네트워크의 세그먼트가 점점 늘어나고 있다. 당연히 네트워크 관리가 힘들어질 것이라고 예상이 되겠지만 꼭 그런 건 아니다. 오히려 구간별로 더 자세히 네트워크를 들여다볼 수도 있다. 최근 이런 맥락에서 홉바이홉이라는 네트워크 관리 기법이 활성화되고 있다.

[보안뉴스 문정후 기자] 네트워크는 자꾸만 커지고 있으며, 그 과정에서 새로운 세그먼트들이 끊임없이 추가되고 있다. 덩치만 커지는 게 아니라 복잡하기도 하다. 그러면서 스위치 배치와 라우팅 문제 역시 복잡해지고 있다. 이런 변화는 네트워크의 속도에 직접적인 영향을 준다. 그렇기 때문에 패킷이 네트워크 한 쪽에서 다른 쪽으로 움직일 때 점점 더 긴 시간이 요구된다. 뿐만 아니라 네트워크 가시성 확보라는 측면에서도 크고 작은 문제가 야기되며, 이 과정에서 패킷 손실이 발생하거나 지연율이 높아지게 된다. 다양한 네트워크 장비들의 서로 다른 특징들까지 여기에 더하게 되면 네트워크에 대한 가시성을 투명하게 확보한다는 건 불가능에 가까운 일이 된다. 당연히 문제가 생겼을 때 해결의 속도도 느려진다.


최근 조사에 의하면 네트워크 관리 팀의 1/5이 “네트워크 전체 범위에의 모니터링 기능을 향상시키는 것이 2022년 가장 시급한 일”이라는 의견을 내비쳤다. 과반의 비율까지는 아니지만, 이전에 비해 네트워크 가시성에 대한 수요가 높아진 것만큼은 분명하다. 또 하나 고려해야 할 것은, 스위치와 라우터가 늘어나는 것에 대한 긍정적인 면모들도 존재한다는 것이다. 이런 장비들이 하나씩 연결될 때마다 트래픽의 흐름과 패킷을 들여다 볼 기회가 생긴다는 뜻이 되며, 네트워크 운영 팀들은 부분별 혹은 구간별로 네트워크를 점검할 수 있게 된다. 이번 글에서 필자는 이런 부분별(hop-by-hop) 네트워크 모니터링에 대하여 언급하고자 한다.

먼저 네트워크 장비들의 역사에 대해 간략히 짚고 넘어가고자 한다. 수년 전만 해도 스위치, 라우터, 방화벽과 같은 네트워크 장비들은 각각의 역할이 분명하게 정립되어 있었다. 그리고 잘 구분되어 있기도 했다. 각 장비는 그러한 필요와 역할에 맞게 현장에서 설정되고 관리되었다. 하지만 시간이 지나면서 이러한 장비들이 했던 역할을 소프트웨어들이 맡아서 수행하기 시작했다. 네트워크 관리자들은 패킷들이 언제 어떻게 어떤 이유로 어딜 향해 라우팅되어야 하는지, 이러한 소프트웨어를 통해 결정하고 제어할 수 있게 되었다. 그러면서 기존의 네트워크와 오늘 날의 네트워크는 큰 차이를 보이게 되었는데, 이는 위에서 말했듯 위기가 되기도 하고 기회가 되기도 한다.

네트워크에 있는 모든 라우터와 스위치는 네트워크를 구역별로 나누고, 해당 구역 내의 문제들을 식별하는 데에 활용될 수 있다. 예를 들어 특정 애플리케이션이 계속해서 퍼포먼스를 제대로 선보이지 못해서 원인을 밝혀내야 할 때, SLA를 인증해야 할 때, 통신 서비스 품질을 평가할 때, SD-WAN 부하의 균형을 잡아야 할 때, 온프레미스에스 클라우드로 이동하는 트래픽을 파악해야 할 때 등 세밀하게 네트워크를 나눠서 조사할 수 있게 된다. 이런 구역/부분을 ‘홉(hop)’이라 부르기도 하는데(그래서 이런 식의 네트워크 관리법을 홉바이홉(hop-by-hop)이라고 부른다), 사실 홉은 패킷 하나가 라우터나 스위치 등 네트워크 장비를 통과하는 것을 말한다. 따라서 네트워크 내 홉의 개수는 네트워크 내 네트워크 장비의 개수와 동일하다. 

그렇다면 이 ‘홉’들을 우리는 어떻게 관찰해야 할까? 가장 기본적인 방법은 IP 주소나 호스트네임에 트레이스라우트(TRACEROUTE)라는 명령을 활용하는 것이다. 그러면 각 패킷들이 어떤 라우터와 스위치들을 통과하는지 볼 수 있게 된다. 뿐만 아니라 각 ‘홉’에 걸리는 시간이 어느 정도인지도 파악할 수 있다. 네트워크 트러블슈팅을 하는 데 있어 매우 유용한 도구가 되며, 네트워크 운영 팀들은 네트워크의 ‘홉바이홉’ 상태를 이해하는 데에 큰 도움이 된다. 하지만 이것만으로는 충분치 않다. 첫 번째로 트레이스라우트는 실험용 트래픽을 생성하여 측정하기 때문에 실제 네트워크 트래픽을 그대로 반영하지 못한다. 실제 애플리케이션 패킷들의 경로를 온전히 파악하지 못할 수 있다는 것이다. 또한 보안상의 이유로 스위치와 라우터의 트레이스라우트가 막힌 경우도 종종 있다.

가시성 확보를 위한 도구들 : 홉바이홉 분석
그 다음 고려해볼 수 있는 도구로는 넷플로우(NetFlow)와 아이피픽스(IPFIX)가 있다. 거의 대부분의 라우터와 스위치들에서 지원이 되는 도구들이다. 넷플로우는 시스코에서 정의한 프로토콜로 라우터나 스위치를 통과하는 트래픽의 흐름에 대한 세부 내용을 제공한다. 아이피픽스는 인터넷 할당 번호 관리기관(IANA)이 지정한 공공 표준으로 넷플로우와 동일한 기능을 가지고 있다. 그 외에도 데이터 패킷의 구간별 경로를 시각적으로 보여주는 네트워크 모니터링 솔루션들은 여러 개 존재한다. 그런데 넷플로우와 아이피픽스로 관찰할 수 없는 네트워크 영역도 존재한다. 그런 경우 스팬 포트(span port)/포트 미러링(port mirroring)이나 인라인 탭(inline tap)과 같은 도구들로 네트워크나 패킷을 자세히 들여다볼 수 있다. 각종 도구들을 복합적으로 사용할 줄 알면 네트워크 관리에 용이하다. 

클라우드나 웹 애플리케이션 문제를 조사한다고 했을 때 고급 패킷 캡처 도구와 아이피픽스 분석 솔루션을 함께 사용하면 네트워크 지연, 애플리케이션 지연, 재전송 횟수, HTTP 호스트네임, 웹 페이지 응답 시간 등 네트워크 퍼포먼스 관련 데이터를 제공 받을 수 있다. 이런 데이터가 있으면 무엇보다 애플리케이션 서버 팀과 네트워크 팀 등이 서로에게 손가락질을 할 수 없게 된다. 즉 어떤 문제에 대한 책임 소재와 해결의 주체가 보다 명확해질 수 있다는 건데, 이것만으로도 성과는 매우 크다고 할 수 있다.

그렇다면 지금부터라도 홉바이홉 접근법을 사용해 네트워크를 관리하려면 어떤 솔루션들을 찾아야 할까? 다음 질문들을 물어가면 도움이 될지 모르겠다.
1) 우리가 사려는 솔루션은 기업의 방향에 따라 유연하게 확장될 수 있는가?
2) 어느 정도의 트래픽 양을 지원하는가? 예를 들어 어떤 데이터센터용 라우터들은 초당 10만 번의 데이터 플로우를 생성할 수 있다. 이 정도 규모가 필요한가?
3) 데이터를 수집하면서 동시에 활용성 높은 보고서를 생성할 수 있는가?
4) 여러 벤더사의 제품과 호환되어야 하는가? 다수 도메인이 필요한가? LAN, WAN, 데이터센터, 클라우드를 아울러 적용이 가능한가?
5) 표준 기반 아이피픽스를 지원하는가? 그 외 다른 세부 모니터링 및 분석 기능이 제공되는가?
6) 패킷 캡처와 플로우 생성이 가능한가?

네트워크는 그 형태와 퍼포먼스, 각종 기능적 측면에서 계속해서 진화하고 있다. 네트워크 운영자들은 계속해서 이 변화를 쫓아가면서 동시에 그 변화에 따른 각종 사고와 위협들에도 대처해야 한다. 그렇기 때문에 네트워크 전체를 볼 수도 있어야 하지만, 반대로 네트워크를 구간별로 나눠서 볼 수도 있어야 한다. 네트워크를 구간별로 모니터링 하고, 거기서부터 문제를 찾아 해결할 수 있다는 건 네트워크 관리에 있어 큰 힘이 된다. 

글 : 데이비드 이즈모(David Izumo), 수석 엔지니어, LiveAction
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>