애플리케이션 배포(애플리케이션배포)

 

 

운영환경의 특징

 

1. 네트워크 관점

 운영환경은 일반적으로 인터넷망과 분리되어 직접적인 연결을 혀용하지 않고 있으며, 별도의 내부망을 구성하고 방화벽을 통해서 인가된 IP를 통해서만 접근을 허용한다. 기업의 운영환경, 서버에 접근하기 위해서는 사전에 방화벽 허용 신청을 통해서 배포 서버의 IP가 접근 가능하도록 설정되어야 한다.

 

2. 계정 관리 부문

 기업의 운영환경은 접근 계정을 별도 IP관리 시스템을 통해서 관리하고 있으며, 정부의 보안 관리 기준에 따라 정기적으로 패스워드를 변경하는 형태로 관리된다. 그러므로 애플리케이션 배포 전에 운영 서버에 접근 가능한 계정, 프로토콜, 접근 디렉터리를 정해서 신청해야 하며, 아이디, 패스워드가 소스코드 또는 빌드 스크립트상에 하드코딩되지 않도록 주의해야 한다.

 

3. 보안 취약점 부문

 해킹 위협의 증가로 기업의 운영환경은 다양한 보안 취약점 점검을 주기적으로 수행하고 보안 취약점을 보완한다. 애플리케이션 운영 배포 시 이러한 보안 취약점은 애플리케이션 관점에서도 점검해야 한다.

 

 

프로그램 통제 부문 전자금융감독규정

 금융권 애플리케이션의 경우 안정적인 애플리케이션 운영 및 변경 작업을 수행하기 위해서 프로그램 통제 부문에 대한 기본 규정을 제시하고 있으며, 금융 애플리케이션을 운영환경에 배포 운영하기 위해서는 해당 기준을 준수하는 애플리케이션 배포 운영환경과 절차를 구현해야 한다.

 

1. 적용 대상 프로그램 종류 및 등록 · 변경 · 폐기 방법을 마련할 것(운영 절차 수립)

2. 프로그램 변경 전후 내용을 기록 · 관리할 것(변경 내역에 대한 이력 관리)

3. 프로그램 등록 · 변경 · 폐기 내용의 정당성에 대해 제3자의 검증을 받을 것(소스 변경 내역, 테스트 수행 결과에 대한 검증)

4. 변경 필요시 해당 프로그램을 개발 또는 테스트 시스템으로 복사 후 수정할 것(운영환경에서 직접 변경 금지)

5. 프로그램에 대한 접근은 업무 담당자에 한정할 것(소스에 대한 개발자별 접근 관리 적용)

6. 운영 시스템 적용은 처리하는 정보의 기밀성, 무결성, 가용성을 고려하여 충분한 테스트 및 관련 책임자 승인 후에 실시할 것(상위 관리자의 승인 절차, 테스트 결과 확인)

7. 프로그램 반출, 실행 프로그램의 생성 및 운영 시스템 등록은 전산 자료 관리자 등 해당 프로그램 담당자 이외의 사람이 수행할 것(개발자와 배포 담당자 분리)

8. 운영체제, 데이터베이스 관리 프로그램 등의 시스템 프로그램도 응용 프로그램과 동일한 수준으로 관리할 것(시스템 프로그램, 시스템SW에 대해서도 동일 수준으로 관리)

9. 프로그램 설명서, 입출력 레코드 설명서, 프로그램 목록 및 사용자 · 운영자 지침서 등 프로그램 유지 · 보수에 필요한 문서를 작성 · 관리할 것(프로그램 변경 시 관련 설계 산출물, 매뉴얼에 대해서도 업데이터 수행)

10. 전자 금융 거래에 사용되는 전산 프로그램은 실제 업무를 처리하는 정보 처리 시스템에 설치하기 전에 자체 보안성 검증을 실시할 것(인프라, 소스코드 보안 취약점 점검)