안녕하세요!
현재 해외 법인이 6개 있는 글로벌 회사 전산팀에 근무중인 2년차 직원입니다.
현재 전사 서버를 담당하고 있는데 여러 선배님들께 조언을 구하고자 질문 드립니다.
해외 법인 서버의 경우 특히 시차가 많이나는 유럽이나 미국의 법인들에 구축된 시스템에 문제가 생겨
업체에서 원격으로 붙어서 사용해야할 때가 종종 있습니다. 하지만 한국시간이 새벽일때가 많아 일일히 다
대응을 못하고 있어 해외법인 상주 IT가 서버에 접근할 수 있는 관리자 계정을 알려달라고 요청을 계속
하고 있는 중인데 전사 내부감사를 앞두고 있는 상황에서 로컬 IT 직원들에게 서버 정보를 알려주기가 참
어려운 상황입니다.
혹시 비슷한 상황을 겪었거나 글로벌 회사 전산팀을 운영, 근무하고 계신 선배님들이 있으시다면 어떻게
대응을 하고 계신지 조언을 구합니다.
요약 하자면
- 6개 해외 법인의 서버를 관리중
- 시차가 많이 나는 유럽 미국쪽에서 외부업체에서 서버에 접근해 유지보수를 하기 원하는 상황
- 한국은 새벽이기 때문에 일일히 대응하기 어려운 상황이고 이에 법인에서는 일정에 차질이 생김
- 로컬 IT들이 서버 계정을 알려주면 대응하겠다 하지만 내부감사로 인해 계정 공유가 어려움
- 다른 글로벌 전산팀 선배님들의 조언을 구함
긴글 읽어 주셔서 감사합니다.
12개의 답변이 있습니다.
접근 통제 솔루션 도입.
유지보수에 꼭 필요한 기능, 권한만 가진 계정할당.
담당엔지니어 보안각서 제출 및 교육.
감사를 수검하시는 상황이시라면 시스템 접근 제어 솔루션 도입 말고는 답이 없을것 같네요.
그 명분으로 도입 해놓으시면 서버 접근에 대한 보안도 조치가 되고
감사 받기도 수월해 지니 윗분들 잘 설득해보세요.
외부에서 원격 접속을 하면 무조건 접근통제솔루션을 도입하고, 보안서약서 등을 받는 등의 조치를 취해 업무를 하는게 맞다고 봅니다.
아니면 최근 이슈가 되고 있는 zerotrust 개념의 SDP 솔루션을 도입하여 모든 접속에 권한을 부여하여 어디에서 접속을 하든 문제가 없게 하는 방법도 있습니다.
잘 판단해보시고 결정하면 될 것 같습니다.
솔루션이나 기술로 해결하실게 아니라 정책으로 해결 보세요...임의로 결정하시지 마시고 상급자의 결재를 꼭 태우시구여
법인은 법인이고, 옥상옥의 상태로 IT가 돌아가버리는게 맞는지는 좀 애매하긴 합니다.
해외법인 비용으로 구매한 시스템이고 구축한 솔루션이면 제어권 자체가 옥상옥에 있어야 할 이유가 없죠. root는 로컬 IT담당에서 Admin을 잡아야 하는거구요. 오히려 국내법인에서 감사권한을 위해 해외법인 담당자가 만들어준 계정을 써야 하는게 맞죠.
비용도 아무것도 지원하지 않고 제어권한을 가지고 가는 상황이면 이상하게 돌아갈 수 있는 부분입니다.
단 국내법인에서 비용전부 투자하였고 그에 따른 사용료 등을 해외법인으로부터 정당하게 받아간다고 하면 root는 국내법인이 드는게 맞습니다. 대신 그에 따른 비용을 처리하는 과정에의 계약사항에 계정컨트롤 관련 내용이 들어가고, 그에 따른 유지보수 비용, 관련 비용은 해외법인 비용으로 처리를 한다는 전제로 제한된 sysop가 가능한 계정을 주시는게 맞습니다.
기본적으로 이미 현지에 상주중인 직원들에 대해 보안서약등을 받으셨겠지만, 계정을 추가로 제공함에 따른 서약등은 재확인 하실 필요는 있어보입니다.
그리고 질문에도 나온 상황에서 제일 난해하고 어려운 문제가 로컬의 IT직원도 아닌 다시 유지보수 업체가 원격을 수행하는 부분이기 때문에 이 부분을 어떻게 절차적으로 보안을 유지시키며 처리가능한가 연구도 하셔야 합니다. 기본적으로 외부에서 내부관리자 컴퓨터를 리모트로 접속해서, 서버에 접근을 할 수 있는데 그렇다면 해당 작업중엔 로컬IT인력이 계속 PC앞을 지키거나 확인을 하도록 하는 별도의 절차적 정리도 필요하죠.
반대로 현지의 유지보수 업체 담당자가 서버에 접속하려고 계정이 필요하다고 하면 그에 따른 접근제어가 필히 가야 하고 그에 따른 절차적 정당성과 권한 배분, 관리 리스크를 전부 절차화 하셔야 합니다.
서버 관리자 권한은 안되고 사용자 권한으로
서버 특이사항만 체크하게 하면 되겠네요
아니면 모니터링 솔루션으로 확인 할수 있게
해주는 방법도 있구요
기본적인 유지보수 권한은 주어야 할것 같습니다.
회사에는 어떤 사유로 어느 정도의 권한을 부여 하는지와 해당 담당자에게는 서약서를 받고 진행을 하시면 될것 같습니다.
일단 일을 해결 해야 하는게 우선 인것 같네요
유지보수에 필요한 권한만을 줘서 유지 보수용 계정을 만들어 주는게 맞을 걸로 보여지네요.
서버 접근 제어 솔루션을 도입해서 유지 보수중에 어떤 작업을 했는지 로그 기록이 남도록 만들어서 관리하는 것도 필요할 걸로 보이고요.
서버 접근 제어 솔루션으로는 PNP Secure의 DBSAFER OS가 괜찮아 보이는것 같고...
유지보수를 위한 최소의 권한을 가진 계정을 만들어서 제공은 해야 할 듯 합니다.
정말 국내 새벽시간에 대응을 못하는 도중에 문제가 생겨서 해결이 안되고,
이로 피해가 있다면 더 큰 문제가 아닐까 싶은데요.
IT서비스를 하는 유지보수 업체에 권한을 설정해주는 방향으로 가는게 좋지 않을까요? 시차도 다른데 그리고 내부감사에 대한 내용도 수정하여 업체에서 원격으로 지원할때 비밀협약서를 작성하는것도 좋아보여요
접근통제솔루션을 고민해보세요
접속 가능 ip, 시간, 대상서버, 계정 등도 조정이 가능하고 리눅스 계열은 권한이나 명령어 제한도 가능합니다. 해당 사용자가 행위도 모두 기록됩니다
원격접속이 필요한 곳에는 필수템입니다.
저희 감사에 그런 내용에 있는데요.
임시 권한 위임으로 접근하셔도 될것 같습니다.
기존 관리자 계정과 별도로 서버에 지원용 관리자 계정을 추가해서
평상시에 비활성화 해놓고 긴급지원이 필요한 경우만 활성해주시고
권한 위임에 대해서 리스트 관리하시면 되지 않을까요?