ㅁ 운영 자동화

ㅇ 정의:
– IT 인프라 및 서비스 운영 중 발생하는 비정상 상태(이상 징후)를 자동으로 탐지하여 조기 대응할 수 있도록 하는 기술.
– 로그, 메트릭, 이벤트 데이터를 분석해 정상 패턴과 비교함으로써 이상 여부를 판단.

ㅇ 특징:
– 머신러닝 기반으로 정상/비정상 패턴 학습.
– 실시간 또는 준실시간 분석 가능.
– 임계치 기반의 단순 탐지에서 벗어나 다변량 분석, 시계열 분석 등을 활용.
– 경보(Alarm) 자동 생성 및 대응 워크플로우 연계 가능.

ㅇ 적합한 경우:
– 서버, 네트워크, 애플리케이션 등에서 장애를 사전에 감지해야 하는 환경.
– 대규모 인프라에서 수작업 모니터링이 불가능한 경우.
– 변동성이 큰 트래픽이나 부하 패턴을 가진 서비스.

ㅇ 시험 함정:
– 단순 Threshold 경보와 Anomaly Detection을 혼동시키는 문제.
– 사후 분석(Post-mortem)과 실시간 탐지를 구분하지 못하게 하는 문제.
– 이상 탐지의 목적을 ‘장애 원인 분석’으로만 제한하는 오답 유도.

ㅇ 시험 대비 “패턴 보기” 예시:
– O: “머신러닝을 활용하여 정상 패턴에서 벗어난 인프라 상태를 자동 식별한다.”
– X: “Anomaly Detection은 모든 장애의 원인을 자동으로 분석하여 해결한다.”
– O: “로그 및 메트릭 데이터를 종합 분석하여 이상 징후를 조기에 탐지한다.”
– X: “임계치 기반 경보 시스템은 Anomaly Detection의 한 형태이다.”

ㅁ 추가 학습 내용

Anomaly Detection(Infra) 추가 학습 정리

1. 주요 알고리즘
– Isolation Forest: 데이터 포인트를 분리하는 방식으로 이상치 탐지
– One-Class SVM: 정상 데이터 경계를 학습하여 경계 밖 데이터를 이상치로 분류
– Prophet: 시계열 데이터의 추세와 계절성을 모델링하여 예측, 예측 오차로 이상 탐지
– LSTM 기반 시계열 예측: 장기 의존성을 반영한 시계열 예측 후 오차 기반 이상치 판별

2. 데이터 전처리 중요성
– 이상치 탐지 전 노이즈 제거 필수
– 계절성, 추세성을 분리하여 이상 탐지 정확도 향상
– 데이터 스케일링과 결측치 처리 필요

3. 평가 지표
– Precision, Recall, F1-score, ROC-AUC 활용
– False Positive Rate(FPR) 관리 중요
– 운영 환경에서는 Precision과 Recall의 균형 조정 필요

4. 운영 환경 고려사항
– 탐지 민감도 조정으로 오탐·미탐 최소화
– 경보 피로(Alert Fatigue) 방지 전략 필요
– 자동 대응 정책과 연계하여 신속한 조치 가능

5. 클라우드/온프레미스 차이
– 클라우드 환경: 오토스케일링, 멀티리전 특성으로 정상 패턴 범위가 유동적
– 온프레미스 환경: 비교적 안정된 패턴, 고정 리소스 기반 탐지

6. 보안 연계
– 인프라 이상 탐지는 보안 침해 징후 탐지(IDS)와 결합 가능
– 성능 이상과 보안 이벤트를 함께 분석해 위협 인식 강화