Cloud Computing On Demand

크롬 브라우저가 새로운 버전(v45) 으로 업데이트 되면서 성능 개선에 대한 이야기가 많이 나오고 있습니다. 그런데 성능 개선과 별도로 일부 서비스에서는 이슈가 발생하기 시작해서 살짝 살펴보았습니다. 개인적으로 경험한 웹 사이트는 SK텔레콤의 포털인 T World 에서 로그인이 제대로 되지 않는 현상이었고 이는 현재 진행형으로 오류가 발생하고 있습니다. 아마도 서비스 개발팀 쪽에서는 인지하고 있을 것 같은데, 조치가 서버단에서 이루어져야 하는 관계로 시간이 소요되는 것으로 보입니다.

구글 Chromium 그룹에서 이야기 되는 내용에 따르면, 1) 크롬은 여전히 v45 에서 TLS v1.0 을 지원하고 있으니 TLS 버전 이슈는 아님, 2) 다만 크롬이 접속하려는 서버가 TLS Handshake 하는 과정에 이슈가 있을 경우, 기존에는 크롬이 Workaround 해주었지만, 3) v45 부터는 더이상 해당 Workaround 를 지원하지 않아서 발생하는 문제다 정도입니다. 구체적으로 어떤 웹 서버의 특정 버전이 이슈가 있는 것인지는 명확하게 정리된 내용을 찾지 못했습니다만 조치를 위해서는 서버측의 TLS Handshake 에 대한 보완이 필요한 것으로 추정됩니다.

SK텔레콤의 T world 의 경우 대표 도메인에서 로그인 시에는 별도이 도메인으로 이동하여 인증처리를 하고 있는데요, 해당 도메인이 TLS Handshake 상의 버그를 가지고 있는 것으로 보입니다. curl 로 서버의 종류를 판별해 보려고 했으나 잘 되지 않아 말씀드리긴 애매합니다. 여튼, 서비스를 운영하시는 분들중 특히 TLS 를 이용하여 HTTPS 통신을 할 때, 서버가 문제 없는지 크롬 v45 이상으로 확인해 보실 것을 권고해 드립니다.

서비스를 제공하는 사람과 회사는 늘 악의적인 해커의 공격으로부터 서비스 인프라와 사용자들을 지켜야 하는 숙제를 안고 있습니다. 우리 회사의 웹 사이트는 안전한지, 공격이 발생했을 때 어떻게 사용자 정보를 보호할 것인지, 그리고 공격이 지속되는 상황에서 어떻게 서비스를 지속적으로 제공할 수 있도록 할 것인지에 대한 고민을 해야만 합니다. 세계 최대 CDN 공급 사업자인 아카마이(Akamai)는 이런 고민들 중 "지속적인 서비스의 제공" 관점에서 DDoS 공격 발생시 그 여파를 경감시킬 수 있는 보안 사업자를 선택하는 4가지 포인트를 인포그래픽으로 정리하여 공개했습니다.

#1. 위협에 대한 뛰어난 지식을 보유하고 있는가? (Maximal Threat Intelligence)

IT 기술이 발달하는 것과 보조를 맞추어 해커들의 공격 기술도 더욱 정교하게 바뀌고 있습니다. 다양한 계층에서의 공격 (e.g. OSI 7 Layer) 은 물론이고 서비스 인프라의 취약점을 발빠르게 캐치하여 진행하는 공격 등 해커들의 수준이 점점 높아지고 있습니다. 따라서 보안 사업자를 선정함에 있어 이러한 최신의 공격을 잘 이해하고 있는지, 그리고 어떻게 방어해야 할지를 알고 선제적인 조치를 취해줄 수 있는지를 검토해야 한다고 아카마이는 이야기하고 있습니다.

#2. 얼마나 많은 공격을 막아본 경험이 있는가? (Most Front-Line Experience)

음식도 많이 먹어본 사람이 맛집을 잘 찾는 것처럼 해커들의 공격 역시 많이 경험하고 막아본 사업자만이 잘 막을 수 있다는 것은 당연한 사실입니다. 하드웨어 기반의 DDoS 어플라이언스를 도입할때도 늘 중요하게 평가되는 것이 얼마나 많은 기업들이 장비를 도입 했고 사용하고 있는가 입니다. 시대가 클라우드 세상으로 바뀌면서 하드웨어 어플라이언스를 도입하는 것보다는 플랫폼을 이용하면서 플랫폼이 제공하는 방어 도구를 이용하는 경우가 많아지고 있습니다. 아카마이라던가 아마존처럼 글로벌 클라우드 인프라를 운영하는 회사들은 아무래도 이런 부분에서 경험치가 높을 수 밖에 없을 것 같습니다.

#3. 다양한 방법을 이용하여 DDoS 를 경감시킬 수 있는가? (Best Mitigation Capabilities)

해커들의 공격은 매년 규모가 더 커지고 있습니다. 제로데이 취약점을 이용하여 미처 보안 업체들이 패턴 업데이트를 하거나 취약점에 대한 패치가 공급되기 전에 공격이 시작되는 경우도 많습니다. 이런 공격들이 발생했을 때 얼마나 효과적으로 다양한 방법을 이용해서 DDoS 공격을 경감시키고 막을 수 있을 것이냐는 중요한 포인트입니다. 웹 방화벽으로 불리우는 7계층의 WAF 에서부터 IP / TCP 계층에서의 공격 등 다양한 형태의 공격을 대응 하나의 플랫폼으로 대응할 수 있는 기업은 아직 많지 않은 것 같습니다.

#4. DDoS 경감을 위한 인프라의 가용량이 충분한가? (Global Mitigation Capacity)

DDoS 공격이 무서운 것은 서비스 인프라의 자원이 정상적인 서비스를 할 수 없도록 만들기 때문입니다. IT 인프라의 수준이 발달하는 만큼 DDoS 공격의 규모가 커지는 것은 서비스 불가 상태를 만들기 위해 더 많은 공격 자원이 필요하다는 것과 일맥상통하는 부분입니다. 결국 그러한 공격을 받아낼 수 있는 인프라, 플랫폼을 가지고 있지 않은 사업자는 DDoS 에 대한 대비책으로 선택하기는 어려워 보입니다. 순간적으로 수백기가 혹은 테라급의 트레픽이 몰려왔을 때도 문제 없는 플랫폼을 가진 사업자의 선정이 중요한 포인트라 하겠습니다!

서비스를 기획하고 준비하는 단계에서부터 바야흐로 글로벌을 생각해야만 하는 시기입니다. 이는 언제든 대규모의 공격이 발생할 수 있고 이에 대한 대비도 같이 해야한다는 것을 의미합니다. 아카마이, 엣지캐스트, 아마존, 애져 등 많은 클라우드 사업자들은 근래에 보안에 대한 많은 상품과 전략을 발표하고 있습니다. 이는 고객들의 니즈가 보안에 많다는 것을 의미하고 이를 잘 처리할 수 있는 기업이 또 한번의 플랫폼 전쟁의 승자가 될 수 있다는 것을 암시합니다. 여러분의 선택은 어떤 플랫폼인가요...?

미국시간으로 4월 29일 부터 3일간 샌프란시스코에서 마이크로소프트의 개발자 컨퍼런스인 빌드(Build) 2015가 개최됩니다. 예년의 행사가 그러했듯 이번 행사도 다양한 주제로 마이크로소프트의 기술을 비롯하여 업계의 동향을 알아볼 수 있는 알찬 세션들이 준비된 것 같습니다. 직접 현장에서 참석하지 못하는 아쉬움은 채널9 등 여러 채널을 통해서 달래야 할 것 같습니다. 너무 많은 주제가 다루어지기 때문에 무턱대고 세션 제목만 보고 뛰어들기 보다는 마이크로소프트가 가이드하는 난이도에 따라 세션을 선택하면 좋을 것 같습니다.

워낙 다양한 주제가 다루어지기 때문에 어떤 특정한 주제가 핵심이다라고 말하긴 힘들겠습니다만 여러 사업들 중에서 가장 순항을 하고 있는 애져(Azure)와 곧 출시될 윈도10(Windows 10)이 많은 주제들의 중심에 서 있는 건 확실해 보입니다. 두가지 주제가 아무래도 개발자들이나 IT 종사자들 사이에서 가장 관심있는 주제가 될 수 밖에 없나 봅니다. 마이크로소프트 입장에서도 강한 녀석들이 더 강해질 수 있도록 지원사격 하는 것이 당연한 이치일 것이겠구요!

한편 너무 많은 세션들을 어떻게 골라서 들어야 할지 모르겠다 싶으시다면 빌드 모바일 앱을 이용해서 알람도 미리 받고 스케쥴링도 해보시면 도움이 많이 된다고 합니다. 저도 아직 써보지는 않았지만 빌드 컨퍼런스 참여하는 분들에서부터 원격으로 듣는 분들까지 스케쥴링을 위해서는 필수적으로 쓰면 좋은 앱이라고 하니 한번 이용해 보시기 바랍니다!

웹 사이트를 개발하고 꼼꼼한 테스트를 통해 런칭을 하고나면 왠지 한숨이 놓입니다. 사용자들이 서비스에 대해 좋은 반응을 보이고 열심히 지속적으로 찾아준다면 그 감격은 두배가 되곤 하지요. 하지만 시간이 흐르면서 웹 사이트에서는 새로운 기능들과 메뉴가 추가되고 예상치 못한 사용자들의 활동으로 인해 전에 없던 버그가 도출되기도 합니다. 빠르게 변화하는 시장 상황과 사용자 요구사항에 맞추어 소스코드 변경 및 형상 반영이 바쁘게 돌아가기 시작하면 지엽적인 단위 테스트만 수행한 채 상용 서버로 배포되는 일도 종종 발생하곤 합니다.

단위 테스트처럼 서비스와 기능을 구성하는 가장 기본적인 체크는 당연히 변경된 부분들에 대해 수행해야 합니다. 하지만 웹 사이트, 웹 서비스라면 전체적인 사이트의 동작을 사용자 관점에서 점검하고 관리할 필요가 있습니다. 단순히 호출과 응답을 확인하는 수준에서는 사용자 관점의 테스트가 쉽지 않기 때문에 많은 테스터 분들이 테스트 시나리오에 근간하여 반복적이고 기계적인 테스트 작업을 수행합니다. 하지만 고스트 인스펙터(Ghost Inspector)와 같은 툴을 이용한다면 소규모의 인력으로도 효과적인 테스트를 지속적으로 수행할 수 있습니다.

고스트 인스펙터는 크롬 확장 기능을 통해 제공되는 레코더(Recorder)를 이용하여 사용자가 크롬 브라우저를 이용하여 웹 사이트에 대해 행하는 행동을 꼼꼼하게 기록하여 입력의 자동화와 결과물의 비교는 물론이고 클라우드 기반의 시뮬레이션 환경을 통해 이같은 테스트를 지속적이고 반복적으로 수행하고 결과를 관리할 수 있는 서비스를 제공합니다. 레코더를 이용하지 않더라도 잘 준비된 테스트 설정 도구를 이용하여 스텝 바이 스텝으로 사용자의 동작을 시뮬레이션하고 테스트를 하는 것도 물론 가능합니다.

고스트 인스펙터는 무료 티어를 제공하고 있기 때문에 개인 개발자들도 큰 비용 없이 한달에 100 회의 테스트를 수행해 볼 수 있습니다. 웹 사이트의 동작 상황을 영상으로 촬영하여 보여주는 것은 물론이고 스크린 샷 비교를 통한 웹 사이트 렌더링 이미지 비교 및 API 호출 등 고급 기능들도 100 회의 범주 안에서 제공되고 있기 떄문에 본격적으로 유료 사용을 시작하기 전에 충분히 기능을 테스트하고 서비스 및 테스트 환경에 적합한지 검토해 볼 수 있는 점은 프리미움(Freemium) 서비스만의 장점이라 하겠습니다.

점점 복잡해지는 서비스 환경에서 반복적이면서도 모든 시나리오를 커버하는 자동화 테스트 툴에 대한 니즈가 점점 높아지고 있습니다. 고스트 인스펙터는 현실에서 요구되는 모든 기능들을 완벽하게 제공하지는 못합니다. 하지만 상당한 테스트 영역을 자동화로 커버해 줄 수 있기 때문에 현실에서 사람이 해야 하는 많은 테스트 공수를 줄여줄 수 있다는 점에서 그 의미가 있다 하겠습니다. 10명 정도의 팀원이 한달동안 3만회의 테스트를 하는 비즈니스 상품도 99달러선이니 가격도 나름 합리적인 수준 아닐까요? 반복적인 리그레션 테스트에서 이제 해방을 꿈꿔보시기 바랍니다!