[스타트업 리뷰] IT운영전문가 시선에서 본 인포플라의 ‘IT장비 비밀번호 자동변경’
[편집자주] 스타트업(start-up)은 특정한 문제를 해결하기 위해서 ‘시작하는’ 기업을 말합니다. 기업의 생사가 걸려있는 만큼 스타트업은 문제에 대한 가장 효율적인 답을 찾으려고 노력합니다. 이들의 고군분투가 낳은 결과가 현재 우리가 향유하는 ‘혁신’이 된 경우가 많습니다.
다만, 대다수의 스타트업이 좋은 기술과 서비스를 보유하고 있음에도 충분히 성장하지 못하고 있습니다. 다양한 원인이 함께 작용한 결과지만, 가장 큰 문제는 좋은 기술이 있어도 이를 사회에 잘 알리지 못한다는 것입니다. 이에 [스타트업리뷰]를 통해 스타트업의 좋은 기술을 접해보고, 이를 어떻게 사용할지 그리고 업계 관계자들의 시선은 어떠한지 시리즈로 전하고자 합니다.
[IT동아 정연호 기자] 보안의 약한 고리는 관리자의 사소한 실수로 생기는 경우가 많다. 사람들은 대개 여러 계정의 비밀번호를 동일하게 하거나, 유사한 패턴으로 만든다. 특정 사이트에서 계정 정보가 유출되면 다른 사이트 계정들도 우르르 해킹되는 이유이다.
기업의 IT시스템을 관리하는 관계자들도 이러한 경향에서 쉽게 벗어나지 못한다. 이들은 일정한 주기로 수백, 수천 대 장비 비밀번호를 변경해야 하는데, 추후에 변경 내역을 정리해보면 설정한 비밀번호에 일정한 패턴이 보인다고 한다. 최근 보안 사고가 잦아지면서 기업들의 경각심도 높아졌지만, 사고가 발생하지 않는 이상 관성대로 작업을 하며 주의를 기울이지 못하는 부분도 있는 것이다.
기업들은 보통 3개월마다 장비 비밀번호를 바꾸곤 하는데 이러한 작업 때문에 상당한 스트레스를 받는다는 게 업계 관계자들의 속사정이다. 우선, 수천 대의 장비를 운영하고 있다면 이 작업에만 15명이 넘는 사람이 20일 정도를 매달려야 한다. 장비마다 비밀번호가 중복되지 않게끔 설정하는 것도 골치 아픈 일이다.
이러한 페인포인트를 해결하기 위해서 IT운영관리 솔루션 기업 인포플라의 최인묵 대표는 IT장비 비밀번호 변경을 자동화하는 솔루션을 개발했다고 한다. 시장에 유사한 솔루션이 없던 것은 아니지만 가격이 비싸다는 문제가 있었다. 최 대표는 “인포플라가 개발한 RPA를 SaaS 방식으로 제공해 비용을 낮추었다”고 말했다. 규칙을 설정하면 인포플라의 RPA가 장비 비밀번호를 자동으로 변경한다. 생성되는 비밀번호도 랜덤으로 만들어져서 겹치거나, 유사해질 일이 없다고 한다.
이어, 그는 “인포플라 솔루션의 강점은 다양한 IT장비에 적용이 가능하다는 ‘확장성’이다”라고 했다. 최근 IT장비들은 웹페이지에서 설정을 관리하는 추세인데, 시중에 출시된 비밀번호관리 솔루션은 웹 페이지에서 작동하지 않는 경우가 많다고 한다. 인포플라 아이톰스의 비밀번호 관리 자동화는 웹 페이지에서도 작동이 가능하다.
솔루션의 유용함은 현장에 녹아들었을 때 실무자의 고충을 얼마나 잘 해결하는지로 따져야 한다. 인포플라가 내놓은 솔루션이 ‘좋은 솔루션’인지는 IT운영관리 업계 관계자의 시선에서 뜯어봐야 알 수 있는 것이다. 이를 확인하기 위해서 기업에서 IT장비를 관리하는 전문가 세 명을 섭외해 아이톰스의 비밀번호 관리 자동화에 대한 의견을 물었다.
모 쇼핑몰의 IT총괄인 A는 16대 정도의 IT장비만 관리하고 있지만, 이 분야에 오래 있으면서 전문성을 쌓아왔다. 그가 소속된 기업은 오프라인 점포를 운영하다 최근 온라인 사업 확장에 나서는 단계라 아직 관리할 IT장비 규모가 크진 않다. 시스템 통합유지보수업체의 부장 B는 대형 IDC 센터의 운영시스템을 관리하면서 1000여 개의 웹서비스 및 6000대 이상의 서버를 모니터링하고 있다. 모 기업의 네트워크운영팀 총괄 C의 경우엔 30종의 네트워크 설비 6000개, 10종의 보안설비 200개를 담당한다. 인터뷰이의 요청에 따라 본 기사에선 이들의 소속과 이름은 익명으로 표기했다.
IT동아: 많은 기업이 IT장비 비밀번호를 주기적으로 바꾼다고 들었다. 본인이 소속된 기업에 비밀번호 관리 정책이 있다면 설명을 부탁한다.
쇼핑몰 IT총괄 A "우리는 장비 30대를 운영하는데 비밀번호 유효기간은 90일로 설정했다. 3개월마다 장비 비밀번호를 바꿔야 한다. 자동화 솔루션을 쓰진 않으며 관리자가 직접 바꾸고 있다. 장비 규모가 큰 기업처럼 작업에 많은 시간이 들어가진 않고 장비 하나당 작업에 1~2분 정도 소요된다.
다만, 평소 작업을 하면서 비밀번호를 매번 새로운 패턴으로 만드는 것에 부담을 느끼곤 했다. 포털 사이트에서 비밀번호를 바꾸라고 요청할 때 어떤 조합으로 만들지 고민하는 것처럼 말이다. 여러 장비를 동시에 바꾸다 보니 장비 간 비밀번호가 유사하거나, 일정한 패턴이 생길 때가 있어 이 부분에 주의하고 있다."
통합유지보수업체 부장 B "3개월마다 장비 비밀번호를 바꾼다. 변경한 비밀번호를 잘못 기록하면 다시 찾지 못하기 때문에 기록 작업이 꼼꼼하게 되도록 신경 쓰고 있다. 비밀번호 관리 방법에는 두 가지가 있다. 하나는 비밀번호 자동 변경 솔루션을 사용하는 것이고, 나머지는 관리자 권한으로 장비에 접속해 비밀번호를 변경하는 방식이다.
전자는 주기를 3개월로 설정하면 자동으로 장비 비밀번호가 변경된다. 보안 측면에서도 안전하다. 다만, 장비 특성상 자동 변경이 안 될 때가 있다. 사람이 직접 바꿔야 한다. 장비 하나에 계정이 여러 개가 있으면 하나씩 다 변경해야 하고, 확인 작업도 거쳐야 해서 장비마다 5~10분 정도 시간이 든다."
네트워크운영팀 총괄 C "기업마다 사용하는 장비가 다르고, 한 기업에서 다양한 장비를 쓰는 경우가 많다. 장비마다 비밀번호 변경 작업에 시간이 얼마나 걸리는지 평균적으로 얘기하기가 힘들다. 다만, 우리도 설정한 정책에 따라서 장비 비밀번호를 바꾸고 있다.
비밀번호 변경은 장비에 맞춰서 하고 있다. 네트워크나 리눅스 설비는 CLI(Command Line Interface)로 접속해 명령어로 패스워드를 변경해야 한다. 패스워드 길이 제한이나 특수문자 제한 등 기업마다 세부 정책이 다를 것이다. 윈도 OS 장비는 GUI (Graphic User Interface) 방식으로 화면을 전환하며 패스워드를 변경하고 있다."
IT동아: 업계 관계자로서 느끼는 장비 비밀번호 관리의 중요성은 어느 정도인가?
통합유지보수업체 부장 B "3개월마다 장비 수백 개의 비밀번호를 변경하는 건 담당자에게 큰 부담이지만, 주기적으로 바꿔야 한다는 필요성에 공감대가 형성돼 있다. 보안은 사고가 발생하지 않도록 사전에 방지를 하는 게 중요하다.
기업 시스템을 들여다볼 수 있는 권한을 가진 사람은 한정적이다. 다만, 시스템 관리자뿐 아니라 HW/AP 유지보수 업체 등 외부에 열려 있는 것도 사실이다. 누군가 우리 집 비밀번호를 안다고 생각하면 필요성이 와닿을 것이다. 당장은 사고가 안 날 수 있어도 혹시 모를 가능성이 있는 상황이다.
민간 기업에서 비밀번호 변경 정책을 만드는 것도 이 같은 이유 때문이다. 이쪽 업계에서도 비밀번호 유출로 해킹 사고가 나는 게 빈번한 일은 아니라고 본다. 다만, 유출되면 큰 피해로 번지는 것을 알기 때문에 다들 보안 시스템을 촘촘히 설계하는 것이다. 기업 시스템이 디지털로 빠르게 전환되는 상황에서 보안의 필요성은 더 커질 것이다."
네트워크운영팀 총괄 C "업무량이 늘고 체계가 복잡해질 순 있어도, 패스워드를 주기적으로 변경하지 않으면 시스템이 외부의 위협을 받을 가능성이 높다. 업계에선 비밀번호 변경 정책을 만드는 걸 당연한 조치로 본다. 많은 민간 기업이 비밀번호 변경과 관련된 정책을 시행하고 있다. 개인정보 보호의 중요성이 커지면서 핵심 시스템을 관리하는 관리자의 보안 책임도 강화되고 있다."
IT동아: 인포플라 아이톰스의 비밀번호 변경 자동화를 실제로 써봤다. 솔루션에 대한 의견을 듣고 싶다
쇼핑몰 IT총괄 A "솔루션의 완성도가 괜찮은 편이다. IT장비를 대규모로 운영하는 기업이라면 상당히 편리할 것이다. 사용방법도 복잡하지 않다. 다만, 이제 시작한 솔루션인 만큼 고객의 소리를 듣고 개선하면 더 유용한 기술이 될 것이라고 본다. 대부분의 좋은 솔루션들도 현장과 맞지 않는 부분이 처음엔 조금씩 있었지만, 데이터를 쌓고 현장의 소리를 들으면서 개선해 나갔다. 현장에선 장비마다 관리 방식이 다르게 돼 있다. 이러한 케이스에 대해서 계속 연구를 하고 데이터를 쌓으면 각 장비에 맞춰서 솔루션을 효율화할 수 있을 것이다."
통합유지보수업체 부장 B "OS와 네트워크 장비에서 솔루션을 직접 돌려봤을 때 비밀번호 변경 작업이 정상적으로 진행됐다. 아이톰스는 기존 비밀번호와 변경 내용을 기록으로 남기는 게 안심이 된다. 비밀번호 변경을 자동화할 때 생길 수 있는 문제가 작업 중 접속이 끊기면 변경된 비밀번호가 기록되지 않고 사라진다는 것이다. 아이톰스는 이 문제에 잘 대비한 것으로 보인다."
네트워크운영팀 총괄 C "기존 비밀번호 관리 솔루션도 유용성 측면에선 훌륭하다. 대신 기존의 비밀번호 관리 전문 솔루션은 비밀번호 변경에만 초점이 맞춰져 있어서 사용자 편의성은 다소 아쉽다. 아이톰스는 UI(사용자 인터페이스)가 간편해서 쉽게 이용할 수 있다는 게 장점이다."
IT동아: 인포플라는 RPA(로봇프로세스자동화)를 자체적으로 개발해서 솔루션에 녹였다. 자체 RPA를 사용하는 것에 장점이 있다고 보나?
통합유지보수업체 부장 B "타사 RPA 사용에 따른 비용을 내지 않아도 되니 솔루션 가격을 낮출 수 있다는 게 장점이다. 또, 타사 제품은 RPA 스크립트를 작성해야 한다. 인포플라 RPA는 기능별 도형을 배치하고, 이를 선으로 연결하면 스크립트가 작성되는 로코드(코딩 과정을 최소화해 간단한 소스코드를 사용하거나 마우스 클릭으로 프로그램을 만드는 방식)라서 비전문가도 쉽게 이용할 수 있다."
네트워크운영팀 총괄 C "RPA는 사용자 개발 능력이 필요한 어려운 솔루션인데 로코드 방식이라 부담이 덜하다. 이용자가 쓰기에 편리하고 직관적인 툴이란 인상을 받았다. 또, 인포플라의 자체 RPA는 아이톰스 솔루션에 특화됐기 때문에 IT운영작업 자동화에 최적화됐다고 생각한다."
IT동아: 마지막으로, 아이톰스의 비밀번호 변경 자동화를 사용하면서 개선이 필요하다고 느낀 점이 있다면 듣고 싶다.
쇼핑몰 IT총괄 A "패스워드 체계와 규칙을 엑셀에 정리하면 RPA가 이를 읽고 비밀번호를 바꾸는 기능을 추가하면 더 좋을 것 같다. 이렇게 되면 엑셀에 비밀번호 변경 날짜 기록이 있을 때 RPA가 이를 읽고서 장비 상황에 맞춰서 비밀번호를 변경할 것이다. 현장에서 일을 하다 보면 장비마다 비밀번호를 바꾼 날짜가 다를 때가 많은데 이를 고려해 자동화가 되면 더 편리할 것이다.
보안 측면에선 비밀번호를 관리하는 별도의 서버를 두는 게 안전할 거 같다. 다만, 이로 인해 서비스 운영이 불편해질 수 있다는 점은 문제다. 별도의 서버를 만들 예정이라면 인포플라에서 운영 과정을 효율화할 수 있는 방법을 찾아야 한다."
통합유지보수업체 부장 B "현재도 아이톰스에 다양한 장비를 등록할 수 있지만 적용 가능한 장비를 더 확대하면 좋을 듯하다. 기존 솔루션은 비밀번호 변경을 자동화할 수 있는 장비들이 제한적이어서 불편했다. 자동화가 가능한 장비가 늘어나면 운영자의 부담을 크게 줄일 수 있을 것이다."
인터뷰에 응한 세 명의 업계 관계자들은 인포플라의 아이톰스가 ‘좋은 출발선’에서 시작했다고 평가한다. 아이톰스의 비밀번호 관리 자동화는 현장 실무자가 느끼는 불편함을 이해하고 만들어진 솔루션이라는 것이다. 다만, 이제 출발지점에서 뛰어나간 만큼 결승지점까지 더 열심히 달려야 한다는 조언이 나왔다. 이들이 솔루션의 발전을 위해서 강조한 것 역시 ‘현장의 소리’다. 아이톰스가 더 좋은 솔루션이 되려면 현장에서 그 답을 찾아야 할 것이다.
글 / IT동아 정연호 (hoho@itdonga.com)