ACROFAN

클라우드에서 안전하게 구현되는 자산 성능관리 환경 ‘에코스트럭처 어셋 어드바이저’

기사입력 : 2020년 01월 09일 20시 00분
ACROFAN=권용만 | yongman.kwon@acrofan.com | SNS
모든 산업의 ‘디지털화’와 함께, 현실 세계와 디지털 세계를 연결하는 인터페이스 같은 의미의 존재로 ‘IoT’의 중요성이 부각되고 있다. 이 때 IoT 장비들이 특정 시설이나 장비, 주변 환경 등의 정보를 수집하고, 네트워크를 통해 데이터를 보내면, 원격지에서 이 정보를 받아 분석하고, 데이터에서 새로운 ‘정보’와 ‘가치’를 창출하는 것이 일반적인 가치 사슬의 모습이다. 특히 이러한 활용 모델에서, 대량의 데이터를 분석할 수 있는 ‘클라우드’와 효과적인 ‘고급 분석 기술’ 등을 결합해, 이상 증후의 가능성을 사전에 파악하고 미리 대응할 수 있는 ‘예측 정비’의 구현도 높은 관심을 받는 부분이다.

물론, 이러한 데이터 기반의 예측 통찰력을 위해서는 몇 가지 극복해야 할 ‘두려움’ 같은 것이 있다. 특히 최근 그 중요성이 강조되고 있는 ‘보안’ 측면에서, 민감할 수도 있는 운영 데이터를 회사 밖에 있는 ‘클라우드’로 보내는 것에 대한 막연한 두려움 측면을 종종 확인할 수도 있다. 또한 몇몇 산업군에서는 규제 측면에서 클라우드로 데이터를 보낼 수 없는 상황도 나온다. 하지만 현실적으로, 기업의 프라이빗 인프라의 보안 수준이 과연 퍼블릭 클라우드의 ‘검증된’ 보안 수준을 능가할 수 있을지의 고민과 함께, 단지 서버 쪽에서만 보안을 생각해야 하는지에 대한 질문 또한 필요한 상황이다.

슈나이더 일렉트릭의 ‘에코스트럭처 어셋 어드바이저(EcoStruxure Asset Advisor)는 IoT와 슈나이더 일렉트릭의 클라우드 기반 기술을 결합하여 전력 분배 및 주요 데이터 센터 자산에 대해 상황을 앞서는 접근을 할 수 있도록 돕는 서비스다. 클라우드 기반에서 실시간으로 데이터를 받고 분석해서 사고를 미리 예측하고, 문제가 발생하여 사고로 이어지기 전에 알려주며, 이를 통해 안전 사고를 경감시키고, 계획에 없던 가동 중단을 피하여 유지보수 비용을 줄일 수 있다. 그리고 중요한 자산의 운영 데이터를 활용하는 이 ‘어셋 어드바이저’(https://bit.ly/2rYE0xF)의 구축에 있어, 슈나이더 일렉트릭은 검증된 보안성을 갖춘 퍼블릭 클라우드 환경과, IoT에서 클라우드까지 연결되는 모든 단계에서 검증된 보안이 확보된 연결성을 제공해, 클라우드 기반에서 가장 안전하게 구현되는 자산 성능관리 환경 서비스를 제공한다.

▲ 클라우드의 힘으로 실행 가능한 통찰력을 제공하는 ‘에코스트럭처 어셋 어드바이저’ (자료제공: 슈나이더 일렉트릭)

슈나이더 일렉트릭의 ‘에코스트럭처(EcoStruxure)’ 플랫폼은 전반적인 생태계 안에서 고객, 파트너, 슈나이더 일렉트릭의 영역이 다양한 형태로 유연하게 조합되어 구성된다. 그리고 이 중 ‘에코스트럭처 어셋 어드바이저(EcoStruxure Asset Advisor)’는 슈나이더 일렉트릭이 고객이나 파트너에 제공할 수 있는 서비스의 핵심 요소로 꼽히며, 상시 모니터링과 데이터 기반의 분석을 통해 일어날 수 있는 문제에 대한 사전 대응을 가능하게 하고, 리포트 등을 통해 통찰력을 제공한다. 특히 ‘에코스트럭처’ 플랫폼은 고객이 이러한 서비스들을 슈나이더 일렉트릭에서 직접 받을지, 파트너를 통해 받을지까지도 선택할 수 있는, 구성과 운영에서의 유연성 측면도 갖추고 있다.

슈나이더 일렉트릭의 ‘에코스트럭처 어셋 어드바이저’(https://bit.ly/2rYE0xF)는 IoT와 슈나이더 일렉트릭의 ‘클라우드’ 기반 기술을 결합해, 전력 분배 및 주요 데이터 센터 자산에 대해 상황을 앞서는, 데이터 기반의 예측 접근을 할 수 있도록 지원해, 사고를 미리 예측하고, 문제가 발생하기 전에 가능성을 알려주는 기능을 제공한다. 이는 ‘어셋 어드바이저’가 IoT를 기반으로 연결된 주요 자산들로부터 실시간으로 데이터를 받아 클라우드 기반에서 분석, 평가함으로써 구현되며, 이를 통해 사전에 문제의 가능성을 파악해 적절한 시기에 예방 조치함으로써, 인프라 전반의 안정성을 높이고 다운타임을 계획된 수준으로 관리할 수 있게 한다.

이 ‘어셋 어드바이저’의 구현에서 핵심 요소로는 ‘IoT’와 ‘클라우드’, ‘데이터’를 꼽을 수 있을 것이다. 어셋 어드바이저는 기본적으로 클라우드 기반에서 구현되며, 이를 사용하기 위해서는 중요 자산들의 운영 정보가 네트워크를 타고 회사 담을 넘어 클라우드로 옮겨 가야 한다. 또한 이 서비스는 데이터 기반 예측 접근을 위해서, 서비스를 이용하는 개별 고객의 데이터 뿐 아니라 서비스를 활용하는 타 고객들의 데이터까지도 분석에 활용함으로써, 데이터 분석 결과에 대한 가치를 높이고 있기도 하다. 그리고 이 모든 요소를 연결함에 있어 무엇보다 중요한 점이 있다면, 인프라와 데이터, 그리고 이들의 연결 전반에 걸친 ‘보안’이 될 것이다.

클라우드 기반의 서비스는 여러 가지 장점을 갖췄다. 가장 큰 장점은 ‘빠른 도입’이 가능하다는 것이며, 사용한 만큼 지불하는 비용을 통한 유연성, 초기 인프라를 갖출 필요가 없어 초기 진입 장벽이 낮다는 점, 인프라 운영 등에 대한 부담을 최소화하고 핵심 역량에 집중할 수 있다는 점 등이 꼽힌다. 하지만 일반적으로 ‘클라우드’ 기반의 서비스라 하면 많은 기업 고객들이 ‘보안’ 측면에서 부담을 느끼는 모습이기도 한데, 대표적인 우려가 한 대의 물리 머신에 여러 가상 머신이 배치되는 환경에서 물리적인 분리가 되어 있지 않은 부분에 대한 불안이나, 데이터의 이동과 위치 자체에 대한 불안 등이 꼽힌다.

▲ 객관적으로 봤을 때, 클라우드 환경의 보안은 현재 기업이 선택 가능한 인프라 구성 중 가장 높은 수준이다 (자료제공: 마이크로소프트)

다양한 시장조사기관들의 조사 결과에 따르면, 클라우드를 기업의 서비스를 위한 인프라로 활용하는 데 있어, 클라우드의 도입 단계나 클라우드의 모델, 기업 규모에 상관없이 가장 중요한 고려 사항은 ‘보안’이 꼽힌다. 또한 2019년 기준, 94%의 기업이 어떤 형태로든 클라우드를 활용하고 있으며, 기업의 50% 정도가 이미 퍼블릭 클라우드에 매년 120만 달러 이상을 지출하고 있고, 클라우드 기반에서 ‘서버리스’ 모델 또한 빠르게 성장하고 있는 것으로 나타나고 있다. 즉, 이제 기업들의 클라우드 서비스 활용은 어떤 형태로든 더 이상 미룰 수 없는 ‘현실’이며, 어떻게 안전하게 사용할 수 있을지를 검토하는 것이 현재의 상황에 적합한 고민이라는 것이다.

많은 사람들이 클라우드의 활용을 고민하게 되는 이유인 ‘보안’에서도, 사실 클라우드를 통해 얻을 수 있는 가장 큰 장점으로 ‘보안성’이 꼽힐 정도다. 많은 사람들이 리소스 풀 형태로 자원이 공유, 활용되는 클라우드에 물리적 자원 분할이 없다는 데서 보안 측면의 문제를 제기하지만, 현재의 ‘멀티 태넌트’ 클라우드 환경은 기술적으로도 사용자간 영역을 논리적으로 완벽히 분리하고 있으며, 특히 사용자의 데이터가 어느 위치에 있는지 특정하지 않아 공격에 더욱 안전한 측면도 있다. 또한, 클라우드 환경의 보안은 플랫폼에 고도로 통합되어 정교하게 움직이며, 최신 기술과 인증 또한 가장 빠르게 적용되고 있다.

이제 클라우드 서비스는 높은 보안성이 필요한 정부나 공공, 금융 등의 산업군에서도 활용되고 있으며, 클라우드 서비스 사업자들은 다양한 산업군에서 요구하는 보안 수준이나 규정 준수를 위해, 전 세계 각국의 다양한 보안, 프라이버시 관련 규정들에 대한 주요 인증들을 취득하고 있기도 하다. 한 예로, 마이크로소프트의 애저(Azure)는 전 세계적으로 90개 이상의 관련 인증을 취득해, 이러한 인증이 요구되는 서비스의 구축과 운영을 즉각적으로 할 수 있도록 지원하고 있다. 그리고 이러한 클라우드 서비스 업체들의 보안에 대한 지속적인 노력을, 일반 기업들이 뛰어 넘기란 현실적으로 불가능에 가깝다.

▲ 보안이 검증된 솔루션 구성을 위해, 개발 라이프사이클 전반에서부터 보안을 중심으로 한다 (자료제공: 슈나이더 일렉트릭)

슈나이더 일렉트릭이 제시하는 디지털 솔루션들은 산업이나 전력, 데이터 센터 등 운영 정보와 인프라 관리의 보안성이 특히 강조되는 분야에 사용되는 만큼, 솔루션 구성 전반에서 검증된 보안성을 확보할 수 있는 기술적 구조와 정책을 갖추고 있다. 특히 슈나이더 일렉트릭은 자사의 디지털 솔루션 제안에 있어 철저한 확인과 검증을 거쳤고, 적절한 정책과 절차로 구성된다는 점을 강조한다. 또한, 슈나이더 일렉트릭의 디지털 솔루션 제안에서 인증 부분은 개발, 데이터 프라이버시, 보안 정책 등으로 구분되어 다루어지고 있다.

슈나이더 일렉트릭은 제품 개발에 있어 ‘디자인을 통한 보안(Secure by Design)’ 접근법을 활용하며, 제품의 보안 요구 사항 정의와 설계 단계에서부터 통합, 검증과 인증, 보안 결함 관리, 업데이트 관리, 가이드라인에 이르기까지 생애 주기 전반에 걸쳐 ‘보안 개발 라이프사이클’을 통해 보안성을 관리하고 있다. 이 ‘보안 개발 라이프사이클(SDL: Secure Development Lifecycle)’은 IEC 62443-4-1 표준에 기반하며, 슈나이더 일렉트릭은 이 프로세스에 대한 IEC 62443-4-1 표준 인증도 취득한 상태다. 또한 이 개발 프로세스는 슈나이더 일렉트릭의 모든 제품에서 보안성 구축에 대해 일관적인 접근법을 활용하도록 하고 있다.

보안 측면은 최근 EU의 GDPR 규정 등으로 더욱 까다로워진 ‘데이터 프라이버시’ 규제에 대한 준수 측면에서도 중요한 역할을 할 수 있다. 데이터 프라이버시에 대한 규제는 데이터를 모으고, 보호하고, 개인 식별 부분에 대한 처리를 다루는데, 이 중 가장 기본이 되는 것은 가지고 있는 데이터의 ‘보호’고, 이는 ‘보안’의 영역에 해당하기 때문이다. 슈나이더 일렉트릭 또한 이러한 규제 준수 측면에서 데이터 완전성과 프라이버시 관련 규제에 대한 최신 요구사항들을 만족시키고 있으며, 기업의 DPO(Data Protection Officer)가 직접 규제에 대한 통제권을 행사할 수도 있게 했다.

슈나이더 일렉트릭은 이러한 일련의 기술과 기준, 절차를 활용해, 현장의 IoT 디바이스 레벨에서부터 클라우드로의 연결, 클라우드 서비스 영역에 이르기까지 데이터가 움직이는 모든 과정에서의 보안성을 확보하기 위한 정책을 갖추고 있다. 이 중 엣지의 디바이스와 데이터 전송에 대한 영역에서는, 진위 확인과 시큐어 부트, 인증된 펌웨어와 패치 등으로 엔드포인트의 무결성을 확보하며, 엔드포인트와 클라우드간의 연결에도 표준 기술 기반의, 보안성이 확보된 방법을 사용한다. 또한 클라우드 기반의 ‘서비스’ 영역에서는, AWS나 마이크로소프트와의 파트너십을 기반으로 보안이 확보된 클라우드 환경에서, 올바른 정책 적용과 계정 관리 등의 운영에 역량을 집중하는 모습이다.

▲ ‘에코스트럭처 어셋 어드바이저’의 보안 관련 구성은 슈나이더 일렉트릭의 디지털 보안에 대한 접근법에 기반한다 (자료제공: 슈나이더 일렉트릭)

이러한 ‘에코스트럭처 어셋 어드바이저’의 전반적인 보안 관련 구성은 디바이스 수준, 사용자 관리와 접근 제어, 데이터와 코드의 분리, 모니터링과 로그, 돌발 상황 관리 등으로 나뉜다. 또한 전반적으로 보안이 확보된 구성을 위해서는, 디바이스의 신뢰성 확보와 네트워크의 망분리 구성 등을 통한 보안성 확보, 데이터의 전송에 있어서도 암호화 적용 등이 반드시 고려되어야 한다. 이와 함께, 모든 외부 공격이 집중될 네트워크 연결에서는 방화벽이나 IDS 등 최전방의 방어 수단을 고려해야 하며, 세밀한 모니터링은 용량 계획 이외에도 내부에서의 악의적 활동을 파악할 수 있는 방법이기도 하다.

슈나이더 일렉트릭은 ‘에코스트럭처 어셋 어드바이저’의 보안에 있어 ‘보안 개발 라이프사이클(SDL)’에서부터 에코스트럭처 IoT 아키텍처, 보안 운영에 이르기까지 모든 단계에 걸친 ‘엔드투엔드’ 접근법을 활용해, 모든 단계에서 ‘에코스트럭처 어셋 어드바이저’의 존재가 고객의 인프라에서 보안 위협으로 활용되지 않도록 하고 있다. 그리고 이러한 보안에 대한 접근의 시작은 제품이 아닌 ‘개발’ 단계에서부터인데, 슈나이더 일렉트릭의 ‘보안 개발 라이프사이클’은 IEC 62443-4-1 표준을 기반으로 하며, 기술 팀의 교육은 물론이고, 취약점에 대한 철저한 테스트와 코드 검증 등을 포함하고, 슈나이더 디지털의 정책 적용과 함께 슈나이더 일렉트릭의 모든 제품들과 일관성도 확보하고 있다.

데이터를 안전하게 수집, 전송하는 역할의 ‘에코스트럭처 IoT 아키텍처’는 ‘보안 개발 라이프사이클’ 개발 환경을 통해 만들어진 솔루션들을 안전하게 활용할 수 있는 물리적 인프라 환경을 제공한다. 이 아키텍처에서 구성되는 센서와 게이트웨이 등의 하드웨어는 모두 외부 변조의 위협에 대비해 ‘시큐어 부트’ 등 무결성을 보장할 수 있는 보안 기능들을 내장하고, 디바이스 외부와의 통신은 모두 암호화되어 진행되며, 시설 내, 외부간의 망분리와 통신 방향 제어로 외부 환경에서 내부로의 접근에 대한 여지도 없앴다. 또한 사용자와 디바이스의 활동 관련 권한은 IDMS를 통해 제어되고, 데이터 또한 접근 제어 목록(ACL)을 기반으로 격리되어 있다.

‘에코스트럭처 어셋 어드바이저’에, 고객의 인프라에서 수집된 데이터는 암호화되어 단방향 통신으로클라우드로 전송되고, 저장, 분석되며, 이 때 정보가 저장되는 클라우드에서의 보안도 중요한 부분 중 하나다. 슈나이더 일렉트릭은 마이크로소프트 애저를 기반으로 ‘에코스트럭처 어셋 어드바이저’를 제공하고 있으며, 이를 통해 전 세계 어디든 요구되는 보안과 데이터 프라이버시 관련 규제 준수를 만족시킬 수 있다. 이와 함께 슈나이더 일렉트릭은 서비스 운영에서도, 앱과 앱 접근에 대한 강력한 정책 기반 운영, 애플리케이션과 서비스에 대한 실시간 모니터링과 대응, 긴급 상황에 대한 대응 순서 마련 등으로 신뢰성 높고 안정적인 서비스를 제공한다.

▲ ‘에코스트럭처 어셋 어드바이저’는 각 구성 계층별 연결과 데이터 이동 경로 전반에서 철저한 보안성을 갖추고 있다 (자료제공: 슈나이더 일렉트릭)

‘에코스트럭처 어셋 어드바이저’의 인프라는 네트워크로 연결된 현장의 장비들, 슈나이더 일렉트릭이 제공하는 ‘어셋 어드바이저’(https://bit.ly/2rYE0xF)서비스들, 그리고 이 양쪽을 연결하는 엣지 레벨의 ‘게이트웨이’로 구성된다. 이 때, 장비들과 엣지 게이트웨이 간에는 폐쇄망을 활용하고, 게이트웨이와 클라우드 간에는 암호화된 VPN 등을 활용하며, 인프라 전반에서의 데이터 분리와 보호는 사용자 접근 제어 시스템을 기반으로 수행한다. 이러한 일련의 인프라 구성에서, 각 단계별 구성 요소들과 연결 방법 등은 IEC 62443 관련 인증 기준을 만족하고 있으며, 마이크로소프트 애저 기반의 서비스 플랫폼도 ISO, CSA Gold 인증을 취득한 상태다.

현장에 배치되는 장비들과 연결 환경은 인터넷에서의 진입이 불가능한 단방향의 폐쇄망을 기반으로 하며, 센서들과 컨센트레이터(Concentrator), Com’X 게이트웨이 간의 통신은 암호화가 기본이다. 또한 내부망 안에서 운영되는 디바이스들은 인증된 디바이스만이 인증된 펌웨어로만 구동될 수 있어, 외부 디바이스 혹은 펌웨어 변조로 인한 공격의 가능성을 차단한다. 그리고 게이트웨이 수준에서는 암호화된 연결을 사용한 원격 접근이 가능하지만, 이 또한 시설 내부의 네트워크에서만 접근할 수 있다. 그리고 ‘에코스트럭처 어셋 어드바이저’에서 전반적인 데이터 이동은 ‘단방향’으로 정의되어, 외부 침입의 여지를 없애는 것도 특징이다.

게이트웨이로 모인 내부망 안의 데이터나, PME(Power Monitoring Expert) 데이터들은 외부망으로 나가기 전에, 안전한 전송을 위한 또 하나의 게이트웨이를 거친다. 이 때 외부망에 직접 연결되는 게이트웨이의 데이터 전송은 외부로의 단방향이며, Com’X 게이트웨이의 데이터는 443포트로, PME는 22포트의 SFTP를 사용해, 암호화된 형태로 전송된다. 이렇게 전송된 데이터는 높은 보안 규제 수준을 준수하는 클라우드에서 수신되어 사용자에게 웹을 기반으로 필요한 정보를 제공하며, 이 때 슈나이더 일렉트릭은 서비스에서의 사용자별 권한 등의 관리, 사용자와 데이터에 대한 보안 규제 준수, 모든 활동에 대한 이력 추적과 이상 상황에 대한 대응책 마련 등을 제공한다.

▲ IT 환경에서의 ‘에코스트럭처 어셋 어드바이저’는, 기본 형태는 동일하지만 적용 방법에 약간의 차이가 있다 (자료제공: 슈나이더 일렉트릭)

데이터센터를 위한 ‘에코스트럭처 IT’에서 ‘어셋 어드바이저’는, 근본적인 적용 방법에서는 큰 차이는 없지만, 네트워크나 게이트웨이 등 구성 요소들이 좀 더 ‘IT 적’이라는 점에서 차이가 있다. 또한 ‘에코스트럭처 IT’는 전체 서비스가 클라우드 기반으로도 제공되는 만큼, 전체 서비스에 ‘어셋 어드바이저’가 긴밀히 결합될 수 있는 구성이기도 하다. ‘에코스트럭처 IT’는 고객의 인프라 운영 관련 데이터를 게이트웨이를 통해 수집하고, 필요한 데이터를 보안이 확보된 방법으로 클라우드로 보내면, 클라우드의 데이터 레이크를 기반으로 ‘에코스트럭처 IT’가 다양한 분석 서비스를 제공하고, 데이터센터 관리자 등 사용자는 적합한 계정을 통해 서비스에 접근, 서비스를 활용할 수 있도록 구성되어 있다.

슈나이더 일렉트릭은 ‘에코스트럭처 IT’ 의 구성 요소 개발에서, 개발 단계에서부터 보안 측면의 검증등을 강조하고 있으며, 서드파티 보안 도구들을 통한 취약점 검증이나 지속적인 소스코드 변경 추적과 분석, 화이트 해커를 통한 침입 테스트 등을 통해, 애플리케이션의 취약점을 최소화하고 보안성을 확보하고 있다. 또한 제품의 보안 관련 기능으로는 다중 인증이나 패스워드 정책을 통한 안전한 인증 지원, 안전한 인증 저장소 지원 등을 갖추고, 게이트웨이는 외부로의 연결에 2048bit RSA 인증서와 256bit AES 암호화를 사용해 전송되는 데이터를 보호한다. 또한 게이트웨이는 독립적인 개별 인증과 프라이빗 키를 가지고, 자동 업데이트로 관리된다.

‘에코스트럭처 IT’ 서비스는 미국에 위치한 마이크로소프트의 애저 클라우드에서 서비스되며, EU-US 프라이버시 실드(Privacy Shield) 인증을 받았다. 또한 애저 클라우드는 상시 트래픽 모니터링과 함께 일상적인 네트워크 수준 공격에 실시간 대응하고 있으며, 외부 공격자의 서비스 침입 가능성에 대해 지속적인 확인과 검증, 잠재적 취약점에 대한 대응을 진행하고 있다. 또한 데이터 프라이버시 측면에서도 GDPR 규정을 준수하고 있으며, ‘에코스트럭처 IT’는 기본적으로 ‘머신 데이터’만 수집하고 있고, 에코스트럭처 IT가 고객의 서버에 있는 데이터로 접근할 수 있는 연결 방법은 전혀 없다.

한편, 클라우드 기반의 ‘에코스트럭처 IT’의 특징으로는, 현재 고객의 데이터를 타 고객들의 데이터와 비교 분석해 통찰력을 제공하는 부분이 있다. 하지만 이 때 고객간의 데이터는 모두 태넌트(Tenant) 단위로 구분되어 있고, 사용자들은 타 사용자의 데이터로 직접 접근할 수 있는 방법이 없으며, 분석에 활용되는 타 사용자의 데이터는 모두 익명 처리된 형태다. 또한 윈도우나 리눅스 환경에서 소프트웨어 기반으로 구축되는 에코스트럭처 IT의 게이트웨이는 보안성 확보를 위해 외부로 나가는 방향으로만 통신이 허용되는데, 이에 업데이트 등의 액션은 외부에서 게이트웨이로 직접 연결하는 게 아닌, 메일박스 API를 사용한 메시지 전달로 수행하고 있는 것도 독특한 부분이다.

Copyright ⓒ Acrofan All Right Reserved



[명칭] 아크로팬   [제호] 아크로팬(ACROFAN)    [발행인] 유재용    [편집인] 유재용    [청소년보호책임자] 권용만
Copyright © ACROFAN All Right Reserved