보안/규제 체크리스트
APM 도입 시 보안 담당자가 확인해야 할 항목을 체크리스트로 정리했습니다.
인증 현황
보안 인증 및 규제 대응 상태
| 항목 | 상태 | 비고 |
|---|---|---|
| ISMS (정보보호 관리체계) | 대응 가능 | ISMS 인증 심사 항목 충족 지원 |
| CC 인증 (Common Criteria) | 확인 필요 | 상세 현황은 영업 담당 문의 |
| 개인정보보호법 | 준수 | 개인정보 미수집 설계 |
| 전자금융감독규정 | 대응 가능 | 금융기관 도입 레퍼런스 보유 |
| 국가정보보안기본지침 | 대응 가능 | 폐쇄망 운영으로 외부 전송 없음 |
인증 관련 안내
인증 상태는 변경될 수 있습니다. 최신 인증 현황은 영업 담당에게 확인해 주세요.
폐쇄망 보안 체크리스트
보안 담당자가 FlowKat 도입 검토 시 확인할 항목입니다.
네트워크 보안
- 외부 네트워크 연결 불필요: 모든 구성 요소가 내부 네트워크에서 동작
- 데이터 외부 전송 없음: 수집된 성능 데이터가 외부로 전송되지 않음
- 에이전트 통신 암호화: 에이전트 ↔ 수집 서버 간 TLS 암호화 지원
- 포트 최소화: 필요한 통신 포트만 사용 (포트 목록 문서 제공)
접근 제어
- 관리자 접근 제어: 역할 기반 접근 제어 (RBAC) 지원
- IP 화이트리스트: 대시보드 접속 IP 제한 설정 가능
- 세션 관리: 세션 타임아웃, 동시 로그인 제한
- 비밀번호 정책: 복잡도 요구사항, 주기적 변경 지원
감사 및 로깅
- 감사 로그 지원: 사용자 접속/조회/설정 변경 이력 기록
- 로그 보존: 감사 로그 보존 기간 설정 가능
- 로그 무결성: 감사 로그 위변조 방지
데이터 보안
수집 데이터 범위
FlowKat은 애플리케이션 성능 메트릭만 수집합니다.
| 수집 항목 | 예시 | 개인정보 해당 여부 |
|---|---|---|
| 트랜잭션 응답 시간 | URL별 평균/최대 응답 시간 | 아니오 |
| SQL 실행 시간 | 쿼리 수행 시간, 실행 건수 | 아니오 |
| JVM 메트릭 | CPU, 메모리, GC, 스레드 | 아니오 |
| 외부 호출 시간 | HTTP Call 응답 시간 | 아니오 |
| 에러 정보 | 예외 클래스, 스택 트레이스 | 아니오 |
개인정보 미수집 원칙
FlowKat은 요청 본문(Request Body), 응답 본문(Response Body), 사용자 입력 데이터를 수집하지 않습니다. SQL 파라미터 바인딩 값도 기본적으로 마스킹 처리됩니다.
데이터 보존 및 삭제
| 항목 | 설명 |
|---|---|
| 보존 기간 | 관리자 설정에 따라 조정 가능 |
| 삭제 정책 | 보존 기간 경과 시 자동 삭제 |
| 수동 삭제 | 관리자가 특정 기간 데이터 수동 삭제 가능 |
| 백업 | 데이터 백업/복구 기능 지원 |
암호화
| 구간 | 방식 |
|---|---|
| 에이전트 ↔ 수집 서버 | TLS 암호화 지원 |
| 대시보드 접속 | HTTPS (TLS 1.2 이상) |
| 저장 데이터 | 자체 서버 저장 (고객 인프라 보안 정책 적용) |
| 비밀번호 | 단방향 해시 처리 |
규제 환경별 가이드
공공기관 — 국가정보보안기본지침
| 점검 항목 | FlowKat 대응 |
|---|---|
| 외부 네트워크 차단 환경 운영 | 폐쇄망 네이티브 지원 |
| 비인가 접근 통제 | RBAC + IP 화이트리스트 |
| 정보시스템 접속 기록 관리 | 감사 로그 기능 제공 |
| 보안 업데이트 적용 | 오프라인 패치 제공 |
| 국내 기술지원 가용성 | 국내 SE 직접 지원 |
금융기관 — 전자금융감독규정
| 점검 항목 | FlowKat 대응 |
|---|---|
| 정보처리시스템 성능 관리 (제14조) | 실시간 성능 모니터링 |
| 전산장애 조기 감지 (제37조) | 2초 이내 장애 감지 + 알림 |
| 접근 권한 관리 (제13조) | 역할 기반 접근 제어 |
| 전산자료 보호 (제17조) | 통신 구간 암호화 |
| 비상 대응 체계 (제38조) | 장애 알림 + 트랜잭션 추적 |
의료기관 — 의료법 및 개인정보보호법
| 점검 항목 | FlowKat 대응 |
|---|---|
| 환자 개인정보 미수집 | 성능 메트릭만 수집, 요청/응답 본문 미수집 |
| 의료정보시스템 가용성 | 실시간 모니터링으로 가용성 보장 |
| 접근 통제 | RBAC + 감사 로그 |
| 망분리 환경 지원 | 폐쇄망 네이티브 지원 |
보안 Q&A
Q1. FlowKat 에이전트가 애플리케이션 소스 코드를 수집하나요?
아닙니다. FlowKat 에이전트는 바이트코드 인스트루멘테이션 방식으로 동작하며, 소스 코드를 읽거나 전송하지 않습니다. 수집하는 것은 메서드 실행 시간, SQL 수행 시간 등 성능 메트릭뿐입니다.
Q2. 에이전트가 서버 성능에 영향을 주지 않나요?
FlowKat 에이전트의 CPU 오버헤드는 3% 미만입니다. 성능 영향을 최소화하도록 설계되었으며, PoC를 통해 실제 환경에서의 영향을 측정할 수 있습니다.
Q3. 수집 서버가 해킹되면 고객 데이터가 유출되나요?
FlowKat은 개인정보를 수집하지 않으므로, 수집 서버에 개인정보가 저장되지 않습니다. 저장된 데이터는 트랜잭션 응답 시간, JVM 메트릭 등 성능 지표뿐입니다.
Q4. 보안 업데이트는 어떻게 적용하나요?
폐쇄망 환경을 위해 오프라인 패치를 제공합니다. USB 등 이동식 매체를 통해 패치를 적용할 수 있으며, 패치 절차 가이드를 함께 제공합니다.
Q5. 타사 APM에서 FlowKat으로 전환 시 기존 데이터는 어떻게 되나요?
FlowKat은 독립적인 데이터 수집/저장 체계를 사용합니다. 기존 APM과 병행 운영이 가능하며, 전환 기간 동안 두 시스템을 동시에 운영하면서 데이터 연속성을 확보할 수 있습니다.
다음 단계
- ROI/TCO 비교: 도입 비용 대비 효과 확인
- 왜 FlowKat인가: 경쟁 제품과의 상세 비교
- 보안 관련 상세 문의: 영업 담당 또는 FlowKat 공식 사이트