08.21
주요뉴스
뉴스홈 > 이슈조명
[화제의 현장] “고객에게 더 가까이 다가간다”오픈베이스 유지보수(MA) 세미나

   
▲ 오픈베이스 유지보수(MA) 세미나 전경

[컴퓨터월드] 네트워크 및 보안 솔루션 전문기업 오픈베이스가 지난 4월 15일 서울 양재동 본사 교육장에서 고객사들을 대상으로 한 유지보수(Maintenance, MA) 세미나를 개최했다. MA 세미나는 오픈베이스가 제공하는 솔루션을 사용하거나 서비스를 지원 받는 고객 등 실제 사용자들이 참석하는 기술 중심의 세미나로, 오픈베이스는 지난 2003년부터 올해까지 12년간 세미나를 진행해왔다.

특히 이번에 진행된 세미나는 최근 이슈가 되고 있는 가상 데이터센터, 지능형 지속 위협(Advanced Persistent Threat, APT) 등에 대해 오픈베이스가 공급하는 솔루션들로 대응 방안을 풀어내는 자리였다. 이를 통해 고객들이 갖고 있던 궁금증을 해소시키면서도 그들의 의견을 경청함으로써, 한층 질 높은 서비스를 제공하겠다는 것이 오픈베이스의 방침이다. 세미나에서 오픈베이스가 고객들에게 전하고자 하는 바는 무엇이었는지, MA 유지보수를 찾아가본다.

네트워크 기반 보안 전문기업으로 진화
오픈베이스는 애플리케이션 전송 컨트롤러(Application Delivery Controller, 이하 ADC) 기반 네트워크 전문 기업으로 출발했지만, 보안 분야까지 진출하며 사업 범위를 확장시켰다. 2011년 본격적으로 네트워크 보안 사업을 시작하면서 기업부설 연구소를 설립하고, 올해에는 보안 분야의 성과를 극대화하기 위해 보안 전담팀을 구성하며 보안 시장 공략을 위한 전사적인 힘을 모으고 있다.

오픈베이스가 이번에 진행한 세미나 역시 보안 분야에 얼마나 공을 들이고 있는지를 알 수 있는 자리였다. 총 4개의 세션이 마련된 가운데 절반인 2개 세션이 보안에 대한 내용을 다룬 것만 보더라도, 오픈베이스가 보안 사업으로 역량을 강하게 몰아가고 있다는 것을 느끼게 했다.

이번 세미나에서는 ▲가상 데이터센터 워크플로우의 자동화 전략(라드웨어), ▲정교해지는 이메일 보안 위협 대응 방법(파이어아이), ▲SSL(Secure Socket Layer) 사용 환경에서의 애플리케이션 보안 방법(F5네트웍스), ▲트래픽 가시화를 통한 업무 효율성 향상 방안(패킷로직) 등 최근 이슈가 되고 있는 사안들과 그에 따른 제품별 발표가 진행됐다. 그 때문인지 이번 행사에는 40여명 이상이 참석해 경청하는 모습들을 보였다.

황철이 오픈베이스 전무는 MA 세미나 환영사를 통해 “클라우드, 사물인터넷(IoT) 등 최근 급변하고 있는 IT 환경에서 고객들에게 도움이 되는 내용들로 알차게 구성했다”고 밝혔다.

   
▲ 황철이 오픈베이스 전무가 환영사를 하고 있다

세션1. 가상 데이터센터 워크플로우의 자동화 전략
   
▲ 라드웨어코리아 정윤기 차장

라드웨어 제품군은 스위치 역할을 하는 ADC(Application Delivery Controller)와 디도스(DDos) 방어 제품인 AMS(Attack Mitigation System)로 나눠지는데, 이 두 가지를 연동해서 데이터센터에 시너지 효과를 제공하고 있다.

알테온(Alteon)이라는 브랜드로 알려진 ADC 솔루션은 클라우드 서비스와 어플라이언스, 가상 서버에서 모두 동작하는 제품이다. 여기에는 L4-L7 스위치 기능 이외에도 ▲웹 최적화 ▲애플리케이션 성능 모니터링(APM) ▲회선 최적화 ▲인증 게이트웨이 ▲애플리케이션 웹 방화벽 등 여러 기능들이 서비스 모듈로 제공된다.

이들 서비스 모듈들이 알테온의 세 가지 폼팩터 위에서 동작한다. 이처럼 서비스 모듈들과 ADC가 동작하는 것을 ADC 패브릭(Fabric)이라고 부른다. ADC 패브릭은 데이터센터와 클라우드센터에 자동화를 제공해주는 오픈스택이나 시스코 ACI, VM웨어 NSX, 오픈플로우 같은 툴들과 자동으로 연동이 가능하다. 사용자가 클라우드나 데이터센터에서 클릭 한 번으로 가상 머신을 만들 듯이 모든 것들을 자동으로 생성·연동·배포·수거할 수 있다.

AMS 솔루션으로는 디펜스 프로(Defense Pro)라는 디도스 방어 제품이 있다. 이는 임계치 이상 트래픽이 들어오면 무조건 잘라내는 기존 장비들과 달리 행동 기반 공격 분석을 통해 트래픽을 구분하고 공격 트래픽만 차단한다. 마치 정수기가 필터로 오염된 물과 정수된 물을 분리하듯이 고급 필터 과정을 이용해 공격 트래픽을 분리한다.

또한 HTTPS 암호화 공격을 알테온(SSL 복호화)과 함께 연동해 차단하고, 소프트웨어 정의 네트워크(SDN) 환경에서 이뤄지는 디도스 공격도 컨트롤로 및 스위치와 연동해 공격 트래픽만 차단하는 기능도 하고 있다. 이 모든 것들은 AMS에서 자체적으로 수행하는 것으로, 보안 전문가가 하는 것과 동일한 역할을 할 수 있다.

라드웨어의 ADC와 AMS 솔루션을 연동한 하이브리드 방식의 디도스 공격 차단도 가능하다. 라드웨어는 자체 클라우드 스크러빙(Cloud Scrubbing) 센터를 보유하고 있다. 디도스 공격으로 인해 인터넷 파이프 관문이 꽉 차게 되면 공격 트래픽이든 비공격 트래픽이든 더 이상 시스템에 도달할 수 없게 되며, 사용자 입장에서 처리가 되지 않는다.

이 때 AMS가 계속 디도스 공격을 차단하다가 트래픽이 꽉 차게 되면 ADC가 자동으로 클라우드 스크러빙 센터로 트래픽을 우회시킨다. 클라우드 스크러빙 센터는 깨끗한 트래픽만 걸러내 다시 보내줌으로써 인터넷 파이프가 차는 디도스 공격을 차단할 수 있도록 한다.

세션2. 더욱 정교해지는 이메일 보안 위협 대응
   
▲ 오픈베이스 김현근 차장

구글 등을 공격해 주요 소스코드를 유출시켰던 오퍼레이션 오로라(Operation Aurora), 이란 원전 가동을 중단시켰던 스턱스넷(Stuxnet), 국내 금융기관과 언론사를 노렸던 3.20 전산대란, 그리고 지난해 일어난 소니 픽처스와 한수원 해킹사고. 이들 보안 위협들은 목적을 갖고 목표를 정해 공격하는 APT 공격이다. 워터링홀이나 스피어피싱 등을 이용해 목표 내부 전산망에 침투한다.

스피어피싱은 특정 대상을 콕 집어서 공격하는 방식이다. 그 사람이 관심 있어 하는 것에 대해 이메일을 보내는 이른바 사회공학적 기법을 이용하는데, 이는 공격자 입장에선 매우 효과적이다.

이메일은 1987년 표준화 된 SMTP라는 프로토콜을 사용하며, 그 때부터 지금까지 사용되고 있다. 그 동안 스팸차단 등 다양한 기능들이 추가돼 어느 정도 보완이 됐지만 텍스트 기반으로 통신하다보니 위변조가 쉽다는 문제가 있다. 이를 이용하면 송신자의 주소를 변조해서 보낼 수 있어 은닉하기도 쉽다. 메일서버는 등록이 쉽고, 한 번 사용한 뒤 폐기 후 다른 서버를 만들면 되기 때문이다.

공격과정을 보면 우선 해커는 목표 대상에게 피싱 메일을 발송한다. 악성코드는 문서 파일로 첨부한다. 이런 공격은 기존 이메일 보안 솔루션으로 탐지가 어렵다. 피해자는 해당 메일이 보안 시스템을 통과했기 때문에 안심하고 열기 쉽다. 이메일 열고 실행하면 악성코드에 감염되며, 이후 악성코드는 최종적으로 내부 인프라 시스템까지 침투한다.

이런 이메일 보안위협에 대응하려면 우선 이메일 통신의 흐름을 알아야 한다. 예를 들어 철수가 영희한테 메일을 보낸다고 하면, 철수가 보낸 메일은 우선 철수가 속한 메일서버로 보내지고, 그 메일서버는 영희가 속해있는 메일서버로 메일을 전달한다. 이 때 쓰는 프로토콜이 SMTP다. 이 과정 중간에 보안 솔루션이 투입돼야 메일 분석이 가능하다.

APT 탐지 솔루션은 시그니처 기반 탐지 솔루션 스팸 게이트웨이와 메일서버 사이에 위치하게 된다. 이를 통해 스팸 게이트웨이에서 탐지하지 못한 악성코드들을 행위기반 분석을 통해 판단이 가능하게 된다. 즉, 1차적으로 스팸 게이트웨이에서 악성코드를 탐지하고, 2차적으로 APT 탐지 솔루션에서 다시 한 번 탐지하는 것으로, 기존보다 더 좋은 보안 시스템을 구축할 수 있다. 특히 APT 솔루션이 기존 APT 웹 솔루션이나 SIEM/ESM 같은 모니터링 시스템들과 서로 협업해서 APT 공격에 대해 대응하게 되면 더 나은 보안효과를 얻게 된다.

그러나 무엇보다 기업 경영진부터 일반 직원까지 보안에 대한 필요성을 인식해야 한다. 윈도우 업데이트를 꾸준히 진행하고, 최신 백신을 설치해서 보안 허점을 줄여야 하며, 핵심 자산을 보호하기 위해 보안 솔루션도 도입해야 한다.

세션3. SSL 사용 환경에서의 애플리케이션 보안
   
▲ F5네트웍스코리아 이진원 차장

애플리케이션 트렌드가 바뀌고 있다. 실제 전용 가속기 없이도 서버단에서 다 처리한다. SSL 트래픽이 부각된 이유가 모빌리티다. 모바일 서비스를 통해 인터넷 거래라든지 크리티컬한 서비스를 제공해야 한다는 것이 SSL의 특징이다. 모빌리티에 의해 나온 것이 애플리케이션이다. 애플리케이션의 등장 때문에 데이터센터도 물리적인 데이터센터에서 클라우드라는 방향이 나오게 됐다.

암호화 트래픽에 대한 트렌드도 변하고 있다. 현재 전체 웹 서비스의 25%까지 SSL을 이용하고 있으며, 2017년에는 50%까지 늘어날 것으로 전망되고 있다. 그러나 최근 SSL 관련 취약점도 많이 나오고 있다. SSL 3.0에 대한 푸들(POODLE)이나 하트블리드(heartbleed) 등은 실제 고객 대응하는 응답속도보다 빠르게 늘어나고 있다.

공격대상도 다양해지고 있다. 요새는 좀비PC만이 아니라 좀비폰도 등장했다. 특정 유선 환경이 아니라 모바일에서도 좀비 공격의 기능이 있다. 예전에는 외부에서 내부로 들어오는 공격이었는데 이제는 내부 사용자가 좀비가 돼 공격하기도 한다. 내부나 외부 어디서든 공격이 발생 가능한 환경이 됐다. 모빌리티 환경이 되다보니 하나의 존이 아니라 모든 존이 보안 위협에 노출됐다. 전파 속도도 이제는 실시간 위협으로 발생된다.

이런 환경에서 데이터센터 보안은 어떻게 해야 하는가. F5는 정상적인 트래픽에 대해서는 복호화해서 사용자에게 전달하고, 문제가 있는 트래픽은 복호화해서 IPS에 전달하는 자체 알고리즘을 통해 방어할 수 있도록 하고 있다. 또한 모든 트래픽을 IPS에 통과시키지 않고 ADC를 이용해 특정 서비스만 IPS를 통과하게 할 수도 있다. 이를 통해 IPS 성능을 개선시키지 않더라도 효율적인 방어가 가능해진다.

그리고 SSL 환경에서 사용자 보안은 어떻게 해야 하는가. F5는 사용자가 어느 디바이스를 사용하든, 어떤 접속 위치든 상관없이 보안 접속 환경을 제공해야 하며, 애플리케이션단에서도 동일한 보안이 제공돼야 한다고 보고 있다.

F5의 시큐어 웹 게이트웨이(Secure Web Gateway, SWG) 서비스는 사용자에 대한 인증부분을 대신 할 수 있고, 싱글사인온(SSO) 정책의 일반화도 가능하다. 웹 사이트 콘텐츠 기반 보호 기능, 컴플라이언스나 내부 규정 부분들, 사이트 별 다운로드 대역폭 조절 기능도 제공한다. 이들을 통해 F5는 암호화 환경에서도 애플리케이션 서비스 보안이 제약 없이 제공될 수 있도록 지원한다.

세션4. 트래픽 가시화를 통한 업무 효율 향상
   
▲ 오픈베이스 박인찬

트래픽 현황을 볼 수 있게 해주는 패킷로직의 역할은 크게 감지, 분석, 제어 등 3가지다. 우선 네트워크상에서 어떤 사용자가 트래픽을 유발하고 사용하는지 감지한다. 단순히 트래픽 모니터링이 아닌 커넥션이나 CPS도 실시간으로 감지한다.

이어 감지된 사용자들을 토대로 트래픽만 모니터링 하는 것이 아닌 어떤 애플리케이션을 사용하는지 분석하며, 감지와 분석된 대상을 갖고 비업무에 대역폭을 사용한다면 이를 줄여줘서 업무에 도움이 되게끔 제어도 한다.

패킷로직이 제공하는 주요 기능으로는 실시간 라이브 뷰가 있다. 이는 트래픽뿐만 아니라 커넥션, CPS에 대해서도 실시간 모니터링을 제공하며, 특정 IP 하나에 대해서도 어떤 프로토콜을 사용하고 어떤 애플리케이션을 사용하는지를 보여준다. 즉, 사용자가 어떤 도메인에 접속하고, 어떤 폴더에 있는 ZIP 파일을 받고 있는지 알 수 있으며, URL의 경우 사용자가 어떤 동영상을 보고 있는지조차 알 수 있다.

패킷로직의 주된 목적은 대역폭의 효율적인 이용이다. L7 기반 정보를 정확하게 분석하기 때문에 가능하다. 과거 통계데이터도 볼 수 있다. 일별, 월별, 분기, 반기 등 기간별로 가능하며, 사용자가 지정한 특정 시간으로도 분류가 가능하다.

패킷로직의 구성 방식은 인라인, 바이패스, 미러 구성 등 크게 3가지다. 인라인은 방화벽 하단에 설치해서 모든 트래픽을 보고자 할 때 사용하며, 바이패스는 별도로 둬서 똑같이 보는데 장애 포인트만 배제한다. 미러 구성은 통계 데이터는 쌓이지만 실시간 제어는 불가능해 데모나 BMT 진행 시 주로 사용된다.

패킷로직의 장점은 트래픽을 상세하게 실시간으로 추적이 가능하고, L7 기반 트래픽 제어가 가능해 다양한 정책 설정을 할 수 있다는 점이다. 또한 통계데이터가 다양하게 제공돼 그룹별로 묶을 수 있고, IP별로 파악한다거나 애플리케이션별로 얼마나 사용됐는지 추이를 볼 수 있다. 바이패스 기능 역시 장점으로 볼 수 있. SW바이패스와 HW바이패스로 나뉘는데, SW바이패스는 운영프로그램에 접속해서 클릭만으로 전환이 가능하다. 실제 서버실에 들어가서 전원케이블을 뺄 수도 있지만 관리자 PC에서도 바로 바이패스 전환이 가능하다.

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오