[데이터넷] 포스코인터내셔널(대표 주시보)은 1967년 대우실업으로 시작, 2010년 포스코그룹 일원으로 편입돼 전 세계 80여개 해외 네트워크를 활용, 철강·에너지·식량·모빌리티 등 다양한 사업군에서 밸류체인을 구축하고 지속가능한 사업모델을 발굴하고 있다. 글로벌 종합사업회사로 전진하고 있는 포스코인터내셔널은 전 세계 임직원의 ‘어디서나 일하는(WFA)’ 환경 구현을 위해 프라이빗테크놀로지의 소프트웨어 정의 경계(SDP) 솔루션을 도입했다. <편집자>

세계 각국에서 다양한 사업을 전개하고 있는 포스코인터내셔널은 수시로 변하는 세계 경제 질서에서 경쟁력을 갖기 위해 빠르고 유연하면서 안전한 업무환경 구축을 위해 많은 투자를 진행해왔다. 그런데 코로나19로 세계 여러 국가에서 락다운이 실시돼 80여 해외법인의 임직원이 급히 재택근무를 실시하게 됐다. 그러면서 VPN을 계속 증설하면서 여러 어려움에 부딪히게 됐다.

우리나라에서도 재택근무에 돌입하는 직원들이 늘어나게 되면서 VPN의 문제를 시급히 해결해야 한다는 요구가 있었다. VPN은 사용자 인증이 약하고, VPN 자체의 보안 취약점도 있었으며, 관리가 어렵고 잦은 장애를 일으켜 원활한 업무 수행을 방해한다는 문제를 안고 있다.

김동호 포스코인터내셔널 CISO는 “VPN이 원격접속을 위한 안전한 기술인 것은 맞지만, 사용자 인증이 취약하고, 사내 모든 서버가 외부에 노출된다는 위험이 있다. 많은 해외법인 인력과 국내 임직원이 VPN을 이용해 재택근무를 하게 되면서 VPN 보안 취약성 문제가 현실로 다가오게 됐으며, 이를 해결할 방법을 찾아야 했다”고 말했다.

보안성·안정성 보장하는 SDP 도입

포스코인터내셔널은 VPN 대신 안전한 재택·원격근무를 할 수 있는 방법을 검토했다. 또 현장업무가 많은 업무 특성상 언제, 어디서나 일할 수 있는 환경 구현이 필요했다.

포스코인터내셔널은 일부 업무에 VDI를 사용하고 있었는데, VDI는 보안성은 강하지만, 속도가 느려 원활한 업무 수행에 지장을 줄 수 있으며, 비용이 많이 든다는 한계가 있었다. 중요 업무에는 MPLS 전용선을 사용하지만, 전용선의 비싼 비용이 부담이었고, 직원들의 집에 전용선을 설치할 수도 없었다.

그래서 포스코인터내셔널은 제로 트러스트 네트워크 액세스(ZTNA) 기술을 구현하는 솔루션을 찾기로 결정했다. ZTNA는 보호해야 하는 애플리케이션은 외부에 노출되지 않도록 하고, 권한 있는 사용자만 권한 내 애플리케이션에 접속할 수 있도록 한다. ZTNA를 구현하는 여러 기술 중 안정적인 속도와 강력한 보안을 보장할 수 있는 기술을 찾았다.

포스코인터내셔널의 요구를 가장 정확하게 만족하는 방안이 소프트웨어 정의 경계(SDP) 아키텍처를 채택한 ZTNA였다. SDP는 WFA(Work From Anywhere)를 지원해 사용자가 어디에 있든 상관없이, 정상 권한을 가진 사람은 아무 장애 없이 업무를 할 수 있다. 계정을 탈취하거나 사용자 기기를 감염시켜 불법적으로 침투하는 공격자는 접근을 차단한다.

김동호 CISO는 “글로벌 기업에 필요한 WFA 환경을 제공하기 위해 제로 트러스트 보안 기술이 선행되어야 한다. 온프레미스와 클라우드를 모두 지원해 국내외 임직원이 언제, 어디서든 안전하고 빠르게 업무를 할 수 있는 SDP가 WFA에 최적이라고 판단했다”고 말했다.

안전한 앱·사용자 연결하는 SDP 선택

포스코인터내셔널은 국내외 여러 SDP 솔루션을 검토했는데, 전 세계에서 가장 많은 레퍼런스를 가진 글로벌 솔루션은 포스코인터내셔널이 원하는 속도를 보장하지 못했다. 사용자 PC 별로 세밀한 관리가 어려워 보안 사각지대가 발생할 우려가 있었다. 비용도 높은 편이어서 글로벌 법인 전체에 배포하는데 부담이 되었다.

국내 스타트업인 프라이빗테크놀로지의 SDP는 안정적인 접속 환경을 제공하면서 합리적인 비용으로 구축할 수 있었다. 프라이빗테크놀로지는 네트워크에 접속하는 실질적 통신 주체는 애플리케이션이므로, 애플리케이션을 세밀하게 통제해야 제로 트러스트 원칙을 이룰 수 있다고 강조한다. 또 프라이빗테크놀로지는 애플리케이션이 멀웨어·랜섬웨어를 유포할 수 있기 때문에 항상 검증하고 모니터링해야 한다고 주장한다.

프라이빗테크놀로지 SDP는 안전한 애플리케이션만 인증된 사용자와 연결 시키는 ZTNA 기술로 어느 위치, 어떤 환경에서도 안전하게 접속해 편하게 업무할 수 있도록 지원한다.

김동호 CISO는 “프라이빗테크놀로지의 SDP는 애플리케이션 제어 기술을 이용한 ZTNA를 구현하는 솔루션으로 인정받고 있다. 실제 BMT를 통해 안정적인 접속 속도를 보여줬으며, 포스코인터내셔널의 다양한 애플리케이션과 연동이나 해외 법인 배포도 쉽게 이뤄질 수 있다고 판단했다”고 설명했다.

보안성·편의성 보장된 WFA 구현

포스코인터내셔널은 우선 프라이빗테크놀로지 SDP를 충주 데이터센터에 2021년 3월 구축해 국내 임직원의 재택근무를 지원했다. SDP 보안을 한층 더 높이기 위해 사외에서 사내 시스템에 접속할 때 ID/PW 외에 본인 휴대폰을 이용한 QR코드 인증으로 2차인증을 수행, 본인확인 절차를 강화했다.

사용자 단말은 백신 등 필수 보안 소프트웨어가 설치돼야 접근할 수 있었으며, 문서 편집기, 웹 브라우저 등 허용된 안전한 애플리케이션만 사용할 수 있도록 애플리케이션 접속 제어 정책을 적용했다. 그리고 사내 서버는 서버 스텔스(Stealth) 기술을 적용해 해커가 공격대상인 서버를 찾을 수 없도록 공격표면을 제거했다.

포스코인터내셔널은 사내 임직원을 대상으로 SDP를 운영하면서 VPN과 VDI를 단계적으로 걷어냈다. SDP만으로도 재택근무가 가능하다는 것을 검증한 후 해외 법인과 사용자를 위한 SDP 배포를 시작했다.

해외 사용자는 마이크로소프트 애저를 통해 접속하도록 했다. 포스코인터내셔널의 80개 해외법인과 가까운 애저 클라우드 리전 9개소에 프라이빗 테크놀로지 엣지 게이트웨이 기술을 적용했다. 해외 사용자는 자신과 가장 가까운 엣지 게이트웨이에 자동으로 연결되며 애저 클라우드 전용망을 통해 국내 데이터센터에 위치한 업무 시스템에 접속할 수 있게 했다.

국내와 해외 사용자를 대상으로 단계적으로 사업을 확대해 2021년 12월 전사 SDP를 배포했다. SDP는 일반 인터넷 회선을 사용해 안정적인 속도를 보장할 수 있었으며, 중앙 데이터센터에서 엣지로 일관된 통제를 지원할 수 있고 엣지를 통한 가시성을 보장받을 수 있어 보안을 한층 강화할수 있었다.

김동호 CISO는 “기존 VPN 환경에서 접속이 가장 불안정한 곳이 중국이었다. 중국 법인 사용자들은 잦은 VPN 장애로 어려움을 겪었는데, 프라이빗테크놀로지 SDP를 구축한 후 속도가 느려지거나 장애를 겪은 일이 없었다. 사용자와 가까운 엣지 게이트웨이를 통해 글로벌 클라우드 망을 이용해 업무 시스템에 접속할 수 있어 속도와 안정성 측면에서 상당한 개선을 이뤘다고 판단하고 있다”며 “현재 해외는 VPN과 SDP를 병행하고 있는데, 2022년부터 VPN을 단계적으로 걷어내 SDP만으로 접속할 수 있게 할 것”이라고 말했다.

다양한 기기 이용 업무 지원

포스코인터내셔널은 직원 업무 편의성을 더 높이기 위해 PC 뿐 아니라 태블릿, 스마트폰 등 모바일 기기를 이용할 수 있도록 하고 있다. 현재 프라이빗테크놀로지 SDP는 윈도우·안드로이드 기기를 지원하고 있으며, 조만간 iOS·맥OS 지원도 완료해 직원이 선호하는 기기를 이용해 자유롭게 업무를 할 수 있도록 할 계획이다.

김동호 CISO는 “국내 기업들도 비즈니스 유연성을 위해 WFA를 도입하고 있는데, 취약점이 많은 VPN 보다 쉽고 편하고 안전하게 구현할 수 있는 SDP를 검토하기를 바란다. 특히 클라우드를 이용해 제공되는 SDP는 쉽게 구축할 수 있고, 전 세계에서 사용할 수 있어 매우 편리하다”며 “예산과 전문인력이 충분하지 않은 중소기업의 SDP 도입을 위한 지원도 마련되면, 국내 기업의 글로벌 진출에 많은 도움이 될 것으로 생각된다. 많은 기업들이 새로운 기술 도입에 주저하지 않도록 포스코인터내셔널의 성공사례를 적극 알리겠다”고 밝혔다.