 스토리지 네트워크 등 하드웨어 2000만원
  • 누크서버 70세트 7000만원
  • 씬/제로 클라이언트 100개 3000만원(옵션)
  • 2포트 KVM 100대 약 1000만원(옵션)
  • 1회성 누크서버 라이선스 1000만원
  • 총액 4억(옵션제외시 1억) 및 연간라이센스 유지비용 없음

 

가상서버 방식이나 누크팜 방식 모두 사용자의 기존 PC내에 접속 프로그램 방식을 사용하면 옵션인 KVM이나 씬/제로 클라이언트 비용을 절약할 수 있다.

NUC팜 방식의 장점은 모든 사용자에게 전용 가상머신을 할당해야 하는 서버 가상화 방식에 비해 동시사용자 수(전체 사용자의 70%로 가정)만큼만 구축하면 전체 사용자를 커버 할 수 있어 효율적이고 기존 물리적 망분리와 비슷한 비용으로 구축할 수 있으며
특히 외산 소프트웨어 일색인 가상화 라이선스 유지비용이 없어 유리하다.

 

망분리는 정보통신망법 시행령 등의 법령을 근거로 이미 대부분의 주요 기관과 대기업에서 도입했다.
그러나 선도적으로 도입한 기업의 경우 사용연한 한계에 도달해 신규 솔루션을 도입할 필요가 있고,
이미 구축한 VDI기반의 망분리 솔루션의 경우 높은 유지 비용과 낮은 성능 때문에 대부분 걷어내고 물리적 망분리로 선회하는 추세이다.

특히 VMWARE, CITRIX, OPEN STACK, DOCKER 등 대부분의 가상화 기반 망분리 솔루션은 외산, 또는 외국 기반의 오픈소스 커뮤니티가 주류를 이루고 있고
현재도 막대한 리소스가 투자되고 넓은 개발자 층이 지원하고 있어 국내의 특정 회사나 커뮤니티의 한정된 리소스 투입으로 그 수준을 뛰어넘을 수 있다는 기대는 요원한 상태다.

이런 대세를 거스르면서도 아직 전체 데이터센터의 70%를 차지하고 있는 일반 서버의 수량을 감안하면 서버가상화에 대응하기 위한 NUC서버 나 VDI 기반 DaaS기반 망분리 솔루션을 대체하는 NUC팜처럼 틈새시장을 공략 할 수 있는 솔루션은 이미 핵심기술의 대부분이 국산화 되어있고 향후 발전 할 여지가 많은 솔루션이라 할 수 있다.

Did you find apk for android? You can find new Free Android Games and apps.

About 트루네트웍스

트루네트웍스

Leave a Reply

첫번째 댓글을 작성해 주세요.

메일 알림 설정
wpDiscuz
×
인프라 진단을 이용해 보세요~