블로그 이미지
ERP, IT 기술, 애플, 사진, 영화, 음악을 다룹니다. 많은 분과 같이 생각해 보는 블로그입니다. mail : erp.for.you@gmail.com Twitter : @erp4u ERP에 관한 자료나 조언이 필요하시면 궁금한 점을 상세히 신상과 연락처와 함께 비밀댓글로 남겨주시면 같이 생각할 수 있는 시간을 가져 볼 수도 있습니다. steve vai

맞춤검색
Statistics Graph

ERP와 DB보안 시스템

ERP(전사적자원관리)/ERP에 대한 단상 | 2011.12.08 20:13 | Posted by erp4u steve vai


       


솔직히 보안이라는 부분을 전산실에서 얼마나 고민을 하고 있는지?

그리고, ERP와는 어떤 상관 관계가 있는지? 
현재있는 보안 시스템은 어떤 배경으로 도입이 되었는지? 등의 여러가지 의문이 생긴다.

그리고, 지금의 보안이 적정한가에 대해서 한번 고민을 하고 진행을 해야할 것 이다.


컨설팅을 진행하다가 보면 기업이나 기관 자체의 문제보다 법규라는 부분의 문제가 존재를 한다.

특히, 공공이라는 부분에서의 보안시스템은 문제가 있을 수 있다.


보안에는 도입에 대해서 가이드라인이라는 것이 존재를 한다.

물론, 예산을 감안해서 진행을 해야하는 부분과 담당자와 의사결정자의 판단력과 IT(네트워크 기술)역량에 따라서 가이드라인이라는 부분이 참조가 되어야 할 부분이지만 인증이라는 부분에서는 좀 문제가 있다고 생각을 한다.

만약, 이 인증이 뚤리게 된다면 어떻게 할 것인지에 대한 고민을 하게 되었다.

K4라는 인증을 통한다면 문제가 없어보이지만 ... 그렇지는 않다고 한다.

인증 안에서 문제 발생한 사례가 많이 있다고 한다. 


 또, DB보안 업계도 기존 솔루션 업체가 가지고 있는 도입을 하는데 제일 큰 걸림돌이 있다.
 솔루션을 도입하는데 있어서 가장 문제가 되는 부분이라고 할 수 있는 것이 라이센스 정책이다.

이 부분은 쉽게 말하자면 고객에게 가장 눈탱이(적당한 표현이 없어서 ...) 치기에 용의한 정책이다.

1. CPU / Core를 통해서 금액을 달리하여 관리하는 방법
    - MS나 Oracle의 Database 정책이 우리에게 많은 것을 선물해주고 갔다.
      라이센스로 먹고 살 수 있는 행복한 방법을 전파해 주었다. 어떠한 S/W에 대한 정부 정책보다 자애(?)롭다.
      구매하는 입장에서는 부담은 늘어가는 경우라고 보면 될 것이다.

2. Database 갯수를 통해서 관리하는 방법
   - 이 정도면 봐줄만 하지만 이것도 문제가 많이 있다.
     S/W 방식이라면 Server를 따로 구매를 해야하는데 이중으로 투자가 되는 구조이다.

3. 네트워크 처리 용량을 통해서 관리하는 방법
   - 그나마 제일 합당해 보이는 구조이다.

4. 설치하는 형태의 S/W 제품인지? Rack Type의 H/W 제품인지?
   - 알아서 판단할 문제이다.

등으로 나누어 볼 수 있다. (업데이트를 통해서 더 세부적인 사항을 알아보겠다.)

문제는 보안의 기준을 가이드라인에 맞출 것보다는  가이드라인에 준거하고 우리의 상황에 맞는 보안이 무엇인지를 알아야 하는 것인지 그것을 찾는 일이 보안 정책을 강구해야 하는 입장에서 앞으로 발생할 수 있는 스트레스를 줄이는 일이 아닐까 생각한다.


가장 어리석은 DB 보안 정책 수립법

1. 예산에 맞추어서 진행을 하거나 못하는 경우 발생
    급하게 진행을 해야하는 경우에도 예산이 남아있을 수도 있고 모자랄 수도로 있다
    하지만, 당장 문제가 생기지 않는다고 예산 범위에서 집중을 하고 1차적인 방지책이 없다면 문제가 있다.
    예산보다는 해결책에 대해서 예산에 대한 의사결정자와 같이 고민을 하는 것이 좋다.

2. 가이드라인에만 준수한다.

3. 남이 하니까 따라한다.
     모든 상황이 그렇게 쉽게 흘러가지는 않는다.
     쉽게 생각을 하면 외양간을 고칠때 후회와 반성을 해야할 일이 분명히 생기는 것 이다.

4. 브랜드 제품을 BMT없이 그냥 도입
     트래픽을 먼저 고려해야 한다.

5. 여러 업체의 장단점 파악없이 도입
     비용에 대한 한계성
     검토를 하면서 책임 소제에 대한 두려움

이 모든 것을 보안에 대한 순수한 의지와 책임감이 없으면 곤란한 부분이다.

우리집 앞에 도둑이나 이상한 사람으로 의심되는 사람들이 많고 사건 / 사고가 많다고 가정을 해보자.

그러면, 해결 실적이 별로 없는 사설 경비 업체를 도입하겠는가?

그냥, 의례적으로 하는 업체에 다가 하겠는가?

돈이 부족하다고 그냥 싼 업체로 가겠는가?

도입 시기를 미루겠는가? 아예 하지 않겠는가?

선택은 입장에 따라서 다르지만 가능하다면 좋은 쪽을 염두해두고 있을 것 이다.


시간이 지나고 나서도 안전을 보장 받는다면 다행스러운 일이지만 

문제가 있었던 건지를 모르는 것은 더욱 큰 문제를 야기시킨다.


같이 컨설팅을 진행했던 보안 전문가의 이야기는 충격적이다.

미국에 다가 기술을 전파했다는 실력자의 이야기는 러시아 다음으로 전세계 2위인 나라가 대한민국이라고 한다.

보안기술이 발달된 나라가 아니라 보안의 피해건수와 피해 규모가 제일 큰 나라라고 한다.

쉬운 이야기가 아니다.
 
보안에 관해서는 "늦었다고 생각하는 시점이 가장 늦은 때"라고 볼 수 있다.

안전을 기약할 수 없는 부분이기 때문에 ...



댓글을 달아 주세요