시스템 보안

BioStar X 서버 보안을 강화한 후 다음 단계는 BioStar X 애플리케이션 자체의 보안 설정입니다. 기본 관리자 계정, 취약한 암호, 암호화되지 않은 장치 통신은 인프라 수준의 보안을 우회하여 시스템을 직접 침해하는 경로가 됩니다. 이 문서에서는 BioStar X의 인증, 역할 관리, 장치 암호화, 백업 전략을 통해 애플리케이션 계층의 보안 기준선을 확립하는 방법을 안내합니다.

기본 관리자 아이디 및 암호 변경

설치 직후 기본 Administrator 계정의 로그인 아이디(admin)를 변경하고 강력하고 고유한 암호로 업데이트하세요.

기본 크리덴셜은 공격자가 침입하는 가장 일반적인 경로 중 하나입니다. 모든 BioStar X 설치는 사전 정의된 Administrator 계정(UID: 1)이 포함되어 있으므로, 이를 변경하지 않으면 시스템이 예측 가능해지고 무차별 대입 공격이나 사전 공격에 매우 취약해집니다.

1. 기본 관리자(admin) 계정으로 로그인하세요.

2. 사용자로 이동하세요.

3. 사용자 목록에서 Administrator 계정을 더블 클릭하세요.

   사용자 이름: Administrator, UID: 1

4. 사용자 편집 페이지의 권한 섹션에서 아래 항목을 변경하세요.

   • 로그인 ID: admin을 고유하고 쉽게 알아볼 수 없는 사용자 아이디로 변경하세요. root, system, 또는 회사 이름을 사용하지 마세요.

   • 암호: 안전한 암호로 변경하세요. BioStar X는 기본적으로 중간 강도의 암호를 사용합니다. 암호는 8~32자 길이이며, 대문자/소문자와 숫자를 모두 포함해야 합니다.

5. 화면 오른쪽 상단의 저장 버튼을 클릭하세요.

6. 로그아웃한 후 새로운 아이디와 비밀번호로 다시 로그인하세요.

모범 사례

• 개인 이름이나 단순한 패턴(admin1, company2025)은 사용하지 마세요.

• 새 아이디와 비밀번호는 안전한 암호 관리자 또는 기업용 비밀번호 저장소에 저장하세요.

• 비상 사용을 위한 보조 관리자 계정을 생성하세요.

• 관리자 로그인 시도에 대한 감사 로그를 정기적으로 검토하세요.

접근 권한 분리

BioStar X 내에서 전체 관리자, 오퍼레이터, 감사자 계정에 명확히 정의된 권한을 부여하고, 역할 분리를 엄격하게 적용해야 합니다.

모든 작업을 하나의 최고 관리자 계정으로 처리하는 것은 불필요한 위험을 초래합니다. 역할을 분리하면 다음과 같은 효과를 얻을 수 있습니다.

• 실수로 인한 설정 오류 발생 가능성 감소

• 한 명의 사용자가 무제한 권한을 갖지 않도록 내부자 위협 방지

• 역할별 명확한 책임 소재를 통해 감사 가능성 및 규정 준수 향상

이러한 방식은 ISO 27001, NIST 및 기타 프레임워크의 핵심 원칙인 최소 권한 및 직무 분리와 일맥상통합니다.

설치 후 권장 조치

1. 기본 관리자(admin) 이름 변경 및 보안 설정

   기본 관리자(admin) 계정은 비상시 전용 계정으로 관리합니다. 자세한 내용은 #changeDefaultAdmin을 참고하세요.

2. 명명된 역할 계정 생성

   • 전체 관리자(Admin) 역할: 시스템 구성 및 역할 관리 전용으로, 신뢰할 수 있는 1~2명의 사람으로 제한합니다.

   • 오퍼레이터(Operator) 역할: 사용자 추가 및 제거, 출입문/장치 제어 등 일상적인 운영을 담당합니다. 시스템 보안 설정 또는 감사 로그 접근은 없습니다.

   • 감사자(Auditor) 역할: 로그, 보고서, 구성에 대한 읽기 전용 액세스 권한만 부여합니다. 시스템의 주요 설정을 변경할 수 없습니다.

3. 멀티팩터 인증(MFA) 인증 활성화

   모든 역할 계정에 MFA를 적용하세요. 자세한 내용은 #setMfa을 참고하세요.

4. 커스텀 권한 계정 사용(필요한 경우)

   • 설정 → 계정으로 이동한 후 커스텀 권한 추가 버튼을 클릭하세요.

   • 사용자 그룹, 장치 그룹, 출입문 그룹, 엘리베이터 그룹, 출입 그룹에 걸쳐 세부적인 액세스 권한을 구성하세요.

   • 메뉴 별 권한에서 각 메뉴 항목에 대해 수정/보기 또는 보기 권한을 선택하세요.

커스텀 감사자(Auditor) 역할 생성 예시

1. 설정 → 계정으로 이동하세요.

2. 커스텀 권한 추가 버튼을 클릭하세요.

3. 커스텀 권한의 이름을 Auditor로 입력하고, 설명을 추가하세요.

4. 메뉴 별 권한에서 아래와 같이 권한을 설정하세요.

   • 사용자: 보기

   • 모니터링: 보기

   • 데이터: 보기

   • 대시보드: 보기

   • 설정: 선택하지 않음

5. 지정된 감사자 계정에 역할을 할당하려면 화면 가장 아래에 있는 확인 버튼을 클릭하세요.

모범 사례

• 개인별로 고유한 계정을 할당하여 로그인 정보를 공유하지 마세요.

• 분기별로 계정 역할을 검토하고 사용하지 않는 계정을 삭제합니다.

• 이름이 변경된 기본 제공 관리자 계정은 비상시에만 사용합니다.

강력한 암호 정책 적용

모든 사용자 계정에 강력한 암호 정책을 적용하도록 BioStar X를 구성하세요.

암호 정책 옵션

• 비밀번호 레벨

  • 낮음: 최대 32자까지 입력할 수 있습니다.

  • 보통: 비밀번호를 설정할 때 8~32 영어 문자(대문자 또는 소문자)와 숫자를 조합해야 합니다.

  • 강함: 비밀번호를 설정할 때 10~32 영어 문자(대문자와 소문자, 최소 한 글자 이상의 대문자 포함)와 숫자, 특수 기호를 조합해야 합니다.

• 비밀번호 변경 주기: 1일부터 180일까지 설정할 수 있습니다.

• 비밀번호 최대 실패 허용 횟수: 설정한 횟수를 초과하여 비밀번호를 잘못 입력하면 제한 시간 동안 로그인할 수 없습니다. 기본값은 10분 내 100회이며, 15분 내 5~10회로 줄이는 것을 권장합니다.

• 비밀번호 일일 변경 허용 횟수: 사용자가 하루에 비밀번호를 변경할 수 있는 횟수를 제한할 수 있습니다.

비밀번호 정책 강화

1. 설정 → 시스템 → 시스템 보안으로 이동하세요.

2. 로그인 비밀 번호에서 아래와 같이 설정하세요.

   • 비밀번호 레벨: 강함

   • 비밀번호 변경 주기: 활성화 후, 90일로 설정하세요.

   • 비밀번호 최대 실패 허용 횟수: 활성화 후 15분 내 5회로 설정하세요.

   • 비밀번호 일일 변경 허용 횟수: 활성화 후 최대 5회로 설정하세요.

3. 화면 오른쪽 하단의 확인을 클릭하세요.

모든 사용자에게 새로운 비밀번호 정책을 공지하세요.

세션 보안

메뉴 경로: 설정 → 시스템 → 시스템 보안 → 세션 보안

각 계정이 한 번에 하나의 활성 세션에만 사용될 수 있도록 동시 접속 허용을 비활성화하세요.

• 활성: 동일한 크리덴셜로 여러 사용자가 동시에 로그인할 수 있습니다.

• 비활성: 계정당 하나의 로그인만 허용합니다. 새 로그인이 발생하면 이전 세션은 자동 로그아웃됩니다.

주의

• 계정 공유가 감지되지 않으면 누가 어떤 작업을 수행했는지 알 수 없습니다.

• 탈취된 크리덴셜을 획득한 공격자는 정당한 사용자가 활동 중인 동안에도 눈에 띄지 않게 로그인할 수 있습니다.

• 감사 로그는 특정 사용자의 작업을 추적할 수 없으므로 그 가치가 떨어지게 됩니다.

멀티팩터 인증 (MFA)

BioStar X의 모든 고위 권한 계정(관리자, 운영자)에 대해 지문 인증을 추가하여 멀티팩터 인증을 활성화할 수 있습니다.

BioStar X에서 작동 방식

• 슈프리마 BioMini 또는 BioMini Plus 2와 같은 지문 스캐너를 사용하여 MFA를 구현합니다.

• 사용자가 로그인 아이디와 비밀번호를 입력하면 시스템에서 지문 스캔을 요청합니다.

주의

• 관리자 계정에 MFA가 활성화되어 있고, 지문 인식에 실패하면 계정이 잠길 수 있습니다.

• 클라우드 인터페이스를 통한 로그인 시 MFA는 지원되지 않습니다.

• Active Directory 또는 지원되지 않는 서비스를 통해 인증된 계정에는 MFA를 활성화할 수 없습니다.

단계별 안내

1. BioStar X 서버 또는 클라이언트 PC에 지문 스캐너를 연결하고 설치하세요.

2. BioStar X에서 사용자로 이동하세요.

3. 사용자 프로필을 열고 지문을 등록하세요.

4. 권한 섹션에서 다중 인증 로그인 항목을 사용으로 설정하세요.

5. 변경 사항을 적용하려면 화면 오른쪽 상단의 저장 버튼을 클릭하세요.

로그아웃 후 유효한 크리덴셜을 입력하고, 지문을 스캔하여 로그인하세요.

모범 사례 및 안전 조치

• 스캐너 오류를 대비하여 다른 손가락으로 대체 지문을 등록하세요.

• 바이오메트릭 장치 오류 발생 시 복구할 수 있도록 기본 제공되는 관리자 계정('비상용' 계정)을 백업 계정으로 설정해 두세요.

• 멀티팩터 인증(MFA)이 활성화된 계정을 문서화하고 복구 메커니즘을 유지 관리하세요.

장치와의 보안 통신

디지털 인증서(TLS/SSL 방식)를 사용하여 BioStar X와 연결된 장치 간 트래픽을 암호화하려면 장치와 보안 통신을 활성화하세요.

옵션 A: 서버 생성 인증서(기본값)

BioStar X에서 인증서를 생성하여 장치에 자동으로 프로비저닝합니다.

주의

이 기능을 비활성화했다가 다시 활성화하면 새 인증서가 생성되어 장치를 수동으로 재설정해야 합니다.

옵션 B: 외부 인증서(엔터프라이즈 사용 권장)

• 조직의 인증서 체인과 개인 키를 업로드할 수 있습니다.

• 엔터프라이즈 PKI와의 연동이 용이합니다.

단계별 안내

1. 관리자 계정으로 BioStar X에 로그인하세요.

2. 설정 → 시스템 → 시스템 보안 → 고급 보안 설정으로 이동하세요.

3. 장치와 보안 통신를 사용으로 설정하세요.

4. 외부 CA 인증서를 사용한다면 외부 인증서 사용를 사용으로 설정하세요.

   • 루트 CA, 공개 인증서 및 개인 키를 업로드하세요.

5. 적용하고 장치가 보안 채널을 통해 연결되는지 확인하세요.

모범 사례

• 항상 강력한 암호 키(RSA 2048 이상 또는 이에 상응하는 ECC)를 사용하세요.

• 장치 연결 방식(호스트 이름 또는 IP 주소)과 일치하는 적절한 CN/SAN 값을 가진 인증서를 사용하세요.

• 만료 전에 인증서를 교체하고 갱신 일정을 관리하세요.

로그 업로드 참고

로그 업로드가 수동으로 설정되어 있다면, 이벤트 가시성 지연 또는 감사 추적 누락의 위험이 있습니다. 가능하다면 로그 업로드를 자동으로 유지하세요.

장치 해시키 수동 관리

BioStar X와 장치 간에 사용되는 암호화 키를 수동으로 제어하려면 장치 해시키 수동 관리를 활성화해야 합니다. 이 기능은 탬퍼 방어 기능을 활성화합니다. 물리적 변조가 감지되면 기기에서 중요한 데이터가 자동으로 삭제됩니다.

중요

#secureComm이 전송 중인 데이터를 보호하지만, 장치 해시키 수동 관리는 아래와 같은 추가 기능을 제공합니다.

• 데이터 암호화 키가 자동으로 생성되는 것이 아니라 관리자가 관리합니다.

• 탬퍼 방어 기능을 활성화합니다. 장치가 무단 접근 또는 조작을 감지하면 저장된 사용자 정보, 로그 및 암호화 키를 삭제합니다.

주의

• 관리자 계정이 아닌 사용자가 로그인 비밀번호 또는 PIN을 가지고 있다면 수동 키 관리를 적용할 수 없습니다.

• 활성화하기 전에 해당 로그인 정보를 제거하세요.

단계별 안내

1. 관리자 계정으로 BioStar X에 로그인하세요.

2. 설정 → 시스템 → 시스템 보안 → 고급 보안 설정으로 이동하세요.

3. 장치 해시키 수동 관리를 사용으로 설정하세요.

4. 경고 팝업을 읽고 확인하세요.

5. 적용하기 전에 장치에서 관리자 이외의 사용자 비밀번호/PIN 로그인을 모두 제거하세요.

6. 메시지가 표시되면 암호화 키와 관리자 비밀번호를 변경하세요.

7. 장치가 여전히 사용자, 로그 및 이벤트를 동기화할 수 있는지 확인하세요.

8. 키 변경 사항을 문서화(날짜, 담당 관리자, 다음 변경 예정일)하세요.

모범 사례

• 장치 해시키를 매년 또는 6개월마다 정기적으로 변경하세요.

• 모든 변경 사항을 기록하고 안전한 저장소에 보관하세요.

• 실험실/임시 장치에서 탬퍼 이벤트를 테스트하세요.

• 심층 방어(defense-in-depth)를 위해 #secureComm과 함께 사용하세요.

시스템 백업

시스템 백업 기능을 사용하여 BioStar X의 데이터베이스, 시스템 설정, 키 값을 정기적으로 백업하세요.

주의

• BioStar X와 MSSQL이 서로 다른 서버에 설치된 경우, 시스템 백업/복원 기능을 사용할 수 없습니다.

• BioStar X 백업 기능(수동 또는 예약)은 암호화되지 않습니다.

• BioStar X 복원 기능은 암호화된 백업을 지원하지 않습니다.

수동 백업 설정

메뉴 경로: 설정 → 시스템 → 시스템 백업

• 백업 파일 저장 경로: 디렉터리를 지정하세요. 경로는 존재해야 하며 적절한 쓰기 권한이 있어야 합니다.

• 최대 백업파일 수: 1~100개까지 설정할 수 있으며, 일일 예약의 경우 최소 7~10개의 순환 백업을 유지하도록 권장합니다.

• 백업하기: 필요에 따라 즉시 백업을 실행합니다. 업그레이드 또는 주요 변경 전에 유용합니다.

시스템 자동 백업

• 빈도: 일간 / 주간 / 월간

• 시간: 시간을 지정하세요. BioStar X의 서버 시간대에 맞춰 예약이 실행됩니다.

모범 사례

운영 환경의 경우 사용자가 적은 시간대에 매일 백업을 권장합니다.

예: 현지 시간 오전 2시

자동 백업 구성

1. 설정 → 시스템 → 시스템 백업으로 이동하세요.

2. 시스템 자동 백업을 설정하세요.

   • 빈도: 일간

   • 시간: 02:00 (또는 다른 사용자가 적은 시간대)

   • 최대 백업파일 수: 30

3. 설정을 저장하려면 확인을 클릭하세요.

4. 대상 디렉터리에서 백업 파일을 생성했는지 확인하세요.

5. 스테이징 환경에서 복원 과정을 주기적으로 테스트하세요.

주의

서버가 UPS로 보호되는지 확인하세요. '진행 중' 상태가 표시되는 동안에는 작업을 중단하지 마세요. 백업 또는 복원을 중단하면 데이터베이스가 손상될 수 있습니다.

디렉터리 연동

디렉터리 연동을 통해 BioStar X는 Entra ID(Azure AD) 또는 **Microsoft Active Directory(AD)**와 같은 엔터프라이즈 ID 시스템과 연결할 수 있습니다.

• 강화된 보안: 암호 규칙, 멀티팩터 인증(MFA) 및 조건부 액세스에 대한 엔터프라이즈 정책을 BioStar X에 자동 적용할 수 있습니다.

• 중앙 집중식 제어: 사용자 수명 주기가 Entra ID/AD에서 관리되므로 계정 만료 위험이 줄어듭니다.

• 감사 및 규정 준수: 모든 사용자 작업이 회사 계정과 연결됩니다.

알아두기

디렉터리 연동에는 어드밴스(Advanced) 라이선스가 필요합니다.

모범 사례

• 권한이 제한된 전용 Entra ID/AD 서비스 계정을 사용하세요.

• 동기화를 관련 그룹으로만 제한하세요.

• Active Directory 연결에는 항상 LDAPS를 사용하세요.

• 동기화된 계정을 주기적으로 검토하여 오래된 항목이 있는지 확인하세요.

Microsoft Entra ID 단계별 안내

1. 관리자 계정으로 BioStar X에 로그인하세요.

2. 설정 → 디렉토리 연동으로 이동하세요.

3. 디렉토리 서비스에서 Microsoft Entra ID를 선택하세요.

4. 디렉토리 서버를 구성하세요.

   • 클라이언트 ID: Entra ID에서 등록한 애플리케이션의 클라이언트 아이디(Client ID)를 입력하세요.

   • 클라이언트 시크릿: Entra ID에서 등록한 애플리케이션의 인증서 및 암호(Certificates & secrets)에 추가한 클라이언트 암호(Client secrets)를 입력하세요.

   • 주 도메인: Entra ID에서 조직을 만들 때 입력한 기본 도메인 이름을 입력하세요.

5. BioStar X에 사용자 그룹 정보를 가져오려면 연결 버튼을 클릭하세요.

6. Entra ID로 BioStar X 로그인을 활성화하세요.

7. 리디렉션 URI를 복사하고, Entra ID 포털의 SSO 리디렉션 설정에 붙여넣으세요.

8. 동기화 모드에서 원하는 동기화 방식을 선택하세요.

9. 설정을 저장하려면 확인 버튼을 클릭하세요.

사용자 목록을 확인하여 동기화가 완료되었는지 점검하세요.

알아두기

• Entra ID에서 애플리케이션을 등록하는 방법은 다음 링크를 참고하세요.

• Entra ID에서 인증서 및 암호 설정 방법은 다음 링크를 참고하세요.

• 테넌트 ID는 Entra ID에서 등록한 애플리케이션의 개요(Overview)에서 확인할 수 있습니다.

• 주 도메인 정보는 Entra ID의 개요(Overview)에서 확인할 수 있습니다.

  

Microsoft Active Directory 단계별 안내

1. 관리자 계정으로 BioStar X에 로그인하세요.

2. 설정 → 디렉토리 연동으로 이동하세요.

3. 디렉토리 서비스에서 Microsoft Active Directory를 선택하세요.

4. 디렉토리 서버를 구성하세요.

   • 서버 주소: AD 서버의 IP 주소 또는 호스트 이름입니다.

   • 사용자명 / 비밀번호: AD 서비스 계정 크리덴셜입니다.

   • 기본 Domain 명: AD 도메인의 고유 이름입니다.

5. 암호화된 연결(LDAPS)을 사용하려면 암호화 사용을 활성화하세요.

   • AD 서버에 AD 인증서 서비스를 설치하세요.

   • 루트 인증서를 내보내고 .jks 파일로 변환하여 BioStar X 설치 경로에 배치하세요.

   • BioStar X에서 키 저장소 비밀번호를 입력하세요.

6. BioStar X에 사용자 그룹 정보를 가져오려면 연결 버튼을 클릭하세요.

7. 사용자 그룹 필터에서 필요 없는 그룹은 선택 해제하세요.

8. Active Directory로 BioStar X 로그인을 활성화하세요.

9. 동기화 모드에서 원하는 동기화 방식을 선택하세요.

10. 설정을 저장하려면 확인 버튼을 클릭하세요.

사용자 목록을 확인하여 동기화가 완료되었는지 점검하세요.

시스템 로그 설정

메뉴 경로: 설정 → 서버 → 서버

감사 및 문제 해결에 필요한 충분한 데이터를 보존하도록 BioStar X 로깅을 구성하세요.

시스템 로그 저장 기간

• 로그 업로드: 이벤트 로그의 업로드 방법을 선택하세요.

  • 자동(기본값): 보존 기간이 지나면 로그를 자동 삭제합니다.

  • 수동: 수동으로 로그를 삭제해야 합니다.

• 시스템 로그 저장 기간: 1~120일(기본값: 60일)

모범 사례

규정 준수가 중요한 환경에서는 보존 기간을 90~120일로 설정하고 로그를 SIEM으로 전송하세요.

시스템 로그 수준 설정

하위 시스템별: 디버그, 네트워크, SQL, 시스템, 웹, 웹소켓

수준	설명
추적	모든 항목 캡처(매우 상세)
디버그	개발자 수준의 상세 로그
정보	운영 이벤트, 성공 연결(대부분 기본값)
경고	잠재적 문제
에러	실패만

주의

운영 환경에서 추적 또는 디버그 모드로 실행하면 과도한 로그가 생성되어 성능 저하 및 디스크 용량 부족 현상이 발생할 수 있습니다. 단기적인 문제 해결 용도로만 사용하세요.

BioStar X 기본 로그 수준

• 디버그, SQL, WebSocket: 사용 안 함

• 네트워크, 시스템, 웹: 정보

서버 포트 구성

BioStar X 포트를 명시적으로 구성하고 가능하다면 보안 채널을 우선 사용하세요. 시스템 액세스에는 기본 HTTPS 포트(443)를 사용하고, 장치 통신 포트는 신뢰할 수 있는 네트워크로만 제한해야 합니다.

HTTPS 포트 변경

1. BioStar X Service Manager(http:/127.0.0.1:28088/)를 실행하세요.

2. 왼쪽 사이드 메뉴에서 SERVICE SETTINGS를 클릭하세요.

3. Unified Gateway Service에서 HTTPS Port(기본값: 443) 필드로 이동하세요.

4. 포트 번호를 원하는 값으로 변경하세요.

   예: 8443

5. Apply 버튼을 클릭하고, 필요시 서비스를 재시작하세요.

6. 변경한 포트에 맞게 방화벽 규칙 및 클라이언트 연결을 업데이트하세요.