Querypie

Querypie 는 기업이 사용하는 온프레미스 및 클라우드 환경에서 안정적인 사이버보안 위협에 대응할 수 있도록 유연한 통합 보안 솔루션을 제공하는 서비스. 
데이터베이스 접근제어, 시스템 접근제어, 컨테이너 접근제어 등 데이터보안 솔루션 개발사로서 다양한 서비스(Okta,azure,slack,valut 등)와의 간편하게 연동을 하여 사용할 수 있는 서비스.

쿼리파이를 통해서, RBAC + ABAC 를 융합한 방식으로 사용자들의 계정과 권한들을 제어할 수 있게되는 것.
이와 같은 예시로 운용 → 신규 입사 > 직무/조직 등 설정 > SCIM 연동 > 쿼리 파이 권한 부여 > DB / Server 자동할당 되는것. 보안은 증가하고 관리는 더 효율적으로 제공가능

참고

OKTA 는 클라우드 기반의 아이덴티티 관리 서비스로, 사용자 인증 및 권한 부여 서비스를 제공 → 기업은 안전한 로그인을 구현, SSO(Single Sign-On) 기능을 통해 다양한 애플리케이션에 쉽게 접근할 수 있도록 지원.
사용자 디렉터리, 다중 인증(MFA), API 접근 관리 등의 기능을 제공. 즉 사용자는 SSO를 통해 하나의 로그인 정보로 여러 서비스에 접근할 수 있는 편의성을 제공해주는 서비스 

Azure Active Directory (Azure AD) 는 마이크로소프트의 클라우드 기반 아이덴티티 및 접근 관리 서비스로, 기업의 사용자와 그룹을 관리하고, SSO 및 다중 인증을 제공. 애플리케이션에 대한 접근 권한을 제어할 수 있으며, 온프레미스 AD와의 통합도 지원.
(클라우드 및 온프레미스 모두 제공)

Slack 은 팀 협업을 위한 메신저 플랫폼으로, 주로 비즈니스 커뮤니케이션에 사용. 기본적으로 사용자 인증 및 관리 기능을 제공하며, 외부 IdP와 통합하여 SSO를 지원. 기업은 Slack에 대한 안전한 접근을 관리할 수 있으며, 팀원들이 다양한 애플리케이션에 쉽게 로그인할 수 있도록 지원. API를 통해 다른 애플리케이션과 연결할 수 있는 기능도 제공됨

HashiCorp Vault는 비밀 관리 및 데이터 보호를 위한 오픈 소스 도구로 비밀번호, API 키, 인증서 등과 같은 민감한 데이터를 안전하게 저장하고 관리. Vault는 중앙 집중식으로 중요 데이터들을 관리하고, 필요에 따라 사용자가 인증을 받은 후에만 접근할 수 있도록 설정하도록 구현되어 있음.다중 인증과 접근 제어 정책을 지원하며, 다양한 IdP와 통합하여 보안을 강화하여 서비스를 제공

Single Sign-On (SSO)는 사용자 인증 방법 중 하나로, 사용자가 한 번의 로그인으로 여러 애플리케이션이나 서비스를 접근할 수 있게 해주는 기능. SSO를 사용하면 사용자에게 여러 로그인 정보를 요구하지 않고, 단일 로그인 정보로 다양한 서비스에 안전하게 접근 가능
로그인 정보가 중앙에서 관리되므로, 비밀번호 관리가 용이하고 보안 수준이 높아집니다. 또한, MFA(다중 인증)를 추가하여 보안을 강화 가능하고, SSO를 통해 사용자 접근을 중앙관리를 통해 관리 효율성이 향상

프로비저닝은 사용자의 계정을 생성하고 관리하는 프로세스를 의미. 이는 사용자가 시스템에 접근할 수 있도록 필요한 리소스를 준비하는 과정을 포함하는데, 새로운 사용자 추가, 사용자 정보 업데이트, 권한 변경 및 계정 삭제 등의 작업을 포함
프로비저닝 과정이 자동화되면 인력 자원과 시간을 절약 → 사용자가 조직에 입사할 때 자동으로 필요한 계정과 권한을 설정하게되고, 사용자 계정과 권한을 중앙에서 관리함으로써 보안 및 규정 준수를 보장이됨. 시스템에서 사용자 정보를 관리하고, 필요한 권한을 적시에 부여함으로써 비즈니스 프로세스의 효율성도 보장

 

RBAC (Role-Based Access Control) : 역할 기반 접근 제어로, 사용자에게 특정 역할(Role)을 할당하고 이 역할에 따라 접근 권한을 부여하는 방식 → 관리가 용이하고 규정 준수에 효과적

 • 역할 정의: 조직 내에서 수행해야 하는 작업에 따라 여러 역할이 정의됩니다. 예를 들어, 관리자, 사용자, 게스트 등
 • 사용자 역할 할당: 각 사용자는 하나 이상의 역할을 부여받습니다. 역할에 따라 권한이 자동으로 적용
 • 간편한 관리: 사용자의 권한을 역할 단위로 관리하기 때문에 대규모 사용자 관리가 용이
 • 정책 준수: 권한 부여가 명확하게 정의된 역할에 따라 이루어지므로, 규정 준수 및 보안 관리에 효과적

ABAC (Attribute-Based Access Control) : 속성 기반 접근 제어로, 사용자의 속성(Attribute)과 리소스의 속성, 그리고 환경적 조건을 고려하여 접근 권한을 결정하는 방식 → 유연하고 세밀한 정책 적용이 가능.

 • 세밀한 접근 제어: 사용자의 속성(예: 직급, 부서, 지역 등)과 리소스의 속성(예: 파일의 중요도, 소속 팀 등)을 조합하여 접근 권한을 정의
 • 동적 정책 적용: 특정 조건이나 상황에 따라 접근 권한이 유연하게 변경될 수 있습니다. 예를 들어, 특정 시간대나 지리적 위치에 따라 접근이 허용되거나 차단 가능
 • 고급 규칙 작성: 보다 복잡한 접근 제어 요구 사항을 처리할 수 있는 장점이 있습니다. 예를 들어, 특정 사용자가 특정 파일에 접근할 수 있는 조건을 세밀하게 설정

SCIM (System for Cross-domain Identity Management) : Cross-domain Identity Management를 위한 표준 프로토콜로, 다양한 서비스 간에 사용자 계정 및 속성을 쉽게 관리하고 동기화할 수 있도록 설계. 클라우드 기반 애플리케이션에서 사용자 계정 정보를 효율적으로 관리하는 데 사용

 • 표준화: SCIM은 API를 통해 사용자 및 그룹 정보를 표준화하여 교환할 수 있도록 합니다. 이로 인해 서로 다른 시스템 간의 통합이 용이
 • 자동화된 프로비저닝: SCIM을 사용하면 사용자 계정의 생성, 업데이트, 삭제 등의 프로비저닝 작업을 자동화
 • 상호 운용성: SCIM은 다양한 클라우드 서비스 및 기업 시스템 간의 사용자 관리를 지원하므로, 기업의 다양한 애플리케이션에서 사용자 정보를 일관되게 유지

Zero Trust는 현대 정보 보안 모델로, 네트워크에 접근하는 모든 사용자와 장치에 대해 기본적으로 신뢰하지 않고, 항상 검증하고 인증하는 접근 방식을 채택한 최소 권한 원칙을 적용하여 보안을 강화하는네트워크 보안 모델.
“신뢰하지 말고 항상 검증하라”는 원칙을 따르는 이 모델은 보안 위협이 내부와 외부 모두에서 발생할 수 있다는 인식 기반.

 • 신뢰의 부재: 전통적인 보안 모델은 네트워크 내부에 있는 사용자는 신뢰할 수 있다고 가정하지만, Zero Trust에서는 모든 사용자와 장치가 잠재적인 위협으로 간주. 따라서 내부 사용자라도 접근할 때마다 검증 과정을 거쳐야함
 • 최소 권한 원칙 (Least Privilege): 사용자는 자신에게 필요한 최소한의 권한만 부여받음. 이를 통해 특정 자원에 대한 불필요한 접근을 제한하고, 보안 사고 발생 시 피해를 최소화.
 • 다단계 인증 (Multi-Factor Authentication, MFA): 접근 권한을 부여하기 전에 사용자의 신원을 여러 방법으로 확인. 예를 들어, 비밀번호 외에도 생체 인식이나 OTP(일회용 비밀번호) 등의 추가 인증 수단을 사용.
 • 데이터 중심 보안: Zero Trust는 네트워크가 아닌 데이터에 중점을 두어, 데이터 보호를 위한 정책을 수립하고 이를 적용. 이를 통해 데이터가 안전하게 보호되며, 사용자와 장치의 접근이 데이터 보호 정책에 따라 관리.
 • 모니터링 및 분석: 지속적인 모니터링을 통해 비정상적인 행동을 감지하고, 이를 통해 신속하게 위협을 파악할 수 있습니다. 사용자와 장치의 행동 분석을 통해 이상 징후를 사전에 예방할 수 있습니다.
 • 애플리케이션 및 API 보안: 애플리케이션과 API에 대한 접근 제어를 강화하여, 외부 공격자로부터의 위협을 줄이고, API 호출 시에도 인증 및 권한 검증을 수행

BYOK (Bring Your Own Key)는 클라우드 보안 모델 중 하나로, 고객이 자신의 암호화 키를 클라우드 서비스 제공업체에 제공하여 데이터와 애플리케이션을 암호화할 수 있는 기능을 의미. BYOK는 데이터 보안 및 개인 정보 보호를 강화하는 방법으로, 특히 기업이 클라우드 서비스를 사용할 때 데이터에 대한 통제력을 높이는 데 도움. 즉 기업에서 이미 사용하고있는 암호화방식(키)를 보존하고, 융합해서 사용하는 방법

 • 데이터 소유권: BYOK를 사용하면 기업은 데이터의 암호화 키를 직접 관리할 수 있어, 클라우드 서비스 제공업체가 아닌 고객이 데이터에 대한 소유권을 유지할 수 있습니다. 이는 데이터 유출이나 손실에 대한 위험을 줄이는 데 도움이 됩니다.
 • 보안 강화: 고객이 제공하는 키를 사용하여 데이터를 암호화하면, 클라우드 제공업체가 해킹당하더라도 고객의 데이터는 여전히 안전하게 보호됩니다. BYOK를 통해 데이터는 암호화되어 있어, 서비스 제공자가 키를 알지 못하므로 데이터 접근이 제한됩니다.
 • 규정 준수: 많은 산업에서는 데이터 보호 및 프라이버시 규정을 준수해야 합니다. BYOK는 고객이 자신의 암호화 키를 관리하게 함으로써 이러한 규정을 더 쉽게 준수할 수 있도록 도와줍니다. 기업은 규정에 따라 키 관리 정책을 설정할 수 있습니다.
• 유연성 및 제어: BYOK는 고객이 필요에 따라 암호화 키를 생성, 변경 및 폐기할 수 있는 유연성을 제공합니다. 이를 통해 기업은 데이터 보호를 위한 정책을 자유롭게 설정할 수 있습니다.
• 혼합 클라우드 및 멀티 클라우드 환경 지원: BYOK는 기업이 여러 클라우드 서비스 제공업체를 사용할 때 데이터 보호를 일관되게 유지할 수 있도록 지원합니다. 여러 서비스 간에 동일한 키를 사용할 수 있어 관리가 용이합니다.

• 키 관리: BYOK를 구현할 때 가장 중요한 요소 중 하나는 키 관리입니다. 고객은 암호화 키의 생성, 저장, 사용 및 폐기를 안전하게 관리해야 합니다. 키가 손실되거나 유출되면 데이터 접근이 어려워질 수 있습니다.
• 복잡성 증가: BYOK를 도입하면 기존의 데이터 보호 모델에 비해 관리의 복잡성이 증가할 수 있습니다. 따라서 적절한 키 관리 전략과 도구가 필요합니다.
• 성능 고려: 암호화 및 복호화 작업은 성능에 영향을 줄 수 있습니다. BYOK를 사용할 때 이러한 성능 영향을 고려해야 합니다.