DaaS를 왜 도입하는가?
나는 현재 금융권에서 망분리 의무 대상 기업에 재직 중이다.
하지만 현실적으로는 컴플라이언스 규정을 ‘형식적으로’ 준수하는 수준에 머물러 있었다.
예를 들어,
내부망에서 외부 통신이 허용된 구조였고 실질적인 망분리 효과는 거의 없는 상태였다.
이러한 구조는 보안 측면에서 매우 취약할 수밖에 없으며, 실제 사고 발생 시 책임소재도 불분명해질 우려가 있었다.
그래서 나는, 단순히 "망이 나뉘어 있다"는 외형적 분리가 아닌,
실질적으로 통제 가능한 환경을 갖춘 ‘진짜 망분리’ 를 구축하기 위해
→ DaaS(Desktop as a Service) 도입을 추진하게 되었다.
DaaS 솔루션을 선정하자
DaaS 도입을 검토하면서, 다양한 국내외 솔루션을 비교 분석했다.
내 입장에서 요구사항은 명확했고, 실질적이었다.
단순히 기술적인 스펙이나 화려한 마케팅 자료보다는
우리 조직에 실질적으로 적용 가능한 솔루션이 중요한 기준이었다.
1. 금융권 구축 레퍼런스 보유 여부
○ 실제 금융권 환경에서의 적용 사례가 있는지
○ 도입 후 운영 안정성에 대한 검증이 되었는지
2. 법령 및 컴플라이언스 대응 가능 여부
○ 전자금융감독규정, 개인정보보호법 등 망분리 및 보안 관련 주요 법령을 충족할 수 있는지
3. 보안 솔루션 연동성
○ DaaS내에서 추가 보안 솔루션을 적용할 수 있는지
4. 기술지원 및 유지보수 수준
○ 장애 발생 시 신속한 대응이 가능한가
○ 기술 컨설팅 및 정기점검 등 SLA 수준은 어떤가
5. 직접 설정/운영 가능 여부
○ 외부 인력 의존 없이, 내가 직접 솔루션을 컨트롤하고 설정을 조정할 수 있는 구조인가
위 다섯 가지 항목에 모두 부합하는 솔루션을 선별했고,
그 결과 가시적인 도입으로 이어질 수 있었다.
DaaS 구축 구성도
이번 DaaS 구축의 핵심은 PC 한 대로 논리적 망분리 환경을 구성 하는 것이었다.
사내 환경은 다음과 같은 원칙에 따라 설계되었다.
1. 로컬 PC의 역할
○ 사내 내부망 접속 전용
○ 로컬에서는 외부 인터넷 차단 (방화벽 정책으로 전면 차단)
○ 사내 업무 시스템, 그룹웨어 등은 이 환경에서만 접근 가능
2. DaaS의 역할
○ 외부 인터넷 전용 영역
○ 검색 포털, 외부 사이트 접속 등은 DaaS를 통해서만 가능
○ 외부에서 DaaS에 로그인 못하도록 회사 공인IP만 접근 허용
그럼 외부 파일은 어떻게 가져오나?
○ 외부에서 다운로드한 파일이나 자료가 필요할 땐 DaaS ↔ 로컬 PC 간의 직접 전송은 불가했기 때문에,
망연계 솔루션(자료전송 시스템)을 추가 도입했다.
DaaS 인터넷망에서도 무조건 허용하지 않았다.
외부 인터넷 접근이 가능하다고 해서 DaaS를 무방비로 둘 수는 없었다.
그래서 DaaS 내부에도 별도 보안 통제를 적용했다.
○ 유해사이트 차단 솔루션 탑재
○ P2P, 웹하드, 성인사이트, 상용메일(네이버, 다음 등) 차단
○ 카테고리 기반 정책으로 업무 외 목적 사용 통제
DaaS 도입효과 & 사용자반응
DaaS 도입을 통해 컴플라이언스 준수 기반을 마련할 수 있었으며,
특히 업무망에서 인터넷이 차단되면서 트래픽 관련 이슈가 눈에 띄게 해소되었다.
또한 망연계 솔루션을 도입해 임직원이 파일을 반·출입할 경우 팀장의 결재 절차를 포함시킴으로써, 자료 유출이나
악성 파일 유입에 대한 경각심이 높아졌다. 전반적으로 직원들이 보다 신중하게 자료를 다루는 분위기가 조성되었다.
다만, 물리적 망분리를 적용하지 못한 점은 아쉬움으로 남는다.
특히 DaaS의 VM 스펙을 높일수록 비용 부담이 커지면서 성능 저하 문제가 자주 제기되었다.
"DaaS가 느려요"라는 피드백이 그 대표적인 예다.
실제로 망분리 이후 업무 지연 및 사용상의 불편함에 대한 민원이 다수 발생했다. 이 경험을 통해 느낀 것은
망분리의 기술적 구축보다 더 어려운 과제는 바로 내부 직원들의 반발심을 어떻게 완화하고 수용하게 만들 것인가였다.
기술적 완성도만큼이나 변화관리와 커뮤니케이션 전략이 중요함을 실감했다.
아쉬웠던점 & 개선계획
사실 이번 프로젝트는 'DaaS 구축기'라기보다는 정확히 말하면 '망분리 개선기'에 가깝다.
로컬 PC는 내부망(업무망)으로, 비업무 사이트 접근은 DaaS 기반 인터넷망을 활용하자는 취지에서 출발했다.
이를 위해 내부 망분리 간담회를 열고, 전 부서 팀장들을 일일이 만나며 미팅을 진행했다.
전 부서 실무자들을 대상으로 각자의 업무 현황과 접속 사이트를 수집하여 A업무는 내부망,
B업무는 DaaS에서 수행하는 식의 업무 분류 작업을 병행했다.
이 과정이 특히 어려웠던 이유는 다음과 같은 요구사항들이 계속 제기되었기 때문이다.
"이 업무는 꼭 내부망에서 해야 해요. 방화벽 열어주세요!"
"DaaS에서 하면 업무 지연이 심해서 힘들어요."
이런 식의 피드백 속에서 업무별 특성과 사용 목적을 정확히 분류하는 과정은 나에게 있어 말 그대로 ‘대장기 프로젝트’였다.
구축 자체보다 더 힘들었던 것은 수많은 미팅, 설득, 협업 과정이었다.
망분리는 단순히 기술을 도입하는 것만으로 완성되는 것이 아니었다.
DaaS를 도입함으로써 최소한의 컴플라이언스를 빠르게 충족할 수는 있었지만,
DaaS 자체는 결국 SaaS 형태의 클라우드 서비스이며,
금융권이나 보안에 민감한 환경에서는 여러 제약과 보안 리스크에 노출되어 있다는 점이 한계로 남는다.
따라서 앞으로는 DaaS를 점차 걷어내고, 내부 통제가 용이하고 보안 수준이 높은 온프레미스형 VDI 환경으로
전환하는 방향을 고민하고 있다.