'해킹방지시스템'에 해당되는 글 1건

  1. 2010.12.17 사우넷 같은 홈페이지 개설시 보안관련
2010. 12. 17. 15:32

[질문]

사우넷과 같은 홈페이지를 개설하려고 합니다.
사번과 비번을 치고 들어가면 사우들끼리 정보도 공유하고 자유로운 글도 작성하고
또 동호회활동이라던지 회사 소식 등을 볼 수 있는 그런곳이요.
내부에서 급여조회 또한 하게 할 생각인데
이런부분도 개인정보 수집으로 인한 보안서버 등을 구축해야하는지 궁금해요.
이런 홈페이지를 만들려면 보안관련 등 어떤것이 필요한지, 금액은 얼마인지 좀 알려주실래요?
(홈페이지 제작비용이 아닌 보안관련 - 홈페이지는 자체제작)

 

[답변]

 안녕하세요.  IT전문 컨설턴트입니다. 

회사내부 사원들과의 교류를 위한 커뮤니티와 간단한 업무용 인트라넷 구축이 필요하신 것으로 보입니다.
이런 성격의 사이트는 보안을 어떻게 구성하느냐에 따라서 다양한 용도의 활용이 가능합니다. 

우선, 게시판 및 동호회(까페)를 구성할 수 있는 기본적인 홈페이지를 제작하실수 있다면 홈페이지 제작 부분은 큰 문제가 되지 않을듯 합니다. 단지 본인이 가입된 동호회에만 접속을 한다거나 해당 동호회의 운영자 권한 및 일반권한을 구분하여 게시판별로 권한을 따로 채크할 수 있도록 하는 기본적인 보안로직은 필수적입니다. 내부의 급여조회를 비롯한 여러가지 인트라넷의 기능을 포함하기 위해서는 관련된 DB에 대한 접근을 특수한 부서 및 담당자를 제외하고는 개인만이 접근가능하도록 구현해야 할듯 합니다.

 이 부분에서 필요한 부분이 급여조회의 View페이지에서 개인인증 및 해킹방지를 위한 프로그램 알고리즘 상의 여러가지 기법들이 필요합니다. 만약 더 보안한다면 보안인증서 , 웹방화벽 설치 등의 간단한 프로그램적인 요소만으로도 상당수의 위험 요인을 제거할수는 있습니다. 가장 중요한 부분은 프로그램을 담당하시는 분이 해킹에 대한 방어전략을 수립하신후에 거기에 맞는 개발방법 및 프로그램 로직을 설계하는 부분입니다.
아무리 좋은 장비와 소프트웨어를 통해서 방화벽을 구축하더라도 프로그램상의 논리적인 결함이 있다면 해킹은 100% 성공할 수 있습니다. 이를 원천적으로 막을 수 있는것은 다양한 경험을 통해서만이 얻을수 있습니다.

 내부에서 사용하는 인트라넷 성격의 사이트에서 많이 사용하는 보안시스템으로는...
1. 웹서버 상에서 고정IP 및 IP대역폭에 대한 한정승인기법(서버셋팅)
2. 웹방화벽 구축(무료 및 유료)
3. 논리 방화벽이 내장된 L7급 스위치 도입
4. 방화벽 하드웨어 도입
5. 동시접속자 제어(개발시 반영 및 소프트웨어 도입)
6. 최근접속시간 및 접속위치 추척(개발시 반영)
7. 프로세스 페이징 기법을 통한 접근 제한(개발시 반영 및 소프트웨어도입)
8. 권한별 공개키인증을 통한 개인승인(개발시 반영)
9. 인증서 도입
10. 부정접근에 대한 관리자 로그툴 및 모니터링 시스템 구축(개발시 반영 및 소프트웨어도입) 

등의 다양한 보안방법을 사용할 수가 있습니다.
구축 비용은 무료에서부터 수억원까지 다양하게 구성될수가 있습니다. 얼마의 인원이 사용될 것이며, 보호해야 하는 데이터의 종류 및 용량에 따라서 다양한 라이센스 과금 정책이 있습니다. 개발시 반영할 수 있는 부분을 먼저 진행해서 구축을 한다면 유료화된 보안방법을 사용하지 않고서도 충분히 보안기능을 운영할 수 있습니다.

제 개인생각에는.. 보안시스템에 대한 부분은 경험에 가깝습니다. 홈페이지 개발자분이 보안문제로 인해서 심각한 문제가 발생한 경험이 없다면, 기본적인 프로그램에서 보안을 염두해 둔다는 것은 불가능에 가깝습니다. 더군다나 최근에는 최신 기법으로 프로그램상의 결함요소를 통한 해킹시도가 많은 편입니다. 2년전쯤 무료로 공개된 통합게시판 시스템이 소스분석을 통한 해킹공격을 당하자, 해당 소스로 만들어진 수많은 사이트들이 광고글로 게시판이 도배당하고, 회원정보가 쉽게 유출된 적이 있었습니다. 이런 이유에서라도 공개소스를 일부 수정해서 만들계획이시라면 부정적인 의견을 드릴수 밖에 없습니다. 
100% 공격가능한 창도 없고, 100% 방어 가능한 방패도 없습니다. 하지만, 어느정도 위험요소에 대한 안전장치만 해두더라도 많은 위험을 제거할수가 있습니다. 

회사 내부에서 반드시 구축을 해야하는 상황이 아니라면 보안에 대한 능력을 갖춘 개발회사를 통하여 개발을 진행하시거나 전문컨설턴트를 통해서 위험진단을 사전에 컨설팅 받아보실 것을 추천드립니다.

-----------------------------------------------------------------------------------------------------------

Think Outside The Box .
생각을 바꾸면 Web이 달라진다는 모티브를 바탕으로 오픈한 웹에이전시입니다.
웹에이전시, 쇼핑몰 전문회사, 디자인 회사, 마케팅 전문회사, 포털사이트, SI개발회사,보안회사, 웹컨설팅회사 등을 통해서 ERP, CRM, SCM, Mall In Mall, 그룹웨어,솔루션제작 등을 통하여 꾸준히 실력을 쌓아온 IT분야의 전문가들이 모여서 설립한 회사입니다.


Posted by ToTb