[컴퓨터월드]  네트워크 및 보안 솔루션 전문기업 오픈베이스가 지난 11월 23일 서울 양재동 본사 교육장에서 고객사들을 대상으로 한 유지보수(Maintenance, MA) 세미나를 개최했다. MA 세미나는 오픈베이스가 제공하는 솔루션을 사용하거나 서비스를 지원 받는 고객 등 실제 사용자들이 참석하는 기술 중심의 세미나로, 오픈베이스는 지난 2003년부터 올해까지 13년간 세미나를 진행해왔다.

특히, 오픈베이스는 세미나를 통해 자사가 공급하고 있는 솔루션의 단순 홍보가 아닌, 고객이 궁금해 하는 IT업계의 이슈와 그에 대한 해결방안을 함께 제시하고 있다. 이 때문에 한 번 세미나에 참여했던 고객들도 다시 세미나를 찾아오고 있다는 설명이다. 이번 세미나에서 고객들에게 전하고자 하는 바는 무엇이었는지, 오픈베이스 MA 세미나를 찾아가봤다.
 

고객 위주 기업 운영

오픈베이스는 애플리케이션 전송 컨트롤러(Application Delivery Controller, 이하 ADC) 기반 네트워크 전문 기업으로 출발했지만, 보안 분야까지 진출하며 사업 범위를 확장시켰다. 2011년 본격적으로 네트워크 보안 사업을 시작하면서 기업부설 연구소를 설립하고, 올해에는 별도의 보안기술팀도 신설해 인원을 늘려나가고 있다. 또한, 기존 포트폴리오에 아라기술, 벡트라, 래피드7 등의 제품들을 추가하면서 고객들에게 좀 더 다양한 보안 솔루션을 제공할 수 있도록 했다.

이러한 행위들은 오픈베이스가 핵심 가치로 삼고 있는 ‘고객중심’, ‘신용’, ‘실행’을 기반으로 하고 있다. 많은 기업들이 고객에게 어떤 제품이 좋다고 선택하도록 강요하는 입장이라면, 오픈베이스는 고객이 원하는 사항을 듣고 그에 맞는 제품들을 찾아서 제공한다는 방침이다. 그렇기에 오랫동안 고객의 신뢰를 얻으며 지금까지 성장해올 수 있었다는 분석이다.

이번 세미나에서 발표된 주제들 역시 네트워크 가시성 확보를 비롯해 머신러닝, 하이브리드 클라우드, IT모니터링 등 최근 고객들이 궁금해 하는 내용들을 담아냈다. 허재성 오픈베이스 기술지원본부장은 “실질적으로 고객들이 겪고 있는 사항을 다루고 싶었기에 세미나 역시 그 쪽에 맞춰 진행하고 있다”고 강조했다.

세션 1 – 애플리케이션 가속, 보안, 그리고 자동화

현재 많은 웹페이지가 이미지로 제공된다. 또한, 퀄리티를 위해 이미지 파일의 사이즈도 점차 커지고 있다. 이 때문에 클라이언트(PC 등)에서 이미지를 다운받을 때 지연이 발생하게 된다. 이를 해결하기 위한 것이 ‘패스트뷰’와 ‘HTTP/2 게이트웨이’ 기능이다.

이들의 장점은 분명하다. 파일 사이즈와 다운로드 시간을 줄여주는 효과를 가져다준다. 비록 크기가 줄었어도 JPG 이미지 파일 기준 품질 유사성은 약 98.5%에 달한다. 다양한 브라우저와 디바이스간 최적화된 템플릿을 자동으로 제공한다. 웹 페이지 소스 최적화 문제도 자동으로 처리한다. 적용 방법도 간단해 설정에서 해당 기능을 가능(Enable)하게 체크하면 된다.

라드웨어는 알테온NG 애플리케이션 전송 컨트롤러에 HTTP/2 게이트웨이를 내장했다. 헤더 압축 기능으로 트래픽 부하를 줄여주는 역할을 한다. HTTP1.1만 지원하는 레거시 장비 및 브라우저와도 호환이 가능하며, 패스트뷰 기능과 함께 적용할 시 사용자 체감속도가 최대 40% 향상되는 결과를 가져온다. 다수 이미지를 사용하는 고객, 서비스 관리 최적화가 필요한 고객, HTTP1.1 기반 웹 서비스를 사용하는 고객들이 도입했을 경우 큰 효과를 볼 수 있다.

또한, 라드웨어는 자동화된 웹 애플리케이션 보안 솔루션 앱월(AppWall)을 제공하며, 온프레미스, 클라우드 방식 모두를 지원한다. 디바이스 정보 핑거프린팅 기술로 봇을 걸러내며, 크로스 사이트 스크립트 취약점을 이용한 공격까지 찾아낸다. 특히, 시그니처 기반만이 아닌 행동 기반도 같이 사용하기에 공격 탐지 능력이 뛰어나며, SSL 트래픽 검사를 위한 암·복호화와 URL 필터링 기능도 제공한다. 이를 통해 웹 취약점을 비롯한 광범위한 공격으로부터 방어가 가능하다는 설명이다.

뿐만 아니라 v다이렉트로 SDN/NFV 환경 통합 플러그인과 설정 자동화 스크립트를 제공하고, 오퍼레이션 툴박스로 반복적인 일들을 쉽고 빠르면서도 간편하게 진행할 수 있어 IT업무 효율을 높여주는 역할을 한다.

세션2 – SSL 네트워크 가시성 확보 전략

최근 암호화 트래픽은 연평균 20% 이상 증가하는 추세다. 특히 구글 등은 웹 콘텐츠를 제공하면서 암호화 통신을 사용한다. 이처럼 서비스 제공자는 보안을 강화하는 여건을 만들고 있지만, IT인프라를 관리하는 입장에서는 해당 트래픽의 유해성 여부와 더불어 어떤 트래픽이 오가고 있는지 확인하는 것이 어려워지고 있다. 이에 가트너는 “2017년까지 사이버 공격의 50% 이상이 암호화된 네트웤 트래픽을 주요 공격 경로로 사용할 것”이라는 예상과 더불어 “현재 보안 시스템의 80%가 SSL 트래픽에 취약하다”는 입장을 밝힌 바 있다.

암호화 통신을 이용한 주요 보안 위협들로는 ▲내부정보를 암호화 프로토콜로 사용해 외부로 전송하는 것 ▲바이러스와 같은 멀웨어를 SSL 암호화 전송방법으로 배포하는 것 ▲음란물, 피싱 등의 유해사이트를 SSL로 제공하는 것 ▲외부 공격자가 SSL 세션을 통해 내부에 침투하는 것 등을 꼽을 수 있다.

오픈베이스는 최근 아라기술의 제품을 자사의 보안 포트폴리오에 합류시켰다. 기 보유하고 있는 라드웨어 알테온이나 F5네트웍스의 스위치에서도 SSL 검사 기능을 제공하고 있지만, 아라기술의 제품까지 추가한 것이다. 허재성 오픈베이스 기술본부지원장은 “아라기술의 SSL 프리즘이 성능적인 면에서 뛰어났다”며, “다양한 고객사의 요구에 부합하기 위해 아라기술의 제품을 공급하기로 했다”고 설명했다.

이름에서 알 수 있듯이 아라기술의 SSL 프리즘은 암호화 트래픽을 포함한 트래픽 상세 분석 솔루션이다. SSL 가시성 확보와 HTTP/HTTPS 트래픽을 필터링하는 역할을 하며, 이를 통해 기존 보안 장비들의 역할이 극대화될 수 있도록 지원한다. 특히, 복호화 기본 기능에 충실하다는 점과 도입/설치/운영 안정성 및 편의성이 높고, URL 필터링 등 고객들이 필요로 하는 기능들이 탑재돼 있어 고객 반응도 좋은 편이라는 설명이다.

세션 3 – 머신러닝을 통한 실시간 위협분석 및 예측시스템

그동안 보안은 예방에 초점이 맞춰져 있었다. 그러나 APT와 같이 정교해지고 고도화된 공격들이 발생하면서 완벽한 예방은 기대할 수 없게 됐고, 대신 이미 외부 공격에 의해 침해사고가 발생했다고 가정하고 그것을 빠르게 찾아내는 탐지대응(Detection & Response)으로 점차 패러다임이 변하고 있다. 가트너도 2020년에 사이버보안 시장에서 탐지대응 분야가 60%까지 늘어날 것으로 전망하고 있다.

실제로 망분리를 하더라도 침해사고는 일어나고 있다. 망분리된 환경에서 접점이 되는 망연계 부분에서 주로 사고가 일어나는 것으로, 인터넷으로 나가는 구간만 모니터링해서는 침해사고를 막을 수 없다. 특히, 이미 활동하고 있는 악성 위협들을 가시성 있게 확인할 수 있는 방법이 필요하다.

벡트라는 방화벽이나 UTM 등 기존 보안 솔루션들이 동작하는 방어단계와 SIEM, 로그분석 등 문제 사항 분석 및 조치단계 사이의 중간단계를 담당한다. 업계에서는 이를 APT 활동단계라 부르며 가장 취약한 부분으로 알려져 있다.

기존 보안 솔루션들과의 가장 큰 차이점은 내/외부 트래픽에 대한 가시성을 확보한다는 부분이다. 이에 더해 데이터 사이언스와 머신러닝을 합쳐 고객들이 빠르게 대응할 수 있도록 탐지내역을 제공한다.

특히, 벡트라는 시그니처가 없어 별도로 사용자가 튜닝할 필요가 없는 완전 자동화된 방식으로, 지도학습과 비지도학습 모두 적용돼 있다. 학습은 의사결정트리에 의해 랜덤 포레스트 방식을 이용하며, 벡트라 본사에서 제공하는 내부 트래픽 정보에 의거해 현장학습(K-means)과 병행해 비정상행위를 탐지한다.

그렇다면 왜 이제야 머신러닝이 활성화됐을까? 물론 이전에도 가능한 방식이었지만, 최근에 들어서야 빅데이터 처리가 가능해졌기 때문이다. 알파고가 1만 개의 기보 데이터를 통해 학습을 했듯이 벡트라도 많은 네트워크 트래픽과 이벤트를 처리하게 되면서 스스로 악성 행위를 학습해 변종이 나타나도 탐지할 수 있도록 하고 있다.

이처럼 벡트라는 머신러닝 기법과 데이터 사이언스를 이용한 침입 탐지 시스템으로, 침해 행위를 시그니처 없이 스스로 찾아내면서 운영 효율까지 낮춰줄 수 있다.

세션 4 – 하이브리드 클라우드 환경에서 GSLB 활용 방안

장기석 오픈베이스 과장은 F5네트웍스의 제품 포트폴리오를 통해 최적화된 애플리케이션 딜리버리 서비스와 다양한 고객 요구 조건을 충족할 수 있는 기능을 제공한다고 강조했다.

일반적으로 DNS 서버는 분산돼 있는 도메인 시스템에 대한 쿼리 요청이 들어오면 서비스 상태를 체크하지 않고 부하 분산을 시도하기 때문에 장애가 발생한 서버로도 서비스 요청이 들어갈 수 있으며, 이럴 경우 클라이언트는 서비스를 받아가지 못하게 된다.

그러나 글로벌 서비스 로드 밸런스(Global Service Load Balance, 이하 GSLB)를 이용하게 되면 도메인 서버의 장애 유무를 실시간으로 체크하거나 도메인 서버 앞단에서 부하 분산을 하고 있는 L4 스위치의 상태를 파악하기 때문에, 장애가 발생한 곳을 제외한 부하 분산을 하게 된다. 이를 통해 DNS 서버를 보호하고, 안정적인 서비스가 이뤄질 수 있도록 한다.

특히, 동일한 서비스가 여러 서버에 분산돼 있을 경우 이들의 상태를 체크해 가장 좋은 서비스가 제공될 수 있도록 함으로써 이용 만족도를 높임과 동시에, 서비스를 제공하는 입장에서도 무중단 서비스 제공 효율적인 트래픽 관리가 가능해진다는 장점이 있다.

GSLB를 위한 F5의 솔루션은 어플라이언스 장비 또는 가상화 버전(VE)으로 제공되며, 사용자의 데이터센터 환경에 맞게 구축이 가능하다. 특히, DNS 인프라의 성능 개선을 위해 DNS를 추가하는 대신 F5의 솔루션을 도입하면, 트래픽 병목현상이 발생하지 않아 높은 성능을 유지하면서도 디도스(DDoS) 공격에 대한 방어까지 할 수 있다는 장점이 있다. 존재하지 않는 도메인을 이용한 공격인 NX도메인 플루딩 공격에도 대응이 가능하다.

또한, 아이앱스(iApps) 솔루션이 제공돼 GSLB 기능이 제공되는 F5 솔루션의 주요 운영 과정들을 손쉽게 템플릿으로 만들어서 관리할 수 있다.

세션 5 – 차세대 IT모니터링을 위한 와이어데이터 분석 플랫폼

김훈철 엑스트라홉코리아 지사장은 와이어데이터를 통해 분석 역량을 높이고 IT가 주도하는 비즈니스 분석을 향상시킬 수 있다고 설명했다.

지금까지 데이터 소스의 활용은 주로 머신(로그)데이터와 에이전트 데이터를 활용했다. 그러나 이들은 벤더나 플랫폼, 또는 언어 등에 상당히 종속돼 있다는 문제점을 안고 있다. 리소스 소모도 많은 편이다. 언제나 사람이 개입해야 하고, 인프라와 애플리케이션간 연계도 부족하다.

이에 반해 레거시 NPM은 네트워크 패킷만 수집하면 되며, 언어나 플랫폼, 벤더에 종속적이지 않다. 네트워크에 대한 성능 모니터링을 할 수 있고, 이슈 분석을 위한 패킷 저장도 가능하다. 그러나 다른 소스들과는 단절돼 있다. 단지 네트워크 팀에서만 활용할 뿐이다. 문제가 일어나면 사후 분석용으로 자주 쓰이고, 수작업도 상당히 많은 편이다.

그러나 이를 와이어데이터로 대체하면 NPM의 기능을 그대로 가져가면서도 타 소스와의 통합도 자연스럽게 가능해진다. 실시간 분석과 다중 연계 분석, 자동화 분석까지도 할 수 있게 된다. 즉, 애플리케이션과 인프라, 네트워크 모니터링을 한꺼번에 할 수 있기 때문에 IT전반에 대한 통합적인 가시성을 얻을 수 있다.

지금까지는 네트워크 데이터의 다양한 가치를 단 1%도 사용하지 못했다고 평가된다. 와이어데이터는 인프라 및 애플리케이션에서 수행되는 모든 현상을 가장 정확하게 제공할 수 있는 데이터 소스로, 가트너는 향후 5년 이상 대부분의 조직에서 와이어데이터의 중요성이 지속적으로 증가할 것이라는 예상을 내놓기도 했다.

엑스트라홉은 와이어데이터 분석 플랫폼이다. 이를 통해 비구조화된 패킷을 구조화된 와이어데이터로 만들어주는 역할을 한다. 대용량 처리가 가능해지며, 트래픽의 증가에도 효율적으로 대비할 수 있다. 물리적인 환경이나 가상환경(AWS, 애저, 프라이빗 클라우드 등)에도 적용 가능하며, 네트워크뿐만 아니라 인프라와 애플리케이션에 대한 통합 가시성을 제공한다.

특히, 전통적인 NPM이 아키텍처 특성상 저장 후 분석을 수행하는 것에 비해 엑스트라홉은 분석 후 저장이라는 아키텍처를 적용했다. 방대한 양의 네트워크 데이터를 빠르게 처리해 분석한 데이터를 실시간으로 제공하기 위해서다. 메타데이터를 저장하기에 작은 스토리지에서도 충분히 활용할 수 있으며, 스토리지 IO 문제 역시 발생시키지 않는다.

엑스트라홉은 네트워크 팀에서만 사용하는 내용이 아니다. 만약 WAS가 DB로 쿼리하는데 50초가 걸리고, DB에서는 5초 만에 끝났다면 그제야 네트워크에 문제가 있다는 결론을 내리는 것이 일반적인 모습이다. 그러나 와이어데이터를 분석해 사전에 네트워크에 문제가 있다는 것을 확인하면, 각 팀에서 문제 해결을 위한 시간 소모를 줄이고 본연의 업무에만 충실할 수 있다.