신한카드 유성연님이 발표한 퍼블릭 클라우드와 데브옵스 구축 과정 세션의 발표 자료입니다.

1. 금융 Public Cloud/Devops 구축 여정
신한카드 유성연

2. 목차
2
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
I. Why?
1. 왜 금융권은 지금 클라우드인지?
II. What?
1. 무엇을 했나?
2. 무엇이 다른가?
III.Issue & Solve
IV.QnA

3. 3
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
왜 클라우드인가?
국내/해외의 다수의 금융기관이 클라우드 전환 진행중
이미 국내/해외의 많은 기업이 퍼블릭클라우드를 사용하고 있는데 왜 지금???

4. 4
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
왜 클라우드인가?(2)
2019년 이전엔 전자금융감독법 상 퍼블릭클라우드 사용이 원천적으로 불가능하였으나 2019년 법개정을 통해 사용 가능하게 됨.
맞물려, 인프라 노후화와 대외요건 등으로 클라우드 도입이 가속화됨
규제 완화
2019.1.1 : 전자금융감독규정법 개정
개인정보법 상 가능, 전자금융감독
규정법 상 불가 -> 클라우드 사용
시, 전자금융감독규정법 일부 규정
배제 적용 (망분리)
☞ 이전에도 가능은 했으나 개인정
보가 없는 비중요서비스인 경우만
예외 인정
인프라 노후화
U2L (Unix to Linux)
x86, 가상화 기술의 발전
벤더 종속성 탈피
라이선스 비용 과다
인프라 노후화
SW EoS
대외 요건
빅테크 기업 경쟁
예측 어려운 사업 요건
(오픈API, MyDATA, 재난지원금)
기술 트렌드 변화
비용 증가

5. 5
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇을 했나?
AWS 내 자체 랜딩존 구축
하이브리드 클라우드 구축
Devops 체계 구축
올댓쇼핑 IDC → AWS 마이그레이션
클라우드 표준
수립
그룹 공통 표준
시범 구축
MSP 협업
당사 Legacy
분석
Legacy 분석
IaC
자체 표준 수립
그룹 표준 수용,
당사 분석에 따른
자체 표준
랜딩존/Devops
구축
자체
설계/구축
▶ ▶ ▶
프로젝트 수행
(올댓쇼핑)
IDC -> AWS
마이그레이션
MSA 적용
▶
3명 * 10개월

6. 6
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇을 했나? (2)
그룹클라우드 표준을 토대로 Legacy 분석, 사업 요건을 반영하여 자체 표준 수립
Security
Group
SSL
접근제어
인증/
권한관리
암호화
로깅 및
모니터링
취약점관리
SSO/EAM
AWS
KMS
인프라
취약점
진단
CAT
CloudTrail
CloudWatch
AWS
Config
소스코드진단
AWS
IAM
모의해킹
DB접근제어
서버접근제어
Compliance
그
룹
보
안
표
준
국
내
외
법
규
(
개
인
정
보
법
,
정
보
통
신
망
법
,
전
자
금
융
법
)
NW
취약점
진단
개인정보
영향평가
애플리케이
션
네트워크
DBMS
서버OS
Cloud
환경/설정
영역
계층
AWS
암호화
SDK
AWS
웹콘솔(MFA)
CLI(엑세스키)
어플리케이션
모니터링
CloudWatch
통합
보안관제
UTM
(FW/IPS)
해킹/
악성코드
백신
WAF
NACL
CWPP/
CSPM
Shield
DB암호화
네이밍
계정정책
네트워크
리소스 별 표준
암호화, Tagging, 기타 등
보안

7. 7
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
…
로그
무엇을 했나? (3)
Multi Account Cloud
하이브리드 클라우드
Legacy 솔루션 파편화 통합
Devops 체계 구축
AWS Cloud
Corporate
data center
계열사/대외기관
네트워크
보안
공통
계정
PRD
STG
DEV
VPN
Cloudfront Route53
Transit
G/W
API GW
Direct
Connect
ACM
Lambda
신한은행
신한라이프
신한금융투자
신한DS
…
대외기관
KISA
..
Private Cloud

8. 8
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇을 했나? (4)
팀내 정책 상, 상용S/W 사용을 지양하고 오픈소스 기반으로 구축

9. 9
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇이 다른가? (1)
IDC 내 프라이빗클라우드와 비교하면 퍼블릭클라우드는 오히려 비싼 서비스이다
비용
클라우드를 사용하면 비용이 절감되는가?
IDC를 새로 구축/유지 하는 비용에 비하면 매우 저렴
이미 대규모의 데이터센터를 가지고 있는 금융회사에서는?
비용, 인력, S/W, 보안 모든 비용을 계산하여 비교하면 클라우드가 저렴
문제는 프라이빗 클라우드 vs 퍼블릭 클라우드
출처 : https://www.rishabhsoft.com/blog/private-or-public-cloud

10. 10
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇이 다른가? (2)
금융기관이 퍼블릭클라우드를 사용하기 위해선 복잡한 사전절차가 필요함
클라우드를 사용하기 위한 사전 준비
전자금융감독규정법
1. 업무중요도 평가
2. 업무연속성 계획
3. CSP(클라우드 서비스 제공자) 안정성 평가
4. 정보보호위원회 심의/의결 후 이용계약 체결
5. 금융감독원 사전 보고
☞ 위 단계를 모두 완료해야 프로젝트 개발 진행 가능

11. 11
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇이 다른가? (3)
법적 기준, 정책 등을 이미 만족하는 거대 Legacy는 클라우드 마이그레이션에서 가장 큰 걸림돌이다.
적절한 마이그레이션 방식을 취해야 하며, 랜딩존은 필수로 구축해야 한다.
Legacy
이미 잘 구축된 Legacy 인프라가 존재
모든 정책이 IDC 기반으로 수립되어 있음
→ IDC 기반의 정책 ⇒ 퍼블릭클라우드 정책 재정의 필요
대부분의 사업 요건은 기존의 Legacy 인프라/업무와의 연계 필요
→ Legacy 를 고려한 클라우드 마이그레이션 전략 필요
이미지 출처 : https://cloud.google.com/blog/topics/developers-practitioners/google-cloud-migration-made-easy
https://resources.sentia.com/five-reasons-for-opting-for-a-landing-zone

12. 12
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
무엇이 다른가? (4)
Legacy 기준의 모든 정책을 퍼블릭클라우드에 맞게 재수립이 필요하다
특히, PaaS, SaaS 등 Managed 서비스에 대한 명확한 기준과 유관부서 협의 필요
기술/법/정책
Legacy 연계
계약
자산 정책
백업 정책
DR 정책
사내 보안 정책
보안 하드닝
조직 R&R
비용 지불 주체
기타
출처 : https://www.rishabhsoft.com/blog/private-or-public-cloud

13. 13
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
Public subnet
정책과 기술의 충돌
법규의 해석은 회사, 조직마다 다르다.
전반적으로 보수적 접근이 많아 실무부서 그리고 기술과의 Gap 이 존재
예1. DMZ
예2. 레거시 보안정책과 PaaS,SaaS 간 충돌
예3. 레거시 보안정책과 CSP 리소스 간 충돌 ( 기본 포트 등 )
방화벽
Private subnet
VPC
WEB
Web(API GW)
11.12.0.0/16
Nat G/W
AWS Cloud
IDC
레거시 정책
DMZ
내부망
VPC
DMZ ?
DMZ ?

14. 14
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
Private subnet
방화벽 및 라이선스
방화벽 이슈
IP 기반의 레거시솔루션 라이선스 or 방화벽 정책 <-> 도메인 또는 CIDR 기반
네트워크 구성 시, 반드시 모든 영역에서 Private/Public NAT 구성을 염두에 두고 설계 필요
방화벽
Auto Scaling group
Private subnet
VPC
10.10.10.10
11.11.0.0/16
11.12.0.0/16
Nat G/W
AWS Cloud
IDC
NLB

15. 15
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
내부 거래 연계
내부 거래 연계 시, 프로토콜, 데이터형식이 다른 경우가 존재
내부 거래가 API 를 지원하지 않는 경우, 해당 조직에서 신규 개발이 필요
AWS 리소스 자체가 내부 거래 연계 방식을 지원하지 않거나 불친절하게 지원하는 경우가 많음
내부 거래 또는 내부 솔루션은 커스터마이징 된 부분이 상당수 있음
Json
표준전문
API
(Http/https)
Socket
AWS Cloud
IDC
MCI/EAI
신규 개발 필요

16. 16
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
DR
사업 요건에 따라 DR이 필수인 경우가 존재
메인이 AWS 인 경우, AZ 구성만으로 DR 요건 가능하나, 물리적 DR이 필요한 요건 있음
메인이 IDC 인 경우, 주 센터 외 DR 센터를 추가 구성해야 하기 때문에 많은 비용이 발생
물리적 DR 센터를 퍼블릭클라우드로 대체
IDC <-> AWS는 각각 메인/DR이 될 수 있음
Availability
Zone
Availability
Zone
(주/DR)
AWS Cloud
IDC
IDC IN IN
(주/DR)
DR

17. 17
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
비동기 구성 구현
내부 업무와 연계된 거래, AWS 내 SaaS/PaaS 등을 사용한 거래들이 포함된 트랜잭션의 경우, 비동기처리가 필요
Serverless, Queue 리소스를 적극 활용
파일전송
거래정보관리시스템
S3 EFS
Lambda
SQS
배치관리시스템
파일전송
처리
관리
AWS Cloud
IDC
처리

18. 18
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
오픈소스 통합
CICD, 배치, 로그 등 많은 오픈소스를 사용하고 이를 통합하기 위한 방안이 필요
AWS Cloud
IDC
통합관리
솔루션 별 개별
접속
통합 관리

19. 19
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
DevOps
기존 개발과 운영조직의 명확한 분리
경계가 모호한 Devops 체계에서 누가 무엇을 할 것인가? 새로운 R&R 정립이 필요
내부 개발체계와의 통합 구성 or 분리할 경우 정책수립이 반드시 선행
단, 레거시 체계는 보안/감사/증적 등의 대응이 완료된 시스템
AWS Cloud
IDC
형상 빌드 배포
Deploy Target Deploy Target
형상
빌드 배포
연동
IaC
통합관리솔루션

20. 20
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
비용
실 구축 시, 예상 비용보다 더 많은 비용이 발생할 수 있음을 고려한다.
망분리에 따른 아키텍쳐 설계
XX 이중화
예상치 못한 요건에 따른 Serverless 등 아마존 리소스 사용
내부 솔루션 개선을 위한 프로젝트 비용 등등
VPC
AWS Cloud
IDC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
VPC
통합관리솔루션
회선이중화
ISP이중화
사업자이중화
…

21. 21
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
IaC
사내 취약점분석솔루션, 보안하드닝정책의 결과물 기반으로 IaC 작성
Multi Account 기반, 신규 서비스 추가 시 선/후행 실행 요건 등이 존재하여 완전 자동화는 어려움
AWS Cloud
IDC
DEV/STG
Base Image
Job 요청 생성
생성
생성
생성
고도화 예정

22. 22
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
Data Migration
Oracle to Aurora postgresql Migration
서비스 중단 가능 및 대용량데이터 아닌 요건으로 초기데이터는 Data Dump 활용
마이그레이션 대상의 Data Type(예. Lob) , DMBS 별 Data 처리 특성 파악이 중요 ( 시간 포맷 등 )
DMS 소요시간 < Data Encryption/Decryption 소요시간
100GB 미만 데이터 약 4시간 소요
AWS Cloud
IDC
DMS
Aurora
HSM
Ec2
As-is
서비스
트래픽
To-be
서비스
트래픽
Oracle
(As-is)
Temp
Oracle
(As-is)
Dump
Get Data Put Data
As-is Decrypt
To-be Encrypt
Put Data
In New Table
Logical Replication

23. 23
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
대외 요건
기존 Legacy와 연동되어 있는 대외기관 중, 퍼블릭클라우드 연동 시 이슈되는 요건 발생
예. 방화벽
- 대역/도메인 방화벽 오픈이 안되는 대외기관 존재
→ 적절한 ALB/NLB 구성
예. VPN
- 국내 표준 알고리즘을 AWS 리소스에서 지원하지 않는 경우 or 장비호환성에 따른 문제
AWS Cloud
IDC
K 알고리즘
대외기관
방화벽
11.10.10.10
Global
알고리즘
10.10.10.10
Shinhancard.com
NLB
Aws market place
VPN
불가
3rd Party 방안 고려

24. 24
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
모니터링
Legacy 모니터링과의 연계가 필요 (내부 연계 인프라 이상 시, 서비스 영향)
Legacy 내, 다양한 모니터링 솔루션이 존재하며 통합관제시스템을 통해 모니터링
→ 단일 모니터링 솔루션으로 대체 통합
→ 레거시 통합관제 알람 연동 개발(Shell + fluent)
AWS Cloud
IDC
내부 솔루션
통합관제시스템
DB모니터링
APM
인프라
모니터링
모니터링툴 통합 대체
내부 연계 거래
Application
알람 전송
알람 발생
모니터링
모니터링
알람발생
알람발생

25. 25
Copyright © 2022 WhaTap – Developed by WhaTap Labs Inc.
End (QnA)
가능하다는 것을 알면, 문제는 어떻게든 풀린다

26. 이 문서의 저작권은 (주)와탭랩스에 있습니다.
이 문서는 (주)와탭랩스의 서면동의 없이 어떤 형태로도 재생산, 배포, 변경할 수 없습니다.
감사합니다.