수출입은행은 왜 HCI 기반으로 보안 로그수집시스템과 VDI를 구축했나
한국수출입은행은 하이퍼컨버지드인프라스트럭처(HCI)를 기반으로 로그수집·분석시스템을 구축해 보안관제에 활용하고 있다. 아울러 직원들이 재택근무나 출장 중 원격근무가 필요할 때에도 보안이 강구된 환경에서 안정적으로 업무를 수행할 수 있도록 가상데스크톱인프라스트럭처(VDI)를 운영하고 있는데, 이를 HCI 기반으로 구축했다. 코로나19 대유행으로 재택근무 수요가 늘어나면서 확장 사업도 진행하고 있다.
HCI는 이 시장을 개척한 뉴타닉스를, 로그 수집·분석 시스템은 스플렁크를, VDI는 시트릭스 젠데스크톱을 사용 중이다.
지난 9일부터 11일까지 뉴타닉스가 온라인 스트리밍 방식으로 개최한 최대 연례 글로벌 컨퍼런스인 ‘닷넥스트(.NEXT) 디지털 익스피리언스 컨퍼런스’에서 천세영 한국수출입은행 정보보호실 선임조사역(부부장)이 직접 나와 현재 금융산업의 도전과제와 혁신, HCI 기반 이들 시스템 도입 배경과 효과 등에 관한 이야기를 전했다.
이승영 뉴타닉스코리아 금융영업 담당 매니저가 질문한 내용에 답하는 대담 방식으로 진행된 내용을 취재해 정리해봤다.
Q. 현재 대한민국 금융산업이 직면한 도전과제는 무엇인가.
금융회사들은 현재 큰 변화에 직면하고 있다. 디지털 기술을 기반으로 비대면 거래가 급증하고 있고, 핀테크 가상화 등 혁신기술 많이 이뤄지고 있다. 최근 코로나19 사태로 이러한 경향이 가속화되고 있다.
고객은 영업점을 방문하지 않고도 더 나은 서비스 받기를 원한다. 한국의 금융사들은 수많은 금융규제, 특히 망분리와 같은 강력한 정보보호 정책이 존재하고 있다. 이러한 정책이 해킹 등 침해사고 예방하는데 실질적 효과 거두고 있는 것 사실이다. 그러나 규제나 정보보호 대책으로 클라우드같은 신기술 도입하는데 있어 제약이 있다.
해외는 클라우드 인공지능 빅데이터 등 통해 발전해나가고 있는데, 한국의 금융사는 규제를 준수하면서 신기술을 도입하는 두마리 토끼를 확보하는게 쉽지 않다. 이를 극복하기 위한 다방면의 대안을 찾고 있다. 하이브리드 클라우드 도입 고민이 그 예다.
Q. 뉴타닉스를 도입한 계기나 이유는 무엇인가. 당시 어떠한 변화가 필요하다고 봤나.
2015년에 VDI 기반 인터넷 망분리 시스템 구축사업을 수행했다. 그 사업에서 대량 서버와 많은 저장장치가 필요했다. 과거에 해온 방식대로 독립된 서버와 저장장치를 SAN으로 연결할 때 저장장치 부하에 따라서 성능 병목현상이 굉장히 우려됐다. 지속적인 사용자 증가에 따른 확장 전략도 문제가 될 것이라고 판단해, HCI 도입을 검토했다. 검토과정에서 HCI 활용해 VDI 구축시 많은 당면과제 해소될 것으로 기대했었다. 하지만 당시에는 한국에 뉴타닉스 HCI 공급채널이 없어 포기했다.
그러다 2017년에 사이버보안관제를 위해 사용 중이던 통합 로그수집 시스템 교체 사업이 있었다. 이 교체사업에서 뉴타닉스 HCI를 처음 도입했다.
이전에 통합 로그수집 시스템은 2012년 도입해 2017년까지 사용했다. 서버 두 대의 IO(Input/Output) 성능을 향상시키는 별도의 장치를 추가 구성해 운영했다. 하지만 지속적으로 로그 수집량이 증가하다보니 로그 검색 성능이 떨어지고 저장공간도 부족해지는 문제가 생기면서 보안관제 업무 제약사항 생겨 다른 대안이 절실했다.
특히 로그 수집과 검색을 위해 사용하던 스플렁크 솔루션은 강력한 검색과 상관관계 분석 솔루션을 원활하게 사용할 수 있는 환경이 필요했다. 로그 데이터가 증가함에도 불구하고 강력한 성능 유지 필요했는데 기존과 다른 형태의 병렬분산노드 구성 등이 요구됐다. 대량 노드 데이터의 보관, 원활한 처리가 가능하고, 또 분산노드 등 다양한 형태로 구성변경이 가능하고 향후에도 용량 성능 확장 쉬운 HCI 기반으로 교체해야 한다고 판단했다. 모든 요건 총족하는 제품으로 뉴타닉스를 선정했다.
Q. HCI 플랫폼으로 이전한 이유와 목표는 무엇인가.
서버, SAN 스위치, 스토리지로 구성되는 3티어(tier) 아키텍처는 변화하는 업무환경에 유연하게 대응할 수 없다고 판단했다. 기존 3티어 아키텍처는 각 구성요소의 제조사가 서로 달라 이를 구성하고 재조합해 안정적 서비스 오픈하는데 너무 많은 시간이 소요됐다. 같은 회사 제품으로 통일하더라도 마찬가지였다. 또 각 구성요소마다 제조사별 제품별 관리 방법도 다 달라, 장애발생시 수많은 시스템에 각 담당자가 로그인해서 상태를 파악해야 했기 때문에 분석하고 대응하는 속도가 떨어지고 관리가 굉장히 어려웠다. 이는 보안 모니터링의 품질을 저하시킨다. 심각한 경우 사이버위협의 조기 탐지`대응에 실패하는 구조적 문제 야기할 수 있다고 봤다.
HCI는 단점 보완할 수 있는 효과적인 구조로 돼 있다. 단일 관리화면에서 서버와 저장장치의 운영상황 모니터링할 수 있었고 구성변경, 업그레이드가 모두 가능했다. 효율적 시스템 관리 가능했고 장애상황시 원인을 찾고 해결하는데 걸리는 시간을 획기적 단축했다. 시스템 성능과 용량을 증설하는데 필요한 작업이 아주 단순하고 또 자동화 돼 있어 관리자 부담을 많이 덜어주고 서비스 영향도 최소화해줘 운영 중에도 서비스 중단 없이 이런 모든 작업이 가능하게 됐다.
Q. 스플렁크 환경에서 운영할 때 뉴타닉스 HCI의 특장점이 있나.
스플렁크는 지속적인 로그 수집량이 증가하면서 수집대상 시스템 군에 변화가 생긴다. 이 때 예측하기 힘들 정도로 로그 수집량이 폭증하거나 감소할 수 있다. 또한 다양한 상관관계 분석을 위해서는 빅데이터 분석을 성능저하 없이 처리할 수 있어야 한다.
급변하는 환경에서 로그수집 증감을 예측해 시스템 규모를 적시에 산정하고 사용량에 합당한 최적의 운영환경 구축하는 게 매우 어렵다. 민감한 정보보호 관련 데이터를 처리하기에 퍼블릭 클라우드에서 운영하기에는 각종 규제 환경에서 자유롭지 못하기 때문에 HCI에서 구성하는게 합당하다.
HCI는 가상화의 장점을 모두 활용할 수 있다. 스플렁크와 같은 유연한 구성 변경, 용량 확대와 축소가 요구되는 솔루션에 굉장히 적합하다. 각 구성요소별 성능이 집중 요구되는 시점과 포인트에 유연하게 시스템 자원 배분이 가능하고 변화 요구에 따라 언제든 재배치가 가능하다. 컴퓨팅 용량과 저장용량 요구되는 경우 운영 중 단순 노드를 추가하는 방식으로 추가할 수 있다. 서비스 안정성과 적시성도 긍정적인 것으로 분석하고 있다.
Q. 이전 이후 운영관리 측면에서 변화한 것은 무엇인가.
기존에는 물리적인 서버, 스플렁크 솔루션 관리와 자원사용 모니터링을 각각 수행했다. 장애 대응방안도 별도로 수립해 운영했다. 현재는 서버, 저장장치, 네트워크 성능을 뉴타닉스 HCI 프리즘을 통해 통합 관리하고 스플렁크 자원 사용률도 실시간 확인 가능해졌다. 로그 수집량 증가에도 원활한 로그 검색과 분석이 가능해져 보안관제 질을 크게 개선할 수 있었다.
현재 스플렁크 스토리지 용량은 뉴타닉스 HCI 안에서 사용가능한 20테라바이트 이상으로 구성돼 있고 SSD와 HDD 혼합된 하이브리드로 구성돼 있다.
뉴타닉스의 프리즘 대시보드는 아마존웹서비스(AWS)와 같은 클라우드 통합관리 화면이라고 보면 된다. 한 화면에서 서버, 스토리지, 네트워크 성능과 장애현황, 하드웨어 사양과 구성현황 확인할 수 있다. VM 생성, 삭제, 자원 할당과 업그레이드 수행할 수 있다. 별도의 솔루션 도입하거나 개발하지 않아도 기본기능으로 탑재해 제공하고 있다.
Q. VDI 환경에 대해 간략하게 설명해달라.
재택, 파견, 출장 등 원격근무시 정보보호 목적으로 VDI 시스템 구축돼 있다. 뉴타닉스와 시트릭스 젠데스크톱 조합으로 구성해 스플렁크 기반 통합 로그수집 시스템을 통해 검증된 관리 운영 편의성, 용량 확대 용의성, 고성능의 이점을 VDI 환경에도 적용하고자 했다.
2019년 1차로 180명 규모로 구축했다. 최근 코로나19 사태로 재택근무 수요가 늘면서 그에 맞춰 현재 230명 규모로 2차 확대하는 사업을 준비하고 있다.
과거에는 VDI를 3티어 아키텍처로 구성했었다. VM의 운영체제(OS) 영역은 SAN 스토리지 사용하고, 사용자 데이터 영역은 NAS 스토리지로 구축했다. 관리 부담이 가중됐고 저장장치의 사용 효율성이 떨어지는 경향 있었다.
현재 뉴타닉스 HCI는 별도의 물리적 스토리지 도입 없이도 소프트웨어 기반으로 두 가지 형태의 스토리지 자유롭게 구성하고 변경할 수 있어 안정적인 원격근무 환경에 많은 도움이 되고 있다.
Q. IT팀의 역할은 무엇인가. 내부고객은 누구이고 제공하는 서비스 기대치는 어느정도인지 궁금하다. 클라우드 등장 이후 변화는 뭐가 있었는지 궁금하다.
앞서 이야기한 혁신은 조직이 보다 본질적인 업무역량을 향상하는데 큰 밑걸음이 되고 있다. 특히 정보보호 담당부서 입장에서는 급변하는 디지털 비즈니스 환경 속에서 양산되는 신종 사이버위협을 보다 신속하고 정밀하게 감시할 수 있는 기반을 갖추게 한다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
![[RSAC2017] “‘클라우드’와 ‘플랫폼’으로 보안의 방정식을 바꾸자”](https://byline.network/wp-content/uploads/2017/02/RSAC_Paloalto.jpg)
첫 댓글