[Lessons Learned] 망연계 솔루션

망연계 솔루션을 도입할 때에 고려할만한 내용입니다.

현 시점에서 1년 이상 지난 내용라 CC인증 등 정책적인 부분은 변경이 됐을 가능성이 있고, 제품도 분명 다양한 구축사례를 겪으면서 개선이 됐을 것으로 예상합니다. 그리고 솔루션 별로 기능요구사항을 만족하기 위한 기술적인 구현방법들이 모두 다를테니 참고하면서 보시면 좋겠네요

○ 경험한 상황

- 망연계 솔루션의 기술적 제약으로 예상했던 역할을 모두 수용하지는 못함.

- 망연계 솔루션의 특성상 패킷 전달지연이 필연적이라는 점과 ICMP 프로토콜 연동이 불가능한 점 등을 고려할 때 적절한 망관리 업무 수행이 불가능함. 망관리에 필요한 SNMP, ICMP, SYSLOG, TELNET, SSH, TMS 및 ESM 프로토콜 트래픽에 대해서만 발신자와 착신자 IP 주소를 명시적으로 지정하여 별도로 처리하는 등의 방법 고려

○ 문제점과 원인

- 프로젝트 중에 CC인증이 진행되면서 제약사항이 추가로 발생함

- 트래픽 연계를 위해서는 사용하는 DNS서버의 엔트리 변경이 필요함. 연계하려는 도메인의 아이피를 연계서버의 아이피로 설정해야 함

- 망연계 솔루션의 역할은 각 영역 간의 파일 이동하는 프로그램의 제공과 분리된 트래픽을 연계하는 것으로 구분 해야 함

- 트래픽 연계 기능에 대해서 서버의 경우 연계를 허용하나 단말에서 시작하는 타 영역의 트래픽 연동을 못함. 이유는 CC인증 시 허용하지 않았다는 것이나 많은 트래픽을 연계를 통하여 처리하는 경우 발생하는 트래픽 처리에 대한 부담이나 가용성에 대한 부담이 더 커서 꺼리는 것으로 보임

- 금융결제 트래픽의 경우 IP가 가변적이라 처리하기가 어렵다고 함

- TCP 프로토콜의 트래픽 만 연계 가능함 (UDP도 기술적으로는 가능하나 패킷유실 등을 처리하기 곤란한 것으로 보임)

- CC인증에서의 요구로 특정 확장자만 이동이 허용되도록 구현되어 있음. 새로운 확장자나 파일형식의 경우 수동으로 분석하여 적용을 해주어야 이동이 가능하여 관리적인 불편함이 있음

- 파일이동 시 결재자의 결재 기능이 있으나, 관리상의 이슈가 있어서 실제로 사용되기는 어려움. 명시적으로 결재를 하는 경우 결재자나 결재자부재 시 대무자를 자동으로 지정하는 방법도 어렵고, 업무가 늘어나기 때문에 실제로는 사용하기 어려움

○ 차기 개선방안

- 망연계 시스템의 고도화가 필요하며, 아래의 기능들이 지원되는지를 제안 시에 파악

- 현재의 망연계 시스템이 좀 더 다양한 서비스에 대한 연동 기능을 구현하기 위해서는 무엇보다도 망연계 서버가 transparent proxy 기능을 갖추어야 함. 즉, 망연계 서버의 IP주소를 목적지 주소로 하는 패킷 뿐만 아니라 링크 상에 흐르는 모든 패킷을 연계할 수 있는 기능을 뜻함. 이와 같은 기능을 구현하기 위해서는 고난이도의 MAC spoofing 기술 및 IP spoofing 기술이 적용되어야 함