현재 위치

›› Forums ›› 재미 ›› 자유 게시판

회사의 보안관리 하시는분 조언 좀 부탁드립니다.

brown의 이미지
글쓴이: brown / 작성시간: 금, 2008/03/21 - 4:59오후

작은 벤처기업에 근무하는 시스템 엔지니어입니다.
좀더 정확하게는 현재 개발자이면서 SE로 전직중입니다.
SE업무를 위해 부단히 노력하고 공부하는데 현실은 그때까지 기다려 주지 않네요.
벤처기업이다보니 네트워크, 보안등 전산에 관련된 문제는 거의 다 담당하고 있습니다.

얼마전부터 회사 서버에 해커의 침입횟수가 늘어나고 회사 IP로 스팸이 발송되었다고 ISP업체에서 연락도 오고 점점 문제의 발생빈도가 잦아지고 있습니다.
이 문제를 해결 하실수 있는 뛰어난 개발팀장님이 계시지만 개발이슈로 워낙 바쁘셔서 제가 처리해야합니다. 앞으로도 제가 담당해야할 업무라서 실력이 모자라지만 제가 하고싶구요.

가장 문제가 되는게 사내 개인 pc관리인데, 얼마전에 보니까 알약같은 흔한 무료백신 프로그램 하나없이 PC를 사용하는 직원이 꽤 되는걸 봤습니다. 이걸 제가 메일로 아무리 보안에 신경쓰라.. 윈도우 방화벽 활용하라.. 등등 말을해도 본인이 관심을 갖지않고 신경을 안쓰면 대책이 없는데요.
정말 보안을 위해서 싸이 차단하고, 각종 p2p프로그램 차단하고 포트포워딩 중지하고 몇몇 설정을 하면 보안이 강화되겠지만 직원들 업무편의상 자발적으로 실천하게 유도하고 싶습니다.
다른 회사에선 어떻게 정책을 세워서 관리하는지 조언 좀 부탁 드립니다.

Forums: 
자유 게시판
zz181321의 이미지

글쓴이: zz181321 / 작성시간: 금, 2008/03/21 - 5:24오후

백신은 회사 라이센스로 구매하셔서 모든 PC에 의무설치 하셔야 할 거 같군요.

서버가 어떤 서버를 말하시는건지 모르겠지만, 보통 회사의 경우 내부 네트워크와 외부 네크워크 접점에 방화벽이 있지 않던가요?

내부 관리서버라면 허용하는 IP대역을 명시한다던가 하는 식이면 될것 같고, 웹서버라면 어느 운영체제던지 보안패치가 모두 적용 되어있는지 봐주셔야 할 것같고, 설정이 디폴트로 되어있는 것은 한 번 보고 문제가 없는지 봐주셔야 할 거 같습니다.

lso0502의 이미지

글쓴이: lso0502 / 작성시간: 금, 2008/03/21 - 5:29오후

차라리 리눅스을 쓰는게 현실적입니다. 서버관리 OS로도 유명하고 윈도우 프로그램이 호환 되지않기 때문에 보안설정만 제대로 갖춰주면 윈도우 날고 기던 바이러스나 악성코드는 호환성때문에 작동조차 못합니다.
그리고 윈도우용은 보안 업체가 유료을 고집하기때문에 리눅스용은 오픈 소스라 거의 공짜라고 봐도 무난합니다. 하지만 성능도 절대 윈도우용에 뒤쳐지지않고 오히려 능가하는게 현실입니다. 다만, 윈도우와 많이 다르기 때문에 초반에 삽질을 많이 필요로 하죠... [아는 애기을 짓껄여다면 사과드리겠습니다.]

[위선,거짓, 인간의 모든 추악함에서 꿋꿋이 살아가는 굶주린 영혼이여 편안한 휴식이 찾아오길 기원하겠습니다.]

[위선,거짓, 인간의 모든 추악함에서 꿋꿋이 살아가는 굶주린 영혼이여 편안한 휴식이 찾아오길 기원하겠습니다.]

huhushow의 이미지

글쓴이: huhushow / 작성시간: 월, 2008/03/24 - 3:29오전

포토샵 쓰는 디자이너한테 GIMP가 더 좋다고 리눅스, GIMP 사용법 가르쳐 주다보면 아마 사장이 짜르거나 회사가 망하거나 둘 중 하나가 될꺼같네요.
차라리 리눅스를 쓰는건 너무 비현실적입니다.
외부업체와 문서 주고받을때만 쓰는 한글과 ms오피스가 깔린 공용 PC를 따로두고 경리/회계 프로그램 리눅용으로 다시 만들고......

hanbyeol의 이미지

글쓴이: hanbyeol / 작성시간: 금, 2008/03/21 - 5:30오후

보안 관련 교육을 받을 때, 강사가 적극 추천해 준 사이트가 있습니다.

http://www.sans.org

Resources 디렉토리에 가면 보안 이슈나 정책에 관한 자료를 찾으실 수 있습니다.
특히 정책 세울 때 참고하면 좋을 듯합니다.

linlin의 이미지

글쓴이: linlin / 작성시간: 금, 2008/03/21 - 5:51오후

서버 관리는 담당 관리자만 있으면 어떻게 됩니다.

문제는 윈도우가 깔린 개인 피씨인데... 일단 회사에서 제공하는 피씨는 가능한한 구매할 때 사양을 표준화를 시키세요. 이렇게 한 다음 윈도우 설치, 필요한 어플 설치 및 보안설정까지 다 한 다음에 이걸 ghost이미지로 떠서 보관하고 문제가 생기면 아예 해당 피씨를 다시 ghost이미지로 초기화시켜버리는게 편합니다. 이렇게 하면 적어도 디폴트 보안 세팅은 모든 사원들에게 강제할 수 있고 문제가 생길때마다 윈도우를 재설치하는 불편도 덜 수 있습니다.

방화벽은 생각보다 쉽게 처리가 됩니다. 회사에서 제공하는 개인용 피씨와 관리 자체가 힘든 개인 소유 피씨의 아이피 대역을 다르게 주세요. 개인 소유 피씨들은 그냥 192.168.x.x 같은 아이피 대역에 몰아서 따로 관리하세요. 공유기에 방화벽 설정을 잘 한다음 개인 소유 피씨들은 공유기에만 물리는 식으로 접근하면 편리합니다.

백신은 사내 전용 백신을 사든가 혹은 무료 백신 설치를 의무화시키세요.

warpdory의 이미지

글쓴이: warpdory / 작성시간: 금, 2008/03/21 - 7:40오후

일단 공지를 때린 다음에

그 공지사항을 어기면 그냥 그 ip 를 막아 버리세요.

저는 그렇게 합니다.

저는 과장인데, 사장 지시사항으로 시행하기 때문에 저보다 직급 높은 차장이나 부장, 이사, 상무, 전무 .. 다 찍소리 못합니다.

ip 는 mac address 와 연계해서 ip 를 무단으로 바꾸면 안되도록 하시고, ip 를 무단으로 바꾸는 것을 막기 위해서 ip 대역을 타이트하게 운영하시면 됩니다.

3개월 지나면 깨끗한 환경을 보실 수 있습니다. 처음 3개월이 문제죠.

물론 ... 저희 회사 같은 경우는 아예 데스크탑 이라는 개념을 없애버리고 윈도즈 터미날 개념으로 바뀐지라. ... 보안이고 뭐고 신경 쓸 것도 없습니다. 하드웨어 보안관 같은 게 있어서 리부팅 하고 나면 ... 그냥 초기 상태라서 바이러스고 뭐고 ... 프로그램을 뭘 깔든 ... 다 그냥 ... 무시 되어 버리니 ..

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

brown의 이미지

글쓴이: brown / 작성시간: 토, 2008/03/22 - 4:42오후

막막하던 현실에서 빛이 보입니다. ^^

추가질문좀 할께요.
사내개인pc 관리라던가 서버를 관리함에 있어 정책을 세울때 관리자가 정책을 세워서 그냥 사내에 메일이나 다른방법으로 공지후 정책대로 시행하면 끝인가요? 아니면 따로 문서화해서 윗선의 결재를 받아서 보관하나요?

warpdory의 이미지

글쓴이: warpdory / 작성시간: 토, 2008/03/22 - 5:38오후

일단 이러이러한 안이 있고, 그걸 실행하면 어쩌구 저쩌구 ... 얼레벌레 .. 해서 문서를 만든다음에 최고 결재권자에게 결재를 받으세요.

그리고, 그걸 공지해 버리면 됩니다.

막말로 이거죠. "꼬우면 니가 사장 하든가.."

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

linlin의 이미지

글쓴이: linlin / 작성시간: 일, 2008/03/23 - 4:32오후

뭐 두번째만 의존하면 회사에 적들만 너무 많아지겠죠. ㅎㅎ 관리자라는 얘기만 들으면 에브리바디 치를 떨게 된다는 ㅎㅎ

기술적으로 적당히 사원들을 유도하는 방법도 있습니다. 다만 이건 소위 사내 routine이 어떻게 돌아가고 있는지 어느정도 감이 있어야겠죠. 평소에 불편하다고 느끼는 점을 개선해 놓고 공지 때리면 다들 알아서 따라오게 되어 있습니다. 당연한 얘기겠지만요.

오래전에 telnet에서 ssh로 넘어갈 때 즈음의 얘기인데... 제가 있던 단과대 전체에 telnet 때문에 문제가 많이 생기고 있었어요. 단대 전산실에서 열받았는지 전산실 서버의 telnet 서버를 모두 접근 금지시키고 단 한군데 서버만 보안상의 이유로 열었던 적이 있어요. 다른 서버 들어가려면 일단 여기로 telnet 연결해서 한번 더 연결해라 이거죠.

이거 결국 얼마 가지 못했습니다. 모든 사람들이 불평했고 실제 또 사용이 불편했으니까요. 결국 단대 전산실 서버 전부가 새로 ssh로 넘어가긴 했는데... 왜 관리자가 그 때 처음부터 ssh 생각을 안했는지 지금도 도무지 이해가 안갑니다. 관리자가 너네들 보안 sniffing 위험있어서 지금부터 telnet 막으니 이제부터 ssh로 들어와라... ssh는 telnet이나 사용방법은 거의 똑같다.. 이랬으면 처음부터 다들 잘 따라 왔을텐데 말이죠. 자기 패스워드 노출되는 것을 좋아하는 사용자들이 누가 있겠어요? 게다가 이건 평소 습관에서 telnet을 ssh로만 바꾸면 되는 일이니까요.

이것 말고도 관리자들이 황당한 정책을 세우는 경우가 많아요. 아는 지인이 다니는 학교는 학교 전체 네트워크에 telnet은 물론 아예 ssh용 22번 포트를 보안상의 이유로 incoming traffic까지 다 막았다고 하더군요. 뭐 이렇게되면 관리자는 속편하겠죠. 하지만 사용자들은 속으로 이를 갈고 있기 마련입니다. 어제까지 잘 쓰던 원격 접속 안되지 파일 전송도 안되지...

그러니까 같은 telnet 보안문제라도 관리자의 대응 방법에 따라 전산 환경의 편리도는 차이가 큽니다. 사용자의 저항을 적당히 낮추고 이네들이 지출한 비용만큼 나중에 편익을 누릴 수 있도록 정책을 짜는 요령이 필요해요. 즉, 당근과 채찍을 적절히 이용해서 현재 사용자들 습관을 적절한 수준에서 바꾸는 정책이 중요합니다. 그렇지 않으면 독재자 소리만 듣게 되죠.

어쨌거나 든든한 빽은 하나 마련해 두는 것이 좋습니다. 꼭 불편하다고 자기 마음대로 하겠다는 소리를 자기네 지위를 이용해서 어드민에게 강요하는 악당들은 어디에나 있으니까요.

huhushow의 이미지

글쓴이: huhushow / 작성시간: 월, 2008/03/24 - 3:26오전

WSUS로 보안 업데이트만이라도 강제로 때려박으면 그나마 좀 좋아질듯 합니다.

둘러보기