참여하는 지식마당> 참여하는 지식마당 on None

질문이 있으십니까?

기본 컨텐츠 및 사용자가 직접 참여하여 만들어진 다양한 내용을 검색합니다.

ERP(On-Premise)와 그룹웨어(Cloud)간 보안

보안부문 2018-12-07 신달수 2 댓글

개요

기존 ERP시스템들은 On-Premise 환경으로 구축하는 것이 일반적입니다. 온프레미스(On-premise)란 소프트웨어 등 솔루션을 클라우드 같이 원격 환경이 아닌 자체적으로 보유한 전산실 서버에 직접 설치해 운영하는 방식을 말합니다. 온프레미스는 클라우드 컴퓨팅 기술이 나오기 전까지 기업 인프라 구축의 일반적인 방식이었기 때문에 이전 또는 전통적인 이라는 단어와 함께 사용됩니다.
지오유 그룹웨어는 클라우드 환경에서 운용되는 협업시스템입니다. 자체 IaaS 를 직접 운용관리도 하지만, Public 클라우드 존에서 운용되어지는 부분도 있습니다. 어떻게 어떤 보안 구성으로 On-Premise 환경의 ERP 시스템과 통신이 이루어 지는지? 그 부분에 대해 언급하고자 합니다.

일반적 보안구성

옛날에는 서로 상이한 솔루션끼리 데이타를 주고 받을 때는, DB대 DB를 직접 연결해서 하는 방식을 많이 사용했습니다. ODBC 또는 OLE-DB를 통해 서로의 데이타베이스를 특정 권한을 주어 View형태 및 StoredProcedure를 Read권한, Write권한, Execute권한을 주어 호출하도록 하는 방식을 많이 사용했습니다.
그러나, 요즘은 이렇게 통신하는 방식을 사용하지 않는게 일반적입니다. 이유는, 서로의 데이타베이스를 열어줘야한다는 부담감과, 더불어 네트웍 앞단에 많은 보안 장비들을 열어줘야 한다는 추가 부담감도 존재합니다. 그 중에 가장 큰 부담은, DB 스키마에 설계 사상이 노출된다는 점입니다. 그래서, 서로가 꺼리는 경향이 있지요. 아래의 방식이 요즘 일반적으로 구성하는 방식이며, 지오유도 이에 해당합니다.
  1. 데이타 전송구간은 https 128 bit로 암호화 통신을 합니다.
  2. 주고 받는 데이타의 형식은 Json과 XML을 주로 사용합니다.
  3. 상대방의 시스템을 호출하고 응답하는 방식은 웹서비스(Web Service) 방식을 사용합니다.
  4. 두번째 호출 및 응답방식은 Rest API 호출방식입니다.

지원1. Web Service 방식

지오유는 Web Service방식을 지원합니다. 웹 서비스(Web Service)는 네트워크 상에서 서로 다른 종류의 컴퓨터들 간에 상호작용을 하기 위한 소프트웨어 시스템입니다. 웹 서비스는 서비스 지향적 분산 컴퓨팅 기술의 일종으로 SOAP, WSDL, UDDI 등의 주요 표준 기술로 이루어집니다. 웹 서비스의 모든 메시징에는 주로 XML이 사용됩니다.
SOAP (Simple Object Access Protocol) : XML과 HTTP등을 기본으로 하여 다른 컴퓨터에 있는 데이터나 서비스를 호출하기 위한 통신규약(Protocol)입니다. SOAP을 지원하는 서버가 대중화가 되면서 대부분의 SOAP 서버들을 웹에서 Access가 가능해졌으며 다양한 프로그램언어에서도 쉽게 실행할 수 있게 되었습니다.
UDDI (Universal Description, Discovery, and Integration) : 개방형 표준과 비독점적 기술을 기반으로 개발된 전역 비즈니스 레지스터리입니다. 이 레지스터리를 이용하여 다양한 웹서비스를 사용자는 쉽게 검색하여 사용할 수 있습니다.
WSDL (Web Service Description Language) : 웹서비스에서 제공하는 기능들(서비스 오퍼레이션에 해당함)을 외부에서 이용할 수 있도록 그 사용방법을 알려주는 인터페이스 언어로 XML 기반으로 작성됩니다.
[ 그림. Web Service 구성도 ]

지원2. REST API 방식

지오유는 REST API 방식을 지원합니다. REST는 Representational Safe Transfer의 약자로서, 크게 Resource, Method, Message 3가지 요소로 구성됩니다. HTTP 메서드를 그대로 사용하기 때문에 웹환경을 지원하는 솔루션끼리 많이 사용하는 방식입니다. 주고 받는 데이타의 형식으로는 JSON을 많이 사용합니다.
지오유는 HTTP + JSON으로 REST API를 정의해서 사용합니다. 이는, 안드로이드 플랫폼이건, iOS 플랫폼이건, 또는 C나 Java/Python이건 특정 언어나 기술에 종속 받지 않고 HTTP와 JSON을 사용할 수 있는 모든 플랫폼에서 사용가능합니다.
HTTP+JSON 통신을 사용할 때 아래 5가지의 보안 체크부분이 있습니다.
  1. 인증 (Authentication) - 지오유는 인증키를 발급합니다.
  2. 인가 (Authorization) - 지오유는 그룹웨어 접근 권한관리를 사용합니다.
  3. 네트워크 레벨 암호화 - 지오유는 HTTPs기반의 보안 프로토콜을 사용합니다.
  4. 메시지 무결성 보장 - 지오유는 Signature를 생성해서 메세지와 같이 보낸후에 검증하는 방식을 사용합니다.
  5. 메시지 본문 암호화 - 지오유는 추가적으로 메시지 자체를 암호화해서 사용합니다. Key가 필요한 AES 암호화 방식을 사용합니다.

운용1. API Token 방식

지오유는 API Token 방식을 사용합니다. 사용자 ID,PASSWD등으로 사용자를 인증한 후에, 그 사용자가 API 호출에 사용할 기간이 유효한 API Token을 발급해서 API Token으로 사용자를 인증하는 방식입니다. 매번 API 호출시 사용자 ID,PASSWD를 보내지 않고, API Token을 사용하는 이유는 사용자 PASSWD는 주기적으로 바뀔 수 있기 때문이고, 매번 네트워크를 통해서 사용자 ID와 PASSWD를 보내는 것은 보안적으로 사용자 계정 정보를 탈취 당할 가능성이 높기 때문에 API Token을 별도로 발급해서 사용하는 것입니다.
API Token을 탈취 당하면 API를 호출할 수 는 있지만, 반대로 사용자 ID와 PASSWD는 탈취 당하지는 않습니다. 사용자PASSWD를 탈취당하면 일반적으로 사용자들은 다른 서비스에도 같은 PASSWD를 사용하는 경우가 많기 때문에 연쇄적으로 다른 서비스에 대해서도 공격을 당할 수 있는 가능성이 높아지기 때문입니다. 예를 들어서 매번 호출시마다 사용자 ID,PASSWD를 보내서 페이스북의 계정과 비밀번호를 탈취 당한 경우, 해커가 이 계정과 비밀 번호를 이용해서 GMail이나 트위터와 같은 다른 서비스까지 해킹 할 수 있기 때문에, 이러한 가능성을 최소화하기 위함입니다.
[ 그림. API Token 방식 처리 흐름도 ]

운용2. 데이타 암호화

지오유는, 데이타 암호화 방식으로 AES(Advanced Encryption Standard) 128Bit 방식을 사용하여 데이타를 암호화해서 보내고, 받을때도 암호화된 형태로 받습니다.
  1. 암호화와 복호화 과정에서 동일한 키를 사용하는 대칭 키 알고리즘입니다.
  2. 지오유는 AES 표준중 하나인 린다엘(Rijndael) 알고리즘중 블록 크기가 128비트인 알고리즘을 사용합니다.
  3. 지오유는 Classic ASP 언어에서 사용하도록 배포하고 있습니다.
  4. 지오유는 닷넷 C# 언어에서 사용하도록 배포하고 있습니다.
  5. 지오유는 PHP 언어에서 사용하도록 배포하고 있습니다.
  6. 지오유는 SQL-Server 데이타베이스에서 사용하도록 배포하고 있습니다.

더존ERP와 연동 사례

지오유는 위에서 언급한 방식을 지원하며, 더존ERP의 과거버전 iCube말고 iU 버전은 웹서비스를 지원하는 것으로 알고 있습니다. 즉, 상호 지원하는 프로토콜이 맞다면 쉽게 데이타를 주고 받을 수 있습니다.

더존1. iCUBE 버전

지오유는, 더존 iCUBE 버전을 지원합니다. 저희가 더존 ERP와 연동하면서 경험한 것은, iCUBE 버전에서는 더존의 데이타베이스에서 필요한 Table, View, Stored Procedure를 Read, Write, Excute 권한을 주어 호출하도록 열어주는 방식이였습니다. 이럴때, 지오유는, 전자결재 Event가 발생하는 시점에서 더존 ERP를 호출하도록 지원하고 있습니다. 그 이벤트는 아래와 같습니다.
  1. 전자결재 상신 시, 더존 ERP 호출
  2. 중간결재자 승인 및 반려 시, 더존 ERP 호출
  3. 최종 승인 및 반려 시, 더존 ERP 호출
  4. 결재문서 삭제 시, 더존 ERP 호출
  5. 더존에서 결재문서 열람 시, 지오유 전자결재 문서 View 호출 지원
  6. 더존에서 생성한 기초 데이타 동기화 지원
  7. 더존에서 결재문서 상신 시, 지오유 전자결재 문서 상신화면 호출 지원

더존2. ERP iU 버전

지오유는 더존 ERP iU 버전을 지원합니다. 더존 ERP iU 버전은 많이 진보되고 지원하는 방식도 많아진것으로 알고 있습니다. 지오유에서 지원하는 웹서비스(Web Service) 방식도 지원하는 것을 알고 있습니다. REST API 방식은 아직 지원하지 않는것으로 알고 있습니다. 기존 iCUBE에서 지원하던 DB View 오픈은 여전히 지원하는 것으로 알고 있습니다. 귀사의 더존은 어떤 버전입니까 ?

결론

지오유는, 위 더존외에 하단의 그림에서 보는바와 같이 영림원ERP, UNIERP, EMAX등 메이저 ERP 시스템들을 지원합니다. 각 ERP별로 다양한 연동사례와 구축 경험을 가지고 있습니다. 본 화면 우측에 연결 문서를 통해 자세히 확인하실 수 있습니다.
[ 그림. 지오유에서 지원하는 ERP 시스템 ]
  3. 신달수 - Reply

    더존 ERP 제품과 연동하고 싶은 고객은 본 화면의 우측에 관련글 링크를 보시기 바랍니다. 더 자세히 나와 있습니다. 감사합니다.

댓글을 작성하세요

문서 이력