▼

최시훈

축구

김도영

롯데

허정무

김나정

삼성전자 주가

기흥역 화재

에어프레미아

구마유시

로그인 회원가입|아이디

비번찾기

사용기 입니다.

[취재] 한국오라클 OFM 보안 솔루션 교육세션

류재용
등록일 2010-04-15 21:47
조회수 4433
http://www.acrofan.com/ko-kr/commerce/content/20100415/0001030101

한국오라클은 4월 15일, 서울 삼성동 아셈타워에서 기자들을 대상으로 오라클의 계정계(Identity) 제품들을 소개하는 세션을 가졌다. 이 세션에서는 오라클의 계정 관리 제품인 아이덴티티 매니저, 접근 관리 제품인 액세스 매니저, 싱글 사인 온을 처리하는 LDAP 서버인 디렉토리 서비스 등이 소개되었다. 또한 각 제품들의 국내 적용 사례도 공개되었다.

아이덴티티 매니저는 계정을 생성하고 삭제하며 라이프사이클을 관리하는 솔루션이다. J2EE를 기반으로 오라클의 솔루션은 물론 타사의 솔루션에서도 에이전트리스 방식으로 동작한다. 액세스 매니저는 웹 환경에서 사용하는 업무 시스템에 대해 미리 설정된 정책을 기반으로 싱글 사인온을 수행한다. 또한 디렉토리 서비스 엔터프라이즈 에디션은 자체 동기화 방식을 가진 LDAP 서버 제품이다.

이러한 오라클의 제품군은 방대한 글로벌 레퍼런스를 가지고 있다. 중국의 게임 업체인 샨다(Shanda)에는 1,100만 명의 사용자에 대해 LDAP 서비스를 제공하고 있으며, 국내에서는 대한항공이나 현대기아자동차그룹, 포스코(POSCO), 카이스트(KAIST)가 오라클의 제품을 이용하고 있다.

▲ 오라클의 계정계 관련 제품군들

비즈니스 시장을 타겟으로 계정계(Identity)를 관리하는 엔터프라이즈 제품들은 많이 존재하고 있다. 오라클에서는 계정 관리에 아이덴티티 매니저(Identity Manager)를 가지고 있고, 접근 관리(Access Management)는 액세스 매니저(Access Manager)를, 사용자가 싱글 사인 온(SSO, Single Sign-On)으로 접근할 경우 사용자의 접근 가/부를 확인하기 위한 디렉토리 서비스(Directory Service)등 세 가지 제품군을 갖추고 시장에 접근하고 있다. 이중 디렉토리 서버 엔터프라이즈 에디션(Directory Service Enterprise Edition)은 과거 시장 점유율 40%를 차지하던 썬(Sun)의 LDAP(Lightweight Directory Access Protocol) 제품이 오라클의 이름으로 재탄생한 제품이다.

오라클은 세 가지 영역에 걸친 다양한 제품군으로 가트너(Gartner) 등에서 유저 프로비저닝(User Provisioning)이나 웹 접근 관리(Web Access Management) 분야의 선두 기업으로 인정 받았고, CA(Computer Associates), IBM 등과 경쟁중이다. 포레스터 그룹(Forrester Group)도 지난 2009년 4분기에 ‘경쟁사와 차별화된 시장 지배력’을 근거로 높게 평가한 바 있으며, 버튼 그룹(Burton Group) 역시 노벨(Novell)이나 CA의 제품보다 오라클의 제품이 상위에 있다고 평가하고 있다.

오라클의 3개 영역에 걸친 제품군은 글로벌 레퍼런스를 가지고 있다. 특히 제이피모건(J.P.Morgan)이 소매 금융 그룹을 인수하면서 3천만명에 이르는 사용자를 확보하게 되었는데, 각각의 사용자마다 미리 설정된 권한에 따라 송금 액수를 차별화하는 등 정책(Policy)에 따른 관리가 가능하게 되었다. 중국의 게임 업체인 샨다(Shanda)에는 1,100만명의 사용자에 대해 LDAP 서비스를 제공하고 있으며, 국내에서는 대한항공이나 현대기아자동차그룹, 포스코(POSCO), 카이스트(KAIST)가 오라클의 제품을 이용하고 있다.

▲ 오라클 아이덴티티 매니저의 개념도

오라클 아이덴티티 매니저(Oracle Identity Manager)는 계정을 생성, 삭제, 라이프사이클 관리 등을 제공하는 솔루션이다. 기업들이 관리하는 애플리케이션이 소수일 때에는 개별 관리가 가능했지만, ERP(Enterprise Resource Planning, 전사적자원관리), 그룹웨어 등으로 다양해짐에 따라 개별적인 관리가 불가능해졌다. 일례로 국내 한 이동통신사에서 운용하는 애플리케이션은 약 1천 개에 달하며, 이것을 관리자가 개별적으로 관리할 수 없는 상황이 된 것이다. 이를 해결하기 위해 아이덴티티 관리(Identity Administration)이 되었다.

아이덴티티 매니저의 특징은 J2EE(Java 2 Enterprise Edition)를 기반으로 오라클의 솔루션은 물론 BEA사의 웹로직(Weblogic) 등 타사의 솔루션 위에서 동작한다는 것이다. 또한 외부의 솔루션과 통신을 담당하는 에이전트(Agent)를 설치할 필요 없는 에이전트리스(Agentless) 방식으로 운영된다. 경쟁사의 동일 제품은 각 시스템당 에이전트를 설치할 필요가 있는데, 국내 대형 포탈이 운영하는 서버는 2천대에서 3천대에 달한다. 이런 상황에서 각각의 서버마다 에이전트를 설치하고 운영하는 것은 거의 불가능에 가깝다.

▲ 애플리케이션 간의 접속을 관리하는 '어댑터 팩토리'

에이전트를 현재 운영되는 시스템에 바로 설치할 수 없으므로, 서버를 내리고 점검하는 주기(반년)에 맞춰 에이전트를 설치해야 한다. 이 때문에 시스템을 구축하는 시간이 길어지며 운영이나 관리에도 문제가 생긴다. 또한 에이전트가 기존의 서버에서 동작하는 애플리케이션과 충돌하여 운영하지 못하는 경우가 발생한다.

이에 비해 오라클은 에이전트 대신 텔넷(Telnet)이나 SSH(Secure Shell Host) 프로토콜을 이용한 원격 관리를 수행하므로 TCO(Total Cost of Ownership, 총소유비용)이나 ROI(Return On Invest, 투자회수율)에서 강점을 가지고 있다. 사용자에 대한 정보는 원격 저장소(Repository)에 저장되며, 삭제, 변경시의 정보를 유지하게 된다.

SAP, 오라클 등의 외산 벤더는 표준화된 접속 방법이나 프로토콜을 제공하지만, 자체 개발된 애플리케이션들을 제공하지만, 사내에서 자체 개발된 애플리케이션들을 연동할 때는 문제가 된다. 이럴때 어댑터 팩토리(Adapter Factory)를 이용하면, 데이터의 스키마(Schema)만 알고 있으면 어댑터 팩토리가 해당 스키마 정보를 확인해 커넥션을 생성한다. 이를 통해 개발자가 없는 상황에서도 관리자 차원에서 유지 보수가 가능해진다.

▲ 오라클 아이덴티티 매니저의 동작 구성도

오라클 아이덴티티 매니저는 대상이 되는 시스템의 사용 가능 여부를 HR(Human Resources, 인사관리) 시스템에서 조회하게 된다. 정직원의 데이터가 HR에 존재하며, 단기에 걸친 사용이 필요한 경우나 협력사 직원의 데이터베이스는 다른 저장소에서 커넥터를 이용해 얻어온다. 이것을 리컨실레이션 엔진(Reconciliation Engine)을 이용해 디렉토리에 저장하고, 사용자 그룹으로 분리한다. 이를 이용해 접근 정책에 따라 계정을 발급, 생성, 변경하는 절차를 따르게 된다.

계정 관리의 목적은 다수 관리자가 하던 일을 하나로 통합해서 관리하자는 것이므로 대상 시스템에 임의로 계정을 만드는 경우는 이러한 취지를 벗어나게 된다. 이처럼 임의로 계정을 만드는 행위를 각 애플리케이션과 연동하여 모니터링하고, 임의로 발급된 계정에 대한 정보는 관리자에게 일괄적으로 통보된다. 관리자가 중앙에서 발급한 계정이 아닌 경우 이유를 물어 내부 정책상 맞으면 유지하고, 편의상 등 적법하지 않은 이유로 생성한 계정은 삭제하고 차단한다. 이처럼 양방향으로 계정 관리 정보를 저장하고 관리하는 것이 목적이다.

사용자들이 비밀번호를 잊어버리거나(분실), 새로운 사용자를 추가해야 하는 경우도 빈번히 발생한다. 이러한 요구에 대해 관리자들이 일일이 대응하다 보면 본연의 업무인 ‘관리’를 원활히 수행할 수 없다. 이를 막기 위해 셀프 서비스 인터페이스를 사용하여, 처리를 원하는 사용자가 스스로 새로운 계정을 요청해 발급 받거나, 비밀번호를 재설정하는 것이 가능하다. 이처럼 관리자의 업무 부하를 줄여서 ROI를 높이는 것이 오라클의 전략이다.

▲ 오라클 아이덴티티 매니저를 도입한 국내 고객사의 사례

오라클 아이덴티티 매니저를 도입한 국내 고객사의 사례가 소개되었다. 이 회사는 SAP의 솔루션을 도입해 사용하다가, 중앙 통제와 컴플라이언스(Compliance, 법규/규정 준수) 통제의 필요성을 느껴 오라클 제품을 추가로 도입하게 되었다. 2000년대 초반, 엔론(Enron)사의 분식회계 사건이 발생하면서, 어떤 회계 보고서에도 최고경영자(CEO)가 책임을 져야 한다는 강제화 된 법규가 통과된 바 있다. 이를 위해 계정 관리 솔루션이 도입된 것이다.

이 회사는 국내뿐만 아니라 국제적인 법인을 가지고 있었고, 글로벌한 계정/권한관리 자동화와 편의성 향상, 셀프서비스 관련 기능을 요구했다. 당시 썬(2009년 오라클에 합병)이나 IBM, CA의 제품과 벤치마크를 거쳐 최종적으로 오라클의 제품이 도입되었다. SAP 및 주요 업무 시스템으로 운용되는 가운데 10만 명에 대해 서비스를 제공하는 1차 프로젝트가 완료되었으며, 현재 2단계 프로젝트가 진행 중이다.

이 프로젝트가 완료되면 외국 법인의 직원을 포함해 총 사용자는 30만 명에 달하게 되며, 종료 시점은 2019년 10월로 예상된다. 특히 SAP 솔루션의 경우 라이선스 비용이 높아, 협의를 거쳐 실제로 필요한 라이선스의 절반 정도를 구입하는 경우가 많은데 이 과정에서 문제가 발생한다. 두 명이 한 계정을 사용하게 되므로 누가 어떤 작업을 실행했는지 확인이 불가능해지며, 문제 발생시 책임 추적이 어렵다. 이것을 계정 관리로 해결했다는 것이 오라클 측의 설명이다.

▲ 싱글 사인온을 관리하는 '오라클 액세스 매니저'

기존의 접근 제어(Access Control)은 각 사용자가 이용하는 애플리케이션마다 ID와 비밀번호를 달리 하는 방식으로 처리가 가능했다. 하지만 기업에서 운용하는 애플리케이션들이 기하급수적으로 늘어나고 업무환경이 웹으로 이동하면서, 한 번의 로그온으로 여러 시스템의 인증/인가를 처리할 수 있는 싱글 사인온 개념이 도입되었다. 이를 처리하는 제품이 오라클 액세스 매니저(Oracle Access Manager)로, 웹 환경에서 사용하는 업무 시스템에 대해 미리 설정된 정책(Policy)을 기반으로 싱글 사인온을 수행한다.

오라클 액세스 매니저는 인증/인가 및 환경 설정을 위해 LDAP를 사용한다. 이 중 ‘인증(Authorization)’이 단순히 사용자가 접속시 ID와 비밀번호가 맞으면 통과시키는 것이라면, ‘인가(Authentificaiton)’는 ID와 비밀번호로 접속한 사용자의 권한에 따라, 주어진 자원을 한정하여 사용하게 하는 것으로 엄연히 다른 개념이다. 이를테면 대리가 1단계부터 사용할 수 있다면, 임원은 1단계부터 10단계까지 모두 사용할 수 있게 하는 식이다.

▲ 자체적인 클러스터링으로 높은 가용성을 구현한다.

싱글 사인온을 구현하기 위해서는 사용자가 ID/비밀번호를 입력한 후 접속할 때 빠른 응답 속도(Response)가 필요하다. 특히 우리나라 정서에서, 접속 시도 뒤 5분이 지나 접속에 성공한다면 사용자에게는 아무런 소용이 없다. 이처럼 인증/인가 정보에 빠르게 접근하기 위해 LDAP를 사용하게 되며, LDAP는 사용자 정보가 저장된 저장소에 접근해 신속한 응답을 제공한다. 이러한 싱글 사인온의 특성 때문에 LDAP가 주목 받게 되었다.

싱글 사인온을 도입하면 사용자들이 백엔드(Back-end)에 구축된 시스템에 직접 접속하던 단계에서 벗어나 웹 상에서 접속하게 된다. 이 웹 상의 인터페이스에 접속하면, 접속한 사용자가 적법한 사용자인지 조회하게 된다. 이 조회는 액세스 서버에서 LDAP 서버로 전달되며, 적법한 사용자라면 시스템의 정책에 따라 어떤 기능을 사용 가능한지 응답한다. 이처럼 3개 단계를 거치므로 싱글 사인온에서는 성능 문제가 부각된다.

또, 웹 인터페이스를 제공하는 프론트엔드(Front-End)가 다운되면 뒤에 위치한 애플리케이션에도 접속할 수 없다는 리스크가 존재한다. 오라클에서는 이런 문제를 해결하기 위해 하나의 서버가 다운되어도 다른 서버가 서비스를 제공하도록 클러스터링(Clustering) 방식을 이용한다. 이 클러스터링은 별도의 하드웨어나 소프트웨어 추가 설치가 없어도 가능하다.

▲ 사용자의 행동 패턴을 바탕으로 적법성을 판단하는 '어댑티브 액세스 매니저'

인터넷 피싱(Phishing)이나 키로거(Keylogger)등을 이용한 정보 유출이 빈번해지면서 이를 사전에 차단할 수 있는 솔루션이 요구되고 있다. 오라클의 어댑티브 액세스 매니저(Adaptive Access Manager)는 해당 사용자의 사칭을 막기 위해 사용자의 평소 사용 패턴과 자주 사용하는 서비스 등을 이용한 정책을 구성한다. 이 정책에 따라 컴퓨팅 자원의 접근을 제어한다.

ID와 비밀번호가 정확하고 OTP(One Time Password)가 일치하면 이를 적법한 사용자로 인식하는 경우가 대부분이며, 이는 사용자 사칭을 근본적으로 차단할 수 없다. 만약 피싱이나 키로거로 인해 신원을 증명할 수 있는 정보(Credential)이 유출되었다 해도, 해당 계정을 통해 100만원을 송금하든 1억원을 송금하든 그대로 처리하는 경우가 발생한다.

반면, 어댑티브 액세스 매니저는 사용자의 기존 행동 범위를 파악한다. 이를테면 주로 한국에서 사용하던 사용자가 갑자기 중국 등 다른 지역에서 접속하는 경우 50점을 부여하고, 금액에도 50점을 부여하는 식이다. 이렇게 부여된 점수를 합해서 일정 기준이 넘어가면, 해당 시스템은 송금을 차단하거나, 미리 사용자가 입력해 놓은 특정 질문에 대한 답을 요구해서 과연 그 사용자가 맞는지 확인한다.

▲ 액티브X 없이도 구현 가능한 가상 입력 장치

우리나라의 금융권이나 보험, 게임 등 본인 확인 등의 수단이 필요한 웹 사이트에서는 거의 대부분 액티브X(ActiveX)로 구현된 보안 프로그램을 사용한다. PC를 포맷한 후 인터넷 뱅킹을 시도하려고 하면 기본으로 2~3개의 보안 프로그램이 설치된다. 속칭 ‘키보드 보안 프로그램’이라 불리는 프로그램들은 사용자의 키보드 입력값을 윈도우에서 제공하는 API(Application Programming Interface)를 이용해 드라이버 단에서 빼돌리는(Hooking) 방식으로 구현되어 있다.

하지만 MS는 이미 수 년 전부터 이미 액티브X를 사용하지 말 것을 권고해 왔으며, 실제로 액티브X는 보안상 문제를 야기한다. 보안 프로그램끼리 충돌해서 PC가 다운되는 경우도 발생한다. 또 액티브X를 이용하는 보안 프로그램은 마이크로소프트 윈도우(Windows)의 32비트 버전에 인터넷 익스플로러(Internet Explorer)에서만 동작한다. 때문에 윈도우 환경이라 하더라도 모질라 파이어폭스(Mozilla Firefox)나 사파리(Safari), 오페라(Opera) 등 다른 웹 브라우저를 사용하면 이들 프로그램을 사용할 수 없다. 다른 OS의 경우도 마찬가지다.

이를 해결할 수 있는 수단이 가상 인증 장치(Virtual Authentification Device)이다. ‘키보드 보안 프로그램’이라 하더라도 키보드를 눌러 ID와 비밀번호를 입력하는 순간 키로거를 통해 유출될 가능성이 존재한다. 하지만 이 제품은 브라우저에서 패드에 그래픽으로 나타난 숫자와 문자, 특수기호를 마우스로 눌러서 입력하는 방식을 취한다. 이렇게 입력된 결과값은 좌표점으로 전환된 다음 암호화를 거쳐 전송된다. 따라서 키로거가 동작하는 상황에서도 전혀 정보를 얻어낼 수 없다.

▲ 중앙에서 인가를 관리 가능한 ‘엔타이틀먼트 서버’

‘인증’과 ‘인가’는 엄연히 다른 개념이며, 만약 사용자가 특정 권한의 기능을 사용하고 싶어할 때 이를 확인하기 위해서는 정책 관리자에 이를 매번 조회해야 하므로 성능 저하가 필연적으로 발생한다. 정책 서버에 계속해서 권한을 조회해야 하므로 병목 현상이 발생하기 때문이다. 금융권이나 전업계 카드사들은 이런 병목 현상을 회피하기 위해 관련된 코드를 애플리케이션 로직상에 아예 묻어버려(Hard-Coded) 해결했다.

이런 방법은 병목 현상을 다소 감소 시킬 수 있지만 변경이나 수정이 어려워지는 문제를 야기한다. 권한 체계의 변경이 생겨서 이를 수정해야 할 경우 당시 코드를 쓴 개발자가 직접 변경해야 한다. 결국 권한 체계가 개발자에 의존하게 되므로 해당 개발자가 퇴사하는 경우 대응에 문제가 생긴다. 또한 각각의 애플리케이션마다 보안 정책이 따로 존재하므로 이를 일괄적으로 변경하는 데 많은 시간이 걸린다. 이러한 문제가 생기지 않도록 병목 현상을 감소시키며 인가를 수행하는 제품이 엔타이틀먼트 서버(Entitlement Server)이다.

이 제품은 실제로 사용자에게 보여지는 프레젠테이션 레이어(Presentation Layer)를 통해 모든 권한 정보를 한 곳에서 관리 가능하다. 이것이 어떻게 가능한가? 기존 제품은 정책 서버에 직접 쿼리를 요청하므로 네트워크 부하가 발생하며 하드웨어 성능이 제대로 발휘되지 못한다. 이러한 권한 정보를 미리 관리 서버에서 정의하고, 각각의 애플리케이션 서버에 배포하는 방식으로 우회한다. 정책 서버를 통하지 않고 로컬에 캐시(Cache)된 정보를 이용해 정책을 확인하므로 속도 개선이 일어난다. J.P.모건이 운용하는 3천만명 규모의 인증 체계 역시 이러한 방법으로 구현되었다.

▲ '엔타이틀먼트 서버'의 실제 국내 구현 사례

예전에는 일개 사원이 데이터베이스에서 SQL(Structured Query Language)문을 이용해 조회해면 모든 정보를 여과 없이 볼 수 있었지만, 엔타이틀먼트 서버를 사용하면 데이터베이스나 웹로직 포털 등 모든 분야에서 하나의 정책에 따라, 권한에 맞게 정해진 정보만 보여주게 하는 권한 관리가 가능해진다.

엔타이틀먼트 서버의 실제 국내 구현 사례도 함께 소개되었다. 이 회사는 전업계 카드사이며, 금융산업군에 속하므로 규제준수(컴플라이언스)가 필요했다. 이를 구현하기 위한 솔루션을 찾던 중 오라클의 솔루션을 접하고 IBM 및 국내사 등 3사의 제품으로 벤치마크를 수행하게 되었다. 하지만 국내사는 동종의 솔루션 구축에 실패했던 사례로 인하여 제외되고 최종적으로 오라클이 선정되었다.

위 화면에 보이는 것이 실제 구현된 통합업무시스템의 화면인데, 화면에 배열된 버튼을 눌러 업무 처리가 가능하다. 이 회사는 각각의 버튼에 연결된 기능을 사용자의 권한에 따라 제어하고 싶어했으나, 기존에는 불가능했다. 만 명의 사용자가 1만 개에 달하는 화면을 세밀하게 제어할 수 없었고, 몇몇 국산 솔루션들은 이를 뭉뚱그려 보여주는 것에 그쳤다. 하지만 엔타이틀먼트 서버를 적용해 해당하는 처리를 구현하는 것이 가능했다.

▲ '오라클 디렉토리 서비스 엔터프라이즈 에디션' 과거 썬의 제품이었다.

앞서 언급된 것처럼 신속한 응답을 통해 사용자의 접근 가/부를 결정해야 하는 특성상, 싱글 사인온이 등장하면서 LDAP 제품도 주목받게 되었다. 신속한 응답 못지 않게 가용성을 확보하기 위한 이중화가 필요하다. 기존의 LDAP 제품인 오라클 인터넷 디렉토리(Oracle Internet Directory)는 여러 대의 서버를 두고 RAC(Real Application Clusters)를 이용해 데이터베이스에 담긴 정보를 바탕으로 서버간 동기화를 실행한다.

오라클 디렉토리 서비스 엔터프라이즈 에디션(Oracle Directory Service Edition)은 기존의 썬이 가지고 있던 LDAP 서버 제품의 이름을 바꾼 것이다. 이 제품의 시장점유율은 약 40%를 차지하며, 그 다음으로는 마이크로소프트의 액티브 디렉토리(Active Directory)가 약 35%를 차지하고 있을 만큼 검증된 제품이다. 기존의 오라클 인터넷 디렉토리가 데이터베이스를 이용해 동기화를 수행했다면, 이 제품은 자체적으로 동기화를 수행하는 것이 특징이다.

이러한 LDAP 서버는 기업 내에 데이터베이스, 오라클 인터넷 디렉토리, 오라클 디렉토리 서비스 EE 등 다양한 형태로 구성될 수 있으며, 고객이 필요로 하는 저장소들이 존재하고 있다. 이를테면 집주소는 RDBMS(관계형 데이터베이스)에, 사용자 정보는 액티브 디렉토리에 저장되어 있는 식이다. 이렇게 정보를 분산해서 저장하면 유지보수가 힘들어지며, 통합한다고 해도 비용 측면에서 문제가 발생한다.

기존의 분산된 LDAP 서버들을 한 곳에서 관리할 수 있는 틈새 시장 공략용 솔루션이 오라클 가상 디렉토리(Oracle Virtual Directory)이다. 분산된 LDAP 서버를 프론트엔드에서 통합해서, 한 화면에서 관리가 가능해지는 것이다. 관리자는 오라클 가상 디렉토리에서 제공하는 화면에 접속해서 필요한 정보를 변경, 수정, 삭제 가능하며, 이 정보는 각각의 LDAP 서버에서 이루어진다. 이를 통해 효율적인 업무 수행이 가능해진다.

▲ 오라클 가상 디렉토리의 개념도

원문보기 댓글보기

파워링크 등록안내

첨부파일

1271335638_20100415_ora_t.JPG



		목록보기

알림 욕설, 상처 줄 수 있는 악플은 삼가주세요.
로그인 후 코멘트를 작성하실 수 있습니다.

짤방 사진		익명요구 다른의견