데스크톱 가상화(Virtual Desktop Infrastructure, VDI) 분야 에서의 블록 체인 기술의 활용 방안

데스크톱 가상화(Virtual Desktop Infrastructure, VDI) 분야 에서의 블록 체인 기술의 활용 방안

 가상화 업계에서의 블록체인 반영 방식.

– VDI를 통한 망분리 처리의 보안 취약점.

블록체인 관리서버의 구축을 통한 인증기반 내부망 분리 모델.

 

오늘날 금융, 유통, IT, 콘텐츠 분야까지 부지 불식 간에 많은 부분 우리 생활에 블록 체인 기술이 도입되고 있습니다.

근 몇 년간 다양한 이슈를 생산해 내고 있는 비트 코인과 많은 서비스까지 해당 기술이 도입, 발전되고 있는 모습을 쉽게 접하고 경험할 수 있습니다.

자사 서비스 분야 중 하나인 VDI 분야에서도 이를 위한 연구가 지속되고 있고 Citrix, VMWare 에서도 서비스 도입에 박차를 가하고 있는 모습을 볼 수 있습니다.

Citrix는 문서보안, 데이터 인증 및 백업 분야에 해당 기술을 도입을 하였으며 (참고: https://www.acronis.com/ko-kr/technology/blockchain-notary)

VMWare에서는 다수의 네트워크 Node에서 개인정보 보호, 블록체인의 대표적인 형태인 분산 저장, 공유, 합의 기반의 VDI 블록체인 기술을 도입하여 서비스를 진행하고 있음을 확인할 수 있습니다. (참고: https://www.vmware.com/kr/products/blockchain.html)

보안 위협의 증가와 인터넷을 통한 외부 악성 코드에 감염된 디바이스에 의해서 기업의 중요 데이터가 유출되는 사례를 쉽게 찾아볼 수 있습니다. 근 몇년간 대기업, 대형 쇼핑몰, 은행권 등 내부 보안을 위해 여러 기업들이 내부망에 연결된 디바이스에 대한 인증을 통해서 업무용 서버로의 접근을 차단하는 내부 망 분리 모델을 도입하고 있습니다.

VDI (Virtual Desktop Infrastructure)방식을 사용한 논리적 망 분리는 내부망에 연결된 물리 디바이스와 가상 디바이스 간에는 정보 교환이 차단되는 방식으로 중요 데이터의 유출을 방지하고 있으나 미등록 디바이스를 사용하여 내부망의 업무용 서버에 접근하여 중요 자료를 유출하는 공격에는 취약 합니다.

이에 대한 해결책으로 VDI기술에 블록체인 기술을 수용하여 블록체인 기반 망 분리 모델이 고려되어 지고 있습니다.

이는 VDI방식의 논리적 망 분리의 보안 취약점인 디바이스의 위변조에 대한 식별 능력과 디바이스의 무결성 강화를 통한 내부의 중요 데이터의 유출 위협을 감소시키는데 활용될 수 있습니다.

인터넷망과 내부망을 분리하는 망 분리 방식은 크게 물리적 망 분리와 논리적 망 분리로 나눌 수 있습니다. 물리적 망 분리는 물리적으로 두 대의 PC를 사용하여 한 대는 내부망에 연결하고 다른 한 대는 인터넷 망에 연결하면서 두 대의 PC 간의 연결을 완전히 차단하는 방식입니다.

물리적인 망 분리는 보안 관점에서 보면 외부공격으로부터 완전히 안전하다고 생각할 수 있지만 물리적으로 2대의 터미널 단말을 분리하더라도 각 터미널 단말의 악의적인 사용자의 중요 데이터의 복제를 통한 정보 이동 및 유출에 있어서는 상당히 취약한 것으로 알려져 있습니다. 또한 클라우드 시스템에서 제공되는 서비스로 사용자의 터미널 단말이 바이러스에 감염되어 저장된 데이터가 손실될 경우 정보 자산에 대한 안전성을 제공할 수 없다는 단점이 있고 터미널 단말의 MAC주소의 위변조를 통한 불법적인 업무서버에 접속하여 중요 데이터를 유출할 수 있는 취약점이 있습니다.

이의 해결을 위한 한가지 방법으로 무결성 보장 블록체인 플랫폼으로 블록체인 관리서버를 구축하여 사용할 수 있습니다.

내부망에 연결된 디바이스에 대한 인증을 통해서 업무용 서버로 접근을 제어하는 블록체인 관리서버와 실행 결과 화면을 전송하는 VDI 방식을 사용하는 “인증기반 내부망 분리 보안 모델”은 블록체인 관리서버내 터미널 단말 정보 DB와 트랜잭션 검색 키워드 DB는 클라우드 시스템을 이용하여 구축할 수 있습니다.

클라우드와 블록체인을 결합하여 프라이빗 블록체인을 구축하는 경우에 허가된 기관의 노드만이 트랜잭션의 생성에 참여하고 트랜잭션 검색은 모든 참여자가 수행합니다. 블록체인이 클라우드 하위개념으로도 볼 수 있지만 둘 간의 대치되는 네트워크 구조로 혼합하여 사용시 보완 가능하므로 해당 기술을 활용할 수 있습니다.

업무서버를 이용하는 트랜잭션의 분석 기술과 악의적 행동의 추적 기술에 대해서 스마트 컨트랙트(주 1)의 활용 방안에 대한 추가 연구가 필요 합니다. 스마트 컨트랙트 란, 흔히 알고 있는 중계자가 있는 계약 방식이 아닌 여러 조건을 블록체인에 기록하고 그 조건이 충족됐을 경우 자동으로 계약이 실행되게 하는 프로그램으로 P2P 와 유사한 방식이라고 설명할 수 있습니다.

블록체인 관리서버를 사용하여 내부망에 접속하는 디바이스의 MAC(Media Access Control) 주소를 블록체인화하여 이를 관리하는 블록체인 관리서버를 구축하여 디바이스 인증을 수행하고 업무용 서버를 보호하게 됩니다.

이는 기존의 VDI기반 클라우드 서버의 보안취약점을 제거하기 위하여 무결성 특성을 갖는 블록체인 관리서버를 구축에 따른 비용은 증가 하나 터미널 단말의 등록 요청 및 인증 요청을 블록체인 저장함으로써 악의적인 수정 및 변경에 따른 보안위협을 차단하고 업무서버를 이용하는 터미널 단말의 분석 정보에 신뢰성을 부여하여 VDI 방식의 논리적 망 분리의 보안 취약점인 디바이스의 위변조에 대한 식별 능력과 디바이스의 무결성 강화를 통한 내부의 중요 데이터의 유출 위협을 감소시키는데 기여하게 됩니다.

 

주. 1 스마트 컨트랙트

1994년 처음 Nick Szabo에 의해 발표한 개념으로써 목적은 신뢰할 수 없는 컴퓨터 네트워크 환경에서 기계 간의 고도로 발달된 자동 계약 이행 방법을 제시되었습니다. 블록체인 내의 스마트 컨트랙트는 일종의 코드 조각으로 공유 DATA와 상호 작용할 수 있는 인터페이스를 지니고 있으며 DATA 전송시에 코드 조각의 함수를 실행, 실행된 함수가 DATA를 Read, Write 할 수 있는 시스템이라고 알려져 있습니다.