[데이터넷] 인스피언(대표 최정규)는 정부 개인정보 수집·관리 기준 강화에 맞춰 SAP ERP 용 개인정보 접속기록 솔루션 ‘엑스콘 포 SAP(xCon for SAP)’ 영업을 강화한다고 10일 밝혔다.
행정안전부가 지난달 발표한 ‘개인정보의 안전성 확보조치 기준(고시)’ 개정안에서는 개인정보 오·남용과 유출사고를 예방하고, 사고가 발생할 경우 사고 원인을 규명하는데 실질적 도움이 되도록 개인정보처리시스템의 접속기록 관리를 강화하도록 되어있다.
SAP의 기업자원관리(ERP)시스템은 3티어 형태로 구성돼 있어 DB 연결 시 1개의 DB 사용자만을 사용하기 때문에 일반적인 DB 접근제어로는 애플리케이션 사용자의 업무행위에 적합한 감사자료를 제공하지 못한다.
‘엑스콘 포 SAP’는 SAP 프로토콜 기반 접속기록 솔루션으로, 사용자의 모든 SAP 시스템 사용행위를 분석·저장하며, 사용자가 개인정보를 취급하는 경우 시간, IP, 사용자명, 접근한 개인정보를 별도 보관하여 개인정보 보호법의 안전수칙을 준수한다.
네트워크 미러 방식으로, SAP 시스템 성능 감속과 장애 시 영향이 없고 SAP에서 사용하는 GUI, RFC, HTTP 등 모든 프로토콜을 지원한다. 저장된 내용은 다양한 키워드에 의한 검색 및 증거 자료로 제공이 가능하며, 상관관계 분석을 통해 개인정보 조회 후 다운로드 같은 다양한 사용자 행위를 추적한다.
또한 법에서 요구하는 접속기록의 보관·관리 기간을 준수하고, 감사이력 조회 시 SAP GUI 화면을 재조합해 직관적인 조회와 증거 자료까지 제공한다. 더불어 클라우드 환경에서도 안정적인 접속기록 관리기능을 수행한다.
‘엑스콘 포 SAP’는 공공·금융·제조·유통 등 다양한 산업에 공급돼 있다. A공사에서는 기본적인 접속기록 외에 퇴사예정자의 비밀접근에 대한 감사를 하고, 사용자ID와 IP 검증을 통해 SAP ID 도용을 차단하고 있다. 대형 금융업체에서는 SAP 보안통신(SNC) 환경에서 접속기록 수집업무를 수행하고 있으며, 개인정보 사용 이력 확인 및 특정 GL계정 누적 조회 등을 모니터링하고 있다.
제조업체에서는 SAP 사용자 ID와 사번정보를 연결하여 사용자를 특정했고, 개인정보처리시스템이 아닌 SAP 시스템 내에 개인정보가 입력되면 보안담당자에게 메일로 SAP 사용 화면을 전송하여 관리하고 있다. 유통업계에서는 레거시 시스템에서 SAP 데이터를 사용 하는데, 실사용자 정보를 매칭해 개인정보 사용 이력을 확인하면서 중요 데이터에 대해 조회이력을 모니터링한다.
