IT트렌드 및 실제 비즈니스 활용 솔루션·사례 공유

[컴퓨터월드] 네트워크 및 보안 솔루션 전문기업 오픈베이스가 지난 11월 21일 서울 양재동 본사 4층 교육장에서 ‘2017 오픈베이스 2H MA 고객 세미나’를 개최했다. 회사가 매년 두 차례 자사 유지보수(MA) 고객을 대상으로 제공하고 있는 해당 세미나는 IT트렌드뿐만 아니라 현업에서 마주하는 고민들에 대한 해결책까지 모두 한 자리에서 들을 수 있도록 꾸며졌다. 참가자들의 높은 관심 속에 치러진 하반기 세미나 현장을 들여다봤다.

 

오픈베이스의 ‘MA 고객 세미나’는 지난 2003년부터 시작돼 2010년까지 연 1회 진행됐으며, 고객들의 반응에 힘입어 2011년부터는 전·후반기로 나눠 연 2회 자리를 마련하고 있다. 어느덧 22회를 맞은 이번 하반기 세미나에서는 오픈베이스 및 협력사와 고객사들이 최근 어떤 트렌드에 시선을 두고 있는지, IT를 운영하면서 어떤 어려움이 있는지, 이를 극복하기 위한 방안 및 솔루션은 어떤 것들이 있는지에 대한 정보 공유의 자리가 마련됐다. 세미나에는 총 4개의 세션이 마련됐으며, 실제 사례들을 기반으로 보다 쉽게 비즈니스에 활용할 수 있는 솔루션들이 제시됐다.


멀티클라우드 환경에 준비된 ADC

첫 번째 세션에서는 김재홍 F5네트웍스코리아 부장이 ‘멀티 클라우드 환경에 준비된 ADC’를 주제로 최근 화두가 되고 있는 멀티 클라우드 환경에 대한 트렌드를 짚으면서, F5네트웍스의 애플리케이션 딜리버리 컨트롤러(ADC) 솔루션을 소개했다. 김재홍 부장은 먼저 고객들이 기존에 익숙한 ‘하이브리드 클라우드’와 최근 화두가 되며 다소 생소하게 느낄 수 있는 ‘멀티 클라우드’의 차이점부터 명확히 했다.

그는 “하이브리드 클라우드는 고객사가 구축한 프라이빗 클라우드와 퍼블릭 클라우드를 연동해 확장하는 개념이었다. 더불어 레거시 환경에서 퍼블릭 클라우드로 확장시키는 것도 하이브리드 클라우드라고 이야기했다”고 설명하고, 이어 “멀티 클라우드라는 개념은 크게 봐서 이러한 것들을 포함할 수도 있지만, 현재는 2가지 이상의 퍼블릭 클라우드를 사용하는 것을 멀티 클라우드라고 이야기한다. 현재 많은 고객사들이 이러한 환경을 사용하고 있다. 물론 퍼블릭 클라우드와 프라이빗 클라우드를 둘 다 쓰는 경우도 많지만, 퍼블릭 클라우드 서비스를 하나만 쓰는 경우는 없다는 것이다. 이런 측면에서 멀티 클라우드에 대비한 어떤 솔루션이 존재하는지를 알고, 또 준비해야 하는지를 살펴봐야 한다”고 말했다.

▲ 김재홍 F5네트웍스코리아 부장

조사에 따르면 현재 85%의 기업이 멀티 클라우드 전략을 보유하고 있다. 외국뿐 아니라 국내 업체들도 마찬가지다. 김재홍 부장은 “세미나나 사업 PoC(개념증명)을 위해 많은 기업들을 방문하는데, 이들은 대체로 퍼블릭 클라우드 2~3개를 동시에 활용하고 있으며 이를 기반으로 전략을 짜고 있다”면서, “고객사에 따라 의존도는 다르지만 기업들은 퍼블릭 클라우드에 평균 1.8개의 앱 서비스를 구축해 쓰고 있으며, 프라이빗 클라우드에서 평균 2.3개의 앱을 서비스하고 있는 것으로 조사됐다”고 밝혔다.

기업들이 이처럼 멀티 클라우드를 도입하는 이유는 몇 가지로 정리할 수 있다. 먼저 서비스 가용성과 재해복구의 기회가 늘어난다는 점이다. 하나의 클라우드만을 이용하는 것은 해당 클라우드 서비스에 장애가 생겼을 때 불안 요소로 작용할 수 있기 때문이다. 또한 비용 측면에서도 애플리케이션 특징별로 서비스를 골라 사용함으로써 선택의 폭을 넓힐 수 있다.

실제 기업 내에서도 팀별로 다른 서비스를 이용하는 경우가 많다. 서비스팀은 아마존, 네트워크 팀은 애저를 사용하는 식으로 목적에 맞춰 다른 서비스를 사용하는 것이다. 이로써 특정 퍼블릭 클라우드 서비스에 대한 종속을 방지할 수 있게 되는 장점도 갖는다.

그러나 멀티 클라우드 환경이 장점만을 갖고 있는 것은 아니다. 클라우드 환경 전반에 걸쳐 보안 정책에 일관성을 확보하지 못한다면 취약점이 발생할 수 있고, 각 클라우드 환경이 사일로(silo)화된다면 클라우드 벤더 종속성을 유발할 수 있다. 기본적으로 클라우드 서비스에서 제공하는 응용 프로그램 관련 서비스가 충분하지 않다는 점도 있다.

이에 F5네트웍스는 퍼블릭 클라우드, 프라이빗 클라우드, 컨테이너 환경을 위한 앱 서비스, 그리고 클라우드 간 연결(Cloud Interconnect) 등 전 영역에 걸친 애플리케이션 커넥터(AC) 서비스를 제공한다. 에퀴닉스(EQUINIX)의 클라우드 코로케이션 서비스와도 연동해 제어 및 가시화 포인트를 중압 집중화하고, 클라우드 간의 유연성 및 이동성을 제공한다. 이를 통해 일관된 보안 정책을 기반으로 위협을 감소시킬 수 있으며, 사용자의 체감 성능 향상까지 보장할 수 있다.

김재홍 부장은 “애플리케이션 커넥터를 각 모듈에 설치하면 트래픽이 물리 데이터센터로 들어왔다가 클라우드로 나가게 된다. 부가적으로 클라우드 외부에서 직접 접속하는 것이 없어지므로 실제 비용이 발생하는 부분들이 줄어든다는 장점도 있다”면서, “클라우드 간에 발생하는 내부적 데이터의 이동은 과금되지 않으므로 비용 절감이 가능하고, 하나의 보안 존을 만들어 사용 가능하므로 보안 고민도 해결 가능하다. AC를 통해 어떤 것이 보안에 부족한지도 체크 가능하고, 이를 보고 중앙에서 로드밸런싱, SSL, 보안정책 등의 기능을 추가할 수 있다”고 설명했다.


네트워크 포렌식 솔루션의 개념과 활용

두 번째 세션에서는 채현주 오픈베이스 보안기술본부 부장이 ‘네트워크 포렌식 솔루션의 개념과 활용’을 주제로 발표했다.

초기 디지털 포렌식(Forensic)은 수사 관점에서 시작됐다. 디지털 자료는 위변조의 위험이 있으니, 디지털 자료가 법적 효력을 갖도록 과학적이고 논리적인 수사절차와 방법을 연구하는 학문으로 발전한 것이 디지털 포렌식이다. 이후에는 기업 감사에서의 부정 적발 등에 포렌식이 쓰이기 시작했다. 발표의 주제인 네트워크 포렌식은 이 같은 개념을 네트워크에 적용해 네트워크 정보나 사용자 로그, 인터넷 사용 기록과 같은 네트워크 관련 정보를 통신 장비에서 수집·분석하는 것을 말한다.

채현주 부장은 “네트워크에서 발생한 자료를 보고 질문이 생겼을 때 이에 대한 답을 찾아나가는 과정이 포렌식이라고 할 수 있다. 그리고 이 과정에서 중요한 것은 맥락(context)의 확보”라며, “공격행위나 네트워크 흐름 등 주변 맥락 정보를 중요하게 생각해야 한다. 특히 포렌식을 잘 활용하기 위해서는 운영자가 질문을 많이 하고 호기심을 많이 가져야 한다. 트래픽을 보고 운영자는 정상적인 사용자임을 위장하고 다니지는 않는가? 등 끊임없이 생각해봐야 한다”고 말했다.

▲ 채현주 오픈베이스 보안기술본부 부장

현재 이러한 개념을 기본으로 하는 네트워크 포렌식은 빠르게 변하고 있다. 그간의 네트워크 포렌식이 ‘어떻게 보안을 뚫어냈는가?’ 등을 보는 사후대응 위주였다면, 이제는 사전에 위협을 인지해 대응할 수 있는 솔루션으로 진화하고 있다는 설명이다. 즉, 빠른 탐지와 반응(Rapid Detection and Response)을 위주로 트렌드가 바뀌고 있는 것이다.

최근의 네트워크 포렌식은 일단 발생하는 트래픽을 모두 세션 단위로 저장하다 보니 사후에 이를 분석해 공격자의 공격 프로세스와 흐름을 알게 됐고, 이와 같은 위협 인텔리전스를 수집해 유사한 트래픽이 발생하면 즉각 탐지해낼 수 있게 됐다는 설명이다.

그러나 이처럼 공격을 미리 차단함에도 불구하고 침해는 반복적으로 발생하고 있다. 특히 APT(지능형지속위협) 공격 등이 등장하면서 단순한 침해방지솔루션을 도입하는 것만으로 안심할 수 있는 시대가 아니다. SIEM(보안정보이벤트관리) 솔루션 역시 공격이 성공했을 경우에는 이를 발견하기가 어렵다는 한계가 있고, 대부분의 가시성이 로그에 기반하다 보니 기존에 탐지된 것만을 알아챌 수 있다. 또한 탐지 확률을 높이고자 예방적 솔루션을 추가한다 하더라도 더 많은 경보 속에서 중요 이슈가 묻힐 확률도 존재한다.

채현주 부장은 “이러한 한계를 보완하기 위해 보안 솔루션은 이제 전체(full) 패킷을 저장하기 시작했으며, 이러한 가운데 네트워크 운영자는 보안솔루션이 제공하는 정보 중 반드시 봐야 하는 정보를 구분할 줄 알아야 한다”면서, RSA의 ‘넷위트니스(NetWitness)’를 중심으로 최근 네트워크 포렌식 솔루션이 보유하고 있는 주요 기술들과 이에 기반한 포렌식 활용 케이스들을 소개했다.

일반적인 네트워크 포렌식 솔루션은 패킷을 수집 및 저장하고, 이로부터 메타데이터를 생성해 인덱스를 만들며, 이후 위협에 대한 분석을 통해 이상행위를 탐지해내거나 지속적인 모니터링을 통한 관리를 할 수 있다. 사전대응과 행위기반 분석, 사후 대응까지 모두 가능한 것이다. 특히 RSA ‘넷위트니스’의 추가적인 특징은 다단계 드릴다운(Drill-Down) 방식의 분석을 지원하며, 로그 및 트래픽 원본의 내용을 재현할 수 있다는 것이다. 또한 메타데이터 연관성 그래프 분석을 비롯해 실시간 대시보드, 통계/리포팅 툴, 실시간 경보, 트래픽 상세 분석 툴 등을 지원한다.

이 밖에도 위협 정보를 수집하는 시점에서 추가적인 정보가 빠르게 제공되며, 분석 과정에서도 설정된 정책과 빅데이터 모델에 의거해 실시간 상관분석 및 행위기반 이상행위 분석이 이뤄진다. 이후 채현주 부장은 최근 고객사의 PoC(개념증명) 사례를 예로 들어 실제 위협 추적 과정을 청중에 소개했다.


‘2017 라드웨어 이그제큐티브 익스체인지 리뷰’

세 번째 세션에서는 이을수 오픈베이스 과장이 ‘2017 라드웨어 이그제큐티브 익스체인지 리뷰(Radware Executive Exchange Review)’라는 제목 아래, 진화하는 보안 위협 속에서 클라우드 기반의 DDoS 대응 솔루션을 이용한 공격 탐지 및 차단 기법에 대해 소개했다.

조사에 따르면 2010년부터 보안위협이 매년 60% 이상씩 증가하고 있으며, 지난 2015년을 기준으로 전체 기업의 35% 이상이 SSL 암호화 기반의 공격에 피해를 경험한 것으로 나타났다. 특히 간편한 공격 툴을 통한 복합적이고 지능화된 공격이 증가했으며, 공격 툴의 경우 2012년 이후 현재까지 10배 이상으로 늘며 급속히 성장한 것으로 조사됐다.

특히, 현재 가장 이슈가 되고 있는 랜섬웨어의 경우 500달러, DDoS(분산서비스거부) 공격 패키지는 19.99달러의 가격에 판매되고 있을 정도로 누구나 손쉽게 보안 위협을 구매해 공격할 수 있는 상황이다. 이 밖에도 사물인터넷(IoT) 기기가 2020년까지 200억 개까지 늘어날 것으로 전망되면서 IoT 봇넷에 의한 취약점 공격 위협까지 늘어날 것으로 예상된다.

▲ 이을수 오픈베이스 과장

이을수 과장은 미국 최대의 DNS 서비스 제공 업체인 딘(Dyn)의 경우를 예로 들었다. 트위터, 넷플릭스, 아마존 등 11개 기업에 DNS 서비스를 제공하는 딘을 노린 ‘미라이봇넷’ 공격자는 DNS 인프라를 타깃으로 1TB 이상의 디도스(DDos) 공격을 발생시켰다. 이에 딘의 DNS 서비스를 받던 기업들은 모두 서비스 중단을 경험했다.

이 과정에서 공격을 위한 봇으로 악용된 장비는 인터넷에 연결된 DVR(디지털영상감시장비), IP카메라 등의 IoT 기기였다. 공격자들은 IoT 기기의 계정을 탈취해 L4-L7 공격을 지속했으며, 딘은 1TB 이상의 대형 공격에 대한 방어책이 미흡했다.

이을수 과장은 “일반적으로 디도스 방어를 위해 기업들은 디도스 장비를 운영한다. 그러나 인터넷 회선 용량을 초과하는, 1TB에 달하는 대규모 디도스 공격이 발생할 경우 일반적인 방어 솔루션으로는 막기는 힘들다. 이에 클라우드 디도스 장비가 필요해지고 있다”면서, “특히 라드웨어의 클라우드 기반 디도스 서비스 모델은 1차적으로 300Gbps까지 공격을 방어할 수 있으며, 공격이 지속적으로 증가하면 타 국가에 위치한 총 6개의 센터가 동작을 시작한다. 여기에는 2017년 10월 구축한 한국 디도스 스크러빙 센터도 포함되며, 이로써 총 3.5Tbps의 공격을 방어할 수 있다”고 설명했다.

라드웨어의 클라우드 디도스 서비스 모델은 ▲요청 시 우회 보호 모델 ▲하이브리드 모델 ▲항시 보호 모델 등 3가지로 제공된다. DDoS 장비를 보유하고 있으나 관리가 어려운 기업, 대용량 DDoS 공격에 항시 노출돼 있는 온라인 비즈니스 기업, AWS/애저(Azure)/IBM클라우드 등의 클라우드 서비스를 이용하는 기업, DDoS 전문 업체에게 풀 매니지드 서비스를 제공받으려는 기업 등에게 적합하다.


OPEN-ITSM 기반 ITO 수행 사례

마지막 세션에서는 심재훈 오픈베이스 이사가 ‘OPEN-ITSM 기반 ITO 수행 사례’를 주제로 실제 ITSM(IT서비스매니지먼트) 사용 사례와 솔루션 데모를 선보였다. 오픈베이스는 네트워크 및 L4 보안 등의 사업을 수행하고 있으며, 3년 전부터는 ITO(IT아웃소싱) 시스템 구축사업도 활발히 진행하고 있다.

먼저 심재훈 이사는 ITO사업의 핵심 항목은 ‘사람(People)’, ‘절차(Process)’, ‘기술(Technology)’ 세 가지로 구분하며 발표를 시작했다. 우선 ‘사람’은 ITO 사업 성공의 중요한 핵심 요인으로, 경험이 풍부한 PM(프로젝트매니저)의 역할이 매우 중요하다는 설명이다. 특히 기술적 이슈를 해결할 수 있는 PM/PL(프로젝트리더)의 투입이 필요하다.

▲ 심재훈 오픈베이스 이사

또한 ‘절차’는 ITO 서비스 수준을 좌우하는 주요 요인으로, CSR(고객서비스요청)처리, 장애·구성관리 등 운영관리 프로세스를 비롯해 업무보고, 산출물관리, 협력업체관리 등 사업 관리 프로세스를 잡는 부분이다. 이는 이론적인 것으로 실무에는 적용이 어렵다. 이를 쉽게 운영할 수 있게 만든 것이 ITSM 툴이나 SLA(서비스수준협약) 등이다.

심재훈 이사는 “오늘날 IT가 모든 업무의 기본이 되다 보니 과거와는 달리 많은 변화가 생기고 있다”면서, “ITSM툴을 통해 IT운영을 규격화·정형화할 수 있으며, 이런 부분이 결과적으로 ITO의 성과를 좌우한다”고 강조했다.

또한 시스템 및 애플리케이션 안정화 등 서버·네트워크·보안 및 IDC(인터넷데이터센터) 등 기반 인프라에 관한 기술·운영관리를 비롯해 자바·DBMS·솔루션·디자인 등 업무시스템 운영관리 등의 ‘기술’ 수준 역시 중요한데, 이는 예전에 비해 수준이 상향평준화된 상태라는 설명이다. 이 밖에 ITO 사업의 핵심 밑바탕은 ITO 수행방법론(ITIL, ISO20000)이라는 표준으로, 사업수행사별로 유사한 방법론에 기반해 운영되고 있다.

오픈베이스는 이러한 측면에서 ‘OPEN-ITSM’이라는 이름의 툴을 개발해 체계적으로 SLA를 자동 관리할 수 있게 하고 있다. ‘OPEN-ITSM’은 전자정부표준프레임워크를 기반으로 개발돼 자바(Java) 기반의 정보시스템 구축을 위한 개발·운영의 표준 환경을 제공하며, 특정 프레임워크에 종속되지 않은 표준화된 개발을 기반으로 사업자의 종속성을 해소할 수 있다. DBMS의 경우 포스트그레스큐엘(PostgreSQL)을 활용해 엔터프라이즈급 기능을 제공하며, 라이선스 이슈로부터도 자유롭다. 이 밖에 국제 표준 및 국내 ITO 프로세스를 반영한 것도 장점이다.

또한 IT자산관리와 구성관리를 통합했으며, IT자산별 장애·변경이력의 추적이 가능하고, 대형 전산센터에서 검증된 운영 및 유지보수 프로세스를 적용했다. 업무 통제 및 수행단계별로 통보를 제공하는 것도 특징이다. 주요 기능으로는 ▲서비스요청 관리 ▲장애/문제관리 ▲구성/변경관리 ▲SLA관리 ▲업무보고 ▲정보관리 ▲마이태스크(MyTask) ▲환경설정 등이 있으며, 현장 경험 중심의 프로세스와 사용자 편의성 중심 설계, 오픈소스 기반 구축, 직업/장애이력 추적의 용이 등의 장점도 갖추고 있다.

심재훈 이사는 “현재 CSR 누적데이터가 1만 건 정도 되고, 고객들과의 의사소통도 잘 되고 있다. 또한 최대한 간결하게 구성한 인터페이스를 바탕으로 빠른 사용자 체감 속도를 제공하며, 1만 명 이상의 직원을 가진 국내 3대 대형 유통기업 중 한 곳의 ITO를 성공적으로 수행한 사례를 갖고 있다”면서, “‘OPEN-ITSM’을 통해 전사를 통합해 장애 및 문제를 관리하고 있는 이 유통기업은 상주자의 업무량을 분석하고, 투명하게 업무 현황을 공유하며, 신속한 장애처리 및 이력관리가 가능해졌다”고 강조했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지