최근 일부 카드사의 대규모 개인정보 유출로 정보보안에 대한 관심이 뜨거운 가운데 종합 IT컨설팅 전문기업인 인스피언이 기업체의 전사적 자원관리(ERP)시스템용 전문 보안솔루션을 개발해 4일 기자간담회를 통해 공개했다.
“다년간의 SAP ERP 구축 노하우와 컨설팅을 바탕으로 기업들의 보안 요구를 반영해 이번 제품을 개발했다. 지난 2014년 2월에 SAP 세션 통제기능 및 로그 검색 기능을 강화한2.0버전을 출시하였으며, 관련 사업을 대대적으로 확대할 계획이다.”
이렇게 밝힌 인스피언의 최정규 대표이사는 “삼성, 현대, LG, SK 등 국내 주요 대기업들이 사용하고 있는 SAP ERP용 접근제어솔루션 ‘엑스콘’ (xCon for SAP)는 우리가 세계 처음으로 개발해 공개한 것”이라고 밝혔다.
인스피언의 접근제어솔루션 ‘xCon for SAP’는 SAP ERP 시스템에 접속하는 사용자 또는 인터넷주소(IP)별 접근 이력, 이들의 업무수행 이력 등 접근 로그(log) 기록을 관리함으로써 ERP에 저장돼 있는 각종 개인정보를 완벽하게 보호해주는 것이 특징이다.
최 대표는 “ERP는 기업의 재무와 인사 및 판매 등 모든 자원을 통합 관리하는 시스템이어서 업무처리를 위해 ‘주민번호’, ‘계좌번호’, ‘외국인등록번호’, ‘카드번호’, ‘주소’, ‘연락처’ 등 다양한 유형의 개인정보를 포함하고 있다”며 “특히 ERP에는 해당 기업 임직원들의 인사평가, 급여 등 민감한 인사정보가 보관돼 있으며 고객이나 거래처에 대한 ‘주소’, ‘주민번호’, ‘계좌번호’, ‘연락처’ 및 경비처리를 위한 ‘카드번호’, ‘계좌번호’ 등 다양한 개인정보를 포함하고 있어 이 같은 정보가 유출될 경우 커다란 사회적 혼란을 야기할 수 있다”고 밝혔다.
“최근 비즈니스 프로세스의 효율성을 향상시키기 위해 ERP가 기업의 내부 시스템으로만 사용되는 것이 아니라 고객관계관리(CRM), 공급망관리(SCM) 등 각종 기업 애플리케이션들과 상호 유기적으로 연계되는 추세여서 ERP의 개인정보가 유출될 경우 해당 기업뿐만 아니라 사회적으로도 큰 영향을 줄 수 있다.”
ERP에 저장된 개인정보 보안 방법은 사용자와 애플리케이션 서버 사이에서 접근제어를 하는 방법과, 사용자와 ERP 데이터베이스(DB) 서버 사이에서 접근제어를 하는 방법이 있다. 이 가운데 DB서버 앞단에 대한 접근제어시스템을 구축할 경우 ‘누가’ ‘어디에서’ ‘무엇을’ 행하였는지에 대한 정보를 제공할 수 없다. 반면 사용자와 애플리케이션 서버 사이에서 접근제어를 할 경우 이 같은 정보를 모두 조회할 수 있다는 장점이 있다.”
최 대표는 “인스피언의 ‘xCon for SAP’는 특정 사용자가 로그인에 성공하거나 실패할 때, 개인정보를 조회할 때, 사용자 암호를 변경할 때, 중요 업무에 접근하거나 오류를 범할 때 등의 다양한 특이현상을 파악한다”고 설명했다.
“만약 이 같은 현상 가운데 규정 위반사항으로 판명날 경우, 이를 보안 위반행위로 간주하고 실시간으로 위반행위를 탐지하여 사용자의 세션을 차단 및 경고하는 ‘업무 접근 차단’ 기능을 수행해준다. 또한 사용자의 로그인을 사용자 ID, IP 주소, 시간에 따라 통제할 수 있는 ‘시스템 로그인 통제’ 기능을 수행해준다.”
이 솔루션은 안전행정부의 “개인정보보호법” 준수를 위한 개인정보 관리의 기술적 보호대책을 제공해주며 사용자의 행위 감사, SAP 시스템에 대한 접근 통제, 시스템 활용 현황 및 개선요소까지 제공함으로써 시스템 관리자들이 안심하고 개인정보를 보호할 수 있도록 지원해준다.
최 대표는 “2011년 9월 시행된 개인정보보호법에 따라 기업들은 고객정보에 대한 보호조치를 수행해야 한다”며“기술적으로는 개인정보처리 시스템에 대한 접근을 제어/기록하는 접근제어 솔루션과 개인정보에 대한 암호화 솔루션이 필요한데, 암호화와 더불어 접근제어솔루션을 구축해야만 이 같은 법적 요구사항을 만족시킬 수 있다”고 밝혔다.
xCon for SAP는 SAP서버가 구성된 네트워크 스위치에서 포트 미러 또는 TAP방식과 같은 미러 방식으로 구축된다. SAP 사용자는 업무에 따라 SAP GUI 또는 웹 클라이언트 환경을 사용하고, 서버간 통신을 위해 RFC 통신을 사용한다. xCon for SAP는 이 같은 모든 SAP 사용자 환경을 지원해준다.
또 모니터링 대상인 SAP서버에 대한 통신을 실시간으로 캡처한 뒤 세션 정보를 제공해줄 뿐 아니라 각 세션별로 특정 사용자 및 특정 서버에 대한 통신만을 모니터링할 수도 있다고 최 대표는 설명했다.
“이렇게 수집된 SAP 패킷 정보는 관리자의 정의에 따라 분류/저장된다. 관리자는 이벤트 조회기능을 이행해 관심 있는 업무행위에 대해 조회할 수 있으며 로그인 및 로그인 실패, 개인정보 조회, 사용자 마스터 변경 또는 암호 변경, 중요업무 접근 및 사용자 오류 등의 이벤트가 일어나면 경고를 발생시킬 수도 있다.”
“우리 솔루션은 다양한 통계리포트도 제공해준다. 이를 통해 기업 최고경영진이나 관리자들이 ERP의 보안 상황을 쉽게 파악할 수 있게 해준다. ‘xCon for SAP’에서 제공하는 ‘대시 보드’란 통계리포트는 일별 감사 및 경고 발생에 대한 추이 정보, 가장 빈번하게 사용되는 애플리케이션 정보, 가장 많은 업무를 수행하는 조직 등의 시스템 운영 현황 정보를 제공해준다.”
‘xCon for SAP’는 전체 모니터링 대상 시스템에서 운영중인 SAP 프로그램들에 대한 응답시간, 수행횟수, 주요 사건들에 대한 정보 및 이력 등을 활용하여 기간별 추이를 볼 수 있는 통계 데이터도 제공해준다.
최 대표는 “xCon for SAP은 인스피언이 다년간의 SAP 컨설팅 경험과 시스템에 대한 높은 이해를 바탕으로 개발됐기 때문에 사용자, 관리자 측면의 다양한 편의성을 제공해주며 기존 시스템에 대한 성능 감소나 장애와 같은 영향도 주지 않는다”고 말했다.