1. ESM의 개요

ESM은 Enterprise Security Management의 약자로 네트워크를 통해 들어오는 모든 위험요소들을 총체적으로 분석하여 미리 사전에 예방할 수 있도록 운영자에게 알려주는 시스템이다. 네트워크 운영자 및 서버시스템 운영자는 ESM을 통하여 얻어온 위험 정보를 바탕으로 네트워크에 생겨질 이상부분을 미리 파악하고 대처할 준비를 함으로 시스템 운용을 원활하게 할 수 있다.


2. ESM의 구성

(1) 구성요소

• 에이전트 : 방화벽이나 침입방지시스템, 게이트웨이, 라우터 등의 장비에서 정보를 수집하여 실시간으로 수집 서버에 전송하는 시스템
• 수집 서버 : 각 장비에 탑재되어 있는 에이전트를 통하여 들어온 정보들을 수집 및 정리하여 데이터베이스 서버 및 분석 서버에 전송하는 시스템
• 데이터베이스 서버 : 수집 서버에서 정리된 정보를 데이터베이스에 저장하는 시스템
• 분석 서버 : 수집 서버에서 들어온 데이터 및 데이터베이스에 저장된 정보를 바탕으로 현 네트워크의 상태 및 위기 상황을 분석하고 정리하여 그 결과를 사용자에게 알려주고 현상 및 결과 등의 정보를 데이터베이스에 다시 저장하는 시스템.
  

• 각 장비(방화벽, 침입방지 시스템, 각종 서버 등)에 탑재되어 있는 Agent는 각 장비에서 정보들(패킷의 정보, 트래픽 양 등)을 취합하여 실시간으로 수집서버에 전송한다.
• 수집서버에서는 각 장비에 탑재되어 있는 Agent에서 전송된 정보를 수집하고 시간 별, 종류별로 정리하여 주기적으로, 혹인 실시간으로 분석서버에 전송한다. 그리고 데이터의 저장을 위해 수집서버 레벨에서 정리된 정보를 DB 서버에 전송하여 정보를 저장한다.
• 분석서버에서는 수집서버로부터 받은 정보를 시간 별, 종류별 등으로 분석하고 DB 서버에 저장된 정보들을 분석하여 증상 등을 파악하고 해당 증상에 대한 내용들을 DB 서버에 저장된 현상 정보와 조회하여 현재 나타난 증상을 파악하고 해결 방법 및 예방 방법을 DB 서버에 저장된 정보를 검색하여 찾아 사용자에게 전달한다. 
• 사용자는 분석 서버에서 전달된 위험 정보 및 해결 방법, 예방 방법을 받아서 해당 네트워크에 조치한다. 그리고 새로이 추가된 해결방법 등은 다시 분석서버에 정보를 전달하여 분석서버에 DB 서버에 해결 방법 DB에 저장할 수 있도록, 그래서 이후에 해당 정보를 다시 사용할 수 있도록 한다.
  

3. ESM의 효용성 및 전문가 시스템으로서의 관계

ESM은 현재 네트워크의 상태를 파악하고 분석함으로 앞으로 닥치게 될 위기 사항을 대처하여 원활히 네트워크를 운영하게 만드는 시스템이다. 미리 예방을 함으로 바이러스 및 해킹에 대한 위험성을 낮추고 성능을 높임으로 시스템의 서비스를 향상 시킬 수 있다.

ESM은 실시간으로 수집된 정보를 분석하고 결과를 기존에 DB에 저장된 정보들과 비교하여 빠른 해결방안을 사용자에게 제시하는데 그 목적이 있다. 그러므로 ESM은 기존에 해결 방안 및 예방 방안 등이 저장된 데이터베이스 시스템 구축이 필수이며, 이 부분에서 전문가 시스템에 해당하는 요소가 첨가되게 된다. 처음에 구축된 내용들이 100% 완벽할 수 없기 때문에, 상황 별로 생기는 각종 예방 사항들과 해결 방안 등이 많이 모자라는 상태다. 사용자들은 분석 서버에서 온 정보를 보고 구축된 DB에 해당 내용이 있으면 그대로 사용을 하고, 구축된 DB에 해당 내용이 없을 경우 사용자는 예방 방법 및 해결 방안을 분석 서버에 넘겨 DB에 재구축을 할 수 있다. 저장된 정보는 이후에 같은 혹은 비슷한 상황에서 사용될 수 있다. 이렇게 반복적으로 작업을 하다 보면 DB는 점점 100%에 가까워지며 ESM 시스템은 앞으로 생겨질 일들에 대해서 점점 방어할 능력을 갖추게 되는 것이다.

정말이지. 이노무 Oracle때문에 돌아가실 지경이다. 실로 몇년만에 다루는 Oracle인지.

내용인즉 이렇다. 회사에서 예전에 만들어준 프로그램이 있는데 그 프로그램이 데이터를 Oracle에 저장을 한다. 그런데 그 프로그램에서 저장된 데이터에 문제가 있어서 그걸 잡아주는 프로그램을 만들어야 했다. 결국 테스트를 하기 위해서는 해당 업체의 데이터베이스 환경을 구축해야 했고 알아보니 Linux에 Oracle이더라. 그래서 회사에 있는 테스트 PC에 Linux를 설치하고 Oracle도 설치해야 했다.

그런데 이노무 Oracle이라는 놈이 보통 까다로운 놈이 아니다. 일단 Linux용 Oracle 설치 파일을 찾는데도 시간이 걸렸다. Oracle에서 아마도 공식적으로는 Oracle 9i부터 지원하는것 같았다. 내가 찾을려고 했던 Oracle 8.1.5가 암만 Oracle 홈페이지를 뒤져봐도 안나오는걸 보니까. 그래서 인터넷을 통해서 Oracle 8.1.5를 마구 찾아 해맸다가 못찾아서 포기했다. 그래서 Oracle 9i를 설치하기로 결정했다.

먼저 테스트 PC의 사양은 이렇다. CPU는 P3-500MHz요 메모리는 256MB에 HDD는 40GB다. 누가 들으면 한 10년전 PC로 알겠지만 정확히 말하면 5~6년전 PC다(그게 그거지 -.-). Linux는 처음에는 RedHat Fedora 5를 설치했다. 그랬더니 Oracle 9i가 설치가 안되는 것이다. 라이브러리 중 뭔가가 없어서 그랬나보다 싶어서 그렇다면 좀 낮은 버전으로 설치해보자 해서 RedHat 9을 설치했다. 그리고 Oracle 9i를 설치하니 설치화면이 떴다.

처음에는 아무 설정없이 그냥 설치부터 했다. 그랬더니 중간에 에러 몇번 나오더니 설치는 되었다. 그리고는 데이터베이스를 생성할려고 하니까 안되었다. 설정해줘야 할것이 있었는데 그걸 안해줘서 제대로 안되는 것이였다. 그래서 네이버, 구글을 총동원해서 Linux에서 Oracle 설치법을 찾았다. 다행히 괜찮은 블로그를 발견했다. 감사하는 맘으로 내 마가린에 북마크부터 해두고 거기에 써있는 내용을 바탕으로 하나하나 따라해나가기 시작했다.

먼저 Oracle용 계정을 만들고 거기에 환경설정 파일에 Oracle에 맞도록 수정해주고(의외로 설정해줄 것들이 많았다) 심지어 Linux의 설정도 바꿔주고 재부팅한 후에 Oracle 설치를 시작했다. 음. 이번에는 좀 깔끔하게 설치가 되는것 같았다. 설치가 다 끝나고 데이터베이스 설정하는 부분에서 몇번 에러가 났지만 무시해버리고 계속 진행해나갔다. 그러다보니 어느새 퇴근시간. 진행율을 보니 적어도 4~5시간은 걸릴듯해 보여서 PC를 켜둔채 퇴근했다. 내일 작업해야지 하고 말이다. 여기까지 오는데 3일정도 걸렸다. 월요일부터 수요일까지 한 것이 위의 내용이다.


그리고 오늘. 아침에 보니 설치 진행이 다 끝났다. 각 계정별 암호도 바꿔주고 설치가 끝난 뒤에 sqlplus에 들어가서 제대로 동작하는가 확인도 했다. 그리고 내 PC에 VMWare로 OS를 새로 하나 설치해서 거기에 Oracle Client를 설치하고 테스트 PC의 Oracle에 제대로 붙는가 확인했다. 오~ 제대로 붙는다. 이제 되었다 싶어서 본격적으로 Oracle 설정에 들어가기 위해 데이터베이스를 가동했다.

그런데, 이게 뭔가? 처음에는 초기 설정 파일을 못찾는다고 에러가 뜨더라. 보니까 init<SID>.ora 파일이 없다는 것이다. SID가 내 경우에는 ORA92으로 되어있어서 initORA92.ora 파일을 찾아봤으나 없었다. 또 다시 구글과 네이버를 총동원해서 찾아봤다. 그랬더니 init.ora 파일을 수정해서 쓰라더라. 그래서 init.ora를 initORA92.ora로 복사하고 다시 데이터베이스를 가동했다.

그러나 또 에러다. 이번에는 컨트롤 파일을 못찾는단다. 역시나 인터넷을 뒤졌다. 뒤지다보니 데이터베이스에 관한 내용은 DATABASE.SARANG.NET에 다 있더라. 그래서 아예 거기를 띄워놓고 찾았다. initORA92.ora에 컨트롤 파일 경로를 적으라고 하더라. 적고 다시 가동했다.

그러나 또 에러다. 머리가 지끈거리고 열받기 시작했다. Oracle을 설치하고 운영하다보면 가끔 PC를 부쉬고 싶은 충동을 느낀다고 여러 DBA들이 이야기하는 것을 느꼈는데 지금 내가 그 상황이었다. 마음을 가다듬고 다시 찾아봤다. 이번 에러는 데이터베이스 이름이 컨트롤 파일에 적은 것과 틀려서 나오는 에러였다. 그래서 여러가지로 찾아봤다. 컨트롤 파일을 다시 만드는 방법부터 데이터베이스 이름 바꾸는 방법까지 다 뒤졌다. 한 3시간 뒤졌나. 결국 찾았다. initORA92.ora에 데이터베이스 이름 적는 곳을 바꿨다. 그리고 다시 데이터베이스를 가동했다.

이번에는 된다. 기쁜 마음으로 테이블스페이스를 만들기 시작했다. 그런데 또 안된다. 데이터베이스가 열리지 않았다는 것이다. 메시지는 데이터베이스가 연결은 되었다고 했다. 그런데 열리지 않는다고 한다. 이건 또 무슨 문젠가해서 또 찾았다. 그런데 이유를 알고나니 황당해서리. 원래는 startup만 해주면 되는건데 난 startup mount를 했다. 즉, mount, 연결만 하라고 명령을 내려주고는 안열린다고 난리를 친거다(-.-). startup만 해주니 연결하고 열리는 것까지 진행되었다.

갖고있는 SQL문들로 테이블스페이스들을 다 만들고 사용자도 만들고 권한도 다 줬다. 이제 그리고 만들어진 테이블스페이스에 테이블들을 만들려고 했다. 그런데 또 에러다. 이번에는 rollback이 제대로 설정이 안되었다나 뭐라나. 이런 XX같은 Oracle 같으니라고. 지금이 바로 이 상태다.

과연 오늘내로 저 에러를 잡고 무사히 테이블을 만들 수 있을지 걱정이 된다. 지금 머리가 너무 아프고 눈도 따갑기 때문이다. 사무실 공기가 안좋아서 그런지 너무 신경을 써서 그런지 모르겠지만 말이다. 곧 퇴근 시간도 다가오고 하니 오늘내로는 아무래도 힘들듯 하고 내일 마무리 지어야겠다.

Oracle 설치에만 일주일이 소요되는 것이다. 옛날에 Oracle DBA를 한 9개월 맡은적이 있었는데 그때는 다 했는데 지금은 왜 안되지? 몇년이나 지났다고 다 까먹었나? 여하튼 쓰지 않으니 머리는 돌이 되어가는것 같다. 계속 굴려야 하는데 말이지.

ps) 좀 긴 포스트에는 중간에 한번 광고를 넣어보기로 했다. 쉬어가는 의미에서 말이다.