블로그
안녕하세요, 에스피소프트입니다.
에스피소프트가 독자적인 기술력으로 개발한 데스크톱가상화(VDI) ‘gDaaS V2.0’이 국가정보원의 ‘보안기능확인서’를 획득하였습니다!
데스크톱 가상화(VDI, Virtual Desktop Infrastructure)란 가상 데스크톱 인프라 시스템 기술을 일컫는 것입니다. 물리적으로 존재하진 않지만 실제 작동하는 컴퓨터 안에서 작동하는 또 하나의 컴퓨터를 만들 수 있는 기술로, 한 마디로 컴퓨터 속에 또다른 가상 컴퓨터를 만드는 것이죠.
이를 이용하여 인터넷을 통해서 특정 데이터 센터에 넣어 둔 정보를 언제 어디서나 꺼내어 쓸 수 있게 되었고, PC 없이 모니터, 키보드, 마우스만 있으면 업무를 처리할 수 있게 되었습니다.
뿐만 아니라 중앙 서버에서 PC를 관리한다는 특성 덕분에 내부 정보가 외부로 유출되는 것을 막을 수 있다는 큰 장점도 갖추고 있습니다.
gDaaS V2.0이 보안기능확인서를 취득하기까지는 어떤 과정이 있었을까요?
보다 생생한 현장의 소리를 듣기 위해 보안기능확인서 취득을 위해 앞장선 개발2팀의 목소리를 들어보았습니다.
Q. 이번에 에스피소프트가 가상 데스크톱 인프라 (VDI) gDaaS V2.0로 국가정보원의 보안기능확인서를 획득했습니다. 다소 생소한 개념인데, 이에 대한 소개를 부탁드립니다.
A. 국가 공공기관은 네트워크 장비 및 정보보호제품 도입 시 전자정부법 제56조 및 공공 기록물 관리에 관한 법률 시행령 제5조에 의거하여 보안 적합성 검증을 수행하게 되어 있습니다.
보안기능확인서 제도란 보안적합성 검증절차를 간소화하기 위해, 정보보호시스템 및 네트워크 장비 등 IT 제품을 ‘국가용 보안요구사항’ 만족 여부에 해당하는지 시험하여 안전성을 확인해 주는 제도입니다.
공인된 시험기관으로부터 보안기능 시험을 거쳐 보안기능확인서를 발급받는 경우, 국가 공공기관 도입 시 보안 적합성 검증을 생략할 수 있습니다. 따라서 국가와 공공기관에 제품을 공급하려는 기업이라면 보안기능확인서는 필수적으로 취득해야 합니다.
Q. 해당 프로그램은 어떤 배경 하에 개발하게 되었나요?
A. 2012년 국내 통신사의 ‘클라우드 오피스 서비스’의 개발에 참여하게 되었는데, 그 서비스의 핵심기술인 Remote Graphic DeliVery engine의 솔루션은 미국의 S/W 업체가 보유하고 있었습니다.
이를 이용하여 서비스를 개발하던 중 솔루션 업체의 부당한 요구로 인하여 우리가 직접 개발하기로 결정하였고, 마침 중소기업청의 R&D 지원사업의 지원으로 2년 6개월을 개발하여 2015년에 ‘V1.0’을 출시하게 되었습니다.
최근 재택근무 및 클라우드 확산의 영향으로 ㈜가비아를 통하여 ‘가비아DaaS’를 선보이게 되었으며, 공공 클라우드 시장 진출을 위해 필수 요소인 보안기능확인서 획득을 위해 보안기능을 확대한 ‘gDaaS V2.0’을 개발하게 되었습니다.
Q. 해당 프로그램은 어떠한 사용자들이 주로 사용하나요?
A. 솔루션은 직원들의 재택근무 또는 인터넷 사용 등의 논리적 망분리를 구성하고자 하는 기업, 공공 구분없이 사용 가능합니다. 서비스모델인 ‘가비아DaaS’의 경우는 민간에서는 재택 및 인터넷용으로, 금융에서는 재택용으로 다수 사용하고 있습니다.
Q. 다소 복잡한 과정을 거쳐 프로그램을 개발하고 인증서를 획득했을 것으로 보입니다. 준비 과정은 어떠하였고, 준비 기간은 어느 정도 소요되었나요?
A. 보안기능확인서는 기존의 ‘*CC인증(Common Criteria)’과 달리 신설된 인증서로 발급기관조차 시행착오를 함께 겪으며 진행했기 때문에 예상보다 오랜 시간이 소모되었습니다.
2020년 11월에 준비를 시작하여 2022년 8월에 마무리했기 때문에 약 1년 10개월이란 시간을 보냈는데요. 그 기간 동안은 발급기관에 검토 요청과 프로그램 수정의 반복이었습니다.
*CC인증: 보안기능이 있는 IT 제품(즉, 정보보호제품)의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도
Q. 준비 과정 중 기억에 남는 에피소드가 있으신가요?
A. 보안기능확인서 취득을 진행하면서 기억에 남는 2가지 일화가 있습니다.
첫번째로 2021년 4월에 보안기능확인서 시험을 위해 시험기관과 협의하는 과정에서 Active Directory를 사용하면 안 된다는 답변을 받았을 때입니다.
당시 보안기능확인서 V2.0 버전을 기준으로 개발한 제품은 가상 영역 사용자 인증 및 관리를 Active Directory를 통해서 하고 있었습니다. 결국 몇 달에 걸쳐 가상 영역 사용자 인증 및 관리를 모두 다시 개발해야 했습니다.
현재 국가정보원에서 2021년 9월 1일에 새로 배포한 ‘가상화제품군 보안기능확인서 V3.0’에서는 Active Directory를 사용할 수 있도록 변경되었습니다.
두번째로 시험기관에서 Windows에서 제공하는 기능이나 MS에서 제공하는 Framework 등을 사용해서 개발하면 안 된다며 시험 접수를 받아 주지 않았던 때입니다.
사실상 Linux 플랫폼 위에서 모든 기능을 개발해야 하는 것으로 심각한 상황으로 판단이 되었습니다. 그 때 홍석형 상무님께서 다른 시험기관들도 같은 의견인지 확인을 해보자고 의견을 내셨고, 시험일정이 가장 빠른 다른 시험기관에 시험 접수 및 문서를 제출했습니다.
다행히 해당 시험기관에서는 문서 검토 후 시험이 정상적으로 접수되었습니다. 1차 검증 시험을 통해 확인 결과, ‘보안에 관련된 기능을 제공하는 Library(또는 모듈)’만 제품 안에 모두 포함되고 이를 사용하면 되는 해결되는 문제였습니다.
따라서 보안에 관련된 기능을 제공하는 Library(또는 모듈)를 제품 안에 모두 포함되도록 변경함으로써 재시험에서 보안기능확인서를 취득할 수 있었습니다.
Q. 보안기능확인서 외에 추가로 획득해야 하는 증명은 없나요?
A. gDaaS V2.0의 경우 현재 보안기능확인서 및 *GS인증 1등급을 받은 솔루션입니다. 공공기관에 납품하려면 보안기능확인서만 필요하나, 클라우드 사업자(CSAP인증 사업자)가 DaaS를 제공하기 위해서는 DaaS 인증을 새롭게 취득하여야 합니다.
현재 서비스하고 있는 ‘가비아DaaS’는 민간용으로 공공기관에 서비스가 불가능하여, 가비아에서 공공DaaS 인증을 추가 취득해야하는 상황이며, 이를 위해서 협력하고 있습니다.
*GS인증: 한국정보통신기술협회(TTA)의 굿소프트웨어(GS) 인증
Q. 타사에서도 유사한 VDI 프로그램들이 있을 것으로 예상되는데요. 경쟁사 대비 차별점이나 에스피소프트만의 강점이 있다고 한다면 어떤 것일까요?
A. 대부분의 국내 VDI 솔루션은 한국전자통신연구원(ETRI)의 기반 기술을 이용하여 개발되고 있습니다. 핵심 엔진은 가져다가 포장을 하는 수준인데요.
gDaaS의 경우 우리가 독자적으로 개발한 솔루션으로 핵심 개발 인력의 유출없이 계속 발전시키고 있습니다. 따라서 제품의 성능, 안정성, 유연성 등 모든 면에서 타사보다 뛰어나다고 볼 수 있습니다.
Q. gDaaS로 보안기능확인서를 획득하고 난 후 앞으로의 비전이나 목표가 있다면 어떤 것인가요?
A. 제일 먼저 가비아를 통해 공공DaaS 시장에 진출하는 것입니다. 그 이외로 DaaS와 함께 운용되는 다양한 기능을 고객분들이 요구하고 있는데요. 그에 맞는 솔루션의 포트폴리오를 구성하는 것이 목표입니다.
보안기능확인서를 취득하기까지 얼마나 많은 노력이 들었을지 짧은 담화를 통해서도 고스란히 느껴집니다.
에스피소프트는 모회사인 가비아와 함께 ‘클라우드 보안 인증(CSAP)’을 준비하고 있습니다.
가비아는 2017년과 올해, 각각 g클라우드(laaS)와 공공 메일 하이웍스(SaaS)로 ‘클라우드 보안 인증’을 획득한 바 있는데요. 올해 클라우드 보안 인증을 취득한 후, 국가 및 공공기관의 스마트워크 환경 수요에 적극적으로 대응할 수 있으리라 여겨집니다.
디지털 전환 시대 스마트워크 환경을 구축하는 데 관심이 있으시다면 DaaS 도입을 고려해 보시는 것은 어떨까요? 관련 안내자료는 에스피소프트 홈페이지에서도 내려 받아 보실 수 있습니다.
[출처] 에스피소프트, gDaaS V2.0로 보안기능확인서 취득|작성자 에스피소프트