N²SF 이후 VDI는 사라지는가?
2026년 5월 N²SF 시행을 앞두고 공공·연구기관의 가장 큰 질문 — VDI는 끝나는가? 결론은 "아니다, 역할이 바뀐다". 어떤 업무가 VDI를 떠나고 어떤 업무가 남으며, DaaS와 Zero Trust가 어디까지 대체할 수 있는지 정리.
N²SF 이후 VDI는 사라지는가?
결론을 먼저. VDI는 사라지지 않는다. 단, "모든 업무를 VDI에"라는 단순 구조는 끝난다. C/S/O 등급별 차등 통제로 재정렬되면서 VDI의 역할이 좁고 깊게 바뀐다.
1. 왜 이 질문이 지금 나오는가
2026년 5월 새로운 국가 사이버보안 기본 지침 시행이 예고됐고, 기존 망분리 조항은 N²SF(국가 망 보안체계) 내용으로 대체되는 방향이 발표됐다. KISA는 2026년 N²SF 도입 지원사업을 공고했으며, 정보 등급(기밀 C / 민감 S / 공개 O)에 따라 보안 통제를 차등 적용하는 구조다.
공공·연구기관 정보화 담당자에게 가장 자주 들리는 질문은 이것이다.
"기존 VDI를 갱신해야 하나, 그냥 정리해야 하나?"
사례별로 다르고, 그래서 진단이 필요하다. 그 결정을 위한 사고 프레임을 4가지 시나리오로 정리한다.
2. 단순한 결론 두 가지
2.1 VDI는 사라지지 않는다
다음 업무는 N²SF 등급 매트릭스에서도 VDI 또는 그에 준하는 격리 환경이 가장 효율적이다.
- C(기밀) 등급의 핵심 업무 — 자료 외부 유출 방지, 단말 격리 필요
- 외부 협력사·단기 협력자 접근 — 일반 단말 분리 불가
- 고위험 업무 영역 — 세션 격리·로그·감사 요구
- 특수 도구·프로파일 — 통계 분석·연구 환경 등 표준화 필요
2.2 동시에, "모든 업무를 VDI에"는 끝난다
다음 영역에서는 VDI 비중이 줄어들거나 다른 통제로 대체되는 흐름이다.
- O(공개) 등급 인터넷 업무 — SaaS·RBI(Remote Browser Isolation) 대체 가능
- 일반 사무 업무 — Zero Trust 기반 표준 단말 + 조건부 접근
- 협업·문서 작업 — M365·Google Workspace 등 클라우드 워크스페이스
- 일부 S(민감) 등급 — DaaS(Citrix DaaS·Azure Virtual Desktop·Windows 365)로 전환 검토
이 둘을 동시에 받아들이는 게 N²SF 시대의 출발이다.
3. 4가지 시나리오로 보는 VDI 역할 재정의
기존 VDI 환경을 어떻게 처리할지 결정하는 4가지 시나리오. 영역별로 다른 시나리오를 적용할 수 있다 — 한 시나리오로 전부 결정하지 않는다.
시나리오 A. 유지 + 일부 축소
C/S 등급 핵심 업무에 VDI를 한정한다. O 등급은 SaaS·RBI로 대체. 인터넷 VDI 영역의 비중이 줄어들고 업무 VDI는 더 좁은 범위에 집중된다.
적합 환경:
- 라이선스 갱신 시점이 가까워 큰 전환 일정이 부담스러움
- 운영 인력이 제한되어 점진적 전환이 안전
- C/S 등급 업무가 명확히 식별된 기관
시나리오 B. DaaS 부분 전환
O 등급과 일부 S 등급을 DaaS로 전환. C 등급은 온프레 VDI 유지. 클라우드 적합성(CSAP·공동책임 모델·데이터 위치)을 사전 검토한 기관에 적합.
유의 사항:
- 공공기관은 CSAP 인증 보유 클라우드 사용
- DaaS 전환 시 데이터 저장 위치·재해 복구 정책이 N²SF 등급 매트릭스에 부합해야 함
- 사용자 경험(UX)·네트워크 의존성 변화 → 사용자 교육 필요
시나리오 C. 고위험·외부 협력사 분리 재설계
외부 협력사·단기 협력자·고위험 업무를 별도 VDI 영역으로 분리. 일반 업무는 표준 단말 + Zero Trust 조합. 보안 강화와 운영 단순화를 양립.
적합 환경:
- 외부 협력 비중이 높은 연구기관·정부기관
- 보안성 검토 위원회의 외부 접근 정책 강화 요구
- 일반 업무망과 외부 협력 영역 분리가 미흡한 기관
시나리오 D. 운영 안정화 우선
라이선스·하이퍼바이저 EOS·인증서·백업 운영 리스크가 높아, N²SF 전환 전에 안정화가 1순위. 안정화 후 시나리오 A/B/C 재평가.
적합 환경:
- VMware ESXi·Citrix XenServer 등 EOS 임박
- VDI 라이선스 갱신 시점이 12개월 이내
- 인증서·프로파일·외부접속 운영 장애 빈발
4. 영역별로 어떻게 다른 시나리오를 적용하는가
한 기관이 한 시나리오만 쓰는 게 아니라 영역별로 다르게 적용한다.
| 기존 영역 | 권장 시나리오 (예시) | 핵심 질문 |
|---|---|---|
| 인터넷 VDI | A (축소) | O등급으로만 한정해 SaaS·RBI 대체 가능한가 |
| 업무 VDI (C 영역) | A 유지 | C 등급 핵심 업무 보호에 VDI가 필요한가 |
| 업무 VDI (S 영역) | B 부분 전환 | DaaS·격리 영역 분리 중 비용·운영이 효율적인가 |
| 외부 협력사 영역 | C 분리 | Zero Trust + 별도 VDI 영역 분리 가능한가 |
| 망연계(CDS) | C 또는 A | RBI·CDS·Zero Trust로 대체 가능한가 |
| 전체 기반 | D 우선 | 라이선스·하이퍼바이저·백업 운영 리스크가 높은가 |
이 매트릭스는 정식 의사결정 매트릭스의 1차 가이드다. 정밀 분석은 환경 분석 후 산출.
5. DaaS는 어디까지 대체할 수 있는가
DaaS(Citrix DaaS·Azure Virtual Desktop·Windows 365)는 부분 대체다. 다음 5가지를 검토해야 한다.
- CSAP 인증 — 공공기관 도입 적합성
- 데이터 위치 — N²SF 등급 매트릭스와 충돌 여부
- 공동책임 모델 — CSP·테넌트 책임 분리표 작성 여부
- 운영 인력 변화 — 온프레 VDI 운영자 → DaaS 운영자 역할 변화
- 사용자 경험 — 네트워크 지연·로그인 시간·로컬 도구 호환성
CSAP IaaS 인증을 가진 클라우드(Azure Korea 등)를 우선 검토하고, 데이터 등급별로 다른 클라우드를 혼용할 수 있다.
6. Zero Trust는 어디까지 대체할 수 있는가
Zero Trust 액세스(ZTNA)는 VDI를 완전히 대체하지 않는다. VDI가 제공하는 데이터 격리·세션 기록·로컬 도구 표준화를 ZTNA 단독으로 못한다. 그래서 시나리오 C에서도 고위험 영역은 VDI 유지 + Zero Trust 조합이다.
Zero Trust가 잘 맞는 경우:
- 일반 업무 표준 단말 + 사용자·디바이스 신뢰도 기반 조건부 접근
- 외부 협력자 일시 접근 (세션 격리는 별도 VDI/RBI로)
- 재택·외근 등 변동성 큰 환경
7. 그래서 어떻게 결정할 것인가
순서는 다음과 같다.
- 현황 파악 — 기존 VDI/망분리/MFA/백업 환경 자가 점검 (1주 내)
- C/S/O 예비 분류 — 핵심 업무 10~20개부터
- 영역별 시나리오 1차 매핑 — 위 표 참고
- 운영 리스크 평가 — 라이선스·EOS·인증서·인력
- 시나리오 결정문 작성 — 5문장 결정 + 영역별 결정 표
- RFP 반영 문구 초안 — 발주 전 사양 정리
각 단계는 산출물이 있다. 이 글의 마지막에 자가 점검 체크리스트와 의사결정 매트릭스 PDF 링크가 있다.
8. 흔히 받는 질문 5가지
본 섹션은 자주 묻는 질문 5가지에 대한 1차 가이드다. 세부 답은 환경 분석 후 결정한다.
Q1. "VDI를 그냥 갱신하면 안 되는가?"
라이선스 갱신은 가능하나, 기존 사양 그대로 갱신하면 N²SF 시행 후 1~2년 안에 재검토가 다시 필요할 가능성이 크다. 갱신 시점에 영역별 시나리오 1차 결정을 해두는 게 합리적이다.
Q2. "DaaS로 다 옮기면 N²SF 대응이 되는가?"
대응은 되지만 모든 업무를 DaaS로 옮기는 게 효율적인지는 별개 문제다. C 등급은 데이터 위치·CSP 책임 매트릭스 검토 후 결정. S 등급의 일부는 DaaS가 적합, 일부는 온프레 VDI 유지가 효율적.
Q3. "외부 협력사용 영역만 분리하면 되지 않는가?"
가장 시급한 영역은 맞다. 다만 분리만 하고 기존 VDI 영역의 C/S/O 분류·통제 매핑을 안 하면 N²SF 정렬도가 부족해 보안성 검토에서 지적받는다. 외부 협력사 분리 + 기존 영역 정렬을 동시에 진행한다.
Q4. "보안성 검토 위원회는 결국 보수적이라 VDI 그대로 두라고 할 텐데?"
위원회가 보수적인 이유는 결정 근거가 부족하기 때문이다. 시나리오 비교표·운영 리스크 평가·산출물이 충분하면 새 구조도 통과한다. 위원회를 설득할 자료가 핵심.
Q5. "1인 회사가 이 큰 결정을 도울 수 있나?"
진단·아키텍처 판단은 1인 전문가가 빠르다 — 중간 전달이 없다. 구축은 검증된 파트너 컨소시엄이 수행한다. 사업 규모에 따라 SI·솔루션 벤더와 협업하며, 마이로켓은 N²SF·VDI 파트의 산출물 정확성을 책임진다.
9. 다음 단계
이 글의 결론은 단순하다. VDI는 사라지지 않고 역할이 바뀐다. 그리고 그 역할 재정의는 영역별로 다르게 적용된다.
자가 점검부터 시작하려면:
- N²SF 정렬 자가 진단 (7분, 무료) — myloket.co.kr/tools/risk-assessment
- N²SF 전환 사전진단 체크리스트 PDF — myloket.co.kr/insights/n2sf-pre-diagnosis-checklist
- VDI 의사결정 매트릭스 PDF — myloket.co.kr/insights/vdi-decision-matrix
1차 인터뷰가 필요하면 — jhw@mlkit.co.kr / 평일 1영업일 내 회신.
자주 묻는 질문
VDI를 그냥 갱신하면 안 되는가?
라이선스 갱신은 가능하나, 기존 사양 그대로 갱신하면 N²SF 시행 후 1~2년 안에 재검토가 다시 필요할 가능성이 크다. 갱신 시점에 영역별 시나리오 1차 결정을 해두는 게 합리적이다.
DaaS로 다 옮기면 N²SF 대응이 되는가?
대응은 되지만 모든 업무를 DaaS로 옮기는 게 효율적인지는 별개다. C 등급은 데이터 위치·CSP 책임 매트릭스 검토 후 결정. S 등급의 일부는 DaaS, 일부는 온프레 VDI 유지가 효율적.
외부 협력사용 영역만 분리하면 되지 않는가?
가장 시급한 영역은 맞다. 다만 분리만 하고 기존 VDI 영역의 C/S/O 분류·통제 매핑을 안 하면 N²SF 정렬도가 부족해 보안성 검토에서 지적받는다. 두 가지를 동시에 진행한다.
보안성 검토 위원회는 결국 보수적이라 VDI 그대로 두라고 할 텐데?
위원회가 보수적인 이유는 결정 근거가 부족하기 때문이다. 시나리오 비교표·운영 리스크 평가·산출물이 충분하면 새 구조도 통과한다. 위원회를 설득할 자료가 핵심.
1인 회사가 이 큰 결정을 도울 수 있나?
진단·아키텍처 판단은 1인 전문가가 빠르다 — 중간 전달이 없다. 구축은 검증된 파트너 컨소시엄이 수행한다. 사업 규모에 따라 SI·솔루션 벤더와 협업하며, 마이로켓은 N²SF·VDI 파트 산출물의 정확성을 책임진다.
지금 우리 환경, N²SF 기준에서 어디쯤일까요?
7분 자가 진단으로 C/S/O 등급 예비 분류·VDI 유지/축소/전환 시나리오·MFA·백업 보완 지점이 정리된 무료 PDF 리포트를 받아보세요.
관련 콘텐츠
정부출연연구기관 VDI 역할 재정의 — 유지·축소·DaaS 시나리오 비교
연구원 100~300명 규모의 Horizon/UAG 환경에서 N²SF 전환을 앞두고 VDI 유지·축소·DaaS·고위험 분리 4가지 시나리오를 비교. 영역별 결정문 도출.
공공기관 VDI 운영 안정화 — 외부접속·인증서·사용자 환경 운영 표준화
중앙행정 데이터 기관의 Omnissa Horizon·UAG·인증서 운영을 정기 점검·갱신 체계로 정비. 통계 데이터 분석 사용자 ~수백명 환경에서 외부접속 운영 안정화와 사용자 환경 운영 표준화를 정비했다.
망분리 환경 전환 사전진단 — 업무군·사용자군·접속 경로 정리
공공·연구기관의 기존 망분리(인터넷·업무 분리) 환경을 N²SF C/S/O 등급 매트릭스에 매핑. 업무군 30개·사용자군 5종·접속 경로 6개를 1쪽 표로 정리하고 전환 우선순위를 도출.