e-HR 시스템에서의 보안 (2)

4_보안
e-HR 시스템에서의 보안 (1)
2016년 8월 8일
3_proto
모바일 프로토타이핑 툴 소개 : Proto.io
2016년 8월 23일

지난 포스팅에 이어 이번에는 이수시스템의 e-HR에 적용된 보안기능에 대해 살펴보도록 하겠습니다. 이수시스템의 e-HR은 특별한 보안시스템을 갖추었다기보다는 기본적인 보안원칙을 철저하게 적용하는 쪽에 비중을 두었다고 볼 수 있습니다. 사실 기본적인 원칙을 잘 지키는 것이 보안에서는 제일 중요한 요소이기도 하죠.

 

(1)  웹 보안 (웹 취약점 대응)

이수시스템의 e-HR 시스템은 웹을 기반으로 하고 있기 때문에 이러한 환경에서 유의해야 하는 보안요소에 대응하고 있습니다. 기본적으로는 사용자와 시스템 간에 오고 가는 정보를 취득하고, 그 내용을 바꿔서 마치 정상적인 접근인 것처럼 시스템에 침입하려고 하는 시도를 막는 데 주안점을 두는 것이죠. 프로그램을 작성할 때 이러한 점을 감안하여 코딩을 하게 되는데, 이것을 ‘Secure Coding’이라고 부릅니다. 그 세부내용은 다음과 같습니다.

  • 크로스 사이트 스크립트(XSS) 차단
  • 크로스 사이트 요청변조(CSRF) 방지
  • 파라메타변조 방지
  • SQL Injection 방지
  • 파일업로드/다운로드 공격차단
  • 프로그램 오류정보(DB정보) 출력 차단

이러한 사항들이 잘 적용되어 있는지 소스코드를 분석해서 확인하는 도구들이 나와있으며, 시스템이 운영되면서 소스코드도 변경이 일어나므로 정기적인 점검을 통해 계속 보완해나가고 있습니다.

 

(2)  데이터 암호화 (민감 정보 데이터 암호화)

또 다른 측면에서의 보안은 저장되는 정보들을 암호화하는 것입니다. 기본적으로 패스워드를 포함해서 민감한 개인정보들은 모두 암호화해서 저장되기 때문에 데이터베이스의 자료를 보게 되더라도 내용을 알 수 없습니다.

특히 패스워드 같은 경우는 단 방향 암호화를 적용합니다. 단 방향 암호화라는 것은 암호화된 데이터를 원래의 값으로 돌려놓지 못한다는 것입니다. 즉 설정한 사람이 아니면 그 누구도 패스워드를 알지 못합니다. 패스워드를 잊어버린 경우에는 본인 확인을 한 다음에 재설정하는 수밖에 없습니다.

사용자의 PC와 시스템 간에 데이터를 주고받을 때에는 SSL(Secure Sockets Layer)이라는 것을 적용합니다. 상호간에 주고받는 데이터를 이런 방식으로 암호화함으로써 누군가가 악의를 가지고 중간에서 오가는 데이터를 가로채더라도 그 내용을 알 수 없도록 하는 기능을 적용하고 있습니다.

 

(3)  운영 인증/인가 (정보에 대한 허가 권한 통제)

마지막으로는 정보에 접근하는 대상에 대한 인증이나 인가와 관련한 내용입니다. 이수시스템의 e-HR에서는 사용자가 로그인할 때 인증과 인가의 과정을 거칩니다. Authentication이라고 부르는 인증은 로그인하는 사람의 정보를 검증하는 것을 말하고, Authorization혹은 permission으로 부르는 인가는 메뉴에 대한 사용권한을 말합니다.

이러한 절차를 통해 정상적인 경로를 거쳐 접근하는 것인지 확인하고, 해당 사용자에 대한 권한을 엄격하게 제어합니다. 사용자가 누구인지 검증하고 로그인 화면을 거쳐 정상적으로 들어오는 사용자인지, 아니면 정상적인 과정을 건너뛰고 접근하는 부정 사용자인지를 구분한다는 것이죠. 또한 사용자의 권한을 제어한다는 것은 시스템에서 볼 수 있는 화면의 목록을 관리하는 것뿐만 아니라, 같은 화면을 보더라도 조회만 가능한 경우와 입력, 수정이 가능한 경우를 구분하여 기능을 제한하는 것을 말합니다. 또 한편으로는 관리자를 포함한 모든 사용자의 작업행위에 대해 기록하고 보관합니다.

이수시스템의 e-HR에서는 외부시스템과의 연동에 대비한 보안체계도 준비해두고 있습니다. 이를 위해 별도의 중계서버를 통해 보안을 강화한 인터페이스 서비스가 이루어지도록 합니다.

 

지금까지 이수시스템의 e-HR 솔루션인 OPTI-HR의 보안에 대해 알아봤습니다. 시간이 지남에 따라 시스템 침입기술도 다양해지고 새로운 방식의 시도가 이어지고 있는 만큼, 이에 대처하기 위한 보안기술도 나날이 발전하고 있습니다. 결국 지속적으로 관심을 가지고 업데이트해나가는 것이 중요하겠지요. 우리 주변에서 늘 듣는 말이긴 합니다만, 보안은 아무리 강조해도 지나치지 않습니다.

 

 

 

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.