“스마트 데이터·플랫폼으로 조기경보 시스템 구현해야”
상태바
“스마트 데이터·플랫폼으로 조기경보 시스템 구현해야”
  • 데이터넷
  • 승인 2019.08.14 17:37
  • 댓글 0
이 기사를 공유합니다

네트워크·클라우드·보안 운영 혁신…유연하고 효율적인 통합 가시성 아키텍처 제공

[데이터넷] 디지털 비즈니스 트랜스포메이션을 위해 디지털 자산을 어떻게 집중하고 활용하느냐는 기업들이 직면한 과제 중 하나다. 특히 디지털 비즈니스는 하드웨어 시스템은 물론 사람, 서비스, 데이터 등 IT 요소가 반드시 뒷받침돼야 한다. 따라서 기업의 핵심 자산을 실제로 관리, 인식 및 모니터링 방법의 혁신이 필요한 상황으로, 김재욱 넷스카우트코리아 지사장과의 일문일답을 통해 보안 및 네트워크 운영(NetOp·SecOp)을 위한 넷스카우트 조기경보 플랫폼을 중심으로 디지털 비즈니스를 위한 새로운 접근법을 살펴본다. <편집자>

▲ 김재욱 넷스카우트시스템즈코리아 지사장

최근 모든 기업이 직면하고 있는 문제 중 하나는 디지털 비즈니스 또는 디지털 비즈니스 트랜스포메이션을 위해 디지털 자산을 어떻게 집중하고 활용할 것이냐 하는 것이다. 지난 50년은 하드웨어 자산에 대한 기술이 중시됐지만 이제는 비즈니스에서 실질적인 새로운 가치를 창출하고 있는 다양한 IT 요소를 살펴야할 필요성이 높아졌다.

디지털 비즈니스를 뒷받침하는 것이 단순 하드웨어 시스템이 아니라 사람, 서비스, 데이터 등 IT를 구성하는 모든 요소기 때문이다. 이를 위해 핵심 자산을 실제로 관리, 인식 및 모니터링 등에 대한 접근 방식 역시 제고돼야 한다. 특히 보안 및 네트워크 운영 부분에서는 향후 몇 년간 매우 흥미로운 통합이 이어질 가능성이 높다. 이에 김재욱 넷스카우트코리아 지사장과 디지털 비즈니스를 위한 새로운 접근 방식을 일문일답 형식으로 알아본다.

Q: 넷스카우트를 간략히 소개한다면.

A: 넷스카우트를 한마디로 소개하면 스마트 데이터를 만드는 기업이라고 할 수 있다. 넷스카우트는 2500명 이상의 직원과 500개 이상의 특허를 가지고 전 세계 50여 개국에서 비즈니스를 진행하며, IP 기반 네트워크 문제 해결, 모니터링, 보안 등의 분야에서 30여 년간의 리더십과 혁신을 지속하고 있다.

넷스카우트의 비즈니스 영역은 ▲기업용 하이브리드 클라우드 인프라에 대한 네트워크 및 애플리케이션 성능 모니터링 ▲기업과 서비스 사업자를 위한 DDoS 공격 방어 및 보안 ▲이동통신사, 케이블사업자, ISP를 포함한 서비스 사업자에 대한 서비스 보장 등으로, 이 세 가지 영역에서 각각 50% 이상의 시장 점유율을 지키고 있다. 또한 포춘 선정 500대 기업 중 90%와 글로벌 통신 서비스 사업자의 90%가 넷스카우트 솔루션을 사용하고 있다.

▲ 넷스카우트의 경계 없는 가시성

Q: 현재 모든 기업이 안고 있는 도전 과제 중 하나는 디지털 비즈니스를 위한 변화로, 이를 위해 새로운 가치를 주도하는 디지털 자산(데이터, 서비스, 장치, 사용자, 애플리케이션 등)에 더 많은 관심을 집중해야 한다. 넷스카우트는 어떻게 실질적인 디지털 트랜스포메이션 구현에 나서고 있는가.

A: 디지털 트랜스포메이션을 위해 넷스카우트의 스마트 데이터가 어떤 역할을 할 수 있는지에 대해 소개하면 다음과 같다. 넷스카우트는 이미 30년 전부터 와이어 데이터 또는 패킷 데이터 분야의 개척자였다. 아마도 많은 이들이 스니퍼(Sniffer) 제품에 대해 기억하고 있을 것이다. 넷스카우트는 스니퍼를 더욱 발전시켜 네트워크 운영(NetOps), 클라우드 운영(CloudOps)에 필요한 최적의 포트폴리오를 제공하고  있다.

특히 ASI(Adaptive Service Intelligence)는 넷스카우트의 핵심 기술로 패킷으로부터 모니터링 및 분석에 필요한 유의미한 데이터를 만들어 낸다. 수십, 수백 기가 분량의 실제 데이터로부터 빠른 조정 작업을 통해 IT 운영에 필요한 유의미하고 정제된 데이터를 뽑아낸다.

넷스카우트는 ASI 기술을 활용해 빅데이터에서 가공된 스마트 데이터를 위치 및 디바이스 환경에 상관없이 네트워크 및 애플리케이션 계층의 성능 모니터링을 통합하고, 고객의 애플리케이션 서비스 운영 전반에 가시성을 확보해 엔드투엔드 모니터링을 포함한 데이터센터 운영 최적화를 주도하고 있다. 또한 특정 장치의 생산성을 목적으로 하는 로그 중심에서 벗어나 디바이스간의 커넥션과 애플리케이션 생산성을 향상시키는 데 초점을 맞춘 ASI로 전환해 나가고 있다.

실제 전수 패킷 데이터에서 만들어진 스마트 데이터를 로그 데이터나 넷플로우 등 다른 데이터 소스와 비교하면 스마트 데이터가 아닌 다른 소스들은 신뢰할 수 있는 데이터라고 하기에는 부족한 부분이 많다. 예를 들어 로그 데이터는 외부 위협으로부터 신뢰성을 보장할 수 없다. 해커나 해킹 프로그램은 시스템에 액세스하는 즉시 로그 기록을 삭제하거나 로그 날짜를 변경하는 것을 첫 번째로 수행하기 때문이다.

넷플로우 데이터 역시 마찬가지다. 넷플로우 데이터는 로그 데이터와 같은 문제는 일으키지 않지만 네트워크 장비로부터 트래픽 규모 등의 단순 정보만 제공하므로 레이어 7에 대한 상세한 정보를 제공하지 못한다. 또한 데이터가 네트워크의 모든 장치에서 생성되지 않는다는 것도 중요한 문제로, 4차 산업을 논할 때 많이 등장하는 사물인터넷(IoT) 장치는 어떠한 종류의 플로우 데이터도 생성하지 않는다. 따라서 정교하고도 신뢰성 높은 데이터는 오직 패킷 또는 와이어 데이터다. 넷스카우트가 만들어내는 스마트 데이터의 기본 요소가 바로 패킷 데이터다.

스마트 데이터의 또 다른 요소는 아버(Arbor) 포트폴리오다. 아버 포트폴리오는 전 세계 400개 이상의 주요 기업 및 이동통신사, 서비스 사업자들이 운영하고 있으며, 이 트래픽의 규모는 전 세계 인터넷 트래픽의 1/3 정도에 해당한다.

이에 넷스카우트는 서비스 공급자의 코어에서 넷스카우트 고유의 기술을 통해 AIF(ATLAS Intelligence Feed)라는 또 다른 유형의 스마트 데이터를 생성할 수 있다. AIF는 도메인, 지리적인 위치, 사용자 ID 전반에 걸쳐 사이버 평판을 추적한다.

하이브리드 클라우드 인프라의 코어에서 생성된 ASI 스마트 데이터와 인터넷 코어에서 생성된 AIF 스마트 데이터의 조합은 넷스카우트만이 제공할 수 있는 고유한 데이터 조합이다. 이를 통해 넷스카우트는 네트워크, 클라우드, 보안 운영 간에 통합 가시성 아키텍처를 유연하고 효율적으로 제공하고 있다.

▲ 넷스카우트 스마트 데이터 핵심 특허 기술

Q: 전통적으로 IT는 개별 디바이스 또는 디바이스 클래스, 그리고 디바이스들이 생성하는 데이터에 집중했다. 이들은 개별적으로 최적화하기에는 적합하지만 네트워크와 보안 운영을 통합 아키텍처로 가져간다는 것은 쉽지 않아 보인다. 통합 운영으로 전환을 위해 스마트 데이터가 하는 역할은 무엇인가.

A: 네트워크 운영을 위해 넷스카우트의 ASI 스마트 데이터를 하이브리드 클라우드 인프라로 도입한 고객의 사례를 들어 설명하겠다. 이 고객은 포춘 500대 기업으로, 네트워크 및 클라우드 운영을 위해 하이브리드 클라우드 모니터링 인프라를 구축했다.

이 고객 역시 대부분의 엔터프라이즈 고객처럼 전체 포트폴리오에 걸쳐 하이브리드 클라우드 모니터링 인프라를 수용하기 위해 하나의 툴을 사용할 계획이었고 넷스카우트를 차세대 네트워크 모니터링 솔루션으로 선정했다. 그런데 보안 운영 측면에서 보면 이야기는 완전히 달라진다.

보안 운영을 위해 동일한 조직 내에서 25~30개의 서로 다른 툴들을 사용하고 있다. 실제로 애널리스트들은 보안 운영을 위해 포춘 500대 기업에 평균 70개의 서로 다른 보안 솔루션이 존재한다고 말하고 있다. 네트워크와 클라우드 운영 측면에서는 하나의 툴을 사용하지만 보안 운영을 위해서는 70여 개의 다른 솔루션이 존재하는 이유는 무엇일까? 바로 스마트 데이터뿐만 아니라 스마트 아키텍처도 필요하기 때문이다.

넷스카우트는 지난 30년간 스마트 데이터를 생성하는 2개의 아키텍처를 설계해 왔다. 첫 번째는 인피니스트림(InfiniStream) 또는 V스트림(vSTREAM)이라고 불리는 센서 프레임워크로, 이는 ASI 스마트 데이터를 생성하는 하이브리드 클라우드 인프라에 구축된 분산 센서 프레임워크다. 해당 계층은 전체 인프라에서 독립 또는 통합적으로 분석계층과 연계될 뿐만 아니라 구조적으로 소프트웨어와 하드웨어를 분리해 기존의 일체형 제품은 물론 상용 기성품(COTS) 사용이 가능해 비용 효율적이다.

그리고 넷스카우트는 하이브리드 클라우드 인프라에서 데이터를 상호 연계시키는 중앙 집중식 분석 레이어인 엔지니어스(nGenius) 플랫폼을 사용해 고객이 데이터센터의 포트폴리오 전반에 걸쳐 완벽한 가시성을 확보할 수 있도록 지원한다.

보안 측면에서 앞서 언급한 2개의 아키텍처를 구현하려는 시도가 없었던 것은 아니지만 아무도 이 분산 센서 계측기를 비용 효율적으로 설계해 와이어 데이터 분석에 사용할 수 있도록 하지 못했다. 그 결과 타 솔루션은 일체형 제품으로 비용 효율적이지 못하거나 넷플로우나 시스로그와 같은 하위 데이터 소스로 이동할 수밖에 없었던 것이다.

오늘날 분석 레이어의 중요성이 점점 더 높아지면서 보안 운영 측면에서는 케이스마다 하나의 툴 또는 하나의 벤더가 필요하게 됐다. 이런 이유로 보안 운영을 위한 더 많은 툴이 필요하게 됐다. 이는 분석 계층에 대해 와이어 데이터나 패킷 데이터를 실현 가능하게 하는 분산 센서 프레임워크가 없기 때문이다.

사실 불과 몇 년 전만 해도 보안 운영에서 사용되는 툴은 평균 40개였다. 미국의 경우 70~100개의 툴이 존재하지만 툴의 수가 늘었다고 비즈니스 리스크가 줄어든 것도 아니다. 오히려 많은 경우에서 상황이 더 나빠졌다.

넷스카우트에서 확인한 사항은 툴의 수는 지속적으로 증가하고 있지만 침해 비용과 위반 건수 역시 늘고 있으며, 동시에 분석가의 수도 항상 부족하다는 사실이다. 보안 측면에서는 많은 투자에도 불구하고 위험을 감소시키지 못하고 있다는 것이다. 그렇다면 어떻게 제어하고, 어떻게 비용과 리스크를 줄일 수 있을까? 유일한 방법은 스마트 플랫폼과 스마트 레이어에 있는 스마트 데이터다.

▲ 넷스카우트 솔루션 포트폴리오: 스마트 가시성

Q: 언급된 내용을 요약하면 기하급수적으로 증가하고 있는 데이터의 통합 없이 툴의 증가에만 의존하면 비즈니스 내에서 업무와 책임의 분산으로 이어져 결국 더 많은 인적 문제로 끝날 수도 있다고 이해된다. 따라서 스마트 데이터를 통한 통합은 보다 스마트한 플랫폼을 확보할 수 있을 뿐 아니라 단순하고도 통일된 운영을 구현해 디지털 비즈니스 트랜스포메이션의 핵심으로 보인다. 그러면 디지털 비즈니스를 위해 리소스를 통합하고 단순성을 확보했을 때 기업이 가질 수 있는 전략적 이점은 무엇인가.

A: 크게 두 가지로 요약할 수 있다. 첫 번째는 와이어 데이터나 패킷 데이터에서 나오는 스마트 데이터이고, 두 번째는 분산 계측 및 중앙 집중식 분석을 갖춘 2티어 아키텍처로 구성된 스마트 아키텍처다. 이 두 가지를 갖췄을 때 가장 먼저 일어나는 변화는 조기경보탐지라고 할 수 있다.

넷스카우트의 스마트 데이터를 기반으로 한 스마트 아키텍처는 넷플로우나 시스로그와 같은 장치 데이터에 의존한 전통적인 록히드마틴의 킬 체인과 같은 사이버 킬 체인 공격보다 훨씬 더 일찍 위협을 감지하거나 이상 징후를 발견할 수 있다. 왜냐면 넷스카우트의 스마트 데이터는 트래픽의 패턴을 분석하기 때문이다.

조금 더 기술적으로 이야기하면 넷스카우트는 트래픽의 수평방향(East-West) 움직임보다 더 일찍 일어나는 DNS 레벨, DHCP 레벨과 활성 디렉토리 레벨의 트랜잭션을 분석한다. 이것이 바로 조기경보탐지를 가능케 하는 넷스카우트의 스마트 데이터 기술이다.

Q: 타깃보다 소스에서 더 많은 가시성을 얻을 수 있다는 의미인가.

A: 그렇다. 소스에서 분석이 이뤄지기 때문에 타깃에서 얻는 가시성보다 더 정확하고 빨리 이상징후를 발견할 수 있다. 두 번째는 2티어 아키텍처의 통합을 통한 스마트 아키텍처다.

지난 20~30년 동안 고객의 IT 환경은 지속적으로 변화해 왔다. 고객은 처음 IT 코어를 확보했고, 그 이후 시스코, VM웨어 등과 같은 솔루션을 통해 프라이빗 클라우드로 이전했다. 이제는 퍼블릭 클라우드로 이동하면서 워크로드가 모든 곳으로 마이그레이션되고 있다.

하지만 넷스카우트는 분석 레이어에 어떠한 변화도 주지 않았다. 넷스카우트의 유일한 변화는 분석 레이어에서 새로운 활용사례를 처리하는 것뿐이었다. 이 결과 넷스카우트는 클라우드 모니터링의 여러 활용사례를 하나의 플랫폼, 즉 스마트 데이터가 있는 스마트 플랫폼으로 통합할 수 있었다.

넷스카우트는 이제 스마트 플랫폼과 스마트 데이터로 보안에 대한 새로운 가치를 창출해 나가고 있다. 따라서 보안 측면에서 활용사례를 통합하는 것이 조기경고탐지에 이은 두 번째 이점이라고 할 수 있다.

▲ 넷스카우트 새로운 기술 기반 접근(스마트 데이터 코어)

Q: 디지털 비즈니스를 위해서는 탐지와 관리는 물론 포렌식까지 모두 개선이 필요하다는 의미인가.

A: 그렇다. 넷스카우트가 진행한 두 번째 작업은 보안 운영 측면에서 포렌식과 탐지를 통합하는 것이었다.

오늘날 일반적인 엔터프라이즈에서는 SIEM 또는 보안 정보 및 이벤트 관리 플랫폼을 사용해 여러 소스의 데이터를 상호 연관시킨다. 따라서 SIEM 경고나 SIEM 플랫폼에 의해 생성된 경고의 경우, 포렌식 팀은 무슨 일이 일어났는지 그로 인해 영향을 받는 시스템이 무엇인지 알아내야 한다.

이를 위해 포렌식 팀은 세션에 접근하고, 그 경보에 속하는 패킷에 접근해 경고의 대상, 시기, 위치를 반드시 확인해야 하지만 보안 플랫폼이나 장치에서 처음부터 와이어 데이터를 사용하지 않았기 때문에 패킷 데이터를 전혀 볼 수 없다.

이런 이유로 포렌식 분석가나 보안 팀이 하는 일은 와이어샤크(Wireshark)와 같은 장치를 활용하고 스프레드시트로 조사하는 것에 그치고 있는 것이 현실이다. 결국 원인분석 시간은 지연될 수밖에 없다.

알려진 바와 같이 이러한 이유로 경보에 대해 무뎌질 뿐 아니라 SIEM으로 전달되는 경고의 절반은 보안 분석가들에 의해 무시되고 있는 실정이다. 따라서 실제 위협은 줄어들지 않고 기업들은 IT 부서가 아닌 언론이나 외부에서 보안 침해 사실에 대해 알게 되는 경우가 생기는 것이다.

넷스카우트는 지난 1980년대부터 네트워크에서 살아 움직이는 실제 데이터, 즉 와이어 데이터에 초점을 맞춰왔다. 80년대에는 와이어 데이터를 해독해 쉽게 트러블 슈팅을 할 수 있도록 했고, 1990년대에는 와이어 데이터를 스마트 데이터로 전환해 전체 IT 모니터링을 지원하도록 했다. 또 2000년대 들어서는 스마트 데이터를 보다 발전시켜 엔드투엔드 서비스를 보장할 수 있도록 했다.

넷스카우트는 기술 혁신을 거듭해 현재는 IT 인프라 모니터링과 보안 운영을 위해 ASI와 AIF를 통합해 분석할 수 있도록 했다. 앞으로는 이를 더 발전시키기 위해 스마트 자동화를 지향하고 있으며, 이를 통해 인공지능과 머신러닝이 접목된 서비스가 가능하도록 구현할 계획이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.