소만사(www.somansa.com)의 Mail-i와 WebKeeper에 관한 분석
신승훈(서울대 이공대신문사)
1. Mail-i
① Mail-i의 특징
·다양한 프로토콜에 대한 통합 모니터링
- e-메일(POP3, SMTP, IMAP), 웹메일(http), FTP, Telnet, NNTP 등 다양한 프로토콜의 송수신 내용에 대한 사본유지
- 인터넷 메신저(MSN Messenger, AOL, ICQ) 송수신 내용에 대한 사본 유지
·부서/직책에 따른 다양한 정책 설정 지원
- 관리자별 권한 설정기능
- 사내 인사DB와 연동하여 효율적인 검색/관리
·다양한 네트워크 규모 지원
- 기가 비트 네트워크 지원
- 중대형 대용량 DBMS 지원 : MS-SQL
- 중소 기업 규모에서 사용하는 MDB 지원
·분산 네트웍 환경의 효율적 지원
- 복수의 리시버가 저장하는 모든 자료를 통합하여 검색 및 관리
- 기존 네트워크를 변경하지 않고 복수의 사업장이나 네트워크 단위별로 효율적인 분산 설치 가능
- 복수의 리시버를 통한 로드밸런싱으로 안정적인 모니터링 환경 구축
·첨부파일 분석 및 바이러스 검색
- 다양한 첨부파일 포맷의 내용 추출/분석. 압축된 파일을 자동 해제 후 분석가능
- 다양한 바이러스에 대한 자동검색과 바이러스 검색 엔진의 지속적인 업데이트
- MS Office등 별도의 프로그램을 설치하지 않고 250여가지의 파일 포맷 내용을 완벽하게 재현 가능
·강력한 검색/리포팅 기능을 통한 효율적 로그관리
- 직관적이고 편리한 인터페이스
- 무제한의 키워드 검색 가능
- 주민등록번호, 계좌번호, 전화번호, 사번 등의 중요정보에 대한 패턴 검색기능 제공
- 사용자가 원하는 통계를 자유롭게 작성할 수 있는 강력한 사용자 정의 리포팅 기능
- 사용자가 쉽게 가공할 수 있는 Excel, HTML 포맷 등 다양한 형태의 검색/통계 결과 Export 지원
- 스케줄링을 통한 모든 관리 작업의 완전 자동화
·완벽한 원격지 관리
- 원격지에서 모든 모듈을 통합하여 관리 가능
- 간단한 인터페이스를 통하여 원격지에서 다양한 작업 수행
② 구성요소
·Mail-i 리시버
- 네트웍 상의 패킷을 수집하여 메시지를 데이터베이스에 저장
- 시작, 종료, 설정 등 원격지 관리가 가능
- 일반 메일(POP3, SMTP), 웹메일(HTTP), FTP, Telnet 등 다양한 프로토콜 지원이 가능
·Mail-i 서버
- 데이터베이스에 저장된 메시지를 분석하여 다양한 검색, 보고서 작성, 분류 작업이 가능
- 강력한 사용자 정의 리포팅이 가능
- 첨부파일 분석 및 바이러스 검색이 가능
·Mail-i 클라이언트
- 데이터베이스에 저장된 메시지를 재현
- Mail-i 서버를 통한 다양한 검색, 보고서, 분류작업에 대한 결과를 볼 수 있음
- 첨부 파일에 대해서 빠른 보기 가능
- 간단하고 직관적인 인터페이스로 원격지에서 데이터베이스와 mail-i 서버를 관리
- 부서/직책에 따른 다양한 정책 설정 지원 및 인사DB 연동
③ FAQ
·Mail-i는 어디에 설치해야 합니까?
Mail-i는 편지를 볼 수 있는 곳이라면 어느 곳이나 설치할 수 있습니다. 대부분 조직 내에서 한 곳에서 전체를 관리하게 하고자 하기 때문에 보통의 경우에는 방화벽(firewall)이 설치되어 있는 시스템에서는 방화벽의 전단, 프락시서버와 동단(same level)에 설치하게 됩니다. 일차적으로 편지를 보고자 하는 영역에 따라 그 설치 위치가 달라지게 됩니다. 하위 네트워크만을 관리하고자 할 경우에는 switching hub이하의 네트워크의 한 노드에 mirroring option을 설정하여 물려 놓으면 되고, 네트워크 전체를 관리하고자 한다면 위의 세가지 위치에 해당하는 곳에 설치하시면 됩니다.
·Mail-i를 설치했는데 모든 편지를 모니터링 할 수 없습니다.
Mail-i가 네트워크의 말단에 설치된 경우는 Mail-i가 설치된 하위 네트워크상의 편지만을 보게 되기 때문에 모든 편지를 잡을 수 없게 됩니다. 따라서 현재 설치된 Mail-i의 네트워크 상의 위치를 살펴보신 후 설치하십시오.
·메일차단이 가능합니까?
메일의 완벽한 내용별 차단을 위해서는 현재의 패킷 모니터링이 아닌 게이트웨이 방식으로 네트워크를 중간에 가로막아야 하는데, 게이트웨이 방식은 이런식으로 설치할 경우 기존 네트워크를 크게 수정해야 합니다. 이때 이부분이 Bottle Neck이 되어 느려지게 되며 차단 서버의 이상 발생시 메일 송수신이 중단될 수 있습니다.
·Mail-i를 switching hub에 포트를 설치했는데, 모든 편지를 잡지 못합니다.
Mail-i로 들어오고 나가는 모든 편지를 잡으려면 그냥 switching hub에 포트를 설치해야 하는 것이 아니라 switching hub에 mirroring option을 설정해야 합니다. mirroring option은 그 포트를 지나가는 Packet(정보전송단위)뿐 아니라 다른 포트를 지나가는 편지까지 보여주는 역할을 하기 때문입니다.
·여러 사업장의 메일 서버를 메일아이 하나로 통합관리가 가능한가요?
별도의 네트웍에 존재하는 복수의 메일서버에 대해서도 통합관리가 가능합니다. 해당 메일서버에 적합한 위치에 Mail-i 리시버를 설치하면 됩니다. Mail-i 서버는 복수의 리시버를 동시에 사용할 수 있고 이 모든 로그를 통합 관리 할 수 있습니다.
·Mail-i를 설치했는데 동일한 편지가 두 번씩 잡히는 경우가 있습니다.
다음의 두 가지 경우를 생각해 볼 수 있습니다. - 편지를 받는 사람이 여러명인 경우 : Mail-i는 받는 사람의 수만큼 편지를 잡게 됩니다. 이런 경우는 Mail-i의 특성상 자명한 경우라고 할 수 있습니다.
·Mail-i가 메일서버나 메일릴레이 서버와 동단(same level)에 설치된 경우 : 이 경우에는 편지가 메일서버나 메일릴레이 서버에 들어올 때 한번, 편지를 보내 주면서 한번 잡기 때문에 같은 편지를 두 번 잡게 됩니다.
2. WebKeeper
① 특징
·빠르고 풍부한 리포팅 기능
- 쉽고 빠른 실시간 추적 분석(Down Scope) 기능
- 기본 8가지 종목에서 사용자 정의 종목, 템플릿 기능
- 무한대의 사용자 정의 리포트 기능
·비업무용 사이트 차단
- 네트워크에 영향 없는 차단 NIC 선택 가능
- 부서/직책/개인/시간별 등 다양한 선별적 차단
- 비표준 프로토콜을 위한 포트 차단(증권 거래 프로그램, 온라인 게임 등)
·DHCP 환경지원
- 추가적인 프로그램 설치 필요 없음
- DHCP환경과 고정IP환경에서 동시운용 지원
·다양한 네트워크 규모 지원
- 기가 비트 네트워크 지원
- 중대형 대용량 DBMS 지원 : MS-SQL
- 중소 기업 규모에서 사용하는 MDB 지원
·분산 네트웍 환경의 효율적 지원
- 복수의 리시버가 저장하는 모든 자료를 통합하여 검색 및 관리
- 기존 네트워크를 변경하지 않고 복수의 사업장이나 네트워크 단위별로 효율적인 분산 설치 가능
- 복수의 리시버를 통한 로드밸런싱으로 안정적인 모니터링 환경 구축
·부서/직책에 따른 다양한 정책 설정 지원
- 계층적 부서/직책 구조에 따른 인터넷 접속관리 정책 지원 및 상속
- 인사DB 연동 기능
·원격 제어 관리 / 등급 관리
- 멀티 에이전트의 실시간 상태 모니터링 기능
- 관리자 등급별 사용제한을 통한 효율적 관리
·웹 접속현황 모니터링
- 웹메일 및 첨부파일, 게시판, 채팅, 웹하드 등 기밀정보 유출 모니터링 및 사본유지
- 정확한 웹메일 수집 기능
·풍부하게 축적된 URL 카테고리
- 내용, 기능 조합에 따른 758가지의 카테고리 표현이 가능
② 구성요소
·Receiver
Receiver는 웹사용에 대한 로그 저장 및 저장정책을 결정하며 웹에 대한 접근을 통제하는 기능을 수행합니다.
- 웹메일, 게시판, 채팅 등 업로드되는 내용에 대한 모니터링
- White List 및 Black List를 이용한 사이트 및 포트 차단
- 부서/직책/사용자/시간별 등 다양한 선별적 차단 및 차단결과의 실시간 모니터링
·Viewer
Receiver에 의해 저장된 웹로그를 보여주며 전체적인 Webkeeper의 Manager역할을 수행합니다.
- 사용자 방문한 사이트의 실제 화면 재현 가능
- 250여가지 파일포맷에 대한 디폴트뷰어 제공
- Post/Get/Text/Image/Application 등 타입별 보기 가능
·Finder
웹세션에 대한 찾기 기능 및 웹메일, uploading된 자료에 대한 찾는 기능을 수행합니다.
- 웹메일, 첨부파일, 보낸 자료, 받은 자료의 내용, 250여가지의 파일 포맷에 대한 첨부파일 내 검색 기능
- 통합 조건 규칙 적용 가능
- 사이즈별, 시간대별, 키워드별 등의 원하는 정보에 대한 다중적 검색
·Reporter
웹로그에 대한 다양한 차트 및 테이블을 통해 통계적 분석을 하는 기능을 수행합니다.
- 관리자가 원하는 리포팅 항목 및 그래프 유형 제공
- 리포팅 결과를 MS Word, EXCEL, TEXT, HTML 등의 다양한 형태로 출력 가능
- 조건 설정을 통한 세부사항 리포팅 기능
- 사용자 논리의 연상작용에 바탕한 심층분석 가능(Drill Down 기능)
③ FAQ
·WebKeeper는 어디에 설치해야 합니까?
WebKeeper는 웹세션을 모니터링할 수 있는 곳이라면 어느 곳이나 설치할 수 있습니다. 대부분 조직 내에서 한 곳에서 전체를 관리하게 하고자 하기 때문에 보통의 경우에는 방화벽(firewall)이 설치되어 있는 시스템에서는 방화벽의 전단, 프락시서버와 동단(same level)에 설치하게 됩니다. 일차적으로 보고자 하는 웹세션의 영역에 따라 그 설치 위치가 달라지게 됩니다. 하위 네트워크만을 관리하고자 할 경우에는 switching hub이하의 네트워크의 한 노드에 mirroring option을 설정하여 물려 놓으면 되고, 네트워크 전체를 관리하고자 한다면, 위의 세가지 위치에 해당하는 곳에 설치하시면 됩니다.
·WebKeeper를 설치했는데 모든 웹세션을 모니터링할 수 없습니다.
WebKeeper가 네트워크의 말단에 설치된 경우는 WebKeeper가 설치된 하위 네트워크상의 웹세션만을 보게 되기 때문에 모두 잡을 수 없게 되는 것입니다. 따라서 현재 설치된 WebKeeper의 네트워크 상의 위치를 살펴보신 후 설치하시기 바랍니다.
·WebKeeper를 switching hub에 포트를 설치했는데, 모든 사용자의 Web 사용현황을 잡지 못합니다.
WebKeeper로 들어오고 나가는 모든 Web 사용현황을 잡으려면 그냥 switching hub에 포트를 설치해야 하는 것이 아니라 switching hub에 mirroring option을 설정해야 합니다. mirroring option은 그 포트를 지나가는 Packet(정보전송단위)뿐 아니라 다른 포트를 지나가는 편지까지 보여주는 역할을 하기 때문입니다. 자세한 내용은 네트워크의 관리자나 장비의 구입처에 문의하시기 바랍니다.
·DHCP환경이나 사설 IP환경 하에서 사용이 가능한가요?
DHCP버전은 Agent가 유동적으로 바뀌는 IP를 고유 ID로 만들어서 유동적으로 변하는 IP라고 할지라도 관리가 가능하며 그 시간대의 IP가 누구였는지 알 수 있습니다. 또한 이 Agent는(가 Sniffing 방식이기 때문에) 각각의 Client마다 깔지 않아도 되므로 클라이언트마다 설치하는 번거로움이 없습니다.
·인사 DB연동이 가능하다고 하는데, 어떠한 형태의 인사 DB와 연동이 가능한가요?
WebKeeper는 CSV형식으로 가능합니다.
·웹으로 전송된 첨부파일 검색시 다른 Application이 필요한가요?
첨부화일 검색시 , 보통 쓰이는 일반적인 프로그램은 WebKeeper패키지를 설치시 다른 Application 설치 없이 250여 가지의 파일 포맷에 대한 검색이 가능합니다.
·사업장별이나 부서별로 리포팅이 가능한가요?
WebKeeper는 인사정보관리툴을 이용하여 인사정보를 import할 경우 자동으로 그룹 등록이 가능합니다. 또한 사업장과 부서를 수동 등록하여 리포팅 할 수 있습니다.
·WebKeeper를 이용하여 포트차단이 가능합니까?
WebKeeper는 포트차단이 가능하며, 또한 각각의 개인별로 포트를 차단하는 것도 가능합니다.
·증권 애뮬레이터와 같은 클라이언트 프로그램을 이용한 송수신 내용도 모니터링이 가능합니까?
일반 에뮬레이터의 경우 개발업체 자체로 개발한 프로토콜을 이용, 프로토콜이 표준화되어 있지 않기 때문에 내용의 모니터링은 불가능합니다.
·특정인은 모니터링을 하지 않거나, 모니터링 정책을 달리하고 싶은데, 어떻게 해야 합니까?
WebKeeper는 개인별 또는 부서별, 직책별 등으로 차단/허용이 가능하며 포트정책을 각기 달리 할 수 있습니다.
·웹사이트의 게시판에 올라가는 글도 모니터링이 가능합니까?
WebKeeper는 사용자가 웹을 사용해서 올리는 모든 글이나 검색어, 메일, 파일 등은 모두 모니터링이 가능합니다.
·네트워크 구조상 웹으로 나가는 경로가 여러 군데 있습니다. WebKeeper를 통한 통합 관리가 가능한가요?
나가는 경로마다 각각 WebKeeper리시버를 설치하시면 가능합니다. 각각의 로그는 리포터, 파인더에서 통합적으로 관리가 가능합니다.
3. 이상으로 알 수 있는 것들
① 메일 차단 여부
Mail-i FAQ에 올라와있는 것처럼 패킷 스나이핑 방식이기 때문에 메일을 차단하지는 못한다.
② 메일의 저장 범위
Mail-i FAQ에 올라와있는 것처럼 리시버를 어디에 설치하느냐에 따라서 틀리다. 회사 네트웍으로 지나가는 모든 메일을 저장할 수도 있고 특정 노드를 지나가는 메일을 저장할 수도 있다.
③ 필터링과 키워드
필터링된 메일만 리시버에 저장하는 기능은 없는 것으로 보인다. 모든 메일을 리시버에서 저장하고 서버에서는 데이터베이스에 접속해서 키워드로 검색할 수 있는 것으로 보인다. 키워드는 메일의 제목, 내용, 첨부파일의 제목, 내용, 발신자, 수신자, IP 등이 모두 가능한 것으로 보인다.
④ 감시 인지 여부
개개의 컴퓨터에서 감시당하고 있다는 것을 인지할 수 있는 방법은 없는 것으로 보인다. 개개의 컴퓨터에 프로그램이 설치되는 것이 아니라 회사의 네트웍에 리시버와 서버 등이 설치되는 것이기 때문에 개개의 컴퓨터에서 인지할 수 있는 방법은 없다.
⑤ 사이트 차단
WebKeeper에서 밝힌 것처럼 사이트 차단은 목록에 의해 차단이 가능하다. 목록의
변경도 가능하다. 이와 함께 특정 사이트의 접속 빈도, 다운/업로드 하는 내용,
게시판에 올리는 글의 내용, 웹메일의 내용 등도 모두 감시가 가능하다.
⑥ 인사DB와 연동인사DB와 연동해서 특정인을 대상으로 하는 감시가 가능하며 IP,
사람, 직급, 직책별로 차단도 가능하다. 인사DB와 연동해서 감시한 내용을 직접
인사고과에 반영하는 일이 가능하다. 이는 감시 내용을 일일이 확인해서
인사고과에 반영하는 수고를 덜어줄 것으로 보인다.
4. 대응 확인해야할 것은
① 리시버가 어디에 설치되어 있는지 => 이에 따라 회사의 모든 메일이 감시되는지, 특정 노드에 있는 메일이 감시되는지 알 수 있음.
② 메일 복사본은 얼마의 기간동안 저장되는지
③ 서버의 관리자는 누구인지
④ 서버와 인사DB와의 연동 여부
⑤ 감시 내용이 인사와 관련해서 어떻게 사용되고 있는지
⑥ 메일 복사본은 어떤 키워드에 의해 분류가 되어있는지 => 키워드는 위에서 얘기한 것처럼 여러 가지가 있을 수 있음. 메일 제목, 메일 내용, 첨부파일 제목, 첨부파일 내용, 발신자, 수신자 등
⑦ 메일 복사본을 검색할 수 있는 사람은 누구인지
⑧ 어떤 상황에서 검색이 이루어지는지
⑨ 검색된 내용은 누구에게 어떻게 제공되는지
⑩ 홈페이지 차단의 경우 Balck List/White List
⑪ 개인별, 부서별, 직급별 차단 정책이 있는지, 정책이 어떠한지 등
⑫ 사업장이 여러곳이 있을 경우 어떤 사업장에 설치가되어 있는지
⑬ 어떤 내용들이 저장되는지 => 메일, 메신저, 업/다운로드 파일, Telnet, FTP 등