정부통합전산센터(이하 '통전')가 지난해 오픈소스 기반 하둡과 루씬을 기반으로 구축한 로그분석시스템(nSIMS) 활용 성과를 최근 공개했다. 참고로 하둡은 빅데이터, 루씬은 검색 기술이다.
통전은 대전광역시와 광주광역시에 위치한 시설에서 청와대, 국가정보원, 국방부를 제외한 중앙행정부처 44곳의 전산시스템을 통합 관리하는 행정자치부 산하 조직이다. 제한된 예산으로 매년 늘어나는 전산 장비를 관리하는 동시에 내부 시스템 장애를 예방하고, 날로 정교해지는 사이버 공격에도 대응해야 하는 상황에 직면해 있다.
이런 상황에서도 통전은 지난해 갖춘 'nSIMS' 덕분에 '사이버 침해 시도' 가운데 90%를 실시간 차단하고, 나머지 10%도 10분 이내에 수동 차단하는 성과를 거뒀다.
nSIMS는 통전 인프라 장애 예방 및 보안을 위해 구축된 정보 분석 시스템이다. DB, 웹애플리케이션서버(WAS), 웹서버, 스위치, 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 라우터 등 각기 다른 각종 시스템과 네트워크 및 보안 장비 로그 정보를 연계해 분석하는 구조다.
김우한 통전 센터장에 따르면 통전은 nSIMS 실제 구축에 앞서 1년 6개월간 국내외 오픈소스 관련 기술을 포함한 '빅데이터' 솔루션을 분석하는 과정을 거쳤다.
11개 기술을 검토한 후 시큐레이어 로그관리 솔루션 '아이클라우드심(eyeCloudSIM)'을 채택했다. 또 정부 인프라에 맞춰 아이클라우드심 상당부분을 수정했다. 또 '루씬(Lucene)'을 도입하고, 분산데이터처리기술 '하둡(Hadoop)'도 테스트 중이다. 하드웨어로는 디스크와 플래시를 섞은 저가 x86 서버 및 스토리지를 사용했다.
김 센터장은 최근 대전센터에서 기자들과 만나 (nSIMS뿐만아니라) 여러 요소에 오픈소스SW를 쓰는 통전에선 도메인네임시스템(DNS), 배시(Bash) 셸 버그, 오픈SSL(OpenSSL) 버그 등 각종 이슈 발생시 관련 취약점 차단과 대응에 힘쓰고 있다며 중앙행정부처 보안을 위해 각 전산시스템에 물린 방화벽, 데이터베이스(DB), 웹서버, WAS가 내놓는 로그를 활용하는데, 관련 기술을 공부하고 개발한 직원들의 노고가 컸다고 전했다.
이날 통전은 이빌립 보안통신과 사무관이 나와 nSIMS의 기술적 배경과 도입 성과를 소개하고 정보보호 및 장애대응에 대해서도 설명했다.
통전에 따르면 nSIMS에는 매일 300억개 이벤트를 저장하는 30테라바이트(TB)가 넘는 장비 로그 데이터가 쌓인다. 1개월이면 900TB다. 통전은 그 로그를 최대 6개월치(약 5천400TB, 킨들 전자책 58억2천만권 분량) 보관할 수 있다. 6개월을 넘긴 로그는 시간 순으로 오래된 것부터 삭제되지만, 정형 데이터로 처리된 이벤트 정보들은 별도로 보관된다.
통전은 이런 대규모 데이터를 분석하는 nSIMS로 특정 외부 사용자 트래픽에 대해 정상적인 방문인지 디도스 공격이나 침입 등 문제 소지가 있는 움직임인지 진단할 수 있다. 과거 공격 발생시 3시간씩 걸렸던 IP 추적 시간도 이제 5초 수준으로 단축됐다.
또 전산 시스템에 장애가 발생하면 nSIMS는 트래픽 들어오는 구간과 최종서버까지 연계된 인프라 중 어느 지점에 문제가 발생했는지 추적한다. 과거 인프라 운영자 입장에서 파악이 어려웠던 발생 지점을 찾고 해당 부처에 제공해야 할 정보를 빨리 파악해 낸다.
통전 측은 nSIMS 구축에 따른 부수 효과도 강조했다. nSIMS에는 백업 관리 도구만 9가지가 넘는는데, 통전은 이런 이기종 솔루션을 한꺼번에 추적해 이상 탐지 결과를 확인할 수 있는 수준이다. 앞으로 인프라 통합 관리를 고도화해 결과 조회가 빨라지고 운용 용이성이 향상될 것으로 기대하는 모습이다.
이 사무관은 nSIMS는 빅데이터 인프라지만, 구축 당시부터 지금까지 우선시했던 것은 실시간성이라며 핵심 기능을 제공하는 엔진은 루씬 위주로 고려했고 일괄처리(배치) 작업이 필요한 부분에 하둡을 첨가한 것이라 밝혔다.
그는 통전에서 현재 진행형인 '정부(G) 클라우드' 추진상황과, 이를 위한 인프라 확충 계획도 제시했다.
nSIMS 구축은 통전이 지난 2005~2007년 추진한 '전산장비 위치통합'과 2009~2012년 수행한 'HW인프라통합'에 이어 2013~2017년 진행하는 '클라우드 (업무) 전환', 빅데이터 분석과 서비스 통합 작업의 일환이다. 현재 20% 가량 업무가 클라우드로 전환됐고 오는 2017년까지 60%를 전환한다는 게 통전 측 목표다.
현재 G클라우드는 가상화 기술을 활용해 부처 공동으로 컴퓨팅 자원을 쓰고 용량을 자동으로 관리하는 서비스형 인프라(IaaS)다. 정보화진흥원(NIA)에서 G클라우드용 서비스형 플랫폼(PaaS)을 개발 중이며 내년중 시범 서비스를 예고했다. 이 PaaS에선 각 부처별 애플리케이션 구축, 변환, 개발이 가능해진다.
관련기사
- 공공 첫 '공개SW 유지보수' 발주 문제 없나?2014.12.26
- 범정부 국산서버 안정성 기준 만든다2014.12.26
- 정부통합전산센터 입찰비리 교수·공무원 입건2014.12.26
- "정부클라우드로 빅데이터 활용 어떻게 할까"2014.12.26
내년 G클라우드에는 nSIMS 구축 때처럼 주요 오픈소스SW 기술이 적극 도입될 예정이다. 국내 업체가 만든 x86 서버 구매도 추가로 이뤄진다. 전통적인 방화벽, 기관별 독립 방화벽, 가상머신(VM) 방화벽, 웹방화벽 등 4가지 방어체계가 보안 인프라에 추가된다.
통전은 대전광역시와 광주광역시 데이터센터를 통해 상호 백업 시스템을 가동 중이다. 한 쪽의 장애시 자동으로 다른 쪽에 정보를 넘겨 운영 연속성을 보장한다. 다만 2만2천대 HW와 2만2천개 SW로 돌아가는 두 센터가 즉각적인 연속성 지원을 하긴 어려워, 통전에선 오는 2019년 4월 완공을 목표로 충남 공주에 백업전용센터를 세울 예정이다.