고객·직원 정보보호 효과 높아…국내외 현장서도 쉽게 사용 가능한 인증 체계 구축
[데이터넷] 대우건설(대표 백정완)은 1973년 창사 이래 무한한 도전정신과 앞선 기술력을 바탕으로 세계적으로 인정받는 건설사로 발돋움하기 위해 노력하고 있다. 친환경 프리미엄 아파트 브랜드 ‘푸르지오’를 통해 주거문화의 새로운 기준을 마련하고 있으며, 도로, 교량, 터널 등 인프라 구축 사업, 플랜트 사업과 초고층 빌딩 등 대규모 건설 사업을 국내와 해외에서 성공적으로 수행하고 있다. <편집자>
2025년 글로벌 톱20 건설사로 도약을 위해 적극적인 사업을 펼치고 있는 대우건설은 첨단 IT 기술을 이용해 차별화된 건설 사업을 전개하고 있다. 또한 IT 혁신으로 인해 발생할 수 있는 보안위협을 제어하는데 많은 노력을 기울이고 있다. 국내외에서 진행하고 있는 다양한 사업을 원활하게 수행할 수 있도록 강력한 통제 위주의 보안 정책이 아니라 사용자 편의성을 높이면서 보안을 강화할 수 있도록 지능적인 모니터링과 탐지 체계를 고도화하고 있다.
김인덕 대우건설 정보보호팀 팀장은 “최근 보안위협은 정상 사용자 권한과 정상 프로세스를 이용하기 때문에 사용자 불편이 큰 통제 중심 보안 정책으로는 대응하기 어렵다. 특히 대우건설은 국내뿐 아니라 해외 여러 지역에서 사업을 진행하기 때문에 현장마다 다른 상황에 민첩하게 대응하는 것이 쉽지 않다”며 “이를 해결하기 위한 대우건설의 보안 전략은 제로 트러스트 원칙하의 최소 권한 정책과 지속적인 모니터링을 기본으로 한다. 빈틈없는 위협 탐지를 통해 다양한 위협 정황 과 상황을 파악하고 적시에 최적의 대응을 한다”고 말했다.
다양한 환경 지원 2FA 검토
대우건설은 제로 트러스트 보안 원칙의 일환으로 ID/PW만으로 이뤄진 사용자 인증을 개선, 스마트폰을 이용한 2차인증(2FA)을 구축했다. ID/PW는 보안에 취약하기 때문에 추가 인증이 필요하지만, 사용자 편의성을 고려하면 모든 업무와 모든 사용자에게 추가 인증을 강제하는 것은 합리적이지 않다. 보안성이 낮은 업무는 ID/PW로만 본인 인증을 하고, 중요한 업무는 2FA로 확실한 본인 인증이 이뤄질 수 있도록 적응형 인증 체계를 구축하는 것이 효과적이다.
그래서 대우건설은 중요도가 높은 개인정보 시스템과 노무관리 시스템 등에 2FA를 도입했다. 이 시스템은 고객과 대우건설의 모든 임직원의 민감한 개인정보가 저장돼 있기 때문에 매우 강력한 통제가 필요하다. 특히 개인정보 처리 시스템은 법적으로 안정성 요건이 중요시되고 있어 보안에 각별한 투자가 필요하다.
그러나 이 시스템을 관리하는 직원 중 IT에 대한 이해가 충분하지 않은 사람도 있고, 해외 사업장의 경우 여러 환경의 제약으로 인해 복잡한 인증 시스템을 구축하기 어려운 경우도 있다. 대우건설은 국내 본사와 300여개 이상 현장으로 구성돼 있으며, 해외 현장은 네트워크 환경이 열악해 네트워크가 원활하지 않은 환경에서도 원활한 인 증이 가능한 솔루션이 필요했다.
케이사인은 모든 사람이 소지하고 있는 스마트폰을 이용해 2FA를 도입하기로 결정했다. 모바일 OTP(mOTP)와 FIDO 인증을 사용할 수 있도록 하는 시스템으로, 다양한 모바일 기기·OS를 지원하는 인증 시스템을 구축하기로 했다.
김인덕 팀장은 “보안위협이 지능화되고 있으며, 다크웹을 통해 사용자 계정과 패스워드가 유통되고 있어 ID/PW에 의존하는 인증 시스템은 위험한 상황이다. 그래서 모든 서비스마다 ID/PW를 다르게 설정할 것을 권고하지만, 이는 현실적이지 못하고 사용자 불편이 심하다”며 “사용 편의성과 보안성을 동시에 만족하는 가장 효과적인 방법은 모든 사람이 소지한 스마트폰을 이용해 2FA를 도입하기로 결정했다”고 말했다.
다양한 산업군서 인정받은 솔루션 도입
대우건설은 2020년 2FA 도입 검토를 시작했으며, 국내 여러 기업·기관의 성공사례를 참고하고 솔루션 벤더의 제안을 검토했다. 이 때 가장 중요하게 여긴것은 사용자에게 다양하고 편리한 인증 수단을 제공하고 안전한 인증 방식을 지원하는지 여부였다. 또한 연동이 필요한 여러 시스템과의 연동성과 호환성, 사용과 유지관리 편의성, 스마트폰 사용이 불가능하거나 분실·교체했을 때, 스마트폰을 갖고 있지 않은 사용자에 대한 예외적용과 지원이 가능한지 살펴봤다.
대우건설은 2020년 5월부터 2개월 간 여러 솔루션 벤더를 대상으로 기능 요구 사항 충족 여부를 검토한 후 케이사인의 모바일 인증 솔루션 ‘위즈패스 for mOTP/FIDO(WizPass [for mOTP / FIDO])’ 도입을 결정했다. 지난해 7월부터 3개월간 솔루션 설치와 안정화를 거친 후 9월 파일럿 테스트를 거쳐 9월 17일 정식 서비스를 시작했다.
대우건설이 케이사인 ‘위즈패스’를 선택한 이유는 경쟁 업체 중 가장 뛰어난 암호인증 기술을 갖고 있으며, 가장 많은 성공사례를 확보하고 있다고 판단했기 때문이다. 임직원이 소지한 다양한 종류의 스마트폰, OS와 버전에 따라 기술지원 이슈가 시시각각 발생한다. 특히 OS 업데이트 시 인증 앱 강제 종료나 장애가 발생할 수 있기 때문에 이러한 오류에 즉시 대응해 업무 중단이나 불편 없이 사용하기 위해서는 다양한 요구에 성공적으로 대응해 온 경험이 필수다.
케이사인은 20여 년간 통합인증, 계정관리, PKI 기반 전자서명, DB 암호 화 기술까지 폭넓은 암호 인증 기술을 보유하고 있고 이를 기반으로 공공·금 융·교육 등 2100여개의 고객사에 안정적인 IT 보안 인프라 구축을 선도한 정보보안 전문 기업이다.
전체 인력 중 80% 이상 전문 기술 인력으로 구성된 프로젝트 관리 조직이 운영돼 최적의 사업관리를 수행할 수 있다는 점도 선택에 중요한 요소로 작용했다.
더불어 스마트폰 이용 이중 인증과 피싱 방지 기능을 제공하는 ‘위즈사인 2(WizSign2)’에 2채널 인증 제품으로 ETRI와 공동 개발한 스마트채널3 기술이 적용돼 있어 경쟁사에 비해 보안성이 높다는 점도 케이사인을 선택 한 요인 중 하나였다.
김인덕 팀장은 “모바일 인증은 강력 한 보안성이 필수로 다양한 스마트폰 기종과 OS를 지원해야 하며, 스마트폰 분실이나 교체 등에도 쉽게 대응할 수 있어야 한다. 케이사인의 ‘위즈패스’는 국내 많은 기업·기관에서 오랫동안 검증된 안정된 기술력을 갖고 있으며, 다양한 환경에서 발생하는 여러 문 에 즉각 대응할 수 있는 능력을 인정받고 있다”며 “국내외 사업장 모두에서 일관적이고 체계적이며, 여러 환경에서도 편리하게 사용할 수 있으면서 강력한 보안이 보장되는 2FA를 찾는 대 우건설의 수요에 가장 적합한 기업이 케이사인이었다”고 밝혔다.
케이사인은 1999년도 설립 후 PKI 기반 공인인증시스템, 개인정보보호 DB 암호화, 통합인증·권한관리 솔루션, 블록체인, 분산인증 등 최고의 보안 솔루션을 개 발해 온 기업이다. 금융, 기업, 공공, 행정, 대학 등 2100여 고객사에 안정적인 IT 보안 인프라 구축을 선도해 왔다. AI·빅데이터 기반 사이버 보안 위협 인텔리전스 서비스 전문기업 자회사 샌즈랩과 함께 능동적이고 효과적인 사이버 보안체계 수립에 앞장서고 있다.
복잡한 규제준수 요건 만족
대우건설은 케이사인 모바일 인증 솔루션에 대한 만족도가 매우 높다. 1년 반 이상 사용하면서 장애·기술지원 지연 등으로 인한 불편을 거의 겪지 않았으며, 편리하고 안전한 모바일 인증으로 보안성이 크게 높아졌다는 것도 큰 효과라고 보고 있다.
김 팀장은 “사용자 개인 기기를 사용 해 인증을 하니 보안팀에 불편함과 어려움을 호소하는 직원이 많은 것은 사실이다. 임직원, 외부직원, 협력사 등 여러 사용자와 다양한 모바일 환경에 따라 설치 시 장애, 예외 적용 등을 처리해야 했으며, 원격지원 요구가 증가하는 등의 어려움이 있었다. 그러나 이러한 어려움은 충분히 예상하고 준비했던 것이어서 해결하는데 큰 문제는 없었다. 그리고 케이사인이 필요한 때 적극적으로 지원을 해 원활한 인증 시스템 운영이 가능했다”고 말했다.
대우건설은 모바일 인증 솔루션 도입으로 고객과 임직원 개인정보를 안전하게 보호하면서 개인정보 보호 규제를 만족할 수 있다는 점을 높이 평가 했다. ID/PW 외에 위즈패스 솔루션을 추가하면서 계정정보 도용으로 인한 보안위협을 제거할 수 있게 됐으며, 본인 스마트폰을 이용해 인증할 수 있게 돼 접속 편의성도 강화할 수 있었다. 개인정보 처리 시스템의 안전조치 의무 사항을 준수할 수 있게 돼 법적 리스크 가 제거된 것도 큰 효과라고 평가했다.
현재 대우건설은 모바일 2FA 적용 범위를 단계적으로 확장할 계획을 갖 고 있다. 재택근무로 사용자가 늘어난 VPN 추가 도입을 계획하고 있으며, 회사 포털 시스템 등 업무시스템 접속 보안 강화를 위해서도 적용을 검토하 고 있다.
전 직원이 2FA를 사용하려면 사용자 편의성이 중요하기 때문에 업무용 모 바일 앱과 연동을 위한 기술적 검토를 진행하고 있다. 2FA 뿐만 아니라 서 버·네트워크 접속 권한도 강화해 업무 에 필요한 최소한의 권한만 부여하고 부여된 권한에 대해서도 모니터링을 통해 통제를 강화하는 등 제로 트러스 트 정책 도입을 서두르고 있다.
김 팀장은 “2FA 업무 편의성에 영향 을 미칠 수밖에 없다. 사용자에게 한 단계의 인증 과정을 더하기 때문이다. 그래서 2FA의 필요성을 교육하고 변화 관리 프로세스를 통해 업무 과정에 2FA가 자연스럽게 통합되도록 노력하 고 있다. 국내외 사업장에 적용 가능한 제로 트러스트 기반 인증 체계를 완성 해 모든 환경에서 보안을 강화할 수 있 도록 하고 있다”고 밝혔다.
인터뷰: 김인덕 대우건설 정보보호팀장
"다양한 현장 상황 지원하는 모바일 인증 도입"
Q: 케이사인 ‘위즈패스(WizPass)’를 도입한 이유를 설명해달라.
A: 대우건설은 국내외 수백개의 분산된 업무 현장을 운영하고 있으며, 각 현장 상황을 고려하면서 일관된 보안 정책을 수립해야 했다. 여러 국가와 지역의 특수성을 감안하면서 일관된 인증 시스템을 구축하기 위해 모든 사람들이 소지하고 있는 스마트폰을 이용하는 것이 효과적이 라고 판단했다. 케이사인은 20여년간 암호인증 분야 최고 전문성을 인 정받아왔으며, 국내 2100여 기업·기관에 인증 시스템을 구축·운영한 성공사례를 갖고 있다. 다양한 산업 현장에서 오랫동안 인증 시스템을 구축·운영해 본 검증된 기술력과 지원을 신뢰할 수 있었다.
Q: 모바일 인증 솔루션 도입 효과는
A: 모바일 인증 시스템은 고객정보 관리 시스템과 노무 시스템에 적용돼 있다. 이를 통해 갈수록 심각해지는 개인정보 유출 사고로부터 고객·직원 정보를 안전하게 보호할 수 있으며, 복잡한 컴플라이언스도 만족할 수 있게 됐다. 국내외 여러 현장 상황에서 편의성을 지키면서 보안 통제를 강화할 수 있다는 점도 성과라고 할 수 있다.
대우건설은 모바일 인증을 통한 보안 강화 효과를 충분히 검증했다고 판단하고, 향후 단계적으로 전사 시스템에 적용할 계획이다. 가장 먼저 재택근무자 VPN에 적용을 검토하고 있으며, 다른 시스템으로도 확 대 적용할 계획이다.
Q: 모바일 인증 솔루션 도입을 검토하는 기업·기관에 조언을 해 준다면.
A: 모바일 인증 솔루션 도입 시 정책 서버, 인증 서버, 관리 도구, SSO 등 여러 시스템과 연동되는지 살펴봐야 하며, 다양한 사용자 환경을 지원하는지, IT에 익숙하지 않은 직원도 쉽게 이용할 수 있는지 반드시 검토 해야 한다.
인증 시스템은 다양한 업무 시스템과 연동되어야 하는데, 업무 시스 템의 변경에 따라 인증 시스템을 다시 구축해야 하는 일도 발생한다. 따라서 향후 변경될 시스템에도 유연하게 적용 가능한지 살펴보는 것 도 필요하며, VPN에서도 별도 커스터마이징 없이 FIDO 인증을 사용 할 수 있도록 자체 래디우스 프로토콜을 지원하는지 확인하는 것이 좋다.
