[뉴스줌인] 클라우드 통해 어디서나 동일한 데스크톱 환경 유지하는 DaaS, 관건은 ‘보안’

[IT동아 김영우 기자] IT동아 편집부에는 하루에만 수십 건을 넘는 보도자료가 온다. 대부분 새로운 제품, 혹은 서비스 출시 관련 소식이다. IT동아는 이 중에 독자들에게 도움이 될 만한 것 몇 개를 추려 기사화한다. 다만, 기업에서 보내준 보도자료 원문에는 전문 용어, 혹은 해당 기업에서만 쓰는 독자적인 용어가 다수 포함되기 마련이다. 이런 용어에 익숙하지 않은 독자를 위해 IT동아는 보도자료를 해설하는 기획 기사인 '뉴스줌인'을 준비했다.

출처: 가비아(2022년 9월 5일)
제목: ㈜에스피소프트, VDI ‘gDaaS v2.0’로 국정원 보안기능 확인서 획득

요약: 가상화 솔루션 전문기업인 에스피소프트가 자사에서 개발한 가상데스크톱(VDI) ‘gDaaS v2.0’으로 국가정보원의 ‘보안기능 확인서’를 획득했다고 5일 밝혔다. 한편 에스피소프트는 클라우드 인프라 공급 기업(CSP)인 가비아와 함께 ‘gDaaS v2.0’를 기반으로 ‘클라우드 보안 인증(CSAP)’도 준비 중에 있다고 전했다. 가비아는 2017년과 2022년에 각각 g클라우드(IaaS)와 공공 메일 하이웍스(SaaS)로 클라우드 보안 인증을 획득한 바 있다

해설: 각종 업무에 이용하는 데스크톱 시스템을 구동하려면 로컬 상의 PC 등의 단말기를 이용하는 것이 일반적이다. 다만 이 경우, 장소에 따라, 혹은 PC의 종류에 따라 운영체제나 탑재 소프트웨어, 그리고 저장 데이터 등의 업무 환경이 달라질 수 있다. 그리고 각 장소마다 설치된 PC의 성능에 큰 차이가 나는 경우, 균일한 업무 효율을 내기 힘들다.

노트북 등의 휴대용 PC를 이용한다면 상대적으로 이러한 단점을 보완할 수 있겠지만 이는 분실이나 도난, 해킹 등의 보안 우려가 더 큰데다 데스크톱 PC 대비 성능이 낮은 것이 단점이다.

DaaS(Desktop as a Service)는 이러한 단점을 보완하기 위해 개발된 클라우드 컴퓨팅 기반 가상 데스크톱 서비스다. DaaS는 운영체제 및 애플리케이션, 그리고 데이터를 비롯한 모든 자원을 클라우드에서 제공받는다. 덕분에 장소나 기기의 종류와 상관없이 언제 어디서 접속하더라도 균일한 환경을 유지할 수 있으며, 연속성 있는 업무를 이어갈 수 있다.

또한 개별 기기가 아닌 클라우드 상에 모든 데이터를 저장하므로 각 기기를 잃어버리거나 망가뜨리더라도 데이터가 손실될 우려가 없다. 또한 각 PC에 일일이 새로운 소프트웨어를 설치하거나 업데이트를 할 필요 없이 클라우드 상에서 소프트웨어를 설치하거나 패치를 하는 등의 방법으로 일괄 관리가 가능하다.

이와 더불어 이용자 수나 필요 소프트웨어, 사양 등의 요구사항에 맞춰 적절한 월 요금만 내고 이용할 수 있으며, 이용자 수나 필요 사양이 변할 경우에도 능동적인 조정이 가능한 것이 특징이다. 가비아의 자회사인 에스피소프트에서 제공하는 ‘gDaaS v2.0’ 역시 위와 같은 DaaS의 일종이다.

다만, DaaS는 모든 리소스를 클라우드에 담기 때문에 DaaS 제공업체가 해킹을 당하거나 보안 위협에 노출될 경우, 클라우드 상의 방대한 데이터가 큰 피해를 입을 수도 있다.

때문에 DaaS는 매우 높은 수준의 보안 시스템을 갖춰야 한다. 특히 공공기관에 납품할 목적의 정보보호시스템 및 네트워크 장비 등은 전자정부법' 및 공공기록물 관리에 관한 법률 시행령에 의거해 보안 적합성 검증을 받아야 한다.

이를 위해 공인 시험기관이 국가용 보안요구사항 만족 여부를 시험해 안전성을 테스트하게 되며, 시험을 통과한 제품은 보안기능 확인서를 발급받을 수 있다. 이를 위해 에스피소프트의 gDaaS v2.0는 국가정보원의 보안적합성 검증제도를 통과한 경우다.

이 제품에 탑재된 보안 기능은 화면 워터마크 및 캡처 금지, 사이트 접근 차단 등이 대표적이다. 그 외에 가상사설망(SSL VPN) 없이도 송수신 데이터를 암호화해 외부에서 가상 PC로 접속할 때도 높은 보안성을 유지할 수 있는 기능도 주목할 만하다.

그 외에도 참고할 만한 보안 적합성 제도로는 클라우드 보안 인증(CSAP)이 있다. 이는 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률에 따라 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도다. 공공기관에 클라우드 서비스를 납품하고자 하는 업체라면 클라우드 보안 인증은 필수다.

글 / IT동아 김영우(pengo@itdonga.com)