[데이터넷] 글로벌 제조기업 H그룹은 철강, 건설, 금융 등 다양한 분야의 사업을 전개하고 있다. 2022년 주력 사업에서의 판매량이 전 세계 3위를 기록하며 글로벌 시장에서의 입지가 확고해진 만큼, 지속적으로 증가하고 있는 정보 유출 사고에 대한 보안 대비책을 세워야한다고 판단했다. H그룹은 온프레미스와 클라우드 환경에서 일관된 DB, 시스템 접근를 제공하는 피앤피시큐어의 통합 접근제어 및 계정관리를 도입했다. <편집자>

국가정보원에 따르면, 2018년부터 2022년까지 국정원에서 적발한 산업기술 유출 사례는 총 93건이며, 피해 예상액은 25조 원에 달한다. 그중 반도체, 자동차 등 대한민국 주력산업 분야 유출이 75건으로 80% 이상 집중돼 있다.

H그룹은 이와 같은 유출 사고에 전략적으로 대응하기 위해 2022년 온프레미스와 클라우드 환경에서 일관된 DB, 시스템 접근제어 방법을 제공하는 피앤피시큐어 통합 접근제어 및 계정관리(Unified-IAM) 솔루션을 표준화해 도입했다. 이번 사업은 글로벌 제조기업으로서 국내 표준화 보안체계를 해외 사업장으로 확장하기 위해 추진된 것이다.

접근제어 솔루션 국내 표준화 도입 당시, H그룹은 온프레미스 환경뿐만 아니라, 클라우드 환경에서도 안정적인 접근제어 기능을 수행하는 하이브리드 방식을 택했다. 이후 북미, 중국, 일본, 싱가포르, 멕시코 등 보안위협에 대한 변수가 많은 해외 사업장에도 국내 보안 수준과 동일한 보안수준을 적용하기 위해 클라우드 기술을 활용해 확장 도입함으로써, 국내외 글로벌 스탠다드 보안체계를 마련했다.

피앤피시큐어는 H그룹 해외 공장에 통합 접근제어 솔루션을 성공적으로 구축해 국내 6000개 이상의 고객 사례에 이어 해외 주요 고객 사례를 확보함으로써, 해외시장으로 진출하기 위한 기반을 마련했다.

H그룹에서 신규 접근제어 솔루션 도입을 통해 해결하고자 했던 것은 ▲DB, 시스템 접근제어 솔루션 분산 운영 환경 개선 ▲대규모 서버군 운영, 관리, 확장성 보완 ▲모든 DB 접근경로 제어방안 및 기존 시스템과의 연동 등 세가지였다.

DB·시스템 접근제어 통합 관리 솔루션 도입

H그룹은 DB, 시스템 접근제어 솔루션을 분산 운영하고 있으며, 보안 담당자 인력 운용과 비용에 대한 부담이 있었다. 또한 각기 다른 제조사의 보안제품을 사용해 보안정책의 이중화, 연동 불허 등 제약 사항으로 인한 불편함이 있었다. 그래서 H그룹은 DB, 시스템 접근제어를 하나의 솔루션으로 통합 관리할 수 있는 제품을 찾기로 했다.

H그룹은 피앤피시큐어 Unified-IAM 솔루션을 채택해 이문제를 해결했다. 이는 고객 환경에 맞춰 ‘디비세이퍼(DBSAFER)’ 제품군의 ‘디비세이퍼 DB’, 시스템 접근제어 ‘디비세이퍼 AM’, 서버 접근제어 ‘디비세이퍼 OS’, 통합 계정관리’디비세이퍼 IM’ 제품 중 2개 이상 솔루션을 연계해 제안하는 통합 보안 전략이기도 하다.

보안 제품을 도입한 후에는 지속적인 관리가 필요하며 각 제품을 담당하는 인력을 투입해야 한다. 또한 제품마다 별도의 관리 프로그램을 운용할 경우 제품 간 차이로 인해 시너지를 창출하기 어렵고 관리 비용 또한 증가한다.

Unified-IAM은 이기종 장비 간 계정 및 권한 관리 프로세스를 하나로 통합해 보안 제품들을 하나의 솔루션처럼 쉽게 관리함으로써, 보안 환경 유지에 필요한 인력, 비용에 대한 절감 효과가 뛰어나다.

DB, 시스템, OS 접근제어와 계정관리를 책임지는 디비세이퍼 시리즈 제품으로 구성돼 솔루션 간 호환성이 뛰어나며 데이터를 더욱 편리하고 안전하게 보호할 수 있다.

H그룹은 Unified-IAM 도입을 통해 별도 운영 중인 DB, 시스템 접근제어를 Unified-IAM 솔루션으로 통합해 DB, 시스템 접근제어에 대한 관리 포인트를 줄임으로써, 관리 편의성을 확보했다. 이에 따라 관리에 필요한 인력과 비용에 대한 부담 또한 감소해 더욱 효율적인 운영이 가능해졌다.

H그룹 관계자는 “이번 디비세이퍼 프로젝트를 통해 운영 편의성이 대폭 상승했으며, 투입 자원 절감 효과가 뛰어나다. 각 보안제품에 대한 관리 포인트를 일원화해 효율적인 작업환경을 구축할 수 있게 됐다”고 전했다.

보안 대상서버 10만 대 지원·통합관리

기존 접근제어 솔루션은 서비스 별로 별도의 포트를 사용하기 때문에 서비스가 많아질수록 포트 사용량이 증가해 대규모 서버를 지원하는 데 한계가 있으며, 서비스 재구동 시 불가피하게 세션이 끊어지는 문제가 있다.

H그룹은 10만 대 규모의 보안 대상서버를 운영하는 환경으로, 포트 사용량을 줄이고 서비스 데몬이 수정되거나 종료되어도 서비스 지속성을 보장하는 기술이 필요했다. 또한 대규모 서버군을 중앙에서 안전하고 편리하게 관리함과 동시에 추후 번거로운 작업 없이 서버·서비스 증설이 가능한 방안을 모색했다.

피앤피시큐어는 디비세이퍼의 분산·병렬처리 기술을 기반으로 서비스 전용 포트만을 이용해 모든 서비스에 프록시 연결이 가능한 환경을 구현했다. 이를 통해 10만 대 이상의 보안대상 서버를 수용할 수 있도록 지원했다. 정책 복잡도를 줄인 설계를 통해 하나의 서비스 데몬에서 통합 관리함으로써, 시스템 점유 메모리를 획기적으로 줄이고 패치나 수정 시에도 세션이 유지돼 서비스의 지속성을 보장한다.

또한 다수의 보안장비 세트에 대한 통합관리 기능을 제공해 분산된 여러 장비들을 통합했다. 각 장비에 저장된 로그를 하나의 로그처럼 관리함으로써 부하를 분산시켜 고성능·고가용성 보안 서비스를 제공했다.

세트별 서비스, 정책, 객체, 그룹에 대한 데이터 배포와 세트에 저장된 로그에 대해 통합 관리서버 조회 기능을 제공해 각각 관리 콘솔을 통해 개별 보안 정책의 배포 및 관리해야 하는 불편을 해소했다. 추가로, 플러그인 기술을 적용해 서버·서비스 추가 시 기존 구조의 변경 없이 보안장비만 플러그인 형태로 확장할 수 있는 환경을 구현했다.

H그룹 관계자는 “보안 대상 서버 수가 많아 로그를 처리하는 과정에서 성능저하로 인한 불편함이 있었다. 디비세이퍼 도입으로 빠른 처리 속도가 보장돼 업무 효율성이 증대되었고, 추후 서버나 서비스의 확장이 필요한 경우에도 복잡한 작업 없이 플러그인 방식으로 처리할 수 있어 편리하다”고 전했다.

보안성·편의성 보장되는 보안환경 구현

H그룹은 보안의 핵심인 DB 내 중요 데이터에 대한 보안성을 보장하는 솔루션을 찾았다. 이 중에서도 우회접속을 포함한 DB에 접근하는 모든 경로를 제어할 수 있는 기술이 필요했다. 또한 신규 보안제품과 운영 중인 인사, OTP, FIDO 등 다양한 업무 시스템들을 연동할 때 문제가 발생하면 업무에 지장을 줄 수 있기 때문에, 안정적인 연동이 보장돼야 했다.

기존 IAM 솔루션은 DB에 대한 다양한 접근 경로를 모두 보호하지 못한다. 특히 프록시 게이트웨이 방식으로 접근제어 솔루션을 구축한 경우, 보안 장비를 경유하지 않은 대상서버 직접 접근에 대해 제어/로깅과 같은 보안기능을 수행할 수 없다.

피앤피시큐어 디비세이퍼는 국내 시장의 약 70% 이상을 점유하고 있는 DB 접근제어 솔루션의 기술력을 IAM 솔루션에 적용해 국내 접근제어 솔루션 중 유일하게 스니핑 방식과 서버 에이전트를 통해 게이트웨이를 거치지 않는 우회접속, 전산실 내 콘솔 직접 접속 등 DB에 접근 가능한 모든 경로를 모니터링 및 차단한다. 기존 IAM 솔루션의 한정적인 보안 범위를 DB까지 확장한 셈이다.

또한 강화된 개인정보보호 규제 준수를 위한 PC-접근제어 솔루션-보안 대상서버 통신 전 구간에 대한 암호화 기능을 제공하는 제품으로 높은 보안성을 보장한다.

편의성 측면에서 피앤피시큐어는 이번 디비세이퍼 도입 프로젝트와 함께 수반되는 불편함을 최소화하기 위해 H그룹에서 운영 중인 시스템과의 API 연동을 통해 기존 시스템에서도 접근통제 기능을 사용할 수 있는 인터페이스를 구현했다. H그룹의 인사, OTP, FIDO, SMS 등 다양한 업무 시스템뿐만 아니라 기존 접근제어 시스템의 다양한 정책들을 연동할 수 있도록 지원했다.

H그룹 관계자는 “기존 서버 시스템에서 관리되지 못한 DB, 시스템 영역을 일원화된 솔루션을 통해 관리할 수 있게 되었으며, 모든 접속경로에 대한 강력한 접근제어를 통해 보안 취약점이 될 수 있는 우회접속을 차단해 주요 자산을 보호할 수 있는 안전한 보안 체계가 마련됐다. 또한 접속이력 및 쿼리에 대한 실시간 감사 데이터 모니터링 및 로깅을 통해 변화 추이 그래프 등을 대시보드로 확인할 수 있어 신속한 자료 확인을 통해 감사에 대응할 수 있다. 보안관리자의 접근 이력은 별도로 관리해 보안성도 강화했다”고 설명했다.

그는 이어 “신규 보안제품을 도입하면서 업무 시스템과의 연동이나 기존 접근제어 솔루션 정책의 마이그레이션 작업이 수월하게 이뤄졌다. 불편함 없이 안전한 보안체계를 구축할 수 있었다”고 밝혔다.

H그룹은 이번 통합 접근제어 솔루션 글로벌 표준화를 통해 DB, 시스템 접근제어 솔루션 분산 운영 환경을 통합 운영으로 전환함과 동시에, 대규모 서버군 운영, 관리, 확장성 보완, 모든 DB 접근경로 제어방안 및 기존 시스템과의 연동을 통해 변수가 많은 해외 환경에서도 전략적인 보안 대응이 가능한 보안체계를 수립했다.