모니모의 선택, 삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP)

2023-02-10 홍은주

- ‘22.8월, REAL Summit 2022에서 발표된 "모니모로 알아보는 클라우드 적용사례"를 기반으로 작성되었습니다. -

"지금까지 이런 앱은 없었다. 이것은 생명인가 화재인가 증권인가 카드인가, 송금/대출/신용 조회/투자 등 복잡한 금융 생활을 편리하게" 이것은 모니모의 서비스의 홍보 문구입니다. ‘모니모(monimo)'는 '22년 4월에 삼성 금융 계열사들이 출시한 통합 앱으로 삼성생명, 카드, 증권, 화재가 모여 '삼성금융네트웍스'라는 통합 브랜드를 만들었고, 그 브랜드에서 출시한 첫 번째 서비스입니다. 모니모는 4개 사의 거래현황을 한 번에 조회할 수 있고, 다양한 가상 미션이나 금융 활동으로 받은 젤리를 모아 '모니머니'로 전환하면 실제로 보험료를 납입하거나 계좌로 송금하는 등 다양한 금융 활동에 현금처럼 사용할 수 있는 서비스입니다.

모니모의 서비스를 구축하면서 고려할 점이 몇 가지 있었습니다.

1. [Agile & Flexibility] 다양한 마케팅 이벤트 고려한 유연하고 확장 가능한 인프라
2. [Compliance & Security] 금융정보서비스로 컴플라이언스 및 정보 보안
3. [Stability & Expertise] 장애 발생 시 파급효과를 고려한 시스템 안정성
4. [Operational Efficiency] 시스템/NW/DB 등 효율적인 구성/운영 역량
5. [Connectivity] 4개 금융사 정보/상품의 원활한 연계

일반적으로 모든 기업들이 고려해야 할 점이긴 하나, 신규로 출시한 앱이기 때문에 서비스 첫날부터 매일 그리고 매달 '기상 챌린지' 등의 다양한 이벤트가 진행될 예정이었고, 4개 금융사의 포텐셜 고객이 3천만 명 정도여서 확장 가능한 고객에 대한 고려가 필요했습니다. 금융업 특성상 일반 기업과 다르게 특화된 인증이 되어 있어야 하는 등 보안과 컴플라이언스가 중요했으며, 카드 결제나 금융 트레이딩 등에 장애가 생긴다거나 서비스 중단이 있을 경우 미치는 파급효과가 심각하기에 안정성도 필수적이었습니다. 이러한 고려사항을 바탕으로, 모니모는 삼성SDS의 삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP)을 선택했습니다.

삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP) 선택의 이유는 무엇일까요?

클라우드의 선택은 일반적으로 확장성에 대한 해답으로, 확장하는 고객 수를 고려한 필수 선택입니다. 일반적으로 아마존 클라우드(AWS), 구글 클라우드 등 글로벌 CSP가 제공하는 클라우드 플랫폼은 금융이나 공공이나 일반 기업고객이나 모두 논리적으로는 분리되어 있지만, 물리적인 인프라는 분리되어 있지 않습니다. 그러나, 삼성 클라우드 플랫폼(SCP)는 물리적으로 분리된 금융사 전용 인프라를 제공합니다. 이러한 보안 강점에 더해, 글로벌 수준의 트러블 슈팅이 가능한 전문기술 조직(CI-TEC)과 'Lookin'이라는 IT 시스템 구성 진단 툴까지 보유하여 최적화가 가능한 점이 SCP를 선택하는 주요 요인이 되었습니다.

또한, 삼성 클라우드 플랫폼(SCP) 서비스를 제공하는 CSP(Cloud Service Provider)와 이를 활용운영하는 MSP(Managed Service Provider) 모두를 서비스하는 시너지로 다양한 유연성을 제공하며, 클라우드와 SDS 내의 데이터센터, 고객 단에 존재하는 시스템까지를 VPC Peering이나 Transit Gateway, Direct Connect 등의 다양한 N/W로 연결하는 것도 주요했습니다.

삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP)을 적용하면서 어떤 효과가 있었을까요?

1) Reference Architecture

아래의 그림에서 보듯이, SCP는 기본적으로 West Region입니다. 이 안에 다시 2개의 존이 있습니다. 오른쪽의 East Region은 DR로 서로 연계되어 있습니다. West Region 내에는 메인이 되는 Service VPC*가 존재하고 Service VPC는 Public/Private Subnet으로 구성되며, 이는 Web, WAS, DB의 기본 서비스로 구성됩니다. Web과 WAS는 SKE(SCP Kubernetes Engine)라는 컨테이너로 구성되며, DB는 MariaDB를 사용하고 있습니다.

* VPC(Virtual Private Cloud): 클라우드상 독립된 논리적 네트워크 공간을 제공하는 상품으로, Subnet(Public/Private), Internet Gateway, NAT(Network Address Translation) Gateway, VPC Peering, Public IP 등으로 구성

모니모의 SCP Reference Architecture

금융업 특성상 앞 단에는 웹 방화벽인 WAF(Web Application Firewall)가 있습니다. 웹 방화벽은 반드시 필요한 구성입니다. WAF를 사용해야 웹 애플리케이션으로 들어오는 공격과 침입을 탐지하고 차단할 수 있습니다. 일반적인 퍼블릭 클라우드인 SECaaS(Security as a Service)로 서비스받는 것은 국내에서는 보안 인증이 나지 않은 상태입니다. AWS, 구글 클라우드 등 퍼블릭 클라우드를 사용하더라도 VM에 전용 WAF 장비 소프트웨어를 설치해 사용해야 하고, VM WAF의 성능 부족으로 여러 대를 사용하게 되면서 라이선스 비용이 증가되어, 일반적으로 금융에서 많은 부분은 물리 WAF를 선호합니다. 모니모도 마찬가지로 물리 장비의 WAF를 앞 단에 두었고, Active-Active로 구성했습니다. 모든 사용자는 기본적으로 이 WAF를 거쳐서 웹을 통해 허용된 트래픽만 웹 애플리케이션으로 넘어가게 되어 있습니다. 실제 물리 시스템을 기존에 있는 클라우드와 연계하는 서비스는 기성복처럼 정해진 서비스만 제공하는 글로벌 CSP에서는 제공하기가 어렵거나 하이브리드 구성 등으로 연결해야 하는 상황이며, 일반적으로 VM에서 설치형을 활용하게 됩니다.

사용자와 연계되어 있을 뿐만 아니라 다른 금융기관이나 NICE, 금융결제원 등의 외부기관하고도 오픈 API로 연계됩니다. 뒤 단은 DR 외에도 고객사와 Direct Connect** 전용선으로 연결되어 있지만 Transit Gateway***로 멀티 VPC가 하나로 연결되어 여러 고객들과 커넥트되고, Transit Gateway가 다시 Peering 되어 있는 형태입니다.

** Direct Connect: SCP VPC 1개와 On-Premise 또는 고객 서버팜 간 1:1 Private 통신 연결 상품
*** Transit Gateway: SCP VPC 여러 개와 On-Premise 또는 고객 서버팜 간 N:1 Private 통신 연결 상품

2) 모니모에 적용된 SCP 보안 강점

모니모에 적용된 SCP 금융 Cloud & 보안 강점

① 물리적으로 분리된 금융 Cloud 제공

SCP는 금융과 공공 업종에 있어 일반 기업향 SCP와 물리적으로 클라우드 컴퓨팅 자원(서버, 스토리지, 네트워크)의 풀이 따로 존재합니다. 논리적 가상화로 나누는 것이 아니라, 물리 인프라를 포함하여 케이지(출입)까지 분리되어 있으며, 별도의 컴플라이언스와 금융보안원의 안정성 평가 전 항목(141개)을 모두 통과한 금융 인증이 완료된 물리적 전용 클라우드를 제공합니다.

② 인터넷 접속구간 물리 방화벽 추가 구성

인터넷과 접속되는 SCP 앞 단에 물리 방화벽을 추가로 구성했습니다. 이미 SCP 안에도 보안 장치가 곳곳에 존재하기 때문에 필수 사항은 아닙니다. VPC의 WAF나 VPC 내의 Security Group이라고 하는 e-Firewall 외에도 VPC 앞에 VPC Firewall이 구성되나, 금융에서 더 철저한 보안을 위해 고성능 물리 방화벽으로 보안 이중화를 선택했습니다.

③ 사용자 계정관리 보안 강화

굉장히 간단한 것 같지만 많은 보안 침해 사고 혹은 해킹들이 아주 치밀한 해킹 수법들이 작동되기 이전에 해야 할 포인트는 클라우드 앞 단에서의 키 관리입니다. 해당 키가 탈취되면서 내부에 침입하고 그 안에서 문제를 일으키게 됨에 따라, 사용자 계정의 키 관리는 매우 중요합니다. SCP는 키 관리 형태가 아니라, ID/PW와 함께 반드시 OPT를 통해서 다중요소 인증(MFA)을 진행하고, User Console은 30분간 미사용 시 자동 Logout 되게 설정되어 있습니다. WAS, Google Cloud 등의 다른 CSP 업체는 90일, 120일 등으로 설정할 수 있지만, SCP는 30분 이상 설정이 불가능합니다.

④ 사용자 실수에 의한 보안 위험 최소화

SCP의 보안 우선 정책에 따라 VM을 처음 생성하면 Outbound는 디폴트로 '거절'로 설정되고, 방화벽의 모든 생성도 동일합니다. 번거롭다고 생각할 수 있으나, 필요 시에는 '허가'로 설정 변경이 가능합니다. 설치 시 '허가' 디폴트로 설정한 후 그대로 사용했을 경우를 대비한 장애 및 보안 대책이라 할 수 있습니다.

⑤ Private Subnet 인터넷 접속 원천 차단

SCP의 VPC 내부는 Subnet으로 나뉘며, 불편하다고 생각될 수도 있으나 처음부터 Private과 Public Subnet을 지정하게 되어 있습니다. 그래서 Private Subnet에는 WAS나 DB처럼 인터넷(공인) IP를 가지지 않는 것을 배치하는데, 다른 글로벌 CSP는 Private 하게 쓰다가도 원한다면 공인 IP를 할당해서 통신할 수 있습니다. 그러나, SCP는 이러한 변경된 활용이 불가하며, 처음부터 Public Subnet으로 지정된 것만 공인 IP 활용이 가능하고 Private Subnet은 아예 공인 IP 지정 자체가 불가합니다.

3) 모니모에 적용된 SCP의 파워풀한 확장성

모니모의 이벤트 참여자 증가에 따른 확장성

'22년 4월 출시한 모니모 서비스는 크게 DB 서버와 Web/WAS로 구성됩니다. DB는 MariaDB를 사용하고, Active 1개, Read Replica(RO) 2개로 총 3개의 DB 인스턴스를 만들었습니다. 애플리케이션을 개발/테스트하는 동안 8Core로 시작했고, 오픈과 함께 이벤트가 진행되면서 바로 32Core로 변경했습니다. '22년 5월에는 안정적인 이벤트를 지원하기 위해 3개 인스턴스 모두 96Core로 변경했습니다. 한국 리전 기준으로 MariaDB의 최고 상품은 64Core이며, 96Core까지 가능한 것은 현재 SCP만이 유일합니다. 아직까지 기업에서는 Oracle RAC(Real Application Clusters)와 같은 미션 크리티컬한 DB를 써야 하는 환경을 완전히 배제할 수 없고, 삼성SDS도 이러한 사례를 많이 가지고 있습니다. 그러나, Oracle이나 이전의 레거시처럼 복잡한 것이 아니라 오픈소스 기반의 굉장히 쉽고, 유연하며, 가볍고 저렴한 DB를 사용하고자 할 경우, 기업향이기 때문에 일반적으로 많이 사용되는 4Core, 8Core로는 커버가 불가능할 수 있어 SCP는 오픈소스 기반 96Core의 고성능의 기업향 DB를 제공했습니다.

또한, SCP에는 SKE(SCP Kubernetes Engine)라는 컨테이너 오케스트레이션 서비스가 안정되게 구축되어 있고, 이들의 확장성을 이용해서 서비스에 영향 없이 데일리로 '5천 보 걷기', '기상 챌린지' 등 다양한 이벤트를 지원했습니다. 방화벽을 포함하여 이슈 없이 클릭만으로 설정 가능하고, 고객사 네트워크와의 연결성이나 방화벽의 문제 없이 Web/WAS 자원은 원활한 증설 및 확장이 가능했습니다.

4) 전문기술 지원 서비스 (성능개선 및 구성 최적화)

삼성SDS에는 글로벌 전문 인력들로 구성된 기술지원 조직(CI-TEC)이 있어서 SCP를 활용하는 관점에서의 성능 최적화나 구성 최적화를 위한 기술지원 서비스를 제공했습니다. MariaDB가 96Core까지 확장하기 전 32Core에서 SQL 튜닝을 통해 CPU 사용을 10% 미만으로 최적화했고, 사용자 및 이벤트가 증가함에 따라 향후 확장을 고려하여 96Core까지 증설했습니다. 삼성SDS는 수만 대의 서버, 수천 명의 운영 인력이 쌓아온 30년간의 경험을 통해 축적된 이슈와 다양한 장애 케이스를 기반으로 선제적으로 진단하고 구성 최적화를 통해 이슈 없이 서비스하고 있습니다. 모니모에 적용된 성능/구성 최적화는 다음과 같습니다.

[성능/구성 최적화]
◎ Web 서버
- 성능 최적화 (커넥션 재사용: KeepAlive On 설정)
- 구성 최적화 (Timeout 조정 → 커넥션 부족 예방, 불필요 Method 설정 제거 → 보안 강화)

◎ WAS
- 성능 최적화 (CPU spike 현상 및 성능 지연 개선: Application Library Bug 분석 지원)
- 구성 최적화 (Connection Timeout 증가 → 과부하 시 오류발생 예방)

◎ DB 서버
- 성능 최적화(오픈 후 안정화 기간 과부하 SQL 튜닝, Peak Time CPU 100% → 10% 이하)

SCP 성능 최적화 (SQL 튜닝 적용 사례)

SCP 기반 클라우드 전환의 추가 사례를 살펴볼까요?

1) A社 글로벌 홈페이지 (Public CSP→ SCP 전환: Bare Metal* 기반 Active-Active DB)

* Bare Metal: 하드웨어에 어떤 소프트웨어도 설치되어 있지 않은 상태. 가상화를 위한 하이퍼바이저 없이 물리 서버를 그대로 제공하는 것으로 하는 것으로, SCP의 Bare Metal Server는 Local Subnet 및 Shared Block Storage 설정이 가능하여, Oracle DBMS 구축에 최적화되어 있음

최근 오픈소스 DB가 대세이고 NO-SQL도 사용하고 있지만, 기업향에서는 Oracle RAC(Real Application Clusters)**와 같은 Active-Active***의 미션 크리티컬한 고성능, 고가용 DB가 여전히 필요합니다. 고성능, 고가용인 Oracle DB를 사용할 때, Oracle은 자체의 클라우드 플랫폼인 OCI(Oracle Cloud Infrastructure)가 있어, 다른 퍼블릭 클라우드에서의 Oracle RAC 서비스를 아예 라이선스로 불허하고 있습니다.

** ORACLE RAC(Real Application Clusters): 쉐어드 디스크 기반으로 2개 이상의 서버가 데이터를 공유해서 병렬적으로 데이터를 처리해주는 구조로 고가용을 위한 옵션
*** Active-Active: 부하 분산 등의 목적으로 주로 활용, 서비스 단위를 나누어서 분산

그러나, 삼성SDS의 클라우드 플랫폼인 SCP는 베어메탈(Bare Metal) 서비스를 제공하고 있어, 유저 콘솔에서 클릭을 하면 자동으로 베어메탈이 할당되고, 해당 베어메탈을 Active-Active하게 설정한 후 스토리지를 네트워크로 멀티 어태치하면 Shared가 됩니다. 즉, Active-Active한 2개의 베어메탈 서버 등 다중의 베어메탈 서버가 디스크를 공유하기 때문에 Oracle RAC 설치가 가능하게 됩니다.

A社 글로벌 홈페이지- SCP 구성 (Bare Metal 활용한 Active-Active DB 사용)

A社 글로벌 홈페이지의 경우, 이미 글로벌 CSP를 사용하고 있었고 Oracle RAC 사용에 대한 기술적인 제약 때문에 Active-Standby****의 다른 DB를 설치/사용 중이었습니다. SCP로 이관 후, 고가용(Active-Active) DB로 변경하고 성능이 2배 이상 증가했습니다. 삼성SDS의 전문기술조직(CI-TEC)은 Bare Metal 서비스 기반의 고객 DB 사용을 위해 아키텍처를 최적화하는 등 오픈 시점까지 지원했습니다. 또한, SCP의 Block Storage는 뛰어난 가성비를 제공했습니다. Block Storage는 기업형 고성능, 고가용 DB에서 애플리케이션이 빠르고 효율적으로 DB에 액세스할 수 있도록 블록 형태로 저장하는 스토리지입니다. 예를 들어, SCP Block Storage 300GB를 한 달간 사용할 경우 36,000원 수준이며, 아마존 클라우드와 같은 글로벌 퍼블릭 CSP에서 유사 가격으로 사용할 때보다 4~15배 정도의 성능이 확인되었습니다.

**** Active-Standby: 부하 분산을 통해 모든 기기에서 서비스하는 것이 아닌 장애 시 서비스를 이전/운영하기 위한 형태로 구성
>> SCP 기반으로 고객 DB에 최적화된 Bare Metal 서비스를 적용해 성능을 확보했습니다.

2) B社 디지털 채널 (SCP Extended)

현재 1,300만 회원을 보유하고 있는 금융사 디지털 채널 사례입니다. 고객사는 앱카드, 홈페이지, 청구 등의 업무로 대규모 실시간 접속에 따른 초당 수십만의 트랜잭션 처리가 필요했습니다. 고가용, 고성능 DB가 필요하다 보니 오픈소스 DB를 사용하지 않았습니다. (물론, 일부분에 Redis*나 ElasticSearch와 같이 데이터를 저장하고 처리하기 위한 SCP 상품은 사용했습니다.)

* Redis: Remote Dictionary Server로 "키-값" 구조의 비정형 데이터를 저장/관리하기 위한 오픈소스형 데이터베이스관리시스템

B社 글로벌 홈페이지- SCP 구성(SCP Extended 활용한 레거시 DB 사용)

메인 DB 관점으로 보면, 앞 단에 있는 베어메탈(Bare Metal) 서비스의 공유 방식도 아니고 기존에 사용 중인 레거시 DB를 그대로 사용하는 방식을 선택했습니다. 예전의 레거시 방식의 Oracle은 결국 샌 스토리지(SAN** Storage) 전용 네트워크로, 레거시에서 사용 중이던 Active-Active DB를 그대로 사용하면서 SCP와 연결이 가능합니다. 삼성SDS는 글로벌한 17개의 자체 데이터센터를 운영하고 있어, 표준화되고 자동화된 클라우드 서비스뿐만 아니라, 기존 레거시도 데이터센터 안에 두고 바로 연결해서 하이브리드로 구성이 가능하며, 통합된 SCP 운영 서비스를 제공합니다. 즉, 데이터센터 내 레거시 자원 수용을 위한 SCP Extended(DB, Appliance 등)로 연결 가능한 네트워크를 미리 구성해 두고 빠르게 연결해서 하이브리드로 구성하는 것입니다. 또한, 이중화 및 데이터 백업 구성을 통해 주 센터 재해 시 30분 내 DR 전환이 가능해졌습니다.

** SAN(Storage Area Network): 여러 스토리지를 하나의 네트워크에 연결한 다음, 해당 네트워크를 스토리지 전용 네트워크로 구성
>> SCP Extended를 활용하여, 기사용 중인 레거시 DB를 하이브리드로 구성하고 통합된 운영 서비스를 제공했습니다.

3) C지자체 하이브리드 클라우드 (SCP Private)

고객이 데이터센터나 작은 전산실을 가지고 있어 인더스트리 특화된 컴플라이언스와 보안 프로세스를 그대로 준수하면서 해당 온사이트의 자원을 그대로 유지하고, 운영 인력은 부족하여 누군가에게 일임하고 자원의 사용은 모두 중앙에서 통합적으로 컨트롤/운영해 주길 바라는 니즈는 여전히 존재합니다. 삼성SDS의 SCP는 SCP Private과 SCP Dedicated라는 오퍼링을 제공합니다. 삼성SDS는 고객의 온사이트 자원을 그대로 유지하고 싶은 니즈를 위해 SCP Private을 구성하거나, 유저 콘솔(기본적으로 SCP는 유저 콘솔 안에서 클릭, 클릭을 통해 VM/DB 생성 가능)까지도 온사이트에 배치하는 Dedicated 구성이 가능합니다.

SCP On-site 오퍼링 (SCP Private vs. SCP Dedicated)

C지자체는 SCP Private로 구성하여 물리적인 고객의 전용 자원을 확보하고, 클라우드로 전환하지 않은 레거시 시스템과 연결했습니다. 「기존의 레거시 - SCP Private의 전용 자원 - SCP의 공용 자원」까지 전체를 네트워크로 연결해서 사용할 수 있는 환경입니다. 즉, 클라우드 플랫폼은 공유하고 서비스 자원은 온사이트에 배치하여, 업무 범위와 목적에 따라 - [대민서비스] Shared Service: 인터넷 통신, [기존 업무시스템] Private Service: 고객사 내부망, [하이브리드 클라우드 연계] SCP 관리용 전용선-으로 구성됩니다. SCP Private을 통한 자원의 단독 사용으로 안정성과 보안성이 확보되고, 고객 사이트에 기존 업무시스템을 구성하여 시스템 속도가 향상됩니다.

C지자체 하이브리드 클라우드- SCP Private 활용

>> SCP Private을 활용하여, 대민서비스(Public)와 업무시스템(Private)을 분리 구성하고 업무망의 안정성/보안성을 확보했습니다.

삼성SDS는..

삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP)라는 클라우드 서비스도 있지만, 기존부터 계속해 오던 데이터센터 서비스가 있기 때문에 Legacy 연결이 가능하고, 다른 퍼블릭 클라우드 서비스사와는 다르게 CSP 사업과 이를 활용/운영하는 MSP 사업을 같이하는 시너지로 다양한 유연성을 제공합니다. 고보안, 고성능, 고가용의 기업 전용 클라우드 서비스인 삼성 클라우드 플랫폼(Samsung Cloud Platform, SCP)을 기반으로, 금융, 공공 및 기업 고객에게 최적화된 Hybrid/Multi 클라우드 전환/운영 서비스를 제공하여, 궁극적인 클라우드 기반 디지털 혁신을 지원하고 있습니다.

삼성SDS의 기업 전용 클라우드 서비스(Samsung Cloud Platform, SCP)에 대해 더 알아볼까요?

References
[1] https://www.monimo.com/w/main/WPFMHP0101M0
[2] https://www.yna.co.kr/view/AKR20220414039100002
[3] REAL 2022 Submit, 모니모로 알아보는 클라우드(SCP) 적용사례
[4] REAL 2022 Submit, 삼성SDS가 제공하는 기업 전용 클라우드 서비스
[5] CES 2023, Samsung SDS Cloud Platform & Managed Services
[6] CES 2023, Samsung SDS Cloud Business Cases
[7] 삼성SDS 클라우드 매거진, SCR(Samsung Cloud Review Vol. 03, 업무를 잇는 수단에서 미래를 여는 상품으로 – 네트워킹 상품을 위한 사용 가이드
[8] 삼성SDS 클라우드 매거진, SCR(Samsung Cloud Review Vol. 03, 쉽고 편한 사용과 고기능성, 하나만 선택해야 할까요? – Compute 상품에 대하여

▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

이 글이 좋으셨다면 구독&좋아요

여러분의 “구독”과 “좋아요”는
저자에게 큰 힘이 됩니다.

홍은주

삼성SDS 전략마케팅팀

IT 동향 분석, 프로세스 혁신 및 경영전략 수립의 컨설팅 업무 경험을 기반으로, 삼성SDS 닷컴 내 Digital Transformation 및 솔루션 페이지 기획/운영 업무를 수행하였고 SDS 주요 사업영역별 동향/솔루션 분석을 통한 컨텐츠 기획 및 마케팅을 수행하고 있습니다.