Security

Overview

Security 페이지에서 QueryPie 전반에 대한 보안 설정을 관리할 수 있습니다. 이 문서에서는 각 보안 설정에 대한 설명을 제공합니다.

10.3.0 부터 각 서비스 별 설정 항목이 Administrator > General > Security 하위에서 각 서비스(Databases / Servers / Kubernetes) 의 General 하위(Administrator > {Service} > General > Configurations)로 이동되었습니다.

1 웹 콘솔 로그인 설정
2 Account Security Policy
3 Password Setting
4 Timeout
5 QueryPie Web IP Access Control
6 Secret Store 설정
7 기타

웹 콘솔 로그인 설정

QueryPie Web 로그인 관련 보안 설정을 관리합니다.

Account Security Policy

QueryPie 계정의 잠금 및 만료 등의 보안 정책을 설정할 수 있습니다.

Account Expiration Period (Days) : 계정 만료 처리를 위한 장기 미접속 일자 기준
Expiration Reminder (Days) : 계정 만료 알림 이메일을 발송할 기준일을 설정합니다. 드롭다운 목록에서 1일부터 14일까지 원하는 날짜를 여러 개 선택할 수 있습니다. 예를 들어, 14, 7, 1을 선택하면 계정 만료 14일, 7일, 1일 전에 각각 알림 메일이 발송됩니다.
- 이 기능은 Integration 메뉴에 Email 설정이 완료된 환경에서만 동작합니다.
- 알림 기간을 아무것도 선택하지 않으면, 만료 알림 메일은 발송되지 않습니다.
Maximum Login Failures before Account Lockout : 로그인 실패 시 계정 잠금 정책
- QueryPie 로그인 실패 최대 허용 횟수 지정 (Default : 60분, 5회)
- Enable 선택 시 횟수 및 기간 범위 기준 추가 입력 가능 (예: 1440분 내 5회 실패 시 계정 잠금)
Restrict Concurrent Login : 동시 로그인 제한 기능으로 사용자 로그인 계정 하나에 대해 동시에 여러 환경(Web, Agent 각각)에서 활성화될 수 있는 로그인 수를 1개로 제한하여, 가장 최근 로그인만 활성 상태로 유지하고 이전 로그인은 다음 활동 시 자동 로그아웃시켜 계정 보안을 강화하는 정책.
- 동시 로그인 제한 방식 : 해당 옵션이 활성화되면, 가장 오래된 로그인 세션을 종료하고 신규 로그인을 허용합니다.
  - 단, 옵션을 활성화한 시점에 이미 로그인된 세션은 즉시 종료되지 않고 유지됩니다. 이후 새로운 사용자가 로그인하면, 기존 사용자 세션은 로그아웃됩니다.
- 로그아웃 알림 표시 방식: 동일 계정으로 다른 환경에서 로그인할 경우, 기존 세션은 종료되며 사용자에게 알림이 표시됩니다.
  - 사용자가 Web Inactivity Timeout 또는 Agent Session Timeout 범위 내에서 활동 중일 경우, 명시적인 UI 동작(예: 버튼 클릭, 페이지 전환 등)을 통해 서버와 통신할 때 알림이 나타납니다.
  - 버튼 클릭 등 사용자 API 호출시 알림이 나타납니다. 알림은 다른 로그인 발생 시점부터 24시간 동안 표시됩니다. Web, User Agent, Multi-Agent는 각각 개별적으로 동시 로그인 제한이 적용됩니다.

Password Setting

QueryPie 계정의 패스워드 정책을 설정할 수 있습니다.

Maximum Password Age : 비밀번호 변경 주기 (Default : 90일)
Password History : 이전 비밀번호 재사용 금지 횟수 기준
- 설정된 숫자만큼의 비밀번호 이력을 저장하고, 비밀번호 변경시 동일한 비밀번호 사용을 금지함
Minimum Length : 비밀번호 최소 길이 (Default : 9자)
Password Complexity Requirements : 패스워드 복잡도 설정
- Lower case letter (a-z) : 소문자 필수
- Upper case letter (A-Z) : 대문자 필수
- Number (0-9) : 숫자 필수
- Special character (e.g., !@#$%^&*) : 특수문자 필수
- Limit 3 repeating characters and numbers (e.g., aaa, bbb) : 3자 이상 반복되는 문자/숫자 제한
- Limit 3 consecutive characters and numbers (e.g., abc, 123) : 3자 이상 연속되는 문자/숫자 제한
- Restrict nearby characters on the keyboard (e.g., qwe, ert) : : 3자 이상 키보드 상 나란히 있는 문자열 제한
- Does not contain part of personal information (Username, Primary email) : 패스워드 내 개인정보(Username, Primary email) 사용 제한

Timeout

웹 콘솔과 에이전트의 타임아웃 정책을 설정할 수 있습니다.

Web Inactivity Timeout : 웹 콘솔 타임아웃 기준 (Default : 60분)
- 지정된 시간 동안 활동이 없을 경우 타임아웃 처리
Agent Session Timeout : 에이전트 세션 타임아웃 기준 (Default : 1,440분)
- 지정된 시간 동안 에이전트 앱 로그인을 유지하고, 경과 시 로그아웃 처리
User Inactivity Timeout (on agent) :
Agent Session Timeout 기능에 추가로 Agent가 사용자의 마우스, 키보드 입력을 모니터링하고 지정된 시간을 초과하여 행위(키보드의 키 입력, 마우스 클릭, 마우스 포인터 이동, 마우스 휠 조작, 마우스 드래그)가 없으면 세션을 강제 종료합니다. 유휴 상태인 경우, 장시간 쿼리를 실행하고 있어도 마우스 및 키보드 움직임이 없다면 무조건 세션이 종료되어 로그아웃처리 됩니다. 사용자 행위 감시는 30초마다 수행합니다. 최대 유휴 만료시간이 Agent Session Timeout을 초과 할 수 없습니다.

User Inactivity Timeout (on agent) 설정 예시

Agent Session Timeout이 30분이고 User Inactivity Timeout 15분일 경우를 가정하면 아래와 같습니다.
- 12:00분에 로그인 했을 경우 최초 유휴 만료 시간은 12:15:00 입니다.
- 12:08분에(t+8분) 마지막 활동을 한것으로 확인되면, 새로운 유휴 만료 시간은 12:23:00 입니다.
- 그 뒤 1분이 지난 12:09분에 활동을 한것을 확인되면, 새로운 유휴 만료 시간은 12:24:00 입니다.
- Agent Session Timeout이 30분이므로 사용자의 행위 유무와 관계없이 12:30:00에 세션이 종료됩니다.

QueryPie Web IP Access Control

QueryPie 접속 시 IP 제한 정책을 설정할 수 있습니다.

All Users : 모든 사용자에 대해 적용되는 IP 제한 설정 (Default : 0.0.0.0/0)
Each User : 토글을 켜면 개별 사용자에 대해 Allowed Zone 설정 가능
- 사용자별 Allowed Zone 설정 방법은 사용자 프로필 에서 확인 가능
- Use Individual Configuration of Allowed Zones for Each User : 사용자별 개별 IP 허용 영역(Allowed Zone)을 설정합니다.
  - 활성화 시, 사용자 목록 및 각 사용자에게 할당된 IP 허용 영역을 확인할 수 있는 View User to Allowed Zone Mappings 링크가 표시됩니다.
  - View User to Allowed Zone Mappings: 클릭 시 사용자별 Allowed Zone 목록을 모달(Modal) 창에서 확인할 수 있습니다. 사용자 이름(Display Name)으로 검색이 가능하며, 목록에는 사용자의 이름, 로그인 ID, 이메일, 그리고 할당된 모든 IP 주소가 표시됩니다.
- Require Allowed Zones for User Access : 사용자의 IP 허용 영역 설정을 필수로 강제하는 정책입니다.
  - 이 옵션을 활성화하면, 개별 IP 허용 영역(Allowed Zone)이 설정되지 않은 사용자는 QueryPie에 로그인할 수 없습니다. 로그인 페이지 접근은 가능하지만, 로그인 시도가 차단됩니다.

IP 접근 제어 정책 활성화 시 유의사항

Require Allowed Zones for User Access 옵션 활성화로 인해 로그인이 차단된 사용자는 'IP Registration Request' 워크플로우를 통해 신규 IP 주소에 대한 접근 허용을 요청할 수 있습니다. (자세한 내용은 IP Registration Request 요청하기 문서를 참고하십시오.)

Admin Page Access Control : 관리자 페이지에 접근할 수 있는 관리자의 IP를 제한하는 정책을 설정합니다. 토글을 활성화하여 특정 IP 주소 또는 대역에서 접속하는 관리자만 관리자 페이지에 접근하도록 제한할 수 있습니다.

Admin 페이지 IP 접근 차단 시 화면
- 접근 요구 조건:
  - 사용자는 관리자 권한을 가지고 있어야 합니다.
  - 사용자의 접속 IP는 'All Users'에 설정된 IP 대역에 포함되어야 합니다.
  - 사용자의 접속 IP는 'Admin Page Access Control'에 등록된 IP 목록에 포함되어야 합니다.
- 관리자 페이지 접근 제어 설정 시 유의사항
  - Admin Page Access Control에 IP를 추가할 경우, 해당 IP는 반드시 상위의 All Users 설정에도 포함되어야 합니다. 만약 All Users에 등록되지 않은 IP를 추가하고 저장을 시도할 경우, 오류가 발생하며 설정이 저장되지 않습니다.

Q. 만약 사용자가 허용되지 않은 IP 에서 QueryPie 웹 콘솔 접속 시도 시 어떤 화면을 보게 되나요?

A. 허용되지 않은 IP에서 접속 시도 시 QueryPie 웹 콘솔 내 어떤 페이지이든 접근이 불가하여 아래와 같은 안내 화면을 보게 됩니다. 만약 All Users에 기본값(0.0.0.0/0)이 등록되어 있고, 개별 사용자에게 특정 Allowed Zone 이 설정되어 있다면 로그인 페이지까지는 접속이 가능하나 로그인은 불가하게 됩니다.

Each User 설정의 IP 접근 차단 시 화면

All User 설정의 IP 접근차단 시 화면

IP 제한 설정 주의

Security 페이지의 설정은 저장 즉시 반영됩니다. 따라서 입력한 IP와 해당 옵션을 설정한 관리자의 IP가 일치하지 않을 경우 관리자라 하더라도 저장 즉시 로그아웃 처리되니 주의해서 적용해 주시기 바랍니다.

Secret Store 설정

Secret Store 사용 여부를 설정합니다. 현재 HashiCorp Vault를 지원하고 있습니다.

Vault 등록은 General > Integrations 메뉴에서 수행합니다.

Q. Secret Store 활성화를 해제하고 싶은데, 토글이 비활성화 상태입니다.

A. Administrator > General > Integrations > HashiCorp Valut 메뉴에 등록된 Vault 가 남아있는지 확인해보세요. 등록된 Vault가 모두 제거된 후 토글 비활성화 가능합니다.

Secret Store 사용 활성화 및 Vault 등록이 완료된 후, DB 커넥션 상세 페이지 또는 Server Group 상세 페이지에서 인증 정보 저장소를 선택할 수 있게 됩니다.

DB Connection 상세 페이지 내 Connection Information > Secret Store 선택

Server Group 상세 페이지 내 Accounts > Secret Store 선택

11.1.0에 OAuth Client 관련 설정이 Admin > General > Company Management > Security 하위 항목으로 추가되었습니다.(단일 클라이언트 설정만 가능)

11.3.0에 Client 설정을 다중 설정이 가능하도록 개선되면서 Admin > General > System > Integrations 항목으로 이동되었습니다.

기타

기타 보안 설정을 관리합니다.

Export a file with Encryption : 파일 다운로드 시 암호 입력 여부
- Required 선택 시, 파일 다운로드 시에 파일 암호 지정 필수