회사 보안 프로그램 설치
Chapter 5. 개발 환경 구축
"이 많은 보안 프로그램들을... 다 깔아야 하는 건가?"
노트북 세팅도 끝났고, 계정도 다 받았다. 이제 개발 환경을 구축하려는데, 전산팀에서 메일이 왔다.
"보안 프로그램 설치 안내 - 필수"
첨부 파일을 열어본다. 설치해야 할 프로그램 목록이 쭉 나온다.
V3 백신
DLP(정보 유출 방지 프로그램)
방화벽 에이전트
USB 차단 솔루션
화면 캡처 방지 프로그램
'이게 다 뭐야... 다섯 개나 되네. 이거 깔면 컴퓨터 느려지는 거 아니야?'
학교 때는 그냥 코딩하면 됐는데, 회사는 다르다. 보안 프로그램부터 깔아야 한다니.
슬랙을 보니 다른 신입이 물어본다. "백신 설치했는데 npm install이 안 돼요. 어떻게 해야 하나요?" 답글이 달린다. "예외 처리 신청하세요. 저도 그랬어요."
'예외 처리? 그것도 신청해야 해? 아 복잡하다...'
설치 파일을 다운로드하면서 불안해진다. '이거 잘못 깔면 어떡하지. 개발 도구랑 충돌나면? 그리고... 이거 진짜 다 필요한 건가?'
걱정하지 마라. 회사 보안 프로그램은 생각보다 잘 만들어져 있다. 여기서는 각 프로그램이 왜 필요한지부터, 설치 순서, 흔한 문제 해결, 그리고 개발하면서 보안 프로그램과 공존하는 법까지 차근차근 알아보자.
왜 이렇게 많은 보안 프로그램이 필요한가?
'학교 때는 백신 하나만 깔았는데, 왜 회사는 이렇게 많아?' 궁금할 수 있다. 하지만 이유가 있다.
회사가 지켜야 할 것들
고객 개인정보 (이름, 전화번호, 이메일, 결제 정보)
회사 기밀 (소스 코드, 영업 정보, 재무 데이터)
지적 재산권 (특허, 알고리즘, 노하우)
만약 유출되면?
개인정보보호법 위반 -> 수억 원 벌금
고객 신뢰 상실 -> 주가 폭락
경쟁사로 정보 유출 -> 사업 손실
최악의 경우 회사 망함
참고로 코딩 실력이 없어서 회사에서 해고 당하는것보다. 보안 규칙을 지키지 않아서 해고 당하는게 더 쉽다는걸 기억하자.
에피소드
선배 개발자에게 들었던 오싹한 사건이다. 선배에 이야기는 이랬다. "한번은 작년에 협력사 개발자가 실수로 고객 DB를 USB에 담아갔다가 큰일 날 뻔했어요. 다행히 DLP가 막았죠. 그때 깨달았어요. 불편하지만 필요한 거구나."
그 이야기를 듣고 난 생각이 바뀌었다. '아, 나를 감시하려는 게 아니라 회사를 지키려는 거구나. 그리고... 나도 지켜주는 거구나.' 실수로 회사 기밀을 외부에 올렸다가 해고되는 것보다, 프로그램이 미리 막아주는 게 낫다.
주요 보안 프로그램 종류
백신 프로그램
바이러스를 차단한 프로그램이다. 개인 컴퓨터에 설치하는 그 백신은 당연히 업무용에도 설치해야 한다. 자꾸 팝업창이 뜨는게 불편하지만 나를 지켜주는 최고의 방어막이다.
대표 제품
V3 (안랩) - 국내 기업 대부분 사용
Kaspersky - 외국계 기업
Symantec Endpoint Protection
Windows Defender (기본 제공, 추가 설치 불필요한 경우도)
하는 일
바이러스, 악성코드 탐지 및 제거
랜섬웨어 차단
의심스러운 프로그램 실행 방지
개발자에게 미치는 영향
npm, pip 등 패키지 다운로드 시 검사
가끔 정상 파일을 바이러스로 오진
빌드 속도가 약간 느려질 수 있음
DLP (Data Loss Prevention)
DLP는 Data Loss Prevention의 약자다. 쉽게 말하면 "회사 중요 정보가 밖으로 새나가는 걸 막는 프로그램"이다.
하는 일
중요 정보가 외부로 나가는 것을 차단
이메일 첨부 파일 검사
클라우드 업로드 감시 (Dropbox, Google Drive 등)
메신저로 보내는 파일 검사
차단 예시
주민등록번호가 포함된 파일 첨부 시도 -> 차단
소스 코드를 개인 이메일로 전송 -> 차단
회사 DB 덤프 파일을 USB로 복사 -> 차단
실전 팁
DLP는 패턴으로 탐지한다. "123-45-67890" 같은 주민번호 패턴, "신용카드" 같은 키워드, 대량의 코드 파일. 정상적인 업무라면 예외 신청할 수 있다.
USB 차단 프로그램
회사 입장에서는 USB가 제일 위험하다. 소스 코드를 USB에 담아서 나가는 건 3초면 된다. 그리고 분실하기도 쉽다. 지하철에 두고 내리면 끝이다.
하는 일
USB 메모리 연결 차단
외장하드 연결 제한
승인된 USB만 사용 가능
왜 차단하나?
USB로 데이터 빼가는 게 제일 쉬움
분실 위험
바이러스 감염 경로
불편하지만 파일 전달은 슬랙, 이메일, 사내 파일 서버로 하면 된다. 요즘은 클라우드 시대라 USB가 없어도 큰 불편은 없다. 최근 1~2년 동안 USB를 사용해본적이 없는거 같다. 그리고 요즘 신입들은 USB 자체를 본적 없는 사람도 있다.
방화벽 에이전트
학교에서 배웠던 방화벽과 비슷하다. 하지만 회사 버전은 좀 더 엄격하다.
하는 일
허가되지 않은 외부 접속 차단
의심스러운 포트 접근 감시
VPN 연결 강제
개발자에게 미치는 영향
특정 포트 열기 위해 승인 필요
로컬 서버 테스트할 때 방화벽 예외 설정
외부 API 호출 시 허용된 도메인인지 확인
화면 캡처 방지
급여 정보, 인사 정보, 다른 직원 개인정보... 이런 민감한 정보를 누군가 사진 찍어서 유출할 수 있다. 그래서 아예 스크린샷 자체를 막는 거다.
하는 일
화면 캡처(스크린샷) 차단
화면 녹화 방지
특정 프로그램 실행 시에만 활성화
언제 작동하나?
급여 시스템 접속 시
HR 시스템 (다른 직원 정보 조회 시)
일부 회사는 소스 코드 뷰어에도 적용
실전 팁
대부분 회사는 개발 도구에는 화면 캡처 방지를 적용하지 않는다. 코드 리뷰하면서 스크린샷 찍어야 할 때가 많으니까. 화면캡처를 막아놓아도 스마트폰 카메로라 화면을 당연히 찍는건 가능하다. 화면 캡처가 불가한 화면을 굳이 스마트폰 화면으로 찍어 공유하거나 저장하지 말자.
보안 프로그램 설치 순서
전산팀에서 보낸 메일에는 설치 순서가 적혀 있다. 순서를 지키는 게 중요하다.
1단계: 백신부터 설치
설치 방법
전산팀이 보낸 링크에서 다운로드
또는 사내 파일 서버에서 다운로드
실행 파일 더블클릭
설치 중 선택 사항
기본 설정 그대로 진행
"시작 프로그램 등록" 체크
"실시간 감시" 활성화
설치 완료 후
재부팅 필요
바이러스 정의 파일 업데이트 (자동)
전체 검사 실행 (30분~1시간 소요)
2단계: DLP 설치
설치 전 주의
백신 설치 후에 진행
관리자 권한 필요
설치 과정
설치 파일 실행
회사 도메인 입력 (예: company.com)
계정 인증
정책 다운로드 (자동)
설치 완료 확인
트레이 아이콘 확인
USB 연결 테스트 (막히면 정상)
3단계: 방화벽 에이전트
설치
전산팀 안내에 따라 진행
VPN과 연동되는 경우 많음
설정
회사 정책 자동 적용
수동 설정 필요 없음
4단계: 기타 프로그램
회사마다 추가 프로그램이 있을 수 있다.
화면 캡처 방지
프로세스 모니터링
접속 기록 수집
실전 팁
설치 순서를 지키지 않으면 프로그램끼리 충돌날 수 있다. 전산팀 안내 그대로 따라하자. 설치 중 에러 나면 멈추고 전산팀에 연락하자. 혼자 해결하려다가 더 꼬일 수 있다.
설치 후 확인 사항
모든 프로그램을 설치했다. 이제 제대로 작동하는지 확인해야 한다.
백신 작동 확인
트레이 아이콘 확인
우측 하단 시스템 트레이에 백신 아이콘 보임
초록색이면 정상, 빨간색이면 문제 있음
실시간 감시 확인
백신 프로그램 열기
"실시간 감시" 또는 "실시간 보호" 활성화 확인
업데이트 확인
바이러스 정의 파일이 최신인지 확인
보통 자동 업데이트됨
DLP 작동 확인
USB 차단 테스트
USB 메모리 꽂아보기
인식 안 되거나 경고 메시지 뜨면 정상
파일 전송 테스트
개인 이메일로 회사 문서 보내보기 (테스트용 빈 파일)
차단되면 정상
방화벽 확인
네트워크 연결 확인
인터넷 접속 정상인지
사내 시스템 접속 가능한지
VPN 연동 확인
VPN 연결 시 자동으로 방화벽 정책 적용되는지
전산팀에 확인 요청
모든 설치가 끝나면 전산팀에 확인 요청을 보내자.
슬랙 메시지 예시
안녕하세요, 개발팀 신입 김개발입니다. 보안 프로그램 설치 완료했습니다.
- V3 백신 설치 및 업데이트 완료
- DLP 설치 완료
- 방화벽 에이전트 설치 완료
정상 작동 확인 부탁드립니다.
전산팀이 원격으로 확인하거나, 체크리스트를 주기도 한다.
에피소드
이번 에피소드는 개발자가 느낄만한 오싹한 순간을 지어낸 이야기다. 오후 3시. 급하게 버그를 고치고 있었다. 에러 로그를 확인하려고 서버에서 로그 파일을 다운받았다. 용량이 커서 슬랙으로 보내기엔 부담스러웠다. '그냥 개인 메일로 보내고 집에서 봐야겠다.'
Gmail을 열고 파일을 첨부했다. 전송 버튼을 누르는 순간, 빨간 경고창이 떴다.
"DLP 차단: 해당 파일에 민감한 정보가 포함되어 있습니다."
'뭐? 그냥 로그 파일인데?'
로그 파일을 다시 열어봤다. 스크롤을 내리다가 멈췄다. API 요청 로그에 사용자 이메일 주소와 전화번호가 그대로 찍혀 있었다. 수백 만건이
식은땀이 났다. '만약 DLP가 없었으면... 이거 개인 메일로 보내고, 나중에 실수로 다른 사람한테 전달했으면... 큰일 날 뻔했네.' 그날 이후로 DLP 경고창이 뜨면 짜증 대신 안도감이 든다. 불편하지만, 나를 지켜주는 거니까.
보안 정책 준수하기
프로그램 설치만으로 끝이 아니다. 보안 정책을 지켜야 한다.
절대 하지 말아야 할 것
보안 프로그램 끄기
"개발할 때 불편하니까 잠깐 끌까?"
절대 안 된다
전산팀이 모니터링하고 있음
적발되면 경고, 심하면 징계
USB 차단 우회
"인터넷에서 우회 방법 찾았는데..."
절대 하지 마라
보안 규정 위반
회사 해고 사유
개인 이메일로 코드 전송
"집에서 작업하려고..."
DLP가 차단함
정말 필요하면 VPN 쓰거나 회사 승인받기
괜찮은 것
개발 도구 예외 처리
npm, pip, docker 등은 예외 신청 가능
전산팀에 요청하면 됨
회사 승인받은 클라우드 사용
GitHub (회사 조직)
Confluence, Notion (회사 워크스페이스)
슬랙 (회사 워크스페이스)
VPN 통한 원격 작업
재택근무 시 VPN으로 접속
정상적인 업무
보안 교육 이수
입사 첫 주에 보안 교육을 받게 된다. 온라인이거나 대면이다.
교육 내용
주요 주제
정보보호 중요성
개인정보 처리 방침
랜섬웨어 대응
피싱 메일 구별법
USB, 이메일 사용 수칙
온라인 교육
동영상 시청 (30분~1시간)
중간 퀴즈
최종 테스트
대면 교육
보안팀 담당자 강의
질의응답
서약서 서명
실접틴
교육을 끝내면 수료증이 발급된다. 인사 기록에 남는다. 연 1회 정기 교육도 있다. 작은 규모의 회사에서는 보안교육이 강의 형태로 이루어지지 않고 시니어 개발자가 구두로 설명해주는 경우도 있다. 좀 더 설명을 듣고 싶다면 유투브에서 '보안교육'을 검색해서 영상을 시청해보자.
체크리스트: 보안 프로그램 설치 완료
첫 주가 끝나기 전에 다음을 완료했는지 확인하자.
필수 프로그램 설치
백신 프로그램 설치 및 업데이트
DLP 설치 및 작동 확인
방화벽 에이전트 설치
USB 차단 작동 확인
기타 회사 지정 프로그램 설치
설정 확인
백신 실시간 감시 활성화
바이러스 정의 파일 최신 버전
개발 도구 예외 처리 신청
전산팀에 설치 완료 확인 요청
보안 교육
보안 교육 이수
수료증 확인
보안 서약서 서명
보안 프로그램, 이제 친구다
모든 보안 프로그램을 설치했다. 트레이 아이콘이 여러 개 떠 있다. 백신, DLP, 방화벽.
처음엔 거슬렸다. '이게 다 뭐야. 컴퓨터를 감시하는 것 같아.' 하지만 이제는 안다. 이 프로그램들이 나를 지켜준다는 걸. 실수로 회사 기밀을 외부에 올리려 할 때 막아준다. 악성 코드가 침투하려 할 때 차단한다.
슬랙에 팀장님이 메시지를 보낸다.
"보안 프로그램 설치 다 끝났나요? 내일부터 본격적으로 개발 환경 구축 시작할게요."
답장을 했다.
"네, 모두 설치 완료했습니다. 준비됐습니다!"
미소가 지어진다.
보안 프로그램도 설치했다. 이제 정말로 개발 환경을 구축할 준비가 됐다. 소스 코드를 클론받고, 빌드하고, 실행해볼 차례다. 노트북 화면을 내려보니 우측 하단 트레이에 보안 프로그램 아이콘들이 조용히 빛나고 있다.
'고마워, 동료들. 잘 부탁해.'
이제 내 개발자 생활을 함께 할 보안 프로그램을 동료로 얻었다.