오라클 백서 2010년 9월 Siebel CRM을 위해 최적화된 오라클 솔루션 Oracle SPARC Enterprise T-Series 기반의 Secured Siebel CRM을 위한 비즈니스 사례
개요...1 암호화가 필요한 보안 표준 소개...3 PCI-DSS(Payment Card Industry Data Security Standard):...3 1996년 HIPAA(Health Insurance Portability Act)...3 SOX(Sarbanes-Oxley Act):...3 Secured Siebel CRM을 최적화하기 위한 보완 기술...4 암호화 워크로드 성능을 향상시키기 위한 옵션...5 T-Series에 암호화 가속화 기능 통합...7 지원 기술...9 결론...9
개요 CRM(Customer Relationship Management)은 엔터프라이즈에서 빠르게 그 중요성을 인정 받은 애플리케이션으로서 IT 담당자들 사이에 널리 알려져 있습니다. 초기, CRM 애플리케이션은 단순하면서도 손쉽게 비즈니스 효율성을 향상시킬 수 있는 툴로 인식되었습니다. 하지만, CRM 시스템이 운영적인 측면에서 다양한 이점이 있음이 입증됨에 따라 IT 조직들도 점차 이를 활용하게 되었습니다. 마침내 대규모 신규 프로젝트를 지원하기 위해 대용량의 데이터를 CRM 시스템으로 이전하기에 이르렀습니다. 그러다 문득, 이 모든 데이터에는 독점 정보나 민감한 정보가 대거 포함되어 있다는 사실을 깨닫게 될 것입니다. 따라서, 보안성을 고려해 CRM 시스템을 적절하게 구성하지 않으면, 법적 책임을 물어야 할 수도 있습니다. CRM은 IT 조직의 가망 고객, 고객 및 전략적 파트너를 하나로 연계하는 장점이 있지만, 데이터 프라이버시, 데이터 도용, 계약 조건, 법적 의무인 표준 준수 등의 문제를 충분히 고려해야 합니다. 안타까운 것은 모든 엔터프라이즈 소프트웨어를 안전하게 보호되도록 구성하는 것을 불편하거나 불필요하거나 관리 업무에 방해가 되는 일로 생각한다는 사실입니다. 대부분 IT 관리자들은 보안 조치를 취하는 것을 위험을 완화하기보다는 위험을 야기하는 것이라고 생각하고 있습니다. 실제로, 보안책(특히 암호화)을 구현하면 관리 부담이 가중되고 고가의 추가 하드웨어가 필요하며 신속한 구축에 방해가 되고 하드웨어 용량이 크게 줄어들 수 있습니다. 하지만, Oracle Sun SPARC Enterprise T-Series 서버를 기반으로 Siebel CRM을 구축하면 이 모든 문제를 대부분 해결할 수 있습니다. T-Series 서버에는 최고 CPU 속도로 암호화를 수행할 수 있게 최적화된 특수 연산 장치가 포함되어 있기 때문에 성능을 걱정하거나 더 많은 장비를 추가할 필요가 없습니다. 1
이와 같은 고유의 하드웨어 기능이 Solaris에 통합되어 있기 때문에 관리자 업무에 대한 전문적인 지식 없이도 어려움 없이 안전한 구성에서 서버를 가동하고 지속적으로 운영할 수 있습니다. 본 백서에는 안전한 CRM 애플리케이션의 토대가 될 T-Series 서버를 구축함으로써 위험을 줄이고 TCO를 낮게 유지할 수 있는 방법이 설명되어 있습니다. 이 문서는 기술 매뉴얼이 아닙니다. Siebel CRM을 보호하기 위한 기술 지침 및 정보는 설치 및 관리 가이드를 참조하십시오. 2
암호화가 필요한 보안 표준 소개 세계적으로 수많은 보안 표준과 정책들이 산재하고 있습니다. 시 단위의 정부 기관부터 지방 정부 및 지역 행정 기관에 이르기까지 이러한 표준이 마련되어 있습니다. 뿐만 아니라, 기업과 NGO(Non-Governmental Organization)들도 자신의 요구에 맞게 맞춤화된 보안 표준을 준수하고 있습니다. 하지만, 널리 알려진 범용 표준들에게 부분적으로 발췌해 만든 임기응변식 IT 보안 표준들도 많이 파생되고 있습니다. 엔터프라이즈 속성에 따라 기업에 몇 가지 보안 요구사항이 적용될 수 있습니다. 아래에는 가장 일반적인 몇 가지 예입니다. PCI-DSS(Payment Card Industry Data Security Standard): 주요 결제 카드를 승인하고 신용 카드 정보를 처리하는 담당자에게 적용되는 표준입니다. PCI에서 가장 논란이 많고 주목할 만한 규칙은 규칙 디스크나 테이프에 상주하는 데이터와 관련된 것입니다. PCI-DSS 표준에 명시되어 있는 요구사항 중 가장 간과되고 있는 것 중 하나는 서버 애플리케이션을 관리하기 위한 원격 관리 콘솔에서 암호화를 사용해야 한다는 조항입니다. 이러한 암호화 설정은 사소하게 보일 수 있지만, 관리 콘솔이 동적이거나 그래픽 중심적인 경우에는 엄청난 암호화 워크로드를 부과함으로써 서버 성능을 빠르게 "저하"시킬 수 있습니다. PCI-DSS를 준수하려면 일반적으로 최소 128비트의 암호화(SSL)가 필요하며, 일부 규제 준수 담당자들은 PCI 준수 256비트 암호화를 권장하기도 합니다. 어쨌든, 새롭게 개정된 모든 표준들에서는 256비트가 요구사항으로 명시될 것입니다. 이 규제를 준수하지 않으면 막대한 과징금을 물게 될 수 있으며, 무엇보다도 신용 카드 결제가 지연되어 비즈니스 중단이나 재정적 손실이 야기될 수 있습니다. 1996년 HIPAA(Health Insurance Portability Act) HIPAA 표준은 환자의 개인 의료 기록을 포함하고 있는 정보 시스템을 불법 액세스로부터 보호하기 위한 것입니다. 1996년 미국에서 채택된 이후로 환자 기록에 대한 적절한 처리를 요구하는 HIPAA의 특정 규정들이 널리 채택되어 왔습니다. 특히, HIPAA는 오픈 네트워크 상에서 이동하는 모든 데이터에 대해 암호화를 요구하고 있습니다. HIPAA 규제를 준수하기 위해서는 네트워크 상에서 민감한 문서 및 데이터를 전송할 때 128비트 암호화를 수행해야 합니다. 이 규제를 준수하지 않으면 징역형에 처하거나 연간 최대 25,000달러의 과징금이 부과될 수 있습니다. SOX(Sarbanes-Oxley Act): SOX는 미국의 모든 상장 기업들이 금융 정보의 보안 유지를 위해 특정 지침을 따르도록 요구하는 법적 요건입니다. SOX는 잘 알려진 ISO/IEC 27002 정보 보안 표준을 규제 준수를 위한 모범 사례로 명시하고 있습니다. ISO 27002 표준은 데이터 보호를 위해 암호화를 폭넓게 사용할 것을 권장하고 있습니다. 암호화 요구사항은 128비트로 설정되어 있지만 256비트가 권장됩니다. 3
이 규제를 준수하지 않으면 기업 중역들에게 막대한 과징금과 징역형이 부과될 수 있습니다. Secured Siebel CRM을 최적화하기 위한 보완 기술 Siebel CRM 8 워크로드를 위한 오라클 솔루션은 Oracle Sun SPARC Enterprise T-series 서버, Oracle Solaris 10 운영체제 및 Oracle Sun Storage 기술 등을 기반으로 긴밀하게 통합된, 업계에서 가장 성능이 뛰어나고 비용 효과적인 솔루션입니다(그림 1 참조). 그림 1. 성능 및 TCO 절감을 위해 최적화된 T-Series를 위한 Siebel CRM 통합 아키텍처 솔루션의 중심에는 Oracle Solaris Containers나 Oracle VM Server for SPARC (이전 Logical Domains)와 같이 가상화 기술이 내장되어 있기 때문에 비용 추가 없이 구축의 유연성과 업계 최고의 운영 효율성을 실현할 수 있습니다. 가상화 기술과 보안성 두 가지 가상화 기술 중 하나, 또는 둘 모두를 사용할 수 있기 때문에 각 계층의 Siebel CRM 8 서비스는 다른 계층의 서비스 실행을 방해하지 않고 분리된 상태에서 실행될 수 있습니다. 필요에 따라 각 계층에 시스템 리소스를 할당/재할당할 수도 있습니다. 보안 구성을 수행하면 통합 Siebel CRM 아키텍처에서 추가 비용 없이 가상화 기술을 사용할 수 있다는 것 외에도 큰 이점이 있습니다. 오라클의 엔터프라이즈 가상화 기술이 전반적인 설계에 이상적인 이유로 크게 기반 하드웨어 및 Solaris OS에 대한 호환성과 긴밀한 관계를 들 수 있습니다. 두 가상화 기술 모두 가상화된 시스템에서 성능 저하가 거의 없습니다. 또한, VM(Virtual Machine)이 하드웨어 지원 암호화 기능에 액세스해서 거의 자체 속도로 워크로드를 실행할 수 있도록 직접 지원하고 있습니다. 4
일반적으로, 가상화는 VM이 CPU의 특별 기능을 직접 접근하지 못하도록 합니다. VM이 암호화 워크로드를 가속화하거나 특수 코프로세서에 워크로드를 분산하도록 하는 접근 방식을 채택하면 하드웨어, OS, 하이퍼바이저 또는 VM 레벨에서 성능, 확장성 및 기능의 저하 또는 완전한 부재의 문제를 해결할 수 있습니다. 예를 들어, 사용자는 x86 서버에 특수한 카드를 추가해 암호화의 부담을 줄이려 할 수 있지만 하이퍼바이저는 이를 인식해 VM에 지원하지는 않을 것입니다. 아니면, 엔터프라이즈 레벨 서버에 맞게 비슷한 유형의 카드를 새로 장착해 작동시킬 수는 있지만 단일 VM에 전체를 할당해야 하기 때문에 상당량의 컴퓨팅 리소스가 낭비됩니다. 어떤 경우든, 특수한 하드웨어 기능을 완벽하게 이해하고 활용할 수 있는 가상화 기능을 구축하는 것이 가장 좋은 기술적 해결책입니다. Sun T-Series 서버에서는 암호화 프로세서가 서버의 CPU에 내장되어 있으며 처음부터 Solaris에서 작동하고 모든 가상화 기능이 운영체제에서 지원되도록 설계되었습니다. "가상화 인식"과 내부 CPU의 최고 "유선 속도"에서 실행을 통해 뛰어난 성능을 지원할 수 있기 때문에 순수한 소프트웨어 레이어 암호화 시스템을 능가하는 독보적인 이점이라 할 수 있습니다. Oracle Solaris Containers. 컨테이너는 추가 비용 없이 Oracle Solaris라는 단일 인스턴스 내에서 애플리케이션 서비스를 분리할 수 있는 가상화 메커니즘으로, 이를 위해 커널 레벨에서 각 컨테이너가 분리되어 있습니다. Oracle Solaris Containers는 한 컨테이너에서 발생한 문제가 다른 컨테이너에서 실행 중인 애플리케이션/서비스 인스턴스에 영향을 미치지 않도록 설계되었습니다. 컨테이너는 OS 레벨의 가상화이기 때문에 기본적으로 하드웨어와 OS를 인식하고 있으며 기반이 되는 Solaris OS가 지원하는 모든 기능과 완벽하게 호환이 가능합니다. 뿐만 아니라, VM에서 성능 저하가 거의 없으며 매우 신속하게 설치 및 설정할 수 있습니다. Oracle VM Server for SPARC. SPARC T3 같은 Sun CMT 프로세서에서 기본적으로 제공되는 이 기술은 추가 비용 없이 분리된 도메인을 사용해 여러 계층을 손쉽게 통합할 수 있도록 해줍니다. 각각의 도메인은 완벽하게 독립된 Oracle Solaris 복사본을 실행하기 때문에 추가 OS 복사본에 대한 라이센싱 비용이 들지 않습니다. Oracle VM for SPARC는 하드웨어 리소스를 추상화함으로써 VM을 완벽하게 캡슐화할 수 있도록 설계된 하이퍼바이저 유형의 가상화 기술입니다. 이 접근 방식은 고도로 세분화된 리소스 할당과 기타 고급 기능들을 지원합니다. 일종의 서버 스토리지에서 설치/장착해야 하는 여타 많은 하이퍼바이저들과 달리, Oracle VM Server for SPARC는 플랫폼의 펌웨어에 내장되어 있기 때문에 기능적 환경을 최적화할 수 있습니다. 암호화 워크로드 성능을 향상시키기 위한 옵션 액셀러레이터 또는 오프로드 PCI 카드 암호화 카드는 널리 사용되고 있고 IT 업계에서 인기가 높은 편이지만, 기술적으로 치명적인 단점이 있습니다. 5
시스템 내 위치로 인해 성능 저하가 불가피하다는 것이 가장 큰 단점입니다. 카드는 버스에 상주하기 때문에 CPU에 비해 속도가 느리고 직접 배치하기가 어려울 수 밖에 없습니다. 카드는 자체적으로 많은 양의 암호화 작업을 처리할 수 있지만, 여전히 버스를 통해 데이터를 이동시켜야 한다는 약점이 있습니다. 여러 개의 카드 사용으로 워크로드가 몰리면 이러한 버스 트래픽이 전체 시스템 성능에 부담을 줄 수 밖에 없으며, 여러 개의 카드를 최고 속도로 실행시키면서 불필요한 전력 소비가 증가하지만 완벽한 성능은 발휘하지 못하는 결과가 발생합니다. 또한, 시스템에 카드를 추가하면 복잡성이 증가하고 결국 이것이 위험 요인이 될 수 있음을 반드시 고려해야 합니다. 이러한 문제들은 확실히 카드를 사용한 구축을 어렵게 만들고 있기는 하지만, 가장 큰 문제는 바로 성능입니다. 무엇보다도 Siebel CRM 아키텍트는 하이퍼바이저 유형의 가상화를 사용하도록 설계된 경우, 카드 옵션을 쉽게 무시할 수 있습니다. x86 플랫폼에서 주로 사용되는 하이퍼바이저는 이러한 추가 장치와 호환되지 않으며, PCI 버스 상에서 가상화된 암호화 유형의 워크로드를 실행하는 것은 좋은 방법이 아닙니다. 다른 엔터프라이즈 플랫폼의 경우, 카드는 하이퍼바이저에서 제대로 작동하더라도 이를 분할 및 할당할 수 없습니다. 기본적으로 1개의 VM에 1개의 카드를 할당함으로써 지원되는 카드 슬롯의 수에 맞춰 암호화 기능을 사용하는 VM의 수를 제한해야 하기 때문에 시스템의 다른 곳에서 실행 중인 OS의 다른 인스턴스로 인해 급박하거나 예상치 못한 암호화 요구가 발생했을 때 이에 기민하게 대처할 수 없습니다. NLB(Network Load Balancers)/SSL Accelerator 네트워크 어플라이언스 많은 데이터센터들이 리던던시를 강화하고 용량을 늘리기 위해 NLB를 사용해 서버 풀에서 작업을 분배하고 있습니다. 하지만, NLB의 다수는 암호화 오프로드 엔진 역할을 해야 하는 이중의 부담을 안고 있습니다. NLB는 네트워크를 통해 들어오는 암호화된 데이터를 가로채서 데이터를 복호화하고 이를 "암호화 되지 않은 상태"인 애플리케이션 서버에 전달하는 역할을 합니다. 반대로 나가는 데이터를 암호화하기도 합니다. 일부 어플라이언스들은 NLB 기능을 모두 없애고 암호화 오프로드 엔진으로만 작동하기도 합니다. 원칙적으로 이들 어플라이언스는 애플리케이션 서버에 대한 로드를 줄이기 위해 개발된 프리프로세서일 뿐입니다. 암호화 워크로드를 처리하기 위해 네트워크 어플라이언스를 사용하는 방법은 손쉽기는 하지만 모든 프로젝트에서 추가 공간이 크게 필요하고, 결국은 전력, 냉각 및 전문적 관리에 대한 요구가 증가하면서 서버 통합의 이점이 반감됩니다. CPU 상의 암호화 유닛 초창기부터 SPARC T-Series CPU는 암호화 워크로드 컴퓨팅에 가장 적합한 특별한 산술 유닛을 포함하고 있었습니다. 그렇다고 SPARC T-Series가 칩에서 특수한 암호화 기능을 제공하는 유일한 제품이라는 뜻은 아닙니다. X86 칩 제조업체들은 SPARC의 이점에 주목해 왔으며 CPU에서 향상된 암호화 기술을 구축하기 시작했습니다. 6
하지만, 엔터프라이즈 서버 하이퍼바이저 소프트웨어 중 특정한 x86급 CPU에서 새로운 온칩 암호화를 제공할 수 있는 VM을 지원한다고 내세우는 제품은 아직 없습니다. 지원이 된다 하더라도 암호화가 향상된 x86 CPU는 코어당 1개의 SIMD(Single Instruction Multiple Data) 암호화 유닛으로 제한됩니다. 현재 총 6개까지 추가가 가능합니다. 이와 달리, 새로운 SPARC T3 CPU는 16개의 온칩 암호화 유닛을 보유하고 있습니다. 따라서, VM 밀도가 2배 가까이 향상되면서 암호화를 완벽하게 활용하고 오버헤드를 최소화할 수 있게 되었습니다. 가상 레이어에서 밀도 및 용량이 향상되면 하드웨어의 수를 줄이고 궁극적으로는 TCO를 절감할 수 있습니다. T-Series에 암호화 가속화 기능 통합 썬은 정보 보안으로 인해 구축이 복잡해지고 있다는 인식 하에 처리 애플리케이션을 겨냥해 암호화 작업을 단순화 및 가속화할 수 있도록 하드웨어 암호화 유닛을 내장한 CPU인 SPARC T1, T2, T2 Plus 및 T3 프로세서를 개발했습니다. 이들 프로세서는 칩 멀티프로세싱 및 하드웨어 멀티스레딩을 효율적인 명령어 파이프라인에 통합함으로써 CMT(Chip MultiThreading)를 지원합니다. 이렇게 탄생한 프로세서 설계는 명령어 실행을 위해 여러 물리적 파이프라인을 지원하고 파이프라인당 여러 개의 활성 스레드 컨텍스트를 제공합니다. 계속해서 증가하는 암호화 작업에 대한 요구를 충족하기 위해 SPARC T2, T2 Plus 및 T3 프로세서는 성능 향상을 위해 온칩 I/O 및 온칩 10 Gigabit Ethernet 네트워킹 기능을 비롯해 추가적인 암호화 기능을 통합한 고유의 SoC(System-on-a-Chip) 설계를 사용하고 있습니다(그림 2). 그림 2. 모듈식 산술 유닛 RSA(Rivest Shamir Adleman) 연산은 SSL full handshake에서 중요한 역할을 하는 구성 요소입니다. SPARC T1, T2, T2 Plus 및 T3 프로세서의 각 코어에는 RSA 및 DSA(Digital Signature Algorithm)를 지원하는 MAU(Modular Arithmetic Unit)가 포함되어 있습니다. RSA 연산에서는 MAU로 오프로드가 가능한 연산 집약적인 알고리즘이 사용됩니다. 실제로, MAU는 SPARC T1 프로세서를 장착한 시스템에서는 초당 14,000건, SPARC T2 프로세서를 장착한 시스템에서는 초당 30,000건 이상, SPARC T3를 장착한 7
시스템에서는 초당 40,000건 이상의 RSA-1024 연산을 처리할 수 있습니다. RSA를 MAU로 전환하면 SSL full handshake 성능을 높이고 CPU를 다른 연산을 처리하는데 투입할 수 있습니다. 그림 3. SPARC T1, T2, T2+ 및 T3 CPU를 위한 암호화 워크로드 관리 개요 8
지원 기술 Solaris Cryptographic Framework (SCF)를 통해 SPARC T1, T2, T2 Plus 또는 T3 프로세서의 암호화 기능을 액세스할 수 있습니다. SCF는 커널 및 사용자 레벨의 소비자를 위한 암호화 서비스를 비롯해 몇몇 소프트웨어 암호화 모듈을 제공합니다. 그림 4. 소프트웨어에서의 하드웨어 암호화 지원 액세스 SCF는 사용자 애플리케이션의 SSL 처리 로드를 줄여주고 이들이 SPARC T1, T2, T2 Plus 또는 T3 프로세서에서 제공되는 하드웨어 액셀러레이터를 투명하게 활용할 수 있도록 KSSL(Kernel SSL) 프록시를 계속해 포함하고 있습니다. 결론 IT 운영 비용 압박 속에서도 엄격한 보안 요구를 준수해야 하는 상황에 직면한 기업들에게, Oracle SPARC Enterprise T-Series 서버 기반의 Siebel CRM은 긴밀하게 통합된 프로파일과 뛰어난 처리 성능을 유지하면서도 보안 구성을 구현할 수 있는 업계 유일의 제품입니다. T-Series 기반의 보안 구성은 추가 장비나 전문 교육이 필요하지 않으며 어떤 형태의 성능 저하도 없다는 점에서 경쟁 제품들과 차별화됩니다. 스레드 수가 증가하고 가상화를 위해 용량이 배가되었으며 기타 다양한 혁신 기능을 포함하고 있는 Oracle SPARC T3-1 서버가 새롭게 출시됨에 따라 성능 및 비용 효율성 측면에서 업계 선도적인 CRM 솔루션 제공업체로서 오라클의 입지는 더욱 강화되고 있습니다. 9
하드웨어 지원 암호화가 제공되는 Securing Siebel CRM에 대한 비즈니스 사례 2010년 9월 작성자: Chad Prucha 한국오라클유한회사 서울특별시 강남구 삼성동 144-17 삼화빌딩 문의처: 수신자 부담 무료 상담 전화: 080-2194-114 수신자 부담 무료 FAX: 080-2194-080 E-Mail: oracledirect_kr@oracle.com www.oracle.com/kr Copyright 2010, Oracle 및/또는 그 계열사. All rights reserved. 본 문서는 정보의 목적으로만 사용되며 일체의 내용은 고지 없이 변경될 수 있습니다. 본 문서는 오류에 대해 책임지지 않으며 특정 목적에 대한 적격성 및 적합성과 관련된 묵시적 보증 및 계약 조건을 포함해서 명시적, 묵시적 기타 모든 보증 또는 계약 조건에 의해 구속 받지 않습니다. 오라클은 본 문서와 관련해 어떠한 법적 책임도 지지 않으며, 본 문서로 인해 직간접적인 어떠한 계약 구속력도 발생하지 않습니다. 본 문서는 Oracle의 사전 서면 승인 없이는 어떠한 형식이나 수단(전자적 또는 기계적) 또는 목적으로도 복제되거나 배포할 수 없습니다. Oracle 및 Java는 오라클 및/또는 그 계열사의 등록 상표입니다. 기타 명칭은 해당 소유업체의 상표입니다. AMD, Opteron, AMD 로고 및 AMD Opteron 로고는 Advanced Micro Devices의 상표 또는 등록 상표입니다. Intel 및 Intel Xeon은 Intel Corporation의 상표 또는 등록 상표입니다. 모든 SPARC 상표는 라이센스 하에서 사용되며, SPARC International, Inc.의 상표 또는 등록 상표입니다. UNIX는 X/Open Company, Ltd.를 통해 라이센싱되는 등록 상표입니다. 0110