시소당
IBM 웹서비스 구축사례 분석2 Orix
|
ORIX는 일본 동경에 소재한 세계적인 재무 서비스 회사로서 고객들에게 임대, 대출, 생명 보험, 부동산 재무 및 개발, 벤처 자본 투자 및 소매 뱅킹, 상품 자본, 보안 보로커 등을 제공한다. ORIX는 일본 내의 시장 뿐 아니라 북미, 아시아, 중동, 북부 아프리카 등에 재무 서비스를 제공하면서 국제적 기업으로 성장하였다. |
| 디지털 서명을 이용한 B2B 시스템 구축 |
ORIX는 업부비용을 감소시키고 대고객 서비스를 증진하는 방법으로써 인터넷을 이용한 전자상거래를 검토했다. 연구 결과
개방성과 유연성을 보장하는 방법으로 XML이 중요하게 부각되었다. 그러나 인터넷을 이용해 B2B 메시지를 보내는 것는 보안상의
많은 문제점을 내포하고 있었다. 물론 공개키 암호 작성법(PKI)와 같은 보안을 강화할 수 있는 여러 방법이 나와 있긴 하지만
한계가 있는 실정이었다. |
| 솔루션 : XSS4J와 XML 서명 서비스 |
ORIX는 디지털 서명을 구축하기 IBM 동경 연구소에 도움을 요청했다. IBM에서는 ORIX를 위한 인터넷 보안
솔루션으로써 XSS4J(XML Security Suite for Java)를 제안했다. IBM의 alphaWorks
사이트(www.alphaworks.ibm.com)에도 등록되어 있는 이 XSS4J는 SSL 같은 단순한 전송 차원의 보안
프로토콜의 차원을 넘어 디지털 서명 기능, element-wise 암호화, 액세스 제어 등의 기능을 제공하는 툴킷 형태의
솔루션이다. |
| 이점: 보안, 강화된 B2B |
XML을 이용해서 ORIX와 파트너사들은 개방적이고 유연한 포맷에서 메시지를 전달할 수 있었다. 디지털 서명은 그들이
인터넷상에 서 안전하게 비즈니스를 수행할 수 있게 한다. 이를 통하여 프로세싱 비용을 줄일 것이고 트랜잭션 처리의 시간 또한
줄일 것이다. |
| 솔루션 아키텍처에 대한 설명 |
ORIX 사의 디지탈 서명 시스템을 설명하기 위하여 다음과 같은 예를 들어 보자. 아래 그림과 같은 두 회사가 존재한다고
가정하자. 회사 A는 B에 구매 주문서를 보내면 B에서는 그 주문서를 확인하는 내용을 전달한다. 물론 기존에 이 두 회사들은
XML을 이용해 필요한 정보를 이용받고 있었다.  그 런데 회사 A가 회사 B에게 디지털 서명이 된 XML 문서를 보내 달라고 요청했다. 그럴 경우 회사 B에서 할 수 있는 것은 아래 그림 과 같이 Signature Proxy와 Signature Server를 설치하는 것이다. 여기서 Signature Server는 인증을 위해 IBM 동경 연구소와 ORIX가 공동으로 개발한 서버를 의미하며, Signature Proxy는 DMZ에 존재하는 ORIX의 Web Application Server 위에 추가된 일종의 Servlet 이다. 서명 프록시가 네트워크 상의 XML 문서를 받아서 서명하고 확인하는 역할을 하는 서명 서버에 보내는 것이 그 핵심 기능이다. 그렇다면 기존의 어플리케이션을 수정할 필요 없이 서명된 XML 문서들을 보내고 전달 받을 수 있는 것이다.  또 는 아래의 그림처럼 보내는 쪽과 받는 쪽 모두 Signature Proxy와 Signature Server를 구축할 수도 있다. 그럴 경우는 보안의 이중성이 보장된다. 보내는 쪽의 문서 역시 보안이 필수적이라면 이 방법을 사용할 수 있다.  ORIX 와 Fuji Xerox 간의 실제 적용예를 다음 그림을 통해 알아보도록 하자. ORIX와 Fuji Xerox 사이에는 XML을 통해 문서를 전달받는 시스템이 이미 구축되어 있었다. 이에 전자 서명을 목적으로 ORIX에서는 아래 그림과 같이 회사 내에 Signature Server를 구축하였 다. ORIX의 backend 단의 어플리케이션의 수정이 필요없이, 인증 과정을 거친 XML 문서가 들어와서 필요한 결과치를 Signing 된 형 태로 전달되는 구조로 되어 있다.  그렇다면 이번에는 제품 아키텍처를 통한 ORIX 시스템 구성도를 확인해 보도록 하겠다.  그 림에서 보면 회색으로 표시된 것들이 새로 추가된 어플리케이션이다. 기존의 ORIX의 시스템은 인트라넷, 인터넷, 그 사이의 DMZ(Demilitarized Zone)로 구성된다. 인터넷 상에서는 XML을 기반으로 해서 HTTPS를 사용하고 있으며, DMZ에서는 WebSphere Application Server 3.5를 웹 어플리케이션 서버로 사용하였다. 그리고 인트라넷에서는 IBM UDB DB2 7.1과 또다른 WebSphere Application Server로 구성되어 있다. 그리고 DMZ와 인트라넷 사이에는 MQ를 이용하고 있으며 각 Application Server 마다 Que Manager가 존재한다. 물론 인트라넷과 DMZ 사이, DMZ와 인터넷 사이에는 각각 방화벽이 존재한다. 여기에 약간의 모듈이 추가되어 ORIX의 시스템이 구성된다. DMZ 상에서는 XML Signature을 위한 Proxy Servlet을 추가하고, 인트라 넷 상에는 별도의 서명 서버를 구축한다. 이를 통해 외부에서 들어오는 XML 문서들이 DMZ 단의 WebSphere 상에서 XML 서명을 받 게 되고 MQ를 통해 인트라넷으로 들어오게 된다. 서명 서버를 추가함으로써 인증 과정을 거친 XML 문서의 내용들이 DB에 저장되 는 구조로 되어 있다. 그림에서 보면 WebSphere에서 서명 서버로 XML 문서를 전달하는 역할을 하는 것이 MQ의 Queue Manager이며 여기에서는 MQ가 SOAP Router 역할을 하게 되는 것이다. 즉 외부에서 들어오는 문서에는 유효화(Validation) 과정을 거치고 반대로 처리된 문서가 외부로 나갈 때에는 디지털 사인을 추가한 다는 것이 이 내용의 핵심이 된다. 데이터를 보내는 경우와 받는 경우 모두에 디지털 서명을 걸어 전송되는 문서의 보안성을 극도로 높임으로써 웹서비스를 이용한 전자 상거래의 보안상의 문제를 해결하였다. 그림에서 새로 추가된 Signature Server는 IBM 동경연구소가 ORIX를 위하여 개발한 일종의 customized 솔루션으로서 현재 IBM의 소 프트웨어 제품으로 등록하기 위한 준비를 하는 중이다. 그러나 Java 라이브러리 형태로 제공되는 전자서명 기능은 현재 WebSphere Application Server V4에 추가되어 있다. ORIX에 적용된 전자 서명 솔루션의 특징은 다음과 같다. ① 기존에 존재하는 legacy 어플리케이션의 변경을 최소화하였다. ② Transport layer protocol에 구애받지 않도록 솔루션을 설계함으로써 https나 MQ protocol을 모두 사용가능하도록 만들었다. ③ W3C의 XML 전자서명 표준에 맞추어 개발된 XSS4J(XML Security Suite for Java)를 이용하였다. ④ SOAP 기반의 웹서비스 모델을 적용하였다. ORIX 가 MQ와 SOAP을 이용해서 웹서비스를 구현한 것은 향후 웹서비스 시장이 보편화 되었을 때를 겨냥한 것이다. 이 ORIX의 사례 연구에서 우리가 주목해야 할 점은 웹서비스라는 부분에 있어서 차후 중요한 쟁점으로 떠오를 수 있는 보안 문제에 대한 해결책을 IBM이 갖고 있다는 점이다. IBM은 여러 제품군들을 통해 웹서비스 지원 정책을 꾸준히 지켜 왔을 뿐 아니라 웹서비스의 미래에 중요 한 쟁점이 될 수 있는 보안 문제에도 지속적인 관심을 가져 왔다는 것을 알 수 있다. 특히 MQ를 이용한 HTTPR이나 디지털 서명 방식 을 이용한 XML 보안 등은 향후 웹서비스의 표준화 및 보편화에 큰 도움이 될 것으로 예상된다. ORIX 사례에 대한 추가적인 정보는 http://www-3.ibm.com/software/solutions/webservices/references/를 참조한다. [출처] IBM 웹서비스 구축사례 분석2 Orix|작성자 눈꽃천사 |