넷스케일러(NetScaler)의 우선순위 로드 밸런싱(Priority Order Load Balancing)을 통해 고가용성, 원활한 업그레이드, 카나리 배포, 지오펜싱 등을 구현할 수 있습니다. 이번 블로그에서는 넷스케일러 우선순위 로드 밸런싱과 그 이점에 대해 소개해드립니다. ✅ 우선 순위 로드 밸런싱(Priority Order Load Balancing)우선순위 로드 밸런싱(Priority Load Balancing)은 우선순위 로드 밸런싱 가상 서버와 연결된 각 서비스 또는 서비스 그룹에 우선순위 값을 할당할 수 있도록 합니다. 숫자가 가장 낮은 값일수록 높은 우선순위를 가지며, 해당 서비스가 사용 가능한 상태일 경우 해당 서비스로 트래픽이 전송됩니다. 만약 해당 서비스가 사용할 수 없는 경우, 트래픽은 다음으로 높은 우선순위를 가진 서비스로 자동으로 전환됩니다.또한, 로드 밸런싱 정책과 액션을 활용하여 서비스의 우선순위를 제어할 수도 있습니다. 특정 클라이언트 요청에 대해 로드 밸런싱 정책이 참(true)으로 평가되면, 로드 밸런싱 액션에서 지정된 순서가 기본 우선순위보다 우선적으로 적용됩니다.✅ 고가용성(High Availability)NetScaler의 우선순위 로드 밸런싱(Priority Load Balancing)을 활용한 고가용성(HA)은 서비스 또는 서비스 그룹의 우선순위에 따라 트래픽을 분배하여 애플리케이션의 연속적인 가용성을 보장하는 방법입니다. 고가용성은 다양한 환경에서 필요하며, 대표적인 사례로는 액티브/패시브(Active/Passive) 배포, 유지보수 및 업그레이드 과정, 재해 복구(Disaster Recovery) 상황이 있습니다. NetScaler의 우선순위 로드 밸런싱을 활용하면 이러한 모든 시나리오에서 고가용성을 효과적으로 구현할 수 있습니다.아래 블로그 게시물에서는 우선순위 로드 밸런싱과 고가용성 구현을 위한 예제 시나리오 및 상세한 설명을 제공합니다. 이를 통해 개념을 쉽게 이해하고 실무에 적용할 수 있습니다. 블로그를 확인하려면 링크를 클릭하세요.✅ 유지보수 및 업그레이드NetScaler의 우선순위 로드 밸런싱(Priority Load Balancing)을 활용하면 다운타임을 최소화하고 서비스 가용성을 지속적으로 유지하면서 유지보수 및 업그레이드를 효율적으로 관리할 수 있습니다. 우선순위 로드 밸런싱을 통해 특정 서비스 또는 서비스 그룹에 대해 유지보수나 업그레이드를 진행하는 동안에도 애플리케이션의 전체적인 가용성을 유지할 수 있습니다. 이를 위해 최우선 순위 서비스가 유지보수 또는 업그레이드 중일 때, 트래픽을 자동으로 낮은 우선순위의 서비스로 리디렉션하여 서비스 중단 없이 안정적인 운영이 가능합니다.Example Scenario쇼핑 카트 애플리케이션을 고려해 보겠습니다. 이 애플리케이션은 두 단계의 이중화를 통해 원하는 서비스 수준 목표를 보장합니다. 기본 애플리케이션 인스턴스가 업그레이드가 필요할 경우, NetScaler에서 해당 엔티티(서비스 또는 서비스 그룹 멤버)를 비활성화해야 합니다. 이 작업이 수행되면 NetScaler는 자동으로 트래픽을 보조 애플리케이션 인스턴스로 전환하여 서비스 연속성을 유지합니다.Netscaler CLI Configurationadd gslb vserver shoppingcart httpadd gslb service shopping_cart_US_East SSL 443 -sitename USeastadd gslb service shopping_cart_US_West SSL 443 -sitename USwestbind gslb vserver shoppingcart -servicename shopping_cart_US_east -order 1bind gslb vserver shoppingcart -servicename shopping_cart_US_west -order 2✅ 재해 복구(Disaster Recovery)재해 발생 시 애플리케이션의 가용성과 기능을 유지하기 위해 재해 복구(DR)는 NetScaler의 우선순위 로드 밸런싱(Priority Order Load Balancing) 기술을 활용하여 장애 전환(Failover) 및 복구 프로세스를 효율적으로 관리합니다. 우선순위 로드 밸런싱을 통해 각 서비스 또는 서비스 그룹에 다양한 우선순위를 할당할 수 있습니다. 재해 발생 시, 이 메커니즘은 다음으로 높은 우선순위를 가진 사용 가능한 서비스로 트래픽을 자동 전환하여 애플리케이션 가용성을 지속적으로 유지할 수 있도록 보장합니다.Example Scenario쇼핑 카트 애플리케이션이 미국 동부(US East)와 미국 서부(US West) 두 개의 데이터 센터에서 운영되고 있다고 가정해 보겠습니다. 재해 복구(Disaster Recovery)를 구현하기 위해, 각 지역의 애플리케이션 서비스를 서로 다른 우선순위(Order)로 로드 밸런싱 가상 서버에 바인딩해야 합니다.Applications running in US east can be bound with order 1Applications running in US west can be bound with order 2정상적인 상황에서는 트래픽이 미국 동부(US East)로 라우팅됩니다. 미국 동부 지역에서 장애가 발생하면, 트래픽이 자동으로 미국 서부(US West)로 전환됩니다. 이후 미국 동부의 애플리케이션이 복구되면, 다시 미국 동부로 트래픽이 전환됩니다.Netscaler CLI configurationadd gslb vserver shoppingcart httpadd gslb service shopping_cart_US_East SSL 443 -sitename USeastadd gslb service shopping_cart_US_West SSL 443 -sitename USwestbind gslb vserver shoppingcart -servicename shopping_cart_US_east -order 1bind gslb vserver shoppingcart -servicename shopping_cart_US_west -order 2✅ 지리적 분산(Geographical Distribution)글로벌 서버 로드 밸런싱(GSLB) 환경에서 우선순위 로드 밸런싱(Priority Order Load Balancing)을 활용하면 지리적으로 분산된 여러 서버 간에 클라이언트 트래픽을 효과적으로 분배할 수 있습니다. 이 방식은 사용자 요청을 가장 적절한 서버로 라우팅하여 애플리케이션 성능을 향상시키는 데 도움을 줍니다.Example scenario쇼핑 카트 애플리케이션이 DC1, DC2, DC3 등 여러 데이터 센터에서 운영되고 있다고 가정해 보겠습니다.사용자 경험을 최적화하기 위해, 사용자를 지리적으로 가장 가까운 데이터 센터로 리디렉션하는 것이 목표입니다. 클라이언트의 IP 주소를 기반으로 로드 밸런싱 정책(lb policies)을 활용하면, 트래픽을 가장 가까운 데이터 센터로 자동 분배할 수 있습니다.Netscaler CLI Configurationadd gslb vserver shoppingcart SSLadd gslb service shopping_cart_NA SSL 443 -sitename NAadd gslb service shopping_cart_EU SSL 443 -sitename EUadd gslb service shopping_cart_ASIA SSL 443 -sitename ASIAbind gslb vserver shoppingcart -servicename shopping_cart_NA -order 1bind gslb vserver shoppingcart -servicename shopping_cart_EU -order 2bind gslb vserver shoppingcart -servicename shopping_cart_ASIA -order 3add lb action lbact1 -type SELECTIONORDER -value 1 2 3add lb action lbact2 -type SELECTIONORDER -value 2 3 1add lb action lbact3 -type SELECTIONORDER -value 3 2 1add lb policy lbpol1 -rule client.ip.src.location.eq("NA.*") -action lbact1add lb policy lbpol1 -rule client.ip.src.location.eq("EU.*") -action lbact2add lb policy lbpol1 -rule client.ip.src.location.eq("ASIA.*") -action lbact3bind gslb vserver shoppingcart -policyname lbpol1 -priority 10bind gslb vserver shoppingcart -policyname lbpol2 -priority 20bind gslb vserver shoppingcart -policyname lbpol3 -priority 30클라이언트 IP가 지정된 위치 중 하나에 해당하는 경우, 해당 클라이언트는 해당 데이터 센터로 리디렉션됩니다. 만약 클라이언트 IP가 위 조건 중 어느 하나에도 해당하지 않는 경우, GSLB 서비스 선택 시 기본 순서(default order precedence)를 따르게 됩니다.✅ 서비스 레벨  계약(Service Level Agreements)서비스 레벨 계약(SLAs)은 서비스 제공자가 고객의 성능 기대치를 충족하도록 보장하는 데 중요한 역할을 합니다. SLA 요구사항 중 하나는 프리미엄 고객(premium clients)에게 최소한의 지연 시간(latency)으로 서비스를 제공하는 것입니다. 이를 위해 우선순위 로드 밸런싱(Priority Order Load Balancing)을 활용하면, 프리미엄 고객의 트래픽을 낮은 지연 시간을 보장하는 서비스로 우선 분배할 수 있습니다.Example Scenario스트리밍 서비스가 2개의 서버에서 운영된다고 가정해 보겠습니다. 하나는 프리미엄 클라이언트를 제공하기 위한 높은 처리량을 가진 서버이고, 다른 하나는 나머지 클라이언트를 제공하기 위한 낮은 처리량을 가진 서버입니다.Netscaler CLI Configurationadd lb vserver streaming SSL 443add service premium_service SSL 443add service nornal_service SSL 443bind lb vserver streaming premium_service -order 1bind lb vserver streaming normal_service -order 2add lb action lbact1 -type SELECTIONORDER -value 1add lb action lbact2 -type SELECTIONORDER -value 2import patsetfile local:ip_list.txt client_iplistadd patsetfile client_iplistadd patset client_list -patsetfile client_iplistadd lb policy lbpol1 -rule client.ip.src.typecast_text_t.equals_any("client_list") -action lbact1add lb policy lbpol2 -rule true -action lbact2bind lb vserver streaming -policyname lbpol1 -priority 10bind lb vserver streaming -policyname lbpol2 -priority 20위 샘플 구성에서, 프리미엄 클라이언트의 srcip 목록은 import patsetfile 유틸리티를 사용하여 NetScaler에 가져옵니다. lbpol1은 들어오는 클라이언트가 프리미엄 클라이언트 목록에 포함되어 있는지 평가한 후, 해당 클라이언트를 낮은 지연 시간을 보장하는 서버 목록에서 로드 밸런싱하도록 설정됩니다.✅ 지오 펜싱(Geo Fencing)우선순위 로드 밸런싱을 활용한 지리적 분산(Geographical Distribution)은 데이터를 적절한 위치에서 처리하고 저장하도록 보장함으로써 컴플라이언스(Compliance) 및 보안(Security)을 강화하는 데 큰 역할을 합니다. 이 방법을 사용하면 고가용성과 성능을 유지하면서도 규정을 준수하는 환경을 구축할 수 있습니다.Example Scenario전자상거래 애플리케이션이 두 개의 지역에서 서버를 운영하고 있다고 가정해 보겠습니다. 하나는 EU(유럽)에, 다른 하나는 US(미국)에 위치해 있습니다. Netscaler 구성을 따르면 EU 지역의 클라이언트가 EU 서버로 연결됩니다.Netscaler CLI Configurationadd gslb vserver e_commerce SSL 443add gslb service eu_server SSL 443 -sitename EUadd gslb service us_server SSL 443 -sitename NAbind gslb vserver e_commerce -servicename eu_server -order 1bind gslb vserver e_commerce -servicename us_server -order 2add lb action lbact1 -type SELECTIONORDER -value 1add lb action lbact2 -type SELECTIONORDER -value 2add lb policy lbpol1 -rule client.ip.src.between(10.10.10.1, 20.20.20.1) -action lbact1add lb policy lbpol2 -rule true -action lbact2bind gslb vserver v1 -policyname lbpol1 -priority 10bind gslb vserver v1 -policyname lbpol2 -priority 20클라이언트가 지정된 IP 범위에서 접속하는 경우(해당 IP 범위가 EU 지역을 나타낸다고 가정), 해당 클라이언트는 오직 eu_server로 로드 밸런싱됩니다.✅ 블루-그린 배포(Blue-Green Deployment)다운타임과 위험을 최소화하기 위해 블루-그린 배포 전략은 Blue와 Green이라는 두 개의 동일한 프로덕션 환경을 운영합니다. 이들 환경 중 하나만 활성 상태이며, 모든 프로덕션 트래픽을 처리합니다. NetScaler의 우선순위 로드 밸런싱은 이 배포 전략을 효과적으로 관리하는 도구로 활용될 수 있습니다.NetScaler에서 블루-그린 배포를 관리하는 구성에 대한 자세한 내용은 블로그를 참고하세요.✅ 카나리 배포(Canary Deployment)카나리 배포(Canary deployment)는 애플리케이션의 새로운 버전을 전체 사용자에게 배포하기 전에 소수의 사용자 그룹에게 점진적으로 롤아웃하는 전략입니다. 이를 통해 실제 환경에서 최소한의 위험으로 모니터링과 테스트를 수행할 수 있습니다. NetScaler의 우선순위 로드 밸런싱을 활용하면 이 배포 전략을 효과적으로 관리할 수 있습니다.NetScaler에서 카나리 배포를 관리하는 구성에 대한 자세한 내용은 블로그를 참고하세요.▶ 넷스케일러(NetScaler) : 자세히보기넷스케일러는 모든 ADC 작업을 한 곳에서 관리할 수 있는 유일한 애플리케이션 딜리버리 및 보안 플랫폼입니다. 소프트웨어 기반 아키텍처를 사용하여 단일 코드 베이스로 구축되었기 때문에, 하드웨어, 가상 머신, 베어 메탈, 컨테이너 등 어떤 ADC 형태를 선택하더라도 동일한 동작을 보장합니다. 환경에 구애받지 않는 인텐트 기반, API 중심의 멀티 클라우드 환경을 위한 애플리케이션 딜리버리입니다.클라우드네트웍스는 업계 최고의 기술력을 보유한 전담팀을 통해 넷스케일러의 기술지원 서비스를 제공합니다. 넷스케일러에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. 

AI는 단순한 기술적 혁신이 아니라, 조직이 디지털 회복력을 구축하는 데 필수적인 요소가 되고 있습니다. Splunk는 AI가 어떻게 보안과 IT 운영의 효율성을 극대화하고, 위협에 대한 대응력을 향상시키는지에 대한 철학을 정립하고 있습니다. 이번 글에서는 AI가 보안과 옵저버빌리티(Security & Observability)에서 어떤 역할을 수행하는지, 그리고 Splunk의 AI 철학이 어떻게 발전해 나가고 있는지 소개해드리겠습니다. ✅ AI의 봄, 그리고 새로운 패러다임의 시작역사적으로 AI는 여러 번의 부침을 겪어왔습니다. 1950년대 이후 AI는 대중의 관심을 받다가도 기대에 미치지 못해 쇠퇴하는 "AI 겨울"을 반복했습니다. 하지만 2022년 말 OpenAI의 ChatGPT 출시 이후, AI는 대중화되며 다시 한번 혁신의 중심에 섰습니다.가트너(Gartner)의 2023년 신기술 하이프 사이클(Hype Cycle)에서는 생성형 AI가 "과도한 기대의 정점(Peak of Inflated Expectations)"에 도달할 것으로 전망했습니다. 하지만 Splunk는 AI의 잠재력이 단순한 유행을 넘어 장기적인 변화를 가져올 것이라고 믿고 있습니다. AI는 전기처럼 우리의 일상과 업무 환경에 자연스럽게 녹아들 것이며, 더 이상 인식하지 않을 정도로 보편화될 것입니다.현재의 디지털 환경은 AI 활용에 최적화되어 있습니다. 과거에는 한 사람이 조직의 모든 데이터를 관리할 수 있었지만, 클라우드와 하이브리드 아키텍처가 확산되면서 데이터는 더욱 분산되었습니다. 이는 IT 및 보안 전문가들에게 복잡성을 증가시키고 있으며, 단순한 보안 솔루션만으로는 해결하기 어려운 과제를 안겨주고 있습니다. Splunk의 2024년 보안 현황 보고서에 따르면, 91%의 보안 팀이 이미 공용 생성형 AI 도구를 사용하고 있으며, 86%의 CISO가 AI가 보안 인력 부족 문제를 해결하는 데 도움이 될 것이라고 믿고 있습니다. 즉, AI는 단순한 선택이 아니라, 디지털 회복력을 구축하는 필수적인 요소가 되고 있습니다.AI를 정의하다: 단순한 도구가 아닌 필수 기술Splunk는 AI를 단순한 기술이 아닌, 여러 기술을 포함하는 상위 개념(Superset)으로 정의합니다. AI는 머신러닝(ML), 딥러닝(DL), 생성형 AI(GenAI) 등을 포함하며, 이를 보안과 IT 운영에 적용함으로써 디지털 회복력을 강화할 수 있습니다. 특히 AI가 효과적으로 작동하기 위해서는 데이터의 질과 도메인 전문성이 필수적입니다. AI 모델이 학습할 수 있는 데이터가 많을수록, 이상 패턴을 감지하고 문제를 해결하는 능력이 향상됩니다. Splunk는 LLM을 단순히 도입하는 것을 넘어, 보안 및 관찰 가능성 데이터를 AI 모델과 결합하여 보다 정교한 인사이트를 제공하는 전략을 추진하고 있습니다.AI에 대한 불안감과 신뢰 문제AI는 많은 관심을 받으며 빠르게 발전하고 있지만, 보안 전문가들 사이에서는 여전히 불신과 우려의 대상이 되고 있습니다. "알지 못하면 보호할 수 없다"는 말처럼, AI는 여전히 많은 부분이 연구되고 있으며, 이에 대한 불확실성으로 인해 AI 불안(AI Anxiety)이 발생하는 것은 자연스러운 현상입니다. 우리가 확실하게 알고 있는 점은 다음과 같습니다. AI는 긍정적인 방향과 부정적인 방향 모두로 사용될 것입니다. 보안 전문가와 해커 모두 AI를 활용할 것이며, AI는 새로운 사회공학적 공격 기법을 만들고, 데이터 프라이버시 및 보안 위험을 증가시키며, 사이버 범죄의 장벽을 낮출 것입니다. 동시에 AI는 IT, 엔지니어링, 보안 운영을 더욱 빠르고 효율적으로 만들 것입니다. AI에 대한 불확실성을 증폭시키는 주된 원인은 투명성 부족입니다. AI 모델이 어떤 근거로 결정을 내리는지, 왜 그렇게 판단했는지를 명확히 알기 어렵습니다. 디지털 회복력에서 의사 결정은 매우 중요한 요소이며, 잘못된 결정은 막대한 금전적 손실이나 보안 침해로 이어질 수 있습니다. 인간이 자신의 결정 이유를 설명할 수 있는 반면, AI는 아직 완전히 설명 가능한(Explainable) 수준에 도달하지 못했습니다. 또한, 인간의 편향(Bias)은 문서화될 수 있지만, AI의 알고리즘과 학습 데이터에 내재된 편향은 탐지하기가 더욱 어렵습니다. 그러나, AI의 미래는 결코 어둡지 않습니다. 오히려, AI는 디지털 회복력을 강화하는 데 있어 긍정적인 역할을 할 것입니다. 규제와 명확한 거버넌스가 AI의 문제를 해결하는 데 도움을 줄 것이며, Splunk와 같은 AI 선도 기업들이 AI를 안전하고 효과적으로 활용할 수 있도록 지원하는 것이 중요합니다. Splunk는 2015년부터 AI를 핵심 기술로 채택하며, 고객을 보호하고 AI를 디지털 회복력 강화에 활용하는 방법을 지속적으로 연구해 왔습니다. AI를 효과적으로 개발하고 사용하려면 신중하고 체계적인 접근이 필요합니다. 이에 따라 Splunk는 AI 철학을 수립하였으며, 이는 AI의 올바른 사용과 개발을 위한 불변의 원칙이 될 것입니다. 이러한 철학은 전 세계 조직에 가치를 제공하고, Splunk의 장기적인 전략을 안내하며, 무엇보다 AI의 책임 있는 사용을 보장하는 역할을 할 것입니다.✅ 디지털 회복력을 강화하는 Splunk의 3가지 AI 철학1. 목적 중심(Purpose-built)의 AI가 최고의 디지털 회복력 결과를 이끌어낸다.Splunk의 공동 창립자인 Erik Swan과 Rob Das는 처음에는 암 치료법을 찾는 데 도전했지만, 도메인 전문성이 부족해 실패를 경험했습니다. "나는 아직도 내 브라우저에 유전체학 연구 관련 북마크를 가지고 있지만, 첫 번째 논문도 끝까지 읽지 못했다."라고 Swan은 한 인터뷰에서 말했습니다. 결국 그들은 자신들이 가장 잘 이해하는 문제, 즉 IT 인프라 장애 원인을 찾기 위한 로그 검색 문제를 해결하는 방향으로 전환했고, 이를 통해 Splunk를 개발했습니다. 마찬가지로, 보안 및 관찰 가능성 분야의 전문가들은 해당 도메인의 실전 경험과 데이터를 기반으로 AI 모델을 설계하고 구축해야 합니다. AI 모델은 특정 환경과 사용 사례에 맞게 학습되어야 하며, 이를 통해 보다 적절한 맥락을 제공할 수 있습니다. 디지털 회복력 강화를 위해 AI가 진정으로 유용하려면, 범용적인 AI가 아닌 도메인 특화(Domain-specific) AI, 즉 목적 중심(Purpose-built) AI가 되어야 하며, 조직의 일상적인 워크플로우에 밀착되어야 합니다.■ 목적 중심 AI란 무엇인가?범용적인 AI 대형 언어 모델(LLM)은 방대한 데이터셋을 학습하여 광범위한 지식을 보유할 수 있지만, 특정 문제를 해결하는 데 있어서는 한계가 있습니다. 마치 스위스 군용 칼로 울타리를 세우려는 것과 같은 비효율성이 발생할 수 있습니다. 특정 문제를 해결하려면 전용 드릴과 같은 특화된 도구가 필요합니다. 예를 들어, 일반적인 LLM은 보안 사건을 분석할 수 있지만, 해당 분석이 조직의 환경과 정확히 맞아떨어지지는 않을 수 있습니다.■ 도메인 특화 AI의 중요성· 도메인 특화 AI는 관련성 높은 고품질 데이터를 학습하여 더욱 정확하고 유용한 결과를 제공할 수 있습니다.· 보안, IT 및 엔지니어링과 같은 전문 분야에서는 도메인 특화 AI가 필수적입니다.· 기존 탐지, 조사 및 대응 워크플로우와 원활하게 연계되어야 합니다.현재 보안 및 관찰 가능성 전문가들은 비효율적이고 번거로운 워크플로우에 지쳐 있습니다. Splunk의 2023년 'State of Observability' 보고서에 따르면, 조직들은 평균 165개의 자체 개발된 비즈니스 애플리케이션을 운영하고 유지하고 있습니다. 보안 측면에서도, 65%의 보안 운영 센터(SOC) 팀이 너무 많은 분산된 도구와 관리 콘솔을 전환하는 것에 불만을 표했습니다.디지털 회복력 구축에서는 탐지 및 대응 시간의 단축이 필수적입니다. 여러 도구를 사용해야 하는 경우, 조직은 서로 다른 데이터를 기반으로 여러 개의 '진실의 원천'을 가지게 되어 혼란이 발생합니다. 목적 중심 AI는 기존 워크플로우와 원활하게 통합되며, 필요한 순간에 적절한 컨텍스트를 제공하여 최적의 결과를 도출할 수 있도록 지원합니다.2. AI는 인간이 주도해야 하며, AI는 신뢰할 수 있는 조력자가 되어야 한다.사람들은 한때 미래를 기계가 지배하는 세계로 상상하곤 했습니다. 자율주행차(심지어 비행 자동차까지), 친절한 로봇 집사, 우주로 떠나는 무책임한 휴가 등의 만화 같은 판타지가 있었습니다. 하지만 이러한 예측 중 많은 부분이 실현되지 않았습니다.현재 존재하는 자율주행차는 대형 데이터셋을 학습한 딥러닝 알고리즘에 의존하며, 도로 표지판, 교통 흐름, 보행자를 인식하고 이에 따라 결정을 내립니다. 그러나 자율주행차는 교통 체증을 유발하거나 충돌 사고를 일으키기도 했으며, 일부는 치명적인 결과를 초래하기도 했습니다. 운전과 같은 고위험 상황에서 기계가 단독으로 결정을 내리도록 신뢰해서는 안 됩니다. 훈련 모델이 아무리 크더라도 차량은 개가 공을 물고 뛰어오는 상황과 다람쥐가 도로를 가로지르는 상황에서의 감정적 의미를 이해할 수 없으며, 그렇게 판단해서도 안 됩니다.이와 마찬가지로, 단 한 번의 결정이 보안 및 관찰 가능성 결과에 중대한 영향을 미칠 수 있으며, 이는 비즈니스에 연쇄적인 영향을 줄 수 있습니다. AI는 인간과 협력하여 사실을 빠르게 제공하고, 사건을 요약하며, 우선순위 경고를 전면에 배치하는 조력자 역할을 해야 합니다. 하지만, 최종적으로 의사결정을 내리는 것은 항상 인간이어야 합니다.■ AI와 인간의 협업이 필요한 이유군사 전략에서 감정의 역할을 연구한 Samuel Zilincik 교수는 감정이 동기 부여나 전략적 조작 방식으로 사용될 때 유용할 수 있다고 주장합니다. 특히 보안 전문가들은 창의적이고 공감적이며 동기 부여된 상태여야 사이버 범죄자보다 한 발 앞서 나갈 수 있습니다. 사이버 공격자들은 일반적으로 법적 제약 없이 공격을 감행하기 때문에, 방어자는 더욱 전략적이고 직관적인 접근이 필요합니다. 보안 운영 센터(SOC), 엔지니어링, IT 운영 팀에서 암묵적 지식, 직관, 그리고 기본적인 상식은 AI가 대체할 수 없는 필수적인 기술입니다. 현대 디지털 환경은 복잡한 시스템과 공격 방법으로 가득 차 있으며, 그 위험성은 매우 큽니다. 이러한 상황을 헤쳐나가기 위해서는 인간만이 가진 세밀한 분석 능력이 필수적입니다.■ AI는 인간을 보조하는 역할을 해야 한다사건에 대응하는 최적의 방법을 결정하는 것은 단순히 무슨 일이 발생했는지, 누가 관련되어 있는지, 어디에서 발생했는지를 이해하는 것 이상을 요구합니다. AI는 위협 행위자의 공격 전술을 연구할 때도 한계를 가질 수 있으며, 기존의 참고 자료가 없다면 진화하는 새로운 유형의 공격과 사건을 따라잡기 어려울 것입니다. 또한, 인간이 직접 피드백을 제공하는 과정(Human-in-the-loop)이 AI 모델을 더욱 책임감 있고 신뢰할 수 있도록 만듭니다. 디지털 회복력에 있어 신뢰는 가장 중요한 요소이며, AI는 인간이 주도하는 환경에서 보조 역할을 수행해야 합니다.3.개방성과 확장성이 AI 혁신을 가속화한다강력한 AI는 방대한 양의 적절한 데이터를 필요로 합니다. AI는 이미 엄청난 양의 데이터를 생성하고 활용하고 있으며, 조직이 수십억 개의 매개변수를 가진 모델을 훈련하고 실행함에 따라 이러한 데이터의 양은 더욱 증가할 것입니다. 향후 20년 이상을 주도할 AI 모델을 구축하려면 신중한 계획과 협업이 필요합니다.개방적이고 확장 가능한 AI는 여러 가지 의미를 가집니다. 확장 가능한 AI는 개발자, 데이터 과학자 및 파트너가 자신들에게 가장 적합한 방식으로 AI 모델을 구축하고 확장하며 연결할 수 있도록 유연성을 제공합니다. Splunk의 독점 모델을 사용할 수도 있고, 조직의 정책과 리스크 허용 범위에 맞춰 자체 모델을 가져올 수도 있습니다.역사가 우리에게 가르쳐준 것이 있다면, 사람들은 자신이 있는 곳에서 만나고 싶어 한다는 점입니다. 하이브리드 및 멀티 클라우드 환경이 당분간 사라지지 않는 것처럼, 조직별 맞춤형 적응에 대한 요구도 지속될 것입니다. 지나치게 경직된 시스템은 혁신을 방해할 뿐입니다. 따라서 AI 시스템은 쉽게 통합, 사용자 정의 및 확장 가능해야 하며, 기존의 다양한 보안 및 관찰 가능성 도구와 원활하게 연동되어야 합니다.확장 가능한 AI는 개발자가 모델을 보다 빠르고 쉽게 구축할 수 있도록 할 뿐만 아니라, 협업과 커뮤니티를 활성화하는 역할도 합니다. 오픈 소스가 소프트웨어 개발에서 혁신을 이끌어왔듯이, Splunk는 확장성이 AI의 확장과 발전을 위한 핵심 요소라고 믿습니다. 내부 엔지니어링 팀뿐만 아니라 파트너 및 서드파티 애플리케이션과의 협력을 통해 포트폴리오를 더욱 강화하고 있으며, AI 구축은 본질적으로 협업을 필요로 하는 과정입니다. 또한, 고객이 집계된 익명 데이터를 공유하도록 선택하면, 실제 환경에 기반하여 모델을 미세 조정하고 지속적으로 개선할 수 있습니다.개방적이고 투명한 AI는 또한 AI를 둘러싼 불확실성을 해소하는 데 중요한 역할을 합니다. AI는 여러 가지 의미에서 판도라의 상자와 같습니다. 데이터 프라이버시 문제를 제외하더라도, AI 모델이 어떻게 결정을 내리는지 이해하는 것은 쉽지 않으며, AI가 점점 더 스마트해지고 확산될수록 그 이해는 더욱 어려워집니다. 확장, 생성, 적응을 위한 기반을 이해하는 것은 필수적이며, Splunk는 이러한 투명성이 개발자와 데이터 과학자가 모델을 조정하고 구축하는 데 중요한 요소라고 믿습니다. 또한, 투명성은 AI의 보다 책임감 있는 사용을 촉진하여, 편향성, 부정확성 및 환각(hallucination) 현상을 밝혀낼 수 있도록 돕습니다. 미래에 대비하는 것은 단단한 기반을 구축하고, 문제가 나중에 발생하지 않도록 미리 해결하는 것입니다.✅ AI 철학을 현실로 구현하여 디지털 회복력 촉진하기보다 안전하고 회복력 있는 세상을 만들기 위해, Splunk의 AI 전략은 가치와 신뢰를 구축하는 네 가지 핵심 영역에 집중할 것입니다. 이를 통해 고객에게 더 나은 결과를 제공하고자 합니다.🔸 문제의 핵심을 찾아내고 해결책을 제시하기보안 및 관찰 가능성 전문가들에게 하루에도 수백 개의 경고를 처리하는 일은 즐거운 일이 아닙니다. 이는 도메인 전문성을 갖춘 전문가들이 전략을 수립하거나 문제를 해결하는 데 집중해야 할 시간을 낭비하는 비효율적인 방식이기도 합니다. 이에 따라 Splunk는 2018년부터 머신러닝(ML)을 활용한 이상 탐지(anomaly detection) 기술을 혁신해왔습니다.앞으로 Splunk는 이를 한층 발전시켜, 보안과 관찰 가능성 영역 전반에서 이상 탐지를 수행할 것입니다. 이 두 가지는 본질적으로 데이터 문제이며, 예를 들어 서버 사용률이 갑자기 급증하는 경우, 이는 단순한 코드 오류일 수도 있고, 사이버 공격의 징후일 수도 있습니다.Splunk의 목표는 보안 및 관찰 가능성 애플리케이션 전반에서 인사이트를 제공하는 중앙 집중형 AI 서비스를 구축하는 것입니다. 이를 통해 인간이 여러 관점에서 문제를 분석하고 보다 신속하게 해결할 수 있도록 지원할 것입니다. 이 접근 방식은 다양한 사용 사례에 적용될 수 있으며, 데이터가 고립된 사일로(silo) 형태로 운영되지 않도록 설계될 것입니다. AI를 활용하면 시계열 데이터(time-series data), 상관관계 분석(correlations), 이상 탐지를 보다 정확하게 수행할 수 있으며, 문제의 근본 원인을 식별하고 해결책을 추천할 수 있습니다.🔸 AI 기반 지원 기능을 워크플로우에 내장하기보안, IT, 엔지니어링 전문가들은 점점 복잡해지는 환경 속에서 공격 기법, 데이터, 도구 및 경고를 처리해야 하는 부담을 안고 있습니다. Splunk는 이러한 복잡성을 줄이고, 사용자가 보다 효율적이고 효과적으로 업무를 수행할 수 있도록 지원할 것입니다.Splunk는 적절한 시점과 적절한 위치에서 AI를 활용하여 사용자의 부담을 덜어주고, 고객이 얻을 수 있는 결과를 획기적으로 개선하는 것을 목표로 합니다. 사용자가 Splunk에 의존할 때, AI는 보다 신속하고 정확한 답변과 조치를 제공할 것입니다. 이를 위해 Splunk는 도메인 특화 AI 기술을 구축하고 훈련하여 조사 및 대응 워크플로우를 향상시킬 것입니다. AI는 검색어를 자동으로 작성하고, 사건을 요약하며, 조사 단계를 추천할 것입니다. 또한, 이러한 기능은 고객의 환경과 사용 사례에 맞춰 개인화될 것입니다.🔸 대규모 확장에서 고유한 사용 사례 지원하기확장된 회복력(resilience at scale)을 구축하기 위해서는 세밀한 데이터 접근이 필수적입니다. Splunk는 복잡한 요구사항을 가진 고객들이 대규모 모델을 생성하고 훈련할 수 있도록 지원할 계획입니다.Splunk는 머신러닝 툴킷(MLTK)을 통해 고객이 자체 AI 모델을 생성하고 훈련할 수 있도록 지원해왔으며, 이는 현재 Splunkbase에서 가장 많이 다운로드된 애플리케이션입니다. 하지만 AI 환경이 지속적으로 변화함에 따라, Splunk는 이러한 기능을 미래에도 활용할 수 있도록 확장하고 개선할 것입니다.Splunk는 MLTK의 광범위한 활용을 계속 지원하는 동시에, 대규모 데이터를 처리할 수 있는 차세대 AI 서비스를 설계하고 있습니다. 이를 통해 조직은 수십억 개의 매개변수를 가진 모델을 운영하고, 확장성에 맞는 회복력을 구축할 수 있게 될 것입니다.🔸 차별화된 AI 결과 제공 및 데이터 활용 극대화조직의 기술 스택 내 각 구성 요소는 AI 모델에 중요한 맥락을 제공합니다. 네트워크 트래픽은 대역폭 급증이나 지연 문제와 같은 사용 패턴을 분석하며, 엔드포인트 로그는 요청, 오류, 성능 지표 및 센서 데이터를 포함한 방대한 정보를 보유하고 있습니다. 보안 데이터는 환경 내 다양한 위협을 탐지할 수 있으며, 관찰 가능성 데이터는 IT 시스템 전반의 성능을 추적하는 역할을 합니다.Splunk는 이러한 방대한 데이터셋을 AI와 결합하여 탐지, 조사 및 대응 능력을 향상시킬 것입니다. 단일 데이터만 분석할 경우 문제의 일부만 볼 수 있지만, 다양한 데이터를 통합하면 디지털 환경 전체의 스토리를 명확하게 이해할 수 있습니다.효율적인 AI 성공을 위해서는 대규모 데이터 활용이 필수적이며, Splunk는 이를 통해 조직이 이전에는 불가능했던 결과를 도출할 수 있도록 지원할 것입니다. Splunk는 보안 및 관찰 가능성 데이터를 집계하고 익명화된 방식으로 결합하여, 올바른 도메인 전문성을 활용해 AI 모델의 성능을 지속적으로 개선하고 궁극적으로 고객에게 더 나은 결과를 제공할 것입니다.✅ 미래 전망: AI가 모든 곳에 확산되다AI의 영향력은 이제 막 표면을 긁기 시작한 수준입니다. McKinsey & Company는 2030년에서 2060년 사이에 생성형 AI가 현재 업무의 50%를 자동화할 것이라고 예측합니다. AI 기술의 범위는 데이터 분포 분석과 이상 탐지에서부터 수백억 개의 매개변수를 가진 대형 언어 모델(LLM) 구축까지 확장되고 있습니다.AI를 포괄적으로 수용하는 과정에서 기대와 불안이 공존합니다. Splunk는 AI가 디지털 회복력을 향상하고 고객의 업무를 보다 신속하고 효율적으로 만드는 기회를 제공한다는 점에 기대감을 갖고 있습니다. 또한, AI의 급격한 발전이 불러오는 불확실성과 잠재적 위험 요소를 인정하며, 이를 완화할 방안을 모색하고 있습니다.이를 위해 Splunk는 다음과 같은 핵심 질문들을 다룹니다. · 조직이 AI를 신뢰할 수 있도록 하려면 어떻게 해야 하는가?· AI는 기존 시스템을 방해하지 않으면서 어떻게 확장될 수 있는가?· 책임감 있고 공정한 AI 사용은 무엇을 의미하는가?Splunk는 모든 답을 알고 있는 것은 아니지만, AI 철학을 나침반 삼아 AI가 디지털 회복력을 촉진하는 방안을 모색해 나갈 것입니다.▶ 스플렁크(Splunk) : 자세히보기 Splunk는 머신 데이터를 아무런 제약 없이 수집, 저장, 분석, 시각화 할 수 있는 실시간 분산 통합 빅데이터 플랫폼입니다. 탐지, 조사 및 대응을 가속화하는 보안 및 관찰성을 위한 AI 기반 솔루션으로 공유 데이터, 컨텍스트 및 워크플로를 지원하는 엔터프라이즈급 플랫폼으로 지원됩니다.클라우드네트웍스는 스플렁크 플랫폼의 구축과 기술 지원을 전문으로 하는 전담팀을 운영하고 있습니다. 스플렁크 도입 및 활용에 대한 문의사항은 공식 파트너사인 클라우드네트웍스 연락 부탁드립니다. 

'코드형 인프라(IaC, Infrastructure as Code)'란 무엇이고  왜 중요할까요? AWS와 HashiCorp가 설명하는 IaC(Infrastructure as Code)의 개념과 중요성에 대해 소개해드립니다. IaC(infrastructure as code)가 대규모 분산 시스템, 클라우드 네이티브 애플리케이션, 서비스 기반 아키텍처를 관리하는 데 왜 필요한지 알아보세요.☑️ AWS - IaC(Infrastructure as Code)란?➕코드형 인프라란 무엇인가요?코드형 인프라(IaC)는 수동 프로세스 및 설정 대신 코드를 사용하여 컴퓨팅 인프라를 프로비저닝하고 지원하는 기능입니다. 모든 애플리케이션 환경에는 운영 체제, 데이터베이스 연결, 스토리지 등의 많은 인프라 구성 요소가 필요합니다. 개발자는 애플리케이션 개발, 테스트 및 배포를 위해 인프라를 정기적으로 설정, 업데이트 및 유지 관리해야 합니다. 수동 인프라 관리는 시간이 많이 걸리고 오류가 발생하기 쉽습니다. 특히 애플리케이션을 대규모로 관리하는 경우 더욱 그렇습니다. 코드형 인프라를 사용하면 원하는 상태에 도달하기 위한 모든 단계를 포함하지 않고도 인프라의 원하는 상태를 정의할 수 있습니다. 인프라 관리를 자동화하여 개발자가 환경을 관리하는 대신 애플리케이션을 구축하고 개선하는 데 집중할 수 있습니다. 조직은 인프라를 코드로 사용하여 비용을 제어하고 위험을 줄이고 새로운 비즈니스 기회에 신속하게 대응합니다.➕코드형 인프라의 이점은 무엇인가요?자동화는 모든 컴퓨팅 환경에서 핵심 목표입니다. 코드형 인프라(IaC)는 인프라 자동화를 통해 환경을 생성하는 데 사용됩니다. IaC의 가장 일반적인 용도는 응용 프로그램을 구축, 테스트 및 배포하기 위한 소프트웨어 개발입니다. 기존에는 시스템 관리자가 스크립트와 수동 프로세스를 조합해서 사용하여 인프라 환경을 설정했습니다. 이 과정은 복잡하고 시간이 많이 걸렸습니다. 이제는 IaC를 사용하여 몇 분 내에 환경을 자동으로 설정하고 더 효율적으로 관리할 수 있습니다. 다음은 몇 가지 이점입니다.쉽게 환경 복제인프라 리소스를 사용할 수 있는 한 동일한 IaC를 사용하여 동일한 환경을 다른 위치의 다른 시스템에 배포할 수 있습니다. 예를 들어, 한 회사의 지역 지점에서 서버, 네트워킹 및 사용자 정의 구성을 포함한 전체 지사의 엔터프라이즈 환경을 설명하기 위해 IaC를 사용하고 있다고 가정해 보겠습니다. 회사가 다른 지역 지점을 개설한 경우 IaC를 사용하여 똑같은 환경을 복제하고 신속하게 해당 지점을 온라인으로 운영 가능하게 만들 수 있습니다. IaC는 과거에 필요했던 반복적인 수동 단계와 체크리스트를 없앱니다.구성 오류 감소수동 구성은 사람의 개입으로 인해 오류가 발생하기 쉽습니다. 사람들은 실수를 합니다. 또는 한 설정(예: 개발자 환경)의 변경 사항이 다른 설정(예: 테스트 환경)에서 누락되어 구성 편차가 있을 수 있습니다. 이와 대조적으로 IaC는 오류를 줄이고 오류 검사를 간소화합니다. IaC 코드 업데이트로 인한 오류가 있는 경우 코드베이스를 마지막으로 알려진 안정적인 구성 파일로 롤백하여 상황을 신속하게 해결할 수 있습니다. 이전 애플리케이션 버전의 배포 등의 다른 이유로 이전 버전의 IaC 구성 파일을 사용하여 환경을 롤백할 수도 있습니다.모범 사례 환경 반복소스 제어를 통해 소프트웨어 개발자는 환경을 쉽게 구축하고 분기할 수 있습니다. 예를 들어, 애플리케이션이 선택적 기계 학습 모듈을 포함하게 되었다고 가정해 보겠습니다. 개발자는 애플리케이션의 IaC를 분기하여 고성능 Amazon Elastic Compute Cloud(Amazon EC2) Trn1 인스턴스를 시작, 사용 및 중지할 수 있습니다. 애플리케이션 배포 지역에 따라 배포 지역을 설정할 수 있습니다.➕코드형 인프라는 어떻게 작동하나요?소프트웨어 코드가 애플리케이션과 그 작동 방식을 설명하는 것과 마찬가지로 코드형 인프라(IaC)는 시스템 아키텍처와 그 작동 방식을 설명합니다. 인프라 아키텍처에는 서버, 네트워킹, 운영 체제, 스토리지 등의 리소스가 포함됩니다. IaC는 구성 파일을 소스 코드 파일처럼 처리하여 가상화된 리소스를 제어합니다. 이를 사용하여 체계화되고 반복 가능한 방식으로 인프라를 관리할 수 있습니다. IaC 구성 관리 도구는 다른 언어 사양을 사용합니다. Python 또는 Java의 애플리케이션 코드와 유사한 IaC를 개발할 수 있습니다. 또한 내장 오류 검사 기능을 갖춘 통합 개발 환경(IDE)에서 IaC를 작성할 수 있습니다. 코드가 변경될 때마다 커밋을 통해 소스 제어하에 이를 유지할 수 있습니다. IaC 파일은 더 넓은 코드베이스의 일부로 포함됩니다.IaC에 대한 접근 방식코드형 인프라에는 두 가지 접근 방식이 있습니다.· 선언적 : 선언적 IaC를 사용하면 개발자가 원하는 시스템의 최종 상태를 구성하는 리소스와 설정을 설명할 수 있습니다. 그러면 IaC 솔루션이 인프라 코드에서 이 시스템을 생성합니다. 따라서 개발자가 애플리케이션을 실행하는 데 필요한 구성 요소와 설정을 알고 있으면 선언적 IaC를 쉽게 사용할 수 있습니다.· 명령형 : 명령적 IaC를 사용하면 개발자가 리소스를 설정하고 원하는 시스템 및 실행 상태에 도달하는 모든 단계를 설명할 수 있습니다. 명령적 IaC를 작성하는 것은 선언적 IaC만큼 간단하지 않지만 복잡한 인프라 배포에서는 명령적 접근 방식이 필요합니다. 이벤트 순서가 중요한 경우 특히 그렇습니다.➕DevOps에서 IaC의 역할은 무엇인가요?DevOps는 소프트웨어 개발 팀과 IT 운영 팀 간의 협업을 개선하는 프로세스로서, 애플리케이션 개발 수명 주기 단축과 고품질 소프트웨어의 지속적인 제공을 목표로 합니다. DevOps 팀은 운영 활동을 개발자 도구 및 코드 커밋과 통합하므로 애플리케이션의 릴리스 주기가 매우 빨라질 수 있습니다. DevOps의 주요 목표는 개발 프로세스 전반에서 인프라 작업을 자동화하는 것입니다. 지속적 통합 및 지속적 배포(CI/CD) 파이프라인에 코드형 인프라(IaC)를 통합할 수 있습니다. 이렇게 하면 소프트웨어가 빌드 및 릴리스 프로세스를 거칠 때 필요한 인프라 변경이 동시에 이루어질 수 있습니다.DevOps 팀은 다음과 같은 다양한 목적으로 코드형 인프라를 사용합니다.· 개발부터 프로덕션까지 전체 환경을 신속하게 설정· 환경 간에 일관되게 재현 가능한 구성을 보장하도록 지원· 클라우드 제공업체와 원활하게 통합하고 수요에 따라 인프라 리소스를 효율적으로 확장 또는 축소IaC는 개발자와 운영 모두를 위한 공통 언어를 제공합니다. 변경 사항을 투명하게 검토할 수 있으므로 DevOps 환경에서 더 나은 협업이 촉진됩니다.➕AWS는 IaC 요구 사항을 어떻게 지원하나요?Amazon Web Services(AWS) 제품은 코드형 인프라(IaC)를 염두에 두고 설계되었습니다. 따라서 복잡한 클라우드 아키텍처를 코드에서 정의하고 실행하여 안전하게 관리할 수 있습니다.다음은 IaC 요구 사항에 도움이 될 수 있는 AWS 서비스입니다.· AWS Cloud Development Kit(AWS CDK)를 사용하면 개발자가 IDE에서 친숙한 프로그래밍 언어와 대화형 구성 도구를 사용하여 클라우드 애플리케이션 리소스를 정의할 수 있습니다. 따라서 클라우드 리소스를 조작하기 위해 새로운 언어와 도구를 배울 필요가 없습니다.· AWS CloudFormation을 사용하면 개발자가 AWS 인프라를 넘어 구축하고 확장할 수 있습니다. 개발자는 IaC를 사용하여 CloudFormation 레지스트리, 개발자 커뮤니티 및 내부 라이브러리에 게시된 클라우드 리소스를 정의하고 관리할 수 있습니다.· IaC 및 모든 애플리케이션 코드의 완전관리형 소스 제어를 위한 AWS CodeCommit은 프라이빗 Git 리포지토리를 호스팅할 수 있는 안전하고 확장 가능한 서비스입니다.☑️ HashiCorp - IaC(Infrastructure as Code)란?코드형 인프라(Infrastructure as code)는 그래픽 사용자 인터페이스나 수동 명령줄 스크립트 시퀀스를 사용하는 대신 구성 파일을 사용하여 인프라스트럭처를 관리하는 주류 패턴입니다. 이 방법을 사용하면 버전 관리 시스템(예: GitHub)에서 버전 관리가 가능하고, 재사용 및 공유가 가능한 리소스 구성을 정의함으로써 안전하고 일관적이며 추적 가능하고 반복 가능한 방식으로 인프라스트럭처를 구축, 변경 및 관리할 수 있습니다.➕Transcript이 문제는 다음과 같은 질문에서 시작됩니다: 전통적으로 인프라스트럭처는 어떻게 관리되어 왔는가?우리는 프라이빗 데이터 센터 내부에서 실행되는 VMware와 같은 전통적인 인프라스트럭처를 살펴봅니다. 전통적인 접근 방식은 이렇습니다: 제가 인프라스트럭처의 소비자라면, 티켓을 제출하고, 티켓 제출 대기열의 다른 쪽 끝에 있는 누군가가 티켓을 처리하여 관리 포털이나 관리 콘솔에 기록하고, 해당 인프라스트럭처를 제공하기 위해 가리키고 클릭합니다. 인프라를 많이 관리할 필요가 없다면 괜찮았습니다. 또는 인프라의 변동이 상대적으로 적다면 괜찮았습니다. 그리고 이것은 많은 사설 데이터 센터에 해당되는 사실입니다. VM은 수개월에서 수년 동안 사용되었고, 배포 규모가 상대적으로 제한적이었기 때문에 이러한 시스템을 수동으로 지정하고 클릭하여 관리할 수 있었습니다.이제 전환을 진행하면서 몇 가지 주요 변경 사항이 있다고 말씀드리고자 합니다.· 첫째: API 중심적인 클라우드 환경으로 전환합니다. 이것은 큰 변화입니다.· 둘째: 인프라의 탄력성이 훨씬 더 높아집니다. 자원의 수명이 몇 달에서 몇 년이 아니라, 이제 며칠에서 몇 주가 됩니다.인프라의 규모는 훨씬 더 큽니다. 왜냐하면 몇 개의 큰 인스턴스 대신에 더 작은 인스턴스가 많을 수 있기 때문에 제공해야 할 것이 훨씬 더 많습니다. 그리고 이 인프라는 주기적인 경향이 있습니다. 우리는 피크 타임에 부하를 처리하기 위해 확장할 수 있고, 고정 비용이 아니기 때문에 비용을 절약하기 위해 야간에 축소할 수 있습니다. 감가상각이 가능한 하드웨어를 소유하는 것과는 달리, 우리는 이제 시간당 비용을 지불하고 있습니다. 따라서 필요한 인프라만 사용하는 것이 합리적이며, 이러한 탄력성이 있어야 합니다. 그러니 갑자기 이러한 변화를 시작하게 됩니다. “매일 아침에 천 건의 티켓을 제출하여 최대 용량까지 늘리고, 밤에 다시 천 건의 티켓을 제출하여 용량을 줄인 다음, 이 모든 것을 수동으로 관리할 것입니다”라는 생각이 분명 어려워지기 시작합니다. 어떻게 하면 이것을 신뢰할 수 있고 견고하며, 사람의 실수에 취약하지 않은 방식으로 운영할 수 있을까요?인프라의 역동성에 변화가 있습니다. 따라서 인프라를 코드로 구현하는 것의 진정한 아이디어는 다음과 같습니다. 어떻게 하면 그 과정을, 어떤 의미에서 우리가 가리키고 클릭하여 달성하는 것들을, 어떻게 하면 그것을 체계적인 방식으로 포착할 수 있을까요? 따라서 한 번, 열 번, 또는 천 번을 해야 한다면, 그것을 자동화할 수 있습니다. 매일 아침, 저는 천 대의 기계를 가동하는 스크립트를 실행할 수 있고, 매일 저녁, 같은 스크립트를 실행하여 저녁에 필요한 규모로 다시 축소할 수 있습니다. 저는 이 작업을 자동화할 수 있을 뿐만 아니라, 이제 그것을 체계화된 형태로 캡처했으므로 버전 관리에 체크인할 수 있고, 버전 관리를 할 수 있습니다. 이제 누가 무엇을 변경했는지, 주어진 시점에서 제 인프라가 실제로 어떻게 정의되어 있는지, 그리고 전통적인 포인트 앤 클릭 환경에서는 부족했던 문서화의 투명성을 확인할 수 있습니다. 이것은 다음과 같은 측면에서 구전 전통이라고 할 수 있습니다. 구성이란 무엇입니까? 가리키고 클릭하고 설정해야 하는 것은 무엇입니까? 그것이 바로 가치입니다. 그것은 정말로 버전 관리(versioning), 코드의 재사용성(reusability of the code), 그리고 그 위에 자동화(automation)를 수행할 수 있는 능력입니다.➕What is Infrastructure as Code with Terraform?Terraform은 코드 기반 인프라 프로비저닝 엔진으로 가장 널리 사용되고 있습니다. IaC(Infrastructure as Code) 도구를 사용하면 그래픽 사용자 인터페이스를 통하지 않고 구성 파일을 통해 인프라를 관리할 수 있습니다. IaC를 사용하면 버전 관리, 재사용, 공유가 가능한 리소스 구성을 정의함으로써 안전하고 일관적이며 반복 가능한 방식으로 인프라를 구축, 변경, 관리할 수 있습니다.Terraform은 HashiCorp의 Infrastructure as Code 도구입니다. 사람이 읽을 수 있는 선언적 구성 파일에서 자원과 인프라를 정의하고 인프라의 수명 주기를 관리할 수 있습니다. Terraform을 사용하면 인프라를 수동으로 관리하는 것보다 몇 가지 장점이 있습니다.· Terraform은 여러 클라우드 플랫폼에서 인프라를 관리할 수 있습니다.· 사람이 읽을 수 있는 구성 언어를 사용하면 인프라 코드를 빠르게 작성할 수 있습니다.· Terraform의 상태를 통해 배포 전반에 걸쳐 자원 변경 사항을 추적할 수 있습니다.· 구성을 버전 관리에 커밋하여 인프라에서 안전하게 협업할 수 있습니다.모든 인프라 관리(Manage any infrastructure)테라폼 플러그인인 프로바이더를 사용하면 테라폼이 애플리케이션 프로그래밍 인터페이스(API)를 통해 클라우드 플랫폼 및 기타 서비스와 상호 작용할 수 있습니다. HashiCorp와 테라폼 커뮤니티는 아마존 웹 서비스(AWS), 애저, 구글 클라우드 플랫폼(GCP), 쿠버네티스, 헬름, 깃허브, 스플렁크, 데이터독 등 여러 가지 플랫폼에서 리소스를 관리하기 위해 1,000개가 넘는 프로바이더를 작성했습니다. 이미 사용 중인 많은 플랫폼과 서비스의 제공자를 Terraform Registry에서 찾을 수 있습니다. 원하는 제공자를 찾을 수 없는 경우 직접 작성할 수 있습니다.배포 워크플로우 표준화(Standardize your deployment workflow)공급업체는 컴퓨팅 인스턴스나 사설 네트워크와 같은 인프라의 개별 단위를 자원으로 정의합니다. 서로 다른 공급업체의 자원을 모듈이라고 하는 재사용 가능한 Terraform 구성으로 구성하고, 일관된 언어와 워크플로우로 관리할 수 있습니다. Terraform의 구성 언어는 선언적(declarative)입니다. 즉, 작업을 수행하기 위해 단계별 지침이 필요한 절차적 프로그래밍 언어와 달리 인프라에 대한 원하는 최종 상태를 설명합니다. Terraform 제공자는 리소스 간의 종속성을 자동으로 계산하여 올바른 순서로 리소스를 생성하거나 제거합니다.Terraform을 사용하여 인프라를 배포하려면 · Scope - 프로젝트의 인프라를 확인합니다.· Author - 인프라의 구성을 작성합니다.· Initialize - 인프라 관리를 위해 Terraform 플러그인을 설치합니다.· Plan - Terraform이 구성과 일치하도록 변경 사항을 미리 봅니다.· Apply - 계획된 변경 사항을 적용합니다.인프라 추적(Track your infrastructure)Terraform은 실제 인프라를 상태 파일로 추적하여 환경에 대한 신뢰할 수 있는 정보의 원천으로 활용합니다. Terraform은 상태 파일을 사용하여 인프라에 적용할 변경 사항을 결정하여 구성과 일치하도록 합니다.협업(Collaborate)Terraform을 사용하면 원격 상태 백엔드를 통해 인프라에서 협업할 수 있습니다. HCP Terraform을 사용하면 팀원들과 상태를 안전하게 공유하고, Terraform이 실행될 수 있는 안정적인 환경을 제공하며, 여러 사람이 동시에 설정을 변경할 때 경쟁 조건을 방지할 수 있습니다. HCP Terraform을 GitHub, GitLab 등과 같은 버전 관리 시스템(VCS)에 연결할 수도 있습니다. 이 경우, VCS에 구성 변경 사항을 커밋할 때 인프라 변경 사항을 자동으로 제안할 수 있습니다. 이를 통해 애플리케이션 코드와 마찬가지로 버전 관리를 통해 인프라 변경 사항을 관리할 수 있습니다.클라우드네트웍스는 HashiCorp 및 AWS의 공식 파트너로서, 기업 환경에 최적화된 IaC(Infrastructure as Code) 구축 및 운영 전략을 지원합니다. HashiCorp의 강력한 자동화 도구와 AWS의 유연한 클라우드 인프라를 결합하여, 효율적인 인프라 관리와 안정적인 운영을 실현할 수 있도록 도와드립니다.▶ HashiCorp : 자세히보기▶ AWS Cloud : 자세히보기 하시코프(HashiCorp) 기반의 IaC 구축 및 도입 상담은 클라우드네트웍스로 연락 부탁드립니다. 

기업과 조직은 전 세계적으로 데이터를 호스팅하고, 애플리케이션을 실행하고, 서비스를 제공하기 위해 리눅스(Linux)로 전환하고 있습니다. 시스템 가용성, 보안, 규정 준수 및 IT 생산성이 Linux 서버 환경의 우선순위라면 오라클 리눅스  지원(Oracle Linux Support) 서비스를 이용해보세요. 이번 블로그에서는 오라클 리눅스 지원 서비스의 가치에 대해 설명 드리겠습니다. ✅ 비용이 발생하는 자체 지원유능한 사내 IT 직원이 있는 경우 아웃소싱을 통해 지원을 제공하고 비용을 지불하는 것이 모순되는 것처럼 보일 수 있습니다. 하지만 셀프 지원의 숨겨진 비용을 실수로 간과하지 마십시오. Uptime Institute의 최근 IT 및 데이터 센터 중단 보고서에 따르면 모든 중단의 3분의 2 이상이 10만 달러를 넘는 비용으로 이어진다고 추정됩니다. 여기에 인적 자원, 필수 교육 및 중단 후 발생할 수 있는 초과 근무 수당과 관련된 추가 셀프 지원 비용을 합치면 기업은 상당한 부정적인 재정적 영향에 직면할 수 있습니다.셀프 지원 비용은 결코 무료가 아닙니다. 그리고 이는 쉽게 정량화할 수 있는 비용뿐만 아니라 무형 비용도 있습니다. 문제로 인해 실수나 중단이 발생하면 약속 불이행, 규정 위반, 잠재적인 평판 손상이 발생할 수 있으며, 이 모든 것에는 비용이 따릅니다.Oracle은 수십 년 동안 표준 기반 컴퓨팅을 지원하여 고객의 IT 인프라 비용을 절감해 왔습니다. Oracle Linux 지원 조직은 이와 Oracle의 규모의 경제성을 활용하여 고객을 지원하는 데 필요한 인력, 프로세스 및 기술을 제공하는 동시에 비용 절감 효과도 제공합니다. 고객은 Oracle Linux Premier Support와 Oracle Linux Basic Support라는 두 가지 Oracle Linux 지원 제안이 다양한 비즈니스 요구 사항에 큰 가치가 있다는 것을 알고 있습니다.✅ 커뮤니티를 넘어 오픈 소스 소프트웨어 지원Oracle Linux 지원을 통해 고객은 Oracle의 전 세계 지원 리소스와 Linux 지원 전문가에게 액세스할 수 있습니다. 고객은 또한 어떤 시스템이 셀프 지원이 필요한지, 어떤 시스템이 지원 구독으로 어떤 수준으로 제공되어야 하는지를 결정할 수 있는 유연성을 갖습니다. 결국 모든 시스템이 동일한 수준의 지원을 필요로 하는 것은 아닙니다.Oracle Linux는 Enterprise Linux 배포판이며 운영 체제의 구성 요소에 대한 지원 결정은 더 이상 커뮤니티에서 지원하지 않는 구성 요소를 포함하여 상류 커뮤니티에서 내린 결정과 독립적으로 이루어집니다. 지원을 받는 고객은 버그 수정을 요청하고 개선 요청을 제출할 수 있습니다.고객은 가장 중요한 IT 시스템 중 다수를 실행하기 위해 Oracle Linux에 의존합니다. 운영 체제의 장기적 안정적인 가용성에 대한 Oracle의 노력의 일환으로 Oracle Linux Premier Support 및 Oracle Linux 릴리스 5, 6, 7, 8 및 9에 대한 Oracle Linux Basic Support는 Oracle Linux 프로그램 출시일로부터 10년 동안 제공됩니다. Oracle Linux 프로그램에 대한 지원은 Oracle Linux Extended Support를 통해 추가 연도로 연장될 수 있으며, 그 후에는 평생 Sustaining Support가 제공됩니다.✅ 보안 및 가용성 유지Oracle Linux 지원은 고객이 비즈니스 운영을 안전하게 유지하는 동시에 운영과 혁신을 계속할 수 있도록 기능과 리소스에 대한 액세스를 제공합니다. 또한 지원 고객은 My Oracle Support를 사용하여 Oracle Linux에서 발견한 보안 취약성에 대한 서비스 요청을 제출할 수 있습니다.다운타임 없는 패치로 위험 완화보안 위협은 결코 중단되지 않습니다. 중요한 시스템의 침해는 치명적일 수 있으며, 대응이 약하거나 느리면 일상적인 운영이 중단될 수 있습니다. 셀프 지원을 통해 사용자는 정규 업무 시간 외의 적용, 전문 기술 유지, IT 팀이 긴 밤을 보내며 중요한 수동 업데이트를 수행하는 것에 대해 걱정해야 합니다. 또한 OS 패치에는 일반적으로 시스템 다운타임이 필요하며, 운영에 따라 몇 주 또는 몇 달간의 사전 계획이 필요할 수 있어 핵심 비즈니스 목표에 집중하는 데 방해가 됩니다.Oracle Linux Premier 지원 또는 Oracle Cloud Infrastructure 구독이 있는 고객은 Oracle Ksplice를 사용하여 재부팅하지 않고도 Linux 커널에 중요한 보안 패치를 적용하여 Oracle Linux 및 Ubuntu 시스템의 보안, 안정성 및 가용성을 높일 수 있습니다. 또한, Oracle Linux용 Ksplice는 중요한 사용자 공간 라이브러리(glibc 및 openssl)에 대한 제로다운타임 패치를 제공하며, 공격자가 특정 패치된 취약성을 악용하려고 시도할 경우 자동으로 경고를 보내는 알려진 악용 탐지 기능을 제공합니다.✅ 운영 체제를 넘어서는 뛰어난 지원Oracle Linux는 단순한 운영 체제가 아니라 보안 환경이며, 뛰어난 성능의 엔터프라이즈 애플리케이션을 개발하고 배포하기 위한 추가 인프라 소프트웨어를 포함합니다. Oracle Linux Premier Support를 통해 고객은 다음과 같은 운영 체제를 넘어 소프트웨어에 대한 지원을 받을 수 있습니다.• KVM 기반 가상화• Ansible/AWX 기반 인프라 관리 및 자동화• 컨테이너 및 Kubernetes 오케스트레이션완벽한 서버 가상화 및 관리 플랫폼 활용오픈 소스 oVirt 프로젝트에서 구축된 Oracle Linux Virtualization Manager는 엔터프라이즈급 성능의 Oracle Linux 커널 기반 가상 머신(KVM) 환경을 구성, 모니터링 및 관리하기 위한 서버 가상화 관리 플랫폼입니다. Oracle Linux Virtualization Manager를 배포하면 서버 리소스를 관리할 때 운영 비용을 낮추고 다양한 관리 인터페이스, 자동화 옵션 및 논리적 워크플로를 통해 최종 사용자에게 애플리케이션을 쉽게 배포할 수 있습니다.DevOps 프로세스 자동화오픈 소스 AWX 및 Ansible 프로젝트를 기반으로 하는 확장 가능한 인프라 자동화 기능인 Oracle Linux Automation Manager는 소프트웨어 프로비저닝, 구성 관리 및 애플리케이션 배포를 간소화하여 수동 프로세스를 줄이는 동시에 비즈니스 민첩성을 향상시킵니다. Oracle Linux Manager를 사용하면 사용자는 초기 설치, 소프트웨어 구성, 유지 관리, 업그레이드 및 최종 폐기에 이르기까지 Oracle Linux 소프트웨어 수명 주기를 관리할 수 있습니다. 또한 Oracle Linux 지원 고객은 Oracle OS Management Hub를 사용하여 중앙 관리 콘솔을 통해 Oracle Linux 시스템의 업데이트 및 패치 관리 및 모니터링을 간소화할 수 있습니다.차세대 클라우드 인프라 구축기술 환경이 빠르게 진화함에 따라 풍부한 컨테이너 기반 마이크로서비스, 수많은 API 및 복잡한 오케스트레이션이 있는 클라우드 네이티브 환경을 지원하기 위해 직원을 배치하고 팀을 교육하는 것은 어렵고 시간이 많이 걸립니다. Oracle Linux 사용자는 Oracle Linux용 Cloud Native Computing Foundation(CNCF) 인증 Kubernetes 모듈, 컨테이너 런타임, 서비스 메시, 스토리지 통합, 간소화된 네트워킹 및 유연한 관찰 및 진단 솔루션이 포함된 Oracle Cloud Native Environment를 통해 클라우드 네이티브 애플리케이션을 개발하고 관리할 수 있습니다. 하이퍼바이저, 네트워크 및 스토리지 가상화, 쿠버네티스, 자동화, 컨테이너, 클라우드 네이티브 기술 등 운영 체제 이외의 전문 지식이 없는 고객의 경우, Oracle Linux Premier Support 구독은 다양한 인프라 소프트웨어 및 기타 Oracle 기술에 대한 복잡한 문제를 해결할 수 있는 해당 분야 전문가의 지원을 제공합니다.✅ 멀티 벤더 솔루션 배포 간소화Oracle Linux 팀은 독립 소프트웨어 공급업체(ISV) 및 독립 하드웨어 공급업체(IHV)와 긴밀히 협력하여 소프트웨어와 하드웨어가 Unbreakable Enterprise Kernel(UEK)을 통해 Oracle Linux에서 인증되고 지원되도록 지원합니다. 이러한 고도로 조정된 기술적 노력은 Oracle Linux의 가치의 핵심 부분으로, 사용자가 출시 시간을 단축하고 위험을 크게 줄일 수 있도록 합니다.사용자가 여러 공급업체와 문제 해결을 조직하기 위해 많은 시간을 소모해야 하는 셀프 지원과 달리 Oracle Linux 지원은 고객을 위해 조정하고 업계 표준 협업 지원 조직인 Technical Support Alliance Network(TSANet)와 협력합니다. 서비스 요청이 발생하면 Oracle은 파트너와 신속하게 협력하여 지원 오버헤드를 최소화하고 해결 시간을 단축하는 데 도움이 되는 긴밀한 관계와 비즈니스 관행을 갖추고 있습니다. 또한 Oracle은 Oracle Collaborative Vendor Support(OCVS) 프로그램을 통해 수만 명의 Oracle PartnerNetwork(OPN) 회원과 협업을 촉진할 수 있습니다.마지막으로 Oracle Linux 지원팀은 Oracle Database, MySQL, Oracle Java, Oracle Cloud Infrastructure, Oracle Fusion Cloud Applications를 포함한 다른 Oracle 기술에 대한 지원 전문가와 협력하여 협력합니다. 이 단일 연락처는 고객이 가장 중요한 서비스 및 지원 문제를 해결하고 전체 Oracle 스택의 문제를 해결하는 데 도움이 됩니다.✅ 오라클 전문가의 지원으로 전문성 강화Oracle의 전 세계 24시간 연중무휴 Linux 지원은 145개국에서 29개 언어로 전화와 온라인으로 제공되며, 온프레미스, 클라우드 기반 또는 가상 환경에서 이용할 수 있습니다. Oracle Linux 지원 조직은 엔터프라이즈 소프트웨어와 IT 운영에 대한 포괄적인 지식을 보유하고 있습니다. 운영 규모 덕분에 이 조직은 전 세계의 최신 익스플로잇에 대해 보다 최신 정보를 얻고, 보안 위기에 대처하고, 고객이 시스템을 보호할 수 있도록 더 잘 준비할 수 있습니다.Oracle Linux 지원은 강력한 기능과 기술 지원 전문 지식에 그치지 않습니다. 지원 고객은 개인화된 서비스를 위해 기술 계정 관리자(TAM - Oracle Linux 지원 프로세스를 사전에 관리하고 에스컬레이션을 조정할 수 있는 Linux 전문가)를 고용할 수 있습니다. 또한 Oracle Linux 컨설팅 ​​서비스를 통해 복잡한 배포를 처리하고 Oracle Linux를 사용하는 비즈니스 프로젝트를 신속하게 실행할 수 있습니다.▶오라클 리눅스(Oracle Linux) : 자세히보기Oracle은 온프레미스, 클라우드 및 엣지에서 애플리케이션을 배포, 최적화 및 관리하는 데 필요한 모든 것을 갖춘 Linux를 고유하게 제공합니다. 보다 안전하고 관리하기 쉬우며 클라우드 규모의 까다로운 워크로드에 맞게 조정되었습니다. 자동화, 가상화, 관리, 고가용성, 클라우드 네이티브 도구, Kubernetes 등이 모두 포함되어 단일 Premier Support 구독으로 지원됩니다.클라우드네트웍스는 전담팀을 통해 오라클 리눅스의 구축 및 기술지원 서비스를 제공합니다.  오라클 리눅스 지원 서비스에 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다.

사실상 매주 제조업체가 사이버 공격을 받아 핵심 프로세스가 중단되는 이야기를 접할 수 있습니다. 이 상황에서 공장 관리자는 매우 중요한 역할을 합니다. 제조 조직의 생산성과 성과는 그의 손에 달려 있습니다. 바로 이곳에서 수익이 창출됩니다. 지속적인 사이버 보안 문제를 고려할 때, 공장 관리자는 OT 보안 팀의 새로운 해결사, 즉 자신의 개인 보안 요원으로부터 지원을 받아야 합니다.물류 회사 Reichhart의 CEO는 독일 Produktion Erfahrungsbericht의 "사이버 공격이 발생했을 때(Was bei einer Cyberattacke passiert)"라는 보고서에서 심각한 사이버 공격에 대한 경험을 매우 솔직하게 공유했습니다. 이 회사는 심지어 몸값을 요구하는 사이버 범죄자들의 편지를 공개하기도 했습니다. 독일 IT 협회 비트콤(bitkom)은 보도자료 "독일 경제에 대한 공격이 증가하고 있다(Angriffe auf die deutsche Wirtschaft nehmen zu)"에서 많은 기업들이 사이버 보안 문제와 관련하여 공급망 위험을 간과하고 있다고 강조했습니다.✅ 제조업체가 높은 위험에 노출되는 이유제조업체의 공격 표면과 위협 위험을 증가시키는 세 가지 요인이 있습니다. 1. 다운타임에 대한 낮은 허용치다운타임(downtime)은 제조업체에게 치명적입니다. *OEE(Overall Equipment Effectiveness, 설비 종합 효율)*라는 주요 KPI의 핵심 요소인 가용성은 제조업체의 북극성과도 같습니다. The Hidden Costs of Downtime in Manufacturing 보고서에 따르면, 제조업체의 다운타임 비용은 연간 약 2억 5,500만 달러에 달합니다.사이버 범죄자들은 이 기본적인 진실을 파악했습니다. 계획되지 않은 다운타임은 비용이 많이 들며, 생산 라인이 멈춰버리면 제조업체는 이를 복구하기 위해 막대한 비용을 지불할 수밖에 없습니다.2. 보호 없는 깊은 디지털 연결성레거시 시스템과 점점 더 상호 연결되는 디바이스들은 제조업체의 취약성을 드러냅니다. 제조 운영의 핵심인 산업 제어 시스템(ICS)은 종종 20년 이상 된 경우가 많아 인터넷에 직접 또는 간접적으로 연결되면 사이버 범죄자들에게 쉬운 목표가 됩니다. 심지어 소위 "에어갭 환경(air-gapped environment)"조차도 안전하지 않습니다. 공장 내 상시 존재하는 Wi-Fi 연결로 인해 항상 위험이 존재하기 때문입니다.공장 현장에서 보안이 제대로 설정되지 않은 OT(운영 기술)는 기업의 IT와 점점 더 연결되고 있으며, 가장 중요한 점은 기업의 소중한 공급망, 소매 파트너, 직접 소비자 네트워크와 연결되고 있다는 것입니다. 이러한 점점 확장되는 영향 범위는 해커들에게 더 많은 이익을 제공하기 때문에 이 산업이 주요 표적이 되고 있습니다.3. 부족한 가시성IT와 OT 간의 분리(Silo)는 가시성을 제한하고, 공장 현장의 다양한 포인트 솔루션에 대한 보안 범위를 축소시킵니다. 하이브리드 및 멀티클라우드 인프라로의 전환은 복잡성을 더욱 심화시키고 가시성을 감소시킬 위험이 있습니다. 이와 동시에 상호 연결된 공급망 네트워크와 직접 소비자 판매 증가로 인해 제조업계의 위협 소용돌이는 커지고 있습니다.✅ 시큐어 팩토리에서 회복탄력성(Resilience)을 구축하는 방법시큐어 팩토리를 통해 회복탄력성을 구축하기 위한 세 가지 검증된 방법이 있으며, 이상적으로는 이 모든 방법을 결합하여 실행하는 것이 좋습니다.🔸전체적인 가시성을 위한 IT/OT SOC 구축🔸IT 및 OT 환경 전반에 걸쳐 보안 운영을 통합하고 통합 위협 탐지, 조사 및 대응을 통해 SOC(보안 운영 센터)를 현대화하여 디지털 회복탄력성을 강화합니다. Splunk는 시장을 선도하는 SIEM - 스플렁크 엔터프라이즈 시큐리티(Splunk Enterprise Security)와 아래 그림에 나와 있는 심층 보안 포트폴리오를 통해 사이버 보안 분야에서 인정받는 리더입니다. Cisco와 함께 폭과 깊이를 더합니다.🔸전용 OT 보안 솔루션 추가🔸Splunk는 전용 OT 보안 추가 기능의 도움으로 제조업체들이 공장을 위한 강력한 차세대 보안 개념을 구축할 수 있도록 지원합니다. OT 보안을 위한 Splunk 추가 기능은 기존 스플렁크 엔터프라이즈 시큐리티(Splunk Enterprise Security) 프레임워크를 확장하여 OT 환경의 보안 가시성을 향상시킵니다. 이 기능은 카펫이 깔린(IT) 환경과 콘크리트(OT) 환경 모두에 적용되어 Splunk 엔터프라이즈 보안을 더 잘 적용하여 위협 탐지, 사고 조사 및 대응을 개선합니다. 기존의 전문 OT 보안 공급업체가 데이터 소스로 수집되어 IT 및 OT 환경 전반에 걸쳐 전체적인 가시성을 확보할 수 있습니다. Cisco의 OT 보안 솔루션인 Cyber Vision(OT 보안 분야의 선두주자)은 통합 앱인 Cisco Cyber Vision Splunk Add On을 통해 Splunk의 OT 보안 솔루션과 함께 작동합니다.운영 기술(OT) 보안용 솔루션 액셀러레이터(Solution Accelerator for Operational Technology Security)는 OT 환경에 대한 일반적인 사용 사례를 시작하고 보안 제어가 제대로 작동하는지 확인하는 데 도움이 됩니다. 또한, 아키텍처, 데이터 수집 방법, 설치 가이드에 대한 자세한 정보를 제공하여 이러한 OT 관련 문제를 극복하는 데 도움을 줍니다.결과적으로, Splunk를 통한 IT/OT 보안의 부가가치는 다음과 같은 점들로 구성됩니다.· IT 및 OT 환경 전반에 걸친 전체적인 가시성 : 중앙 IT/OT SOC를 통해 온프레미스, 하이브리드 또는 SaaS(Software as a Service)로 제공· OT 환경 커버리지 : 최신 ICS MIRE ATT&CK 규칙 구현과 OT 보안 공급업체 통합 (e.g.Cisco vision as data sources)· 보안 자동화 & 오케스트레이션 기술 : RBA(Risk-based Alerting), SOAR(Orchestration-Automation-Response), Attack Analyzer🔸NIS2 지침 구현🔸NIS2 지침은 사이버 보안에 관한 EU 차원의 법률입니다. 이 지침은 EU의 전반적인 사이버 보안 수준을 향상시키기 위한 법적 조치를 제공합니다. 이 지침은 2024년 10월부터 시행됩니다. 새로운 지침은 중요도가 높은 분야뿐만 아니라 많은 제조 조직에 적용됩니다. 주요 내용은 다음과 같습니다.· 엄격한 사고 보고 의무(24시간)· 최고 경영진의 개인적 책임· 최대 1,000만 유로에 달하는 막대한 벌금IT와 OT 환경 전반에 걸친 통합 가시성이 없다면 NIS2 지침을 이행할 수 없다는 것은 말할 필요도 없습니다.✅ 결론솔직히 말해서, 어려운 업무는 점점 더 어려워지고 있으며, 현실적으로 제조업에서 사이버 공격은 피할 수 없는 문제입니다. 하지만 초기 단계에서 이를 탐지하면, 공격을 완전히 방지하거나 그로 인한 결과를 완화하고 통제할 수 있습니다.구글에서 OT 보안(OT Security) 검색량이 크게 증가한 것은 이 주제가 제조업체들에게 얼마나 중요한 관심사로 자리 잡았는지를 보여주는 신호입니다.지난 몇 년간 방어적인 대응에 머물렀다면, 이제는 OT를 포함한 적극적인 보안 전략으로 전환할 때입니다. 점점 더 정교해지는 위협 환경, 특히 AI로 인해 고도화되는 사이버 공격에 대응하려면 OT 보안의 현대화는 필수입니다. 제조업체뿐만 아니라 OT 환경을 보유한 모든 조직이 새로운 보안 현실에 적응해야 합니다.IT 보안은 이제 당연한 기본 요건이 되었습니다. OT 보안도 마찬가지로 필수적인 요소가 되어야 합니다.​▶ 스플렁크(Splunk) : 자세히보기Splunk는 데이터 접근성을 개선하고, 데이터 기반 인사이트를 확보하고, 데이터 사일로를 제거할 수 있는 AI 기반 통합 보안 및 옵저버빌리티 플랫폼입니다. 업계 최고 수준의 데이터 플랫폼, 고급 분석, 자동화된 조사 및 대응을 통해 비지니스를 보호하고 보안 운영을 강화할 수 있으며, 기업 전체에 대한 옵저버빌리티로 모든 성능 문제가 비지니스에 미치는 영향을 파악하고 더욱 빠르게 해결할 수 있습니다. 클라우드네트웍스는 빅데이터 분야의 전문성을 기반으로 스플렁크 플랫폼의 구축과 기술 지원을 전문으로 하는 전담팀을 운영하고 있습니다. 스플렁크 도입 및 활용에 대한 문의사항은 공식 파트너사인 클라우드네트웍스 연락 부탁드립니다. 

조직이 성장하고 IT 인프라가 발전함에 따라, F5 BigIP에서 NetScaler로 마이그레이션하는 것은 NetScaler가 제공하는 유연성과 뛰어난 성능 덕분에 중요한 고려 사항이 될 수 있습니다.NetScaler를 처음 사용하거나 F5 장치에서 NetScaler로 마이그레이션을 담당하고 있다면, 이 글에서 F5에서 NetScaler로의 마이그레이션에 대한 기술적 개요를 확인할 수 있습니다. 일반적인 시나리오, 아키텍처, 두 플랫폼 간의 차이점을 자세히 설명하며, 네트워크 엔지니어든 시스템 설계자든 이 가이드를 통해 원활한 전환을 위한 필수적인 인사이트를 얻을 수 있습니다.✅ 마이그레이션 과정  이해하기마이그레이션에 뛰어드는 데 앞서, 현재의 F5 BigIP 배포를 이해하는 것이 중요합니다. 평가해야 할 주요 요소는 다음과 같습니다. · 트래픽 구조(Traffic Architecture): 소스 NAT 변환(SNAT) 또는 No SNAT? F5 어플라이언스가 백엔드 서버의 기본 게이트웨이 역할을 하고 있습니까? DSR(직접 서버 반환) 또는 자동 마지막 홉(Mac 기반 전달)이 필요합니까?· 구성 변환(Configuration Conversion): NetScaler 자동화 도구를 사용하여 변환될 VIP(Virtual IPs)와 iRule의 수를 확인하십시오. 특히 WAF, APM, GTM과 같은 고급 기능이 사용되는 경우 복잡성을 측정하십시오. NetScaler는 전환하는 동안 도움을 줄 수 있는 F5 구성 변환 도구(F5 configuration conversion tool)를 제공합니다.· 사용률 데이터(Utilization Data): NetScaler 가상 머신 및/또는 하드웨어 어플라이언스의 크기를 적절하게 조정하기 위해 현재 대역폭, HTTP 및 SSL 데이터를 확인합니다.✅ NetScaler로 원활하게 대체되는 일반적인 배포 시나리오시나리오 1 : F5 LTM 라우팅 아키텍처가장 일반적인 배포 유형입니다. 로드 밸런싱 VIP 트래픽만 BigIP로 라우팅되기 때문에 라우팅이라고 합니다. 로컬 L3 장치(라우터 또는 L3 스위치)는 로드 밸런서가 아니라 백엔드 서버 인프라의 게이트웨이입니다. SNAT(Source NAT)는 반송 트래픽이 로드 밸런서로 다시 라우팅될 수 있도록 합니다(소스 주소는 F5 자체 IP로 대체됨). 경로 테이블과 자동 마지막 홉 기능(NetScaler MAC 기반 포워딩과 동일)은 일반적으로 활성화됩니다.다음은 이 배포의 다이어그램입니다.NetScaler 라우팅 배포 접근 방식:· 마이그레이션 방법: 단계적 또는 병행적 마이그레이션 방식을 권장합니다(이 두 가지 방식에 대한 자세한 내용은 다음 섹션에서 확인하세요).· 1-arm 또는 2-arm 설정: NetScaler는 매우 유연합니다. 필요에 따라 BigIP 연결을 “미러링”하는 데 필요한 물리적 인터페이스 또는 VLAN의 수를 선택할 수 있습니다. 이 문서에서는 여기에서 사용할 수 있는 가장 일반적인 NetScaler 토폴로지를 보여줍니다.· 물리적 어플라이언스를 가상 어플라이언스로 대체: 또한 작업 부하 크기를 조정해야 합니다.시나리오 2 : BigIP F5 인라인 아키텍처인라인 아키텍처는 백엔드 서버의 기본 게이트웨이로 BigIP를 사용합니다. 로드 밸런서는 기본 게이트웨이인 경우, 로드 밸런싱이 적용되지 않는 트래픽을 처리하는 역할도 합니다. SNAT는 클라이언트 IP 정보를 IP 패킷에 보존하기 위해 반환 트래픽이 항상 로드 밸런서로 라우팅되기 때문에 비활성화됩니다. 이는 레거시 네트워크 환경에서 일반적입니다. 다음 그림은 이 시나리오를 보여줍니다.NetScaler 인라인 배포 접근 방식:인라인 배포는 더 이상 권장되지 않지만, 인라인 모드가 꼭 필요하다면 NetScaler를 사용해도 됩니다. 가능하면 라우팅된 아키텍처로 전환하십시오.NetScaler의 USNIP(SNAT) 모드는 기본적으로 활성화되어 있으며, 보다 효율적인 트래픽 관리 솔루션을 제공합니다. 이 모드를 비활성화하면(USIP 모드를 활성화하여), 백엔드 서비스에 대해 SNIP당 64,000개의 동시 서버 연결 제한이 생성되므로, 동시 연결이 많은 경우, 해당 VLAN에 여러 개의 SNIP를 추가하여 포트 연결을 늘려야 할 수 있습니다. 자세한 내용은 이 링크를 확인하시기 바랍니다.SNAT를 이전에 사용하지 않았고 NetScaler에 대해 활성화하는 경우, HTTP 트래픽에 대한 클라이언트 IP 헤더를 추가하는 X-Forwarded-For 헤더를 포함해야 합니다. 자세한 내용은 이 링크를 확인하십시오.SNAT와 관련하여, F5는 다양한 모드로 작동할 수 있으며, 이에 상응하는 NetScaler 기능은 다음과 같습니다.SNAT 자동 매핑:- F5 AutoMap: F5 장치는 SNAT를 수행하기 위해 자체 IP 중 하나를 자동으로 선택합니다.- NetScaler USNIP Mode: 기본적으로 활성화된 기본 방법입니다. 구성이 필요하지 않습니다. NetScaler는 송신 VLAN에 할당된 SNIP를 선택하고, 여러 SNIP가 바인딩된 경우 SNAT 연결이 모든 SNIP에 분산됩니다.Specify pool of IPs for SNAT:- SNAT Pool: SNAT에 사용할 특정 IP 주소 풀을 정의합니다.- NetScaler IPSET with NetProfle: NetScaler에서 IP 주소를 가진 IPSET 목록을 생성하고, Net Profile에 바인딩한 다음 VIP에 바인딩하거나, 동일한 Egress VLAN에 여러 SNIP를 추가하기만 하면 됩니다. 이 링크는 구성 방법을 보여줍니다.✅ 마이그레이션 접근일반적으로 두 가지 주요 마이그레이션 전략이 사용됩니다.1. 리프트 앤 시프트이 전략은 최소한의 재구성을 수반하며, 소규모 환경에 이상적입니다. 동일한 IP를 재사용하는 가장 빠른 접근법이지만, 전체 시스템이 한 번에 이동하기 때문에 롤백 위험이 더 높습니다.· 장점: 빠른 마이그레이션, 최소한의 재구성.· 단점: 더 높은 위험, 롤백이 더 어렵습니다.2. 단계적 마이그레이션이 접근법에서는 애플리케이션을 단계적으로 마이그레이션하여 다운타임과 위험을 줄입니다. 마이그레이션하는 동안 F5와 NetScaler가 공존하므로 단계별 테스트가 가능합니다.· 장점: 위험 감소, 점진적 테스트, 다운타임 최소화· 단점: 시간 연장, 공존의 복잡성다음 표는 주요 차이점을 보여 주므로, 어떤 방법이 더 적합한지 결정하는 데 도움이 될 수 있습니다.✅ VIP의 마이그레이션 방법VIP(가상 IP)는 IP 기반 또는 DNS 기반 방법으로 마이그레이션할 수 있으며, 방화벽에 NAT된 경우 NAT 기반으로 마이그레이션할 수 있습니다.1. VIP 마이그레이션 – IP 기반이 방법은 F5와 NetScaler 모두에 동일한 IP를 사용합니다. 아래 다이어그램은 이 방법을 보여줍니다.핵심 사항(Key Points)· 이 방법은 한 기기에서 다른 기기로 이동하는 동일한 VIP 주소를 유지합니다.· DNS 변경이 필요하지 않기 때문에 이 마이그레이션은 덜 복잡합니다.· 롤백은 빠르고 쉽습니다. 한쪽에서 IP를 비활성화하고 다른 쪽에서 활성화하기만 하면 됩니다.기술적 요구 사항(Technical Requirements)· 두 로드 밸런서가 동시에 활성화되어 있는 경우 SNIP가 달라야 합니다. 따라서 새 IP에 필요한 모든 방화벽 규칙을 열어야 합니다.· ARP와 Ping은 변경하기 전에 NetScaler(시스템>네트워크>IP)에서 비활성화해야 하며, 마이그레이션 중과 F5에서 비활성화한 후에는 활성화해야 합니다.잠재적 위험(Potential Risks)· IP를 잘못 구성하면(ARP/PING 비활성화 잊어버림), 네트워크에서 IP 중복 문제가 발생하여 서비스가 중단될 수 있습니다.2. VIP 마이그레이션 – DNS 기반이 접근 방식은 각 어플라이언스에 다른 IP를 할당하고, DNS 항목을 통해 트래픽이 어느 VIP로 이동할지 지정합니다. DNS 기반 방법은 마이그레이션 전에 전체 테스트를 수행할 수 있지만, DNS 전파 지연으로 인해 롤백 프로세스가 더 오래 걸릴 수 있습니다.핵심 사항· 이 방법은 다른 VIP 주소를 사용하며, 각 VIP에 대한 DNS A 항목을 새 VIP IP로 변경해야 합니다.· 이 마이그레이션은 그리 복잡하지 않지만, DNS 항목을 대량으로 변경하면 영향을 미칠 수 있습니다.· 롤백은 쉽지만, 일단 DNS 항목이 모든 클라이언트 호스트에 전파되어야 하므로, 그렇게 빠르지는 않을 수 있습니다.기술적 요구 사항· 두 로드 밸런서가 동시에 능동적으로 구현되면 SNIP가 달라야 합니다. 따라서, 새로운 IP에 필요한 모든 방화벽 규칙을 열어 두어야 합니다.· 두 어플라이언스가 동시에 활성화되고 ARP/Ping이 활성화됩니다.위험 요소· 롤백에 걸리는 시간은 몇 분에서 몇 시간까지 걸릴 수 있습니다.3. VIP 마이그레이션 – NAT 기반이 방법은 방화벽에 VIP가 NAT로 설정된 환경에서만 작동합니다. DNS 방법과 유사하게, 다른 IP를 사용하지만, DNS 항목을 변경하는 대신 방화벽의 NAT 규칙을 변경합니다.✅ GTM에서 GSLB로의 마이그레이션NetScaler GSLB는 F5 GTM 기능을 완벽하게 대체합니다. GSLB는 이미 NetScaler 라이선스에 포함되어 있으므로 추가 라이선스가 필요하지 않습니다. GSLB 용어에 익숙하지 않다면 이 글을 먼저 읽어보시기 바랍니다.아래의 단계를 따라 GTM에서 GSLB로 원활하게 마이그레이션하세요.GTM에서 GSLB로의 마이그레이션 접근법 – F5 GTM에서 NetScaler GSLB로의 전환은 매우 간단합니다. NetScaler 변환 도구에서 GTM 구성 파일을 사용하기만 하면 NetScaler 구성이 자동으로 변환됩니다.하위 도메인 위임을 사용하지 않는 경우, 각 개별 위임을 NetScaler ADNS IP로 변경하기만 하면 됩니다.서브도메인 위임을 사용하는 경우, DNS 서브도메인 마이그레이션은 사용자의 접근 방식에 따라 달라집니다.리프트 앤 시프트 – 원래의 모든 IP 주소가 보존된 경우(DNS IP 포함), GSLB를 사전 구성하고 유지보수 기간이 끝난 후에 테스트하는 것 외에 추가적인 변경이 필요하지 않습니다. 이 접근 방식은 모든 URL을 동시에 변경합니다.단계적 마이그레이션 – 이 방법을 사용할 때는 NetScaler의 새로운 ADNS IP 세트에 새로운 하위 도메인을 위임하기만 하면 됩니다. 현재 NetScaler로 앱을 옮기는 순간, DNS 서버의 CNAME 항목을 NetScaler 하위 도메인으로 변경하기만 하면 됩니다.- 예: F5 하위 도메인 gtm, URL: app.gtm.company.com, NetScaler 하위 도메인 이름 gslb, URL: app.gslb.company.com- 변경 기간 동안 NetScaler GSLB 하위 도메인 이름을 가리키는 CNAME 항목을 변경하기만 하면, 모든 DNS 요청이 자동으로 NetScaler GSLB ADNS IP로 전송됩니다. 매우 쉽고 간단하게 변경할 수 있습니다.✅ 결론두 플랫폼에 대한 적절한 계획과 이해를 바탕으로 F5에서 NetScaler로 원활하고 빠르게 전환할 수 있습니다. 리프트 앤 시프트 또는 단계적 접근 방식을 사용하든 트래픽 흐름, IP 주소 및 관련 구성이 올바르게 매핑되었는지 확인하십시오. 마이그레이션 중 서비스 중단이 발생하지 않도록 F5와 NetScaler의 용어와 기능의 차이점을 염두에 두십시오. 이 문서에서는 두 플랫폼의 주요 차이점을 설명합니다.이 가이드에 설명된 단계를 따르면 위험을 최소화하고 NetScaler로의 성공적인 마이그레이션을 보장할 수 있습니다.▶ 넷스케일러(NetScaler) : 자세히보기넷스케일러는 모든 ADC 작업을 한 곳에서 관리할 수 있는 유일한 애플리케이션 딜리버리 및 보안 플랫폼입니다. 소프트웨어 기반 아키텍처를 사용하여 단일 코드 베이스로 구축되었기 때문에, 하드웨어, 가상 머신, 베어 메탈, 컨테이너 등 어떤 ADC 형태를 선택하더라도 동일한 동작을 보장합니다. 환경에 구애받지 않는 인텐트 기반, API 중심의 멀티 클라우드 환경을 위한 애플리케이션 딜리버리입니다.클라우드네트웍스는 업계 최고의 기술력을 보유한 전담팀을 통해 넷스케일러의 기술지원 서비스를 제공합니다. 넷스케일러에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. 

2025년의 대다수 공격은 AI와 관련되거나 제로데이 취약점을 사용하지 않을 것입니다. 대신 노출된 자격 증명이나 사용자 접근 패턴과 같은 가장 쉬운 익스플로잇을 계속 노릴 것입니다.몇 달 전 열린 HashiConf에서 보안 수명 주기 관리(Security Lifecycle Management, SLM)의 구성 요소에 대한 비전을 논의했으며, 이 비전은 2024년 발표된 NIST 2.0 업데이트(2.0 update)와 밀접하게 맞닿아 있습니다. 2024년의 세 가지 사례는 오늘날 IT 환경에서 보안 침해가 어떻게 발생하고 있는지 명확히 보여주며, NIST 프레임워크의 다섯 가지 요소 중 보호(Protect), 식별(Identify), 탐지(Detect)에 해당합니다. 이 침해 사례들은 전 세계 조직들이 직면하고 있는 현재 위협 환경을 상징하며, 연구자들이 가장 흔히 발견하는 취약점을 대표합니다. 새해를 맞이하며 하시코프는 기업, 정부, 그리고 기타 조직들이 지난 몇 년간의 침해 사례에서 교훈을 얻어 시스템을 보호할 수 있도록 도울 예정입니다. 1. 시크릿 보호 : AI 서비스의 하드 코딩된 자격증명흥미로운 기능을 갖춘 최신 오픈 소스 도구가 많이 있지만, 해커가 고객과 회사 데이터에 침입할 수 있는 다양한 방법에 대한 위험 프로필이 명확하지 않은 경우가 많습니다. 한 예로, Wiz Research의 화이트햇 해커들은 다음을 포함한 여러 도구를 통해 한 회사의 취약점을 확인했습니다.· Istio (서비스 메시)· Loki (로그 집계 도구)· Kubernetes 및 Helm (오케스트레이션 도구)· ArgoCD (지속적 전달 도구)이 침해에 대한 자세한 내용은 여기(here)에서 확인할 수 있습니다. 특히 로그 유출에 주목하시기 바랍니다(로그에는 자격 증명이 유출되는 경우가 많습니다). 이 구성에서 누군가가 비밀번호를 직접 하드코딩한 것을 볼 수 있습니다. 이것은 안전하지 않을 뿐 아니라, 많은 구성에서 이런 일이 발생했다면 이를 교체하기가 어렵습니다. 하드코딩된 비밀번호는 여러 구성에서 키를 대규모로 교체할 수 있는 상위 시스템에 연결되어 있지 않기 때문입니다. 이 보고서에는 헬름(Helm)과 도커 레지스트리(Docker registry)와 같은 영역에 하드코딩된 비밀번호가 있는 다른 사례가 있습니다. 해커들은 쿠버네티스 클러스터 관리자 액세스 권한을 얻었기 때문에 비밀번호를 나열할 수도 있습니다. 이러한 문제를 신속하게 해결한 벤더에게 감사의 말을 전합니다. 이것은 특별한 경우가 아닙니다. 버라이즌 데이터 침해 조사 보고서(Verizon Data Breach Investigations Report)에 따르면, 도난당한 자격 증명은 위협 행위자들이 IT 시스템을 침해하는 가장 흔한 방법입니다.➡️ 시크릿 관리(Secrets management)이것이 바로 하시코프 볼트(HashiCorp Vault)와 같은 비밀번호 관리자가 많은 기업의 보안 전략에 매우 중요한 이유입니다. 하드코딩된 비밀번호 대신 환경 변수를 이 인증 필드에 넣기 시작하고, 그 변수를 Vault에 연결하면, Vault가 모든 비밀번호를 자동으로 순환시킬 수 있습니다. 이 방법은 좋은 사이버 보안 관행에 방해가 되는 수동 회전의 마찰을 제거할 뿐만 아니라, 해커가 이 필드를 볼 수 있는 권한을 얻더라도 일반 텍스트로 된 비밀번호를 볼 수 없다는 것을 의미합니다. 이것은 보안 모범 사례를 조직 전체에 전파하는 가장 쉬운 방법입니다. 또한, 문화 변화 이니셔티브에 의존하지 않고 엔지니어가 큰 문서를 읽고 모범 사례를 채택하기를 희망하지 않습니다. 기술을 사용하여 개발자를 자극하고 특정 행동을 요구하므로 항상 더 효과적입니다.2. 접근 식별 : 접근 도구의 확산으로 인한 위험성2024년에 발생한 또 다른 사건은 공격자들이 스노우플레이크(Snowflake) 데이터베이스에 접근할 수 있게 된 것입니다. 이 공격이 성공할 수 있었던 이유는 해당 Snowflake 고객사들의 직원과 계약자들이 해당 조직에서 일반적으로 사용하는 SSO(Single Sign-On) 또는 하드웨어 기반 MFA(Multi-Factor Authentication) 워크플로를 사용하지 않았기 때문입니다. 따라서 이들 고객 중 일부는 내부적으로 우수한 보안 도구와 프로세스를 갖추고 있었지만, 계약업체는 시스템에 액세스할 때 만료 기한이 없는 고정된 사용자 이름과 비밀번호를 사용했을 수 있습니다. 외부 기관이 비밀번호를 자주 바꾸지 않았다는 것은 놀라운 일이 아닙니다. 회사는 외부 기관에 내부적으로 시행되는 것과 동일한 보안 요구 사항을 제공하지 않았습니다. 이것은 확실히 프로세스 문제이지만, 기술 문제이기도 합니다. 내부 및 외부 당사자에게 모두 전파될 수 있는 표준화된 최신 보안 프로세스를 구현하도록 설정된 안전한 원격 액세스 시스템이 필요합니다. 그리고 내부 및 외부 당사자에게도 동일한 안전한 표준 오프보딩 프로세스가 필요합니다. 보안 도구 플랫폼 외부의 일회성 액세스 프로세스는 SLM 요구 사항을 따르지 않습니다. 그렇게 하면 오래 지속되는 인증 정보가 생겨서 오래 지속되는 보안 침해가 발생하게 됩니다. 그리고 이것은 볼트 비밀번호 관리의 중요성으로 되돌아갑니다. 이 공격에서 발견된 활성 인증 정보 중 일부는 3년 이상 된 것이었습니다.➡️ 최신 인프라 접근 시스템(Modern infrastructure access systems)이런 유형의 공격에 취약한 조직은 중앙 집중화되지 않은 여러 액세스 도구가 위험하게 확산되어 있거나, 중앙 집중식 솔루션이 있지만 모든 유형의 내부 및 외부 사용자를 온보딩할 수 있는 쉬운 방법이 없는 조직입니다. 이런 조직은 일반적으로 VPN, 방어용 호스트, 점프박스, 전통적인 PAM 및 이러한 솔루션을 기반으로 하는 기타 플랫폼을 사용합니다. 이러한 솔루션은 클라우드와 하이브리드 인프라 액세스 패턴의 일시적인 특성을 따라잡기 위해 고군분투하고 있습니다.조직은 접근 솔루션을 프록시 기반(사용자가 네트워크에 직접 접속하지 않음)의 아이덴티티 우선(identity-first) 최신 원격 인프라 접근 플랫폼으로 업그레이드하는 것을 고려해야 합니다. 이는 클라우드를 위해 현대화 중인 보안 팀이 선호하는 옵션이 되고 있습니다.HashiCorp Boundary(그리고 그 클라우드 서비스인 HCP Boundary)는 이런 유형의 플랫폼의 예이며, 스노우플레이크 해킹 사건의 원인이 되었던 대부분의 사용성 및 온보딩 문제를 해결합니다. 플랫폼 팀이 미리 세분화된 역할 기반 권한과 버튼 하나로 액세스할 수 있는 워크플로를 설정해 놓은 다음, 빠른 온보딩 패턴과 내장된 세션 녹화 기능을 통해 내부 또는 외부 당사자에게 푸시합니다.3.시크릿 탐지 : 저장소 복제 시 노출된 평문 자격 증명 이 마지막 이야기는 특정 사건이 아니라 일반적인 이야기입니다. 팀이 소프트웨어 아티팩트를 빌드하기 위해 GitHub Actions를 사용하고 있는데, 종종 GitHub 저장소의 버전을 Actions로 복제합니다. 소스 코드에 평문 시크릿 키가 있는 경우, 이러한 시크릿 키는 빌드 아티팩트를 위한 임시 디렉토리에서 노출됩니다. 이제 시크릿은 GitHub 소스 코드뿐만 아니라 Artifactory와 같은 도구에서도 노출될 수 있습니다. 여기서 중요한 점은 시크릿 확산(secret sprawl) 문제를 해결하려면 단순히 VCS에서 소스 코드를 검토하거나 스캔하는 것만으로는 충분하지 않다는 것입니다. CI/CD 시스템, 빌드 아티팩트, 위키, 문서화, 티켓팅 시스템, 그리고 회사 채팅까지 고려해야 합니다.➡️ 시크릿 스캐닝(Secret scanning)이러한 실수를 잡아내는 데 가장 적합한 도구는 비밀 스캐너(secret scanner)입니다. 검증된 HashiCorp Vault 제품군에는 시크릿 탐지 솔루션인 HCP Vault Radar가 포함되어 있습니다. Vault Radar는 다음과 같은 환경에서 비밀 키를 탐지하고 위험 수준을 평가합니다.· Git-based version control· AWS Parameter Store· Server file directory structures· Confluence· HashiCorp Vault· Amazon S3· HCP Terraform and Terraform Enterprise· JIRA· Docker images· SlackVault Radar와 같은 비밀 스캐너를 사용할 때 중요한 점은 경고 피로(alert fatigue)를 방지할 수 있는 기능과 인텔리전스를 제공하는지 여부입니다. 경고 피로는 비밀 키 노출이 일상적인 작업 중에 간과되는 일반적인 원인 중 하나입니다. 또한, 비밀 스캐너가 탐지 기능뿐만 아니라 예방 기능도 제공한다면 더욱 좋습니다. HCP Vault Radar는 Git pre-receive hook을 통해 시크릿이 버전 관리에 커밋되기 전에 노출되는 것을 방지할 수 있습니다.요점3가지 침해 사례를 기반으로 HashiCorp는 제품 개발에 반영한 세 가지 주요 교훈을 확인했습니다.1. 보안 모범 사례를 가능한 한 쉽게 따를 수 있도록 해야 합니다. 이를 표준 플랫폼 워크플로우에 통합하십시오.2. 도구는 안전한 앱 개발을 위한 워크플로를 만들기 위해 부서들이 함께 협력할 수 있도록 지원해야 합니다. 보안이 혼자서 모든 부담을 떠안아야 하는 것은 아니지만, 개발자가 보안 전문가가 될 필요는 없습니다.3. 알지 못하면 보호할 수 없습니다. 도구는 시크릿 사용과 시스템 접근에 대한 감사 추적 기능을 통해 가시성을 제공해야 합니다.많은 회사가 이러한 점에서 개선이 필요하다는 것을 알고 있습니다. 작년에 HashiCorp가 약 150개 기업 고객의 보안 관행을 조사한 결과, 평균적으로 조직은 전체 시크릿의 약 1/3만 적극적으로 관리하고 있으며, 나머지 2/3는 관리되지 않고 있다는 사실을 발견했습니다. 더 나은 보안 수명주기 관리를 향한 길이 알고 싶으시다면 하시코프 볼트, 바운더리를 포함한 SLM(Security Lifecycle Management) 제품군을 확인해보세요!▶ 하시코프 보안수명주기 관리 (HashiCorp Security Lifecycle Management) : 자세히보기HashiCorp의 Security Lifecycle Management 제품군은 클라우드 환경에서 자격 증명 노출을 줄이고 최소 권한 접근을 보장하며 비밀 관리의 복잡성을 해결합니다. Vault, Boundary, Consul을 통해 중앙 집중형 비밀 관리, 안전한 접근 제어, 서비스 간 안전한 연결을 지원합니다. 이를 통해 기업은 클라우드 인프라 전반의 보안 정책을 일관되게 적용하고 운영 부담을 크게 줄일 수 있습니다.클라우드네트웍스는 전담팀을 운영하며 국내 제조, 통신, 헬스케어 등 기업과 금융, 공공, 교육 등 다양한 산업군에 HashiCorp 솔루션을 안정적으로 공급하고 있습니다. HashiCorp SLM 제품군에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. 

보안 위협을 효과적으로 탐지, 조사, 대응하는 것은 쉽지 않습니다. 하지만 SIEM(Security Information and Event Management)이 있다면 이야기가 달라집니다.  SIEM은 사이버 보안 기술로, 데이터를 한 곳에서 관리하고 보안 활동에 대한 인사이트를 제공하며, 운영 역량을 강화하여 사이버 위협을 선제적으로 대응할 수 있도록 돕습니다.✅ SIEM이란 무엇인가?SIEM 솔루션은 “보안 정보 및 이벤트 관리(Security Information and Event Management)”의 약자로, 전체 분산 환경에 대한 완전한 실시간 가시성과 함께 과거 분석 기능을 제공함으로써 사이버 보안 태세를 강화할 수 있습니다. SIEM 기술은 조직의 회복력도 향상시킬 수 있습니다. SIEM은 위협과 기타 비정상적인 상황을 감지하기 위해 대량의 데이터를 몇 초 안에 수집하고 샅샅이 조사하여 비정상적인 행동을 찾아내어 경고합니다. SIEM 도구는 언제든지 IT 인프라의 스냅샷을 제공할 수 있습니다. 네트워크 애플리케이션, 하드웨어, 클라우드 및 SaaS 솔루션을 포함한 모든 소스의 데이터를 실시간으로 분석할 수 있는 이 기능은 조직이 내부 및 외부 위협에 대비하는 데 매우 중요할 수 있습니다.이번 블로그에서는 SIEM 기술의 핵심 기능과 역할을 살펴보고, 최적의 SIEM 솔루션을 선택하는 방법을 소개해드리겠습니다. ✅ SIEM 현황 : 2025 성장 추세2005년 가트너에 의해 소개된 SIEM 기술은 위협 탐지, 조사, 대응(TDIR, Threat Detection, Investigation, and Response)을 위한 중요한 도구로 발전했습니다. 보안 정보 관리(SIM)와 보안 이벤트 관리(SEM)를 결합한 SIEM은 이제 포괄적인 사이버 보안 관리, 제어, 규정 준수를 지원합니다.시장 성장과 동향SIEM 시장은 연평균 14.5%의 성장률을 보이고 있으며, 2021년 48억 달러에서 2026년에는 113억 달러에 이를 것으로 예상됩니다. 주요 성장 동인은 다음과 같습니다.· 사이버 범죄 증가: 공격의 범위와 규모가 증가함에 따라 강력한 위협 탐지에 대한 수요가 증가하고 있습니다.· IT 서비스 확장: 실시간 데이터 처리에 의존하는 조직이 증가하고 있습니다.· 복잡한 IT 생태계: 클라우드 도입의 어려움 때문에 SIEM이 필수적입니다.도전과 해결책데이터 유출로 인한 평균 비용은 2023년 전 세계적으로 520만 달러, 미국 기업에서는 1,010만 달러로 증가했습니다. 한편, 전 세계적으로 사이버 보안 기술 격차로 인해 수백만 개의 일자리가 공석인 상황에서 SIEM의 지능형 자동화의 필요성이 강조되고 있습니다. 2025년에도 SIEM은 디지털 인프라 보호에 필수적인 역할을 할 것입니다. 이 모든 것이 조직들이 지능형 자동화 SIEM 기능에 점점 더 의존하는 이유를 보여줍니다. 보안 위협이 증가하는 상황에서 앞서 나가려면 대규모 이벤트 로그 데이터를 이해해야 합니다.✅ SIEM 작동 방식그렇다면 대규모 IT 이벤트, 사고 및 로그 데이터 즉, '보안 정보 및 이벤트 관리'에 대해 이야기해 보겠습니다. SIEM 솔루션은 경계에서 최종 사용자에 이르기까지 서버, 시스템, 장치 및 애플리케이션을 포함한 네트워크 인프라 내의 다양한 소스에서 이벤트 데이터를 집계합니다. 궁극적으로, SIEM 솔루션은 사용자, 자산 등에 대한 컨텍스트 정보를 결합하여 추가적인 통찰력을 제공하는 중앙 집중식 보기를 제공합니다. 조직에서 정의한 행동 규칙에 대한 편차를 식별하기 위해 데이터를 통합하고 분석하여 잠재적인 위협을 식별합니다. 데이터 소스는 다음과 같습니다.· 네트워크 장치: 라우터, 스위치, 브리지, 무선 액세스 포인트, 모뎀, 라인 드라이버, 허브· 서버: 웹, 프록시, 메일, FTP· 보안 장치: 침입 방지 시스템(IPS), 방화벽, 안티바이러스 소프트웨어, 콘텐츠 필터 장치, 침입 탐지 시스템(IDS) 등· 애플리케이션: 위의 장치에서 사용되는 모든 소프트웨어· 클라우드 및 SaaS 솔루션: 사내에서 호스팅되지 않는 소프트웨어 및 서비스분석할 수 있는 속성에는 사용자, 이벤트 유형, IP 주소, 메모리, 프로세스 등이 포함됩니다.SIEM 솔루션은 예를 들어 “로그인 실패”, “계정 변경” 또는 “잠재적 멀웨어”와 같은 유형으로 편차를 분류합니다. 편차가 발생하면 시스템이 보안 분석가에게 경보를 보내거나 비정상적인 활동을 중단하는 조치를 취합니다. 경보를 발동하는 기준과 의심스러운 악성 활동에 대처하는 절차를 설정합니다. SIEM 솔루션은 패턴과 비정상적인 행동도 포착합니다. 이런 식으로, 하나의 이벤트만으로는 위험 신호로 인식되지 않는 경우에도, SIEM은 결국 여러 이벤트 간의 상관관계를 감지하여 경보를 발동할 수 있습니다. 마지막으로, SIEM 솔루션은 이러한 로그를 데이터베이스에 저장하여, 더 심층적인 포렌식 조사를 수행하거나 해당 규정을 준수하고 있음을 증명할 수 있도록 해줍니다. 클라우드 기반 SIEM 솔루션으로의 전환클라우드 컴퓨팅으로의 전환은 클라우드 네이티브 SIEM 솔루션의 개발을 이끌었고, 이 솔루션은 기존의 온프레미스 시스템에 비해 몇 가지 장점을 제공합니다.​· 확장성(Scalability): 클라우드 SIEM은 데이터 볼륨 증가에 맞춰 쉽게 확장할 수 있어 모든 규모의 조직에 적합합니다.· 유연성과 접근성(Flexibility and accessibility): 클라우드 기반이기 때문에, 이 SIEM은 어디서든 액세스를 제공하여 보안 이벤트의 원격 모니터링과 관리를 용이하게 합니다.· 비용 효율성(Cost-effectiveness): 하드웨어와 유지보수에 대한 상당한 초기 투자의 필요성을 줄여주며, 구독 기반 모델로 운영되어 더 경제적으로 운영할 수 있습니다.· 클라우드 서비스와의 통합(Integration with cloud services): 클라우드 SIEM은 다양한 클라우드 플랫폼 및 서비스와 원활하게 통합되도록 설계되어 다양한 환경에서 포괄적인 보안 모니터링을 보장합니다.클라우드 기반 SIEM으로의 전환은 확장성, 유연성, 비용상의 이점을 제공하여 오늘날의 역동적인 디지털 환경에서 보안 태세를 강화하려는 조직에 매력적인 선택입니다.✅ SIEM 이점SIEM 기술은 보안 분석가들이 기업 IT 환경 전반을 살펴보고 다른 탐지 수단을 회피하는 위협을 발견할 수 있도록 도와줍니다. 좋은 SIEM 솔루션은 보안 분석가들이 업무를 더 잘 수행할 수 있도록 도와주며, 조직이 다음과 같은 세 가지 주요 보안 과제를 해결하는 데 도움이 될 수 있습니다.· 가시성(Visibility). 최신 SIEM은 온-프레미스, 클라우드, 멀티 클라우드 및 하이브리드 환경 전반에서 사용자, 장치 및 애플리케이션에 대한 상황별 데이터를 검색하고 유지 관리하여 보안 태세를 실시간으로 업데이트합니다. 이 기능은 보안 분석가가 악의적인 사용자를 쉽게 찾아내고 위협을 정확히 파악할 수 있도록 해줍니다.· 허위 경보(False alerts). SIEM 솔루션은 허위 양성 경보의 수를 줄이는 데 도움이 될 수 있으므로 보안 분석가는 허위 경보에 시간을 낭비하지 않고 실제 위협을 신속하게 감지하고 조사할 수 있습니다. 잠재적 위협은 대시보드를 통해 식별, 분류 및 트리거된 다음 검토를 위해 분석가에게 전송됩니다.· 유연성과 확장성(Flexibility and scalability). 많은 SIEM 솔루션은 다양한 환경과 기술, 그리고 내부 및 외부 팀을 지원하며 통합합니다. 현대적인 SIEM은 현재와 미래의 요구를 충족시킬 수 있으며, 특히 기술적 영향력이 확대될 때 더욱 그렇습니다.전반적으로 SIEM의 이점은 기업이 막대한 비용이 드는 보안 위반을 방지하고 막대한 재정적 처벌과 평판 손실을 수반하는 규정 위반을 피할 수 있도록 도와줍니다. ✅ SIEM vs 사이버 보안 솔루션사이버 공간은 위협으로 가득 차 있습니다. 그리고 다양한 기술, 솔루션, 접근법의 약어들로 가득 차 있기도 합니다. 따라서 SIEM은 여러분이 들어본 다른 용어들을 떠올리게 할 수도 있습니다. 그 점을 명확히 해 보겠습니다. SIEM에서 UBA의 역할​다른 도구들도 SIEM 영역에 진출해 왔는데, 특히 사용자 행동 분석(UBA, user behavior analytics)이 대표적입니다. 사용자 및 엔티티 행동 분석(UEBA)이라고도 알려진 UBA는 내부 및 외부 위협을 발견하고 해결하는 데 사용됩니다.UBA가 더 진보된 보안 도구로 간주되는 경우가 많지만, 점점 SIEM 범주에 포함되고 있습니다. 예를 들어, Gartner Magic Quadrant for SIEM에는 UBA/UEBA 제품에 대한 정보가 포함되어 있습니다. UBA는 두 가지 방식으로 작동합니다.· 사용자 또는 애플리케이션 데이터에 대한 기준선을 만듭니다. 그런 다음, 위협이 될 수 있는 표준과의 편차를 강조 표시합니다.· 악의적인 행동을 모니터링하고 보안 문제를 예방적으로 해결합니다.이러한 기능은 조직의 네트워크 내에서 행동 패턴을 밝혀내어 이전에는 없었던 맥락을 제공하기 때문에 모든 SIEM 솔루션에서 중요한 역할을 합니다. 또한 보안 운영 센터(SOC) 팀에 알림이 전달되기 전에 경보를 필터링하여 경보 피로를 줄이고 분석가가 더 복잡하거나 긴급한 위협에 대응할 수 있도록 시간을 확보할 수 있도록 도와줍니다. SIEM과 SOAR의 비교SOAR은 “보안 오케스트레이션, 자동화 및 대응”을 위한 표준인 사이버 기술입니다. SIEM과 SOAR은 조직의 환경 전반에 걸쳐 데이터를 처리하고 분석하기 때문에 수동으로 처리할 수 없는 작업을 수행합니다. 다음은 SIEM과 SOAR 비교에 대한 간략한 요약입니다.· SIEM은 다양한 출처의 보안 데이터를 집계하고 분석하여 사이버 위협에 대한 귀중한 통찰력을 제공합니다.· SOAR는 머신 러닝 기반 자동화 및 오케스트레이션 기능을 활용하여 보안 사고에 우선순위를 부여하고 효과적으로 대응합니다.많은 기업들이 SIEM과 SOAR 솔루션을 함께 배포합니다.SIEM & XDR확장 탐지 및 대응(extended detection and response)의 약자인 XDR은 엔드포인트 위협 탐지, 조사 및 대응을 지원합니다. XDR은 SOC 분석가가 이러한 작업을 보다 효율적으로 수행할 수 있도록 분류, 검증 및 대응 프로세스를 간소화하는 데 도움이 되는 단일 플랫폼을 제공합니다. SIEM과 XDR 사이에는 두 가지 주요 차이점이 있습니다. XDR 도구는 수집하는 데이터를 제한하는 반면, SIEM은 모든 소스에서 데이터를 수집합니다. 데이터 수집을 제한함으로써, XDR 도구는 엔드포인트 위협 탐지의 범위와 정확성을 향상시킵니다. 그러나 XDR은 사기 조사와 같은 용도로 사용하기에는 적합하지 않을 수 있습니다. 이러한 조사는 여러 시스템과 솔루션에 걸쳐 이루어지는 경향이 있기 때문입니다. SIEM과는 달리, XDR 솔루션은 장기적인 저장 기능을 제공할 수 없습니다. 즉, 규정 준수 및 감사 요건을 충족하기 위해 다른 곳에 데이터를 저장해야 할 가능성이 높습니다. 그러나 XDR 시스템은 일반적으로 SIEM 플랫폼보다 조립 및 실행이 더 간단합니다. ✅ 실용적인 보안 : SIEM 도구SIEM 도구는 본질적으로 분석 중심의 보안 명령 센터(security command center)입니다. 종종 고도로 기능적인 SOC의 중심이 됩니다. 모든 이벤트 데이터는 중앙 집중식 위치에 수집됩니다. SIEM 도구가 분석과 분류를 대신해 줍니다. 더 중요한 것은, 인프라 전반에 걸쳐 보안 이벤트에 대한 실제 상황을 제공한다는 것입니다.SIEM 기술은 기본 로그 관리(basic log management) 및 경고 기능부터 강력한 실시간 대시보드, 기계 학습, 분석용으로 과거 데이터를 심층 분석하는 기능에 이르기까지 그 범위가 다양합니다. 선도적인 솔루션은 다음과 같은 수십 개의 대시보드를 제공할 수 있습니다.주요 사건에 대한 개요 또는 상세 보기진행 중인 모든 조사의 워크북점수 시스템을 이용한 위험 분석추가적인 맥락을 위한 위협 인텔리전스, 사용자 인텔리전스, 웹 인텔리전스, 프로토콜 인텔리전스(protocol intelligence)엔드-투-엔드 SIEM 프로세스는 데이터 수집에서 시작하여 문제 해결 및 규정 준수 보고를 자동화하는 메커니즘으로 끝납니다. 인텔리전스와 자동화는 SIEM 시스템의 핵심 구성 요소로서 SIEM 프로세스 워크플로우의 개별 기능을 가능하게 합니다. ✅ SIEM 도구의 7가지 핵심 기능시중에 수많은 SIEM 솔루션이 나와 있는데, 어떤 솔루션은 다른 솔루션보다 더 포괄적이고, 어떤 솔루션은 레거시 시스템보다 더 현대적입니다. 솔루션을 평가할 때, 어떤 현대적인 SIEM이든 반드시 갖추어야 할 다음과 같은 중요한 SIEM 기능을 염두에 두십시오. 데이터 집계 및 원활한 로그 관리우선, 최신 SIEM은 팀, 도구, 동료, 파트너로 구성된 생태계 전반에서 언제든지 어떤 구조의 어떤 출처에서든 모든 데이터를 수집, 분석, 모니터링할 수 있어야 합니다. 이를 통해 모든 SOC는 보안 스택 전반에서 실시간으로 진행되고 있는 상황을 통합된 관점에서 볼 수 있습니다. 또한 다음과 같은 기능도 제공합니다.· 하나의 중앙 위치에서 이벤트 로그를 관리합니다.· 여러 컴퓨터 또는 여러 날짜에 걸쳐 서로 다른 사건들을 연관 지어 보세요.· 전체적인 상황을 파악하기 위해 레지스트리 변경 사항이나 ISA 프록시 로그와 같은 다른 데이터 소스를 연결해 보세요.SIEM은 수백, 수천 개의 소스에서 데이터를 수집할 수 있어야 할 뿐만 아니라, 실제로 로그 데이터를 관리하고 검색하는 데 사용할 수 있는 사용자 친화적이고 직관적인 인터페이스를 제공해야 합니다. 이 로그 데이터는 SIEM의 더 많은 영역에서 활용될 것입니다.· 데이터 오케스트레이션 및 관리: 데이터 클린징, 정규화(normalization), 변환, 강화, 변환, 표준화 및 데이터 플랫폼 전반의 이동· 포렌식 및 조사: 실시간 모니터링, 데이터 분석, 이상 탐지 및 이벤트 상관관계 분석· 자동화된 위협 해결· 규정 준수 관리 및 보고실시간 보안 모니터링 및 분석공격이나 알려진 위협에 대처하는 데 시간이 오래 걸릴수록 피해가 커집니다. SIEM은 네트워크 내에서 발생하는 상황을 실시간으로 조감할 수 있는 기능을 제공해야 합니다. 여기에는 다음이 포함됩니다.· 사용자, 장치 및 응용 프로그램과 관련된 활동· 어떤 활동이든 특정 신원(Identity)에 연결되지 않은 활동원본에 관계없이 모든 데이터 세트에 적용할 수 있는 모니터링 기능(monitoring capabilities)이 필요합니다. 모니터링 측면 외에도 정보를 사용 가능한 형식으로 합성할 수 있는 기능이 필요합니다. 다음과 같은 기능을 갖춘 SIEM을 선택하십시오.· 사용자 정의 및 사전 정의된 상관 관계 규칙 라이브러리· 즉시 사용 가능한 상관 관계 검색· 보안 사건 및 사건을 실시간으로 볼 수 있는 보안 사건 콘솔· 위협 활동의 실시간 시각화를 제공하는 대시보드사고 조사, 포렌식, 대응보안팀이 너무 적은 맥락으로 가치가 낮은 경보를 조사하는 데 너무 많은 시간을 할애할 가능성이 있습니다. 부적절하게 정의된 탐지는 많은 양의 오탐(false positive)과 많은 추가 노이즈를 유발하여, 최전선에 있는 모든 사람을 빠르게 압도하고 과부하를 일으킬 수 있습니다. 최신 SIEM은 다음을 수행할 수 있습니다.· 데이터 시각화 및 상관관계 파악· 킬 체인(kill chain)에 따라 분류된 이벤트 매핑· 특정 알려진 경로에 해당하는 적의 전술에 대한 통찰력 제공위험 기여도 분석은 위협 추적의 최적화와 경보의 양을 줄이는 데 도움이 될 수 있습니다. 따라서 실제 양성 반응을 증가시키면서, 저수준 공격과 느린 공격과 같은 보다 정교한 위협을 드러낼 수 있습니다.사용자 모니터링가장 기본적인 수준에서, SIEM 도구는 액세스 및 인증 데이터를 분석하고, 사용자 컨텍스트를 설정하며, 의심스러운 행동과 기업 및 규제 정책 위반과 관련된 경보를 제공하는 사용자 모니터링 기능을 제공해야 합니다. 규정 준수 보고(compliance reporting)를 담당하는 경우, 권한이 있는 사용자(공격의 대상이 될 가능성이 특히 높은 사용자)를 모니터링해야 할 수도 있습니다. 이는 대부분의 규제 대상 산업에서 규정 준수 보고를 위한 일반적인 요구 사항입니다. 위협 인텔리전스와 탐지SIEM은 알려진 제로데이 공격이나 지능형 지속 위협과 같은 주요 외부 위협을 식별하는 데 도움이 되어야 합니다. 위협 인텔리전스(Threat intelligence)는 비정상적인 활동을 인식하고 취약점을 식별하여 취약점이 악용되기 전에 보안 태세를 강화할 수 있도록 도와줍니다. 이렇게 하면 대응 계획을 세우고 적절하게 문제를 해결할 수 있습니다. 이 정보는 탐지 기능에 정보를 제공합니다.위험 기반 알림기존의 사이버 보안 알림은 데이터를 SIEM으로 전달하는 도구에 의존하는데, 여기서 탐지 로직이나 벤더가 제공한 콘텐츠가 잠재적 위협에 대한 알림을 생성합니다. 그러나 이러한 접근 방식은 보안 운영 센터(SOC)에 과도한 알림으로 부담을 주어 알림을 무시하거나 포기하게 만들고, 응답을 지연시키며, 분석가의 피로를 유발합니다.위험 기반 경보는 위험 속성에 따라 노이즈 경보를 우선순위가 높은 사건으로 통합하여 이러한 문제를 해결합니다. 이 방법은 관련 사건을 하나의 사건으로 통합하여 조사 및 대응 효율성을 향상시킵니다. 주요 이점은 다음과 같습니다.· 보안 메타데이터(예: 경고 원인, ATT&CK 기법, 점수)로 관찰 내용에 태그 지정· 특권 사용자 개입 또는 외부 서버 노출과 같은 개체 속성에 따라 위험 점수를 동적으로 조정· 충분한 상관 관계가 있는 관찰 내용이 있는 경우에만 경고 트리거이 접근 방식은 보안 작업을 간소화하고 불필요한 정보를 줄이며 사고 해결을 개선합니다. 고급 분석 및 머신 러닝명확한 통찰력을 얻기 위해 데이터를 사용할 수 없다면, 전 세계의 모든 데이터가 도움이 되지 않습니다. 고급 분석은 통계, 설명적 및 예측적 데이터 마이닝(predictive data mining), 시뮬레이션, 최적화 등 정교한 양적 방법을 사용하여 더 깊은 통찰력을 제공합니다. 머신 러닝을 기반으로 하는 SIEM 도구는 시간이 지남에 따라 정상적인 동작과 실제 편차의 차이를 학습하여 정확도를 향상시킬 수 있습니다. 기술, 공격 벡터(attack vectors), 해커의 정교함(hacker sophistication)이 그 어느 때보다 빠르게 발전하고 있다는 점을 고려할 때, 이는 오늘날 특히 중요합니다.✅ SIEM을 시작하기 위한 모범 사례SIEM 솔루션의 가치를 극대화하려면 비즈니스 요구 사항, 업계 위험, 장기적인 보안 목표에 맞게 조정하는 것이 필수적입니다. 다음의 모범 사례를 따라 견고한 기반을 구축하고 SIEM의 잠재력을 최대한 발휘하십시오.철저한 계획 수립· SIEM 배포를 위한 구체적인 목표를 설정합니다.· 데이터 요구 사항, 네트워크 크기, 규정 준수 의무, 예산, 직원 전문성을 고려하여 사용 사례를 우선순위화합니다.· 기본 기능부터 시작하여 사용자 및 엔터티 행동 분석(UEBA) 및 보안 오케스트레이션, 자동화, 대응(SOAR)과 같은 고급 기능으로 발전하는 미래의 성장과 보안 성숙도를 고려합니다. 사용 사례 및 보안 로드맵 개요조직의 보안 목표를 확인하십시오. SIEM이 완전하고 정확하며 실행 가능한 데이터를 수신하도록 하십시오. 시스템에 입력되는 데이터의 품질에 따라 시스템의 효율성이 결정됩니다.유지 및 지속적인 개선SIEM은 “설정하고 잊어버리는(set-and-forget)” 도구가 아닙니다. 변화하는 비즈니스와 보안 요구에 적응하기 위해서는 정기적인 검토와 조정이 필요합니다.알림 세부 조정알림을 생성하는 기준을 정의하고, SIEM 응답이 실제 위협에 집중할 수 있도록 잘 조정되도록 하십시오. 지속적으로 알림 설정을 개선하여 오탐(false positive)을 줄이고 운영에 집중할 수 있도록 하십시오.숙련된 직원에 투자하기· SIEM을 실행, 관리, 유지할 수 있도록 직원들을 교육시키세요.· SIEM이 보안 관리를 단순화해 주지만, IT 환경의 변화에 따라 미세 조정하고 적응하기 위해서는 사람의 전문 지식이 필요하다는 사실을 인식하세요.SIEM 배포를 신중하게 계획, 유지, 최적화함으로써 조직의 변화하는 요구에 부응하면서 보안 운영을 강화할 수 있습니다.✅ 최고의 SIEM 솔루션은?SIEM에 대한 기본적인 이해가 있다면, 필연적으로 다음과 같은 질문이 뒤따를 것입니다: 내 산업, 위협 프로필, 조직, 예산에 가장 적합한 SIEM 솔루션을 어떻게 선택해야 할까요?이는 여러분이 무엇을 찾고 있는지에 달려 있습니다. 여러분은 현대적인 데이터 양, 오늘날의 정교한 공격, 그리고 스마트한 실시간 사고 대응을 추진해야 하는 필요성을 처리할 수 있는 무언가를 원할 것입니다.SIEM과 관련하여, 고객, 벤더, 그리고 공급업체들이 자신들이 필요로 하는 것이 무엇이고 어떤 옵션이 있는지 이해하는 데 도움이 되는 다양한 분석 보고서가 있습니다. 이러한 회사들은 특정 산업을 조사하고, 그 산업의 강점과 약점, 포지셔닝, 미래 성장과 전망을 파악합니다. 가트너, 포레스터, IDC가 제공하는 가장 SIEM 분석 보고서를 참고해보세요.· Gartner Magic Quadrant for SIEM· Gartner Critical Capabilities for SIEM· IDC MarketScape🔸 Splunk SIEM - Enterprise Security🔸Splunk는 10년 연속 Gartner Magic Quadrant for SIEM(Security Information and Event Management) Leader로 선정되었습니다.전 세계 수천 개의 조직이 Splunk Enterprise Security를 ​​SIEM으로 사용하여 중요한 이벤트를 신속하게 탐지하고 대응하여 새로운 위협에 앞서 나가고 사이버 회복력을 유지합니다. 광범위한 보안 분석 및 운영 사용 사례를 수행할 수 있는 기능을 통해 조직은 진화하는 위협과 비즈니스 요구 사항에 직면하여 유연하고 민첩하게 유지할 수 있습니다. 제품 페이지를 통해 자세한 내용을 확인하실 수 있습니다. 클라우드네트웍스는 스플렁크의 공식 파트너사입니다. 강력한 파트너십과 빅데이터 분야의 전문성, 기술력을 기반으로 국내 다양한 산업군의 고객사의 환경에 맞는 스플렁크의 확장 가능한 데이터 플랫폼을 구축 및 서비스하고 있습니다. 스플렁크 SIEM 솔루션에 대한 소개자료 및 제품 상담이 필요하신 경우 클라우드네트웍스로 연락 부탁드립니다. 

☑️ 쿼리파이 WAC 개요QueryPie WAC(Web Access Controller)은 웹 애플리케이션의 접근을 보호하고 활동을 기록합니다. 사내 관리자 사이트 및 SaaS 플랫폼을 포함한 웹 애플리케이션에 대해 권한이 부여된 사용자에게 접근을 허용하고, 로그와 스크린샷을 캡처하며, 민감한 데이터를 마스킹하고, 파일 전송과 같은 작업을 제어합니다.☑️ 쿼리파이 WAC 주요 특징QueryPie WAC은 모든 웹 애플리케이션을 통합하여 원활한 RBAC(Role-Based Access Control) 및 권한 관리를 지원하고, 보안 취약점을 차단합니다. 타임라인 기반의 기록으로 사용자 활동을 캡처하고, 상세한 로그와 스크린샷을 통해 활동에 대한 가시성을 제공합니다.웹 애플리케이션 통합 접근 제어사용자가 URL을 통해 특정 사이트를 탐색하거나 링크를 클릭하고 클립보드에 복사하는 등의 활동을 스크린샷과 함께 기록하며, HTTP 요청을 분석하여 이벤트의 명확한 흐름을 제공합니다.브라우저 타임라인 기반 사용자 활동 기록사용자가 URL을 통해 특정 사이트를 탐색하거나 링크를 클릭하고 클립보드에 복사하는 등의 활동을 스크린샷과 함께 기록하며, HTTP 요청을 분석하여 이벤트의 명확한 흐름을 제공합니다.이벤트 및 콘텐츠 기반 사용자 활동 추적사용자의 클릭, 타이핑, 클립보드 사용, 파일 전송 등 다양한 활동을 세밀하게 추적하여 기록합니다. 버튼 클릭과 같은 구체적인 동작을 기록하고, 이를 스크린샷과 함께 저장하여 활동을 쉽게 검토하고 분석할 수 있습니다.☑️ 쿼리파이 WAC 작동 방식QueryPie WAC은 사용자와 웹 애플리케이션 간의 게이트웨이 역할을 하며, 안전한 접근을 위해 역할 기반 접근 제어(RBAC)를 적용합니다. URL 탐색, 클릭, 파일 전송 등의 사용자 활동을 기록하고, 민감한 정보는 마스킹 처리합니다. 실시간 모니터링, 이벤트 추적 및 쉬운 SIEM 통합 기능을 통해, 웹 애플리케이션에 대한 뛰어난 보안과 가시성을 제공합니다.☑️ 쿼리파이 WAC 주요 기능웹 애플리케이션 통합 관리SaaS, 사내 애플리케이션 등 다양한 웹 애플리케이션에 대해 웹프록시와 크롬 익스텐션을 사용해 접근 제어를 통합 관리합니다. 보안 기능이 상대적으로 부족한 SaaS에서도 일관된 권한 제어와 로깅을 지원하며, 자체 구축된 GUI 콘솔을 통해 보안 사각지대에 있는 기업 내에서도 접근 제어 및 로깅을 제공합니다.역할 및 속성 기반의 접근 제어사용자 역할(RBAC)을 기반으로 웹 애플리케이션의 접근 권한과 정책을 관리하며, SaaS와 사내 애플리케이션 모두에 대해 로그인 인증과 접근 제어를 원활하게 통합합니다. 보안 기능이 제한적인 SaaS 애플리케이션에 대해서도 권한 부여와 로깅을 제공하여, 가장 필요한 곳에서 보안을 강화합니다.타임라인 기반 브라우저 모니터링웹 애플리케이션에서의 사용자 행동을 타임라인 기반으로 추적합니다.QueryPie는 사용자 활동을 스크린샷으로 캡처하고 권한을 관리하여, 모든 상호 작용을 실시간으로 명확하게 확인할 수 있도록 합니다. 실시간 타임라인 모니터링을 통해 관리자는 이상 징후를 신속하게 파악함으로써 사내 및 SaaS 애플리케이션 모두에서 뛰어난 보안을 보장할 수 있습니다.이벤트 및 콘텐츠 기반 사용자 활동 추적웹 애플리케이션에서 사용자의 클릭, 스크롤, 입력 등 모든 활동을 실시간으로 추적하며, URL을 통합 웹사이트 탐색부터 파일 전송까지 사용자의 행동을 완벽하게 파악하고 민감한 상호작용에 대한 완전한 가시성을 확보할 수 있습니다.원클릭 SIEM 통합QueryPie에서 기록된 모든 이벤트의 로그 스트리밍을 간소화하여, 웹 접근, 감사 및 사용자 활동을 포함한 데이터를 실시간 모니터링합니다. 이를 통해 관리자는 중요한 이벤트를 추적하고, 사용자 행동을 분석하며, 접근 패턴을 검토하여 보안 강화를 위한 인사이트를 제공합니다.서브 URL 접근 제어태그 기반 RBAC 및 ABAC 규칙을 사용하여 서브 URL 접근을 제어합니다. 관리자는 웹 애플리케이션을 잠그고, 사용자가 자신의 역할에 따라 허용된 페이지와 콘텐츠만 접근할 수 있도록 보장합니다.▶ 쿼리파이(QueryPie) : 자세히보기클라우드네트웍스는 국내 최대 규모의 쿼리파이 전담팀을 기반으로, 검증된 기술력과 경험을 바탕으로 구축부터 운영까지 지원합니다. QueryPie WAC 솔루션에 대한 문의는 클라우드네트웍스로 연락주시기 바랍니다.