이 자리에서 벨로스크 차의중 수석은 '개발 및 외주인력 직무분리에 필요한 로그조회 및 서버점검 전용환경 구축'을 주제로 강연을 진행했다.
이러한 문제를 예방하기 위한 대표적인 방안이 바로 계정관리, 접근제어, Secure OS 등의 서버보안 솔루션을 이용해 직무분리를 물리적으로 강제하는 것이다.
그러나 대상이 되는 서버의 수, 그 속의 파일 수, 명령문의 조합, 작업의 유형 그리고 접근하려는 사람의 수 등이 너무 많고 다양하며 심지어 변화까지 심하다 보니 훌륭한 기능들이 꼼꼼히 활용되지 못하는 것이 현실이다. 이는 결국 군데군데 보안 구멍을 남게 된다.
여기에 대한 원천적인 대안은 개발자, 외주인력 등 비 운영자의 서버 접속을 완전 차단하고 그들이 기존에 하던 작업을 모두 다 운영자가 대신하는 것이다. 그러나 이 방식은 운영자의 업무를 폭증 시키고 장애 등 긴급한 문제에 대한 대응 시간을 지연시키기 때문에 실제로 적용하기는 어렵다는 한계가 있다.
벨로스크 차의중 수석은 “개발자나 외주인력들이 서버에서 수행하는 작업의 90% 이상은 로그 등의 파일조회 그리고 나머지 10%는 잠재적 문제 예방이나 장애 원인파악을 위한 서버점검이다. 그러니 딱 파일조회와 서버점검만 할 수 있는 별도의 어플리케이션을 만들어 제공하자는 취지에서 큐플랫 개발이 이루어졌다"고 설명했다.
차 수석의 설명에 따르면, 큐플랫을 이용하면 운영자가 개발자나 외주작업자를 위해 로그 등 각종 파일을 대신 다운받아 전달하거나 모든 점검 작업을 대신하는 등의 대행작업을 할 필요가 없다.
반면 작업자들은 언제든 필요한 데이터를 즉시 확인할 수 있어 오류나 장애에 대한 대응도 신속하다. 조회, 점검 외에 시스템에 변경을 가할 만한 어떤 행위도 불가하므로 설령 운영서버가 대상이라 할 지라도 굳이 분석, 점검 작업을 일과시간 이후로 미룰 이유도 없다.
큐플랫은 단지 조회나 점검 작업을 분리시키는 것을 넘어서 조회한 내용을 복사, 인쇄 하지 못하게 제한하거나 접근 불가한 파일이나 폴더를 아예 목록상에 보이지 않도록 감추거나, 파일 속에 들어있는 개인정보 등 민감정보를 자동으로 마스킹하는 등의 추가적인 보안기능까지 제공한다. 따라서 기존의 보안 구멍을 메울 수 있을 뿐만 아니라 그 이상의 보안 효과까지 얻을 수 있다.
그렇다면 통상적인 보안 솔루션이 그렇듯 큐플랫을 도입하면 사용자들은 기존보다 더 불편해지는 것일까?
덧붙여 이러한 특징들로 인해 큐플랫은 일반적인 보안솔루션 도입시에 겪게 되는 사용자 저항이 거의 없다고 강조했다.
큐플랫은 제공하는 기능의 레벨에 따라 크게 네 가지 에디션으로 나뉘어진다. 앞서 말한 용도를 위한 에디션은 '큐플랫R'과 'R+' 에디션이다. 만일 로그 등 파일 조회만 필요하면 R 에디션을, 서버 점검까지 해야 한다면 R+ 에디션을 선택하면 된다.
나머지 두 에디션은 각각 'RW'와 '엔터프라이즈' 에디션이다. RW는 파일의 조회 외에도 업로드, 전송, 변경 등 모든 파일 관리 업무를 수행할 수 있으며 최상위 에디션인 엔터프라이즈는 이에 더해 각종 스크립트를 호출함으로써 중앙집중식 운영관리 콘솔이나 배치작업 콘솔까지도 구축할 수 있다.
큐플랫은 경남은행, 부산은행, 교보생명, 한화손보, 미래에셋생명 등 다수의 서버와 개발,외주 직원을 보유한 금융권을 중심으로 빠르게 고객을 늘려가고 있다.
벨로스크는 “안전하고 편리한 IT 서비스 운영방안”을 연구하는 회사로서 주력 솔루션은 자체 개발한 소프트웨어 ‘큐플랫’이다.
큐플랫은 원래 대규모 서버군 위에서 구동되는 여러 IT 서비스들을 통합적으로 관리하려는 목적으로 개발되었고 따라서 당초의 목표 시장도 IT 서비스 관리 분야였다.
그런데 솔루션의 부수적인 기능으로 포함된 권한관리 기능이 워낙 강력해 원래의 목적이었던 관리보다 보안 측면에서 더 많은 주목을 받게 되었다. 따라서 지금은 서버보안 분야 그 중에서도 개발자와 외주인력 등 비 운영자를 대상으로 하는 서버보안에 총력을 집중하고 있다.
'안전하고 편리한 IT 서비스 운영'이 벨로스크의 모토이고 태생이 관리 솔루션이었던 만큼 '큐플랫'은 보안성 만큼이나 사용자의 편의성 또한 매우 높다. 따라서 보안제품 도입시에 반드시 겪게 되는 사용자의 저항이 거의 없다는 것도 큰 특징이다.
벨로스크 차의중 수석의 G-PRIVACY 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
※큐플랫 동영상링크: https://youtu.be/RaewIZ5ynAI
[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록: http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
★정보보안 대표 미디어 데일리시큐!★