체계적인 IP관리로 통제·보안사고 걱정 ‘끝’
현대석유화학(대표 정범식 www.seetec.com)은 약 1천여명의 내부 직원과 많은 협력사 인력들이 상주하고 있어 IP관리와 비인가 사용자에 대한 통제 및 보안 사고에 대한 대책이 절실했다. 이에 따라 지난 6월말 플러스아이티에스의 IP관리 솔루션인 ‘IP블럭’을 성공적으로 구축 완료해 지금까지 장애 발생없이 사용하고 있다. 현대석유화학은 이번 IP블럭 구축을 계기로 노후화된 네트워크 장비 교체와 보안 강화를 위한 침입방지시스템(IPS) 구축을 앞당길 수 있게 됐고 세계적인 종합석유화학기업으로 한 걸음 더 나아갈 수 있게 됐다.
이재봉 기자·jblee@datanet.co.kr
현대석유화학은 1988년 설립된 이후 국내 최대 종합석유화학기업으로 도약하면서 국내 석유화학산업 발전과 함께 세계화에 노력해 왔다. 현대석유화학 대산 콤플렉스는 나프타 분해에서부터 모노머 제품, 합성수지 및 합성고무 제품을 생산하는 전 공정이 컴퓨터로 처리할 수 있는 설비를 갖추고 있다. 또한 물류, 관리, 연구시설 등이 유기적으로 연계되어 있는 세계적인 규모의 석유화학 콤플렉스다. 특히 현대석유화학은 생산제품의 50% 이상을 세계 60여개국에 수출하는 등 기술과 품질의 세계화에서도 앞서나가고 있다.
이 같은 현대석유화학이 최근 아이티플러스의 IP관리 솔루션인 ‘IP블럭’을 도입해 외형적인 발전에서 내부 역량까지 강화해 세계적인 종합석유화학기업으로 도약할 수 있는 계기를 마련했다.
IP관리·내부 망 접근 통제 절실
현대석유화학은 외형적인 규모에 비해 전산 환경은 타 기업과 비교해 미비한 것이 사실이었다. 따라서 복잡한 네트워크 확장 계획, 보안 그리고 이를 체계적으로 관리할 필요성이 대두됐다.
현대석유화학의 네트워크 망은 크게 대산 본사와 서울 영업소 간을 VPN 라우터로 연결했고 본사 내부 커뮤니케이션을 위한 내부망 라우터 그리고 인터넷 사용을 위한 인터넷 라우터로 구성돼 있다.
현대석유화학은 복잡하고 노후화된 장비 교체 및 신설에 앞서 우선적으로 현재 약 1천여명의 직원들이 사용하고 있는 IP에 대한 체계적인 관리가 시급했다. 이에 따라 현대석유화학은 구체적인 IP관리 프로젝트를 진행하기 앞서 자사가 안고 있는 문제점들을 찾아내는데 집중했고 그 결과 다음과 같은 3가지 문제점을 도출해 이에 대한 대책을 세웠다.
우선 IP관리가 제대로 되지 않는다는 점이다. 현대석유화학은 DHCP를 사용함으로써 실제 네트워크 상에서 사용되고 있는 IP와 PC에 대한 정확한 현황을 파악할 수 없었고 관리자의 수작업에 의존하는 형국이었다. 또 사내 직원 및 협력사의 비인가 사용자에 대한 접근 통제가 안됐다. 더불어 많은 협력업체 직원들이 상주하는 경우가 많지만 이들이 사용하고 있는 IP 현황을 실시간으로 관리할 수 없었다. 심지어 비인가 사용자들이 허가되지 않은 접속으로 바이러스가 유포됐던 사례도 발생했다.
마지막으로 보안 사고에 대한 대처가 전무했다. 최근 웜, 바이러스 확대가 심각한 사회 문제로 지적되고 있지만 현대석유화학은 사용자 단에서 발생한 웜이나 바이러스를 탐지하더라도 실제 사용자와 자산관리 목록의 사용자 불일치로 조치에 상당한 시간을 소비해야 했고 책임 소재도 불명확했다.
이 과정에서 현대석유화학은 단순 IP관리 솔루션 도입뿐만 아니라 향후 전반적인 네트워크 확장과 보안 체계를 함께 고려해 프로젝트를 추진하기로 결정했다.
IP관리 솔루션 선택 과정에 대해 최우식 현대석유화학 IT실 차장은 “기업의 전산망 운영에 심각한 영향을 미치는 웜이나 바이러스에 대해 능동적인 대처가 필요하다는 인식하에 보안을 강화할 수 있는 솔루션을 찾게됐다”고 설명했다.
이에 따라 적절한 솔루션으로 침입방지시스템(IPS) 도입을 적극 검토했지만 내부의 웜에 의한 백본이 느려지는 문제를 근본적으로 해결하지 못함에 따라 사용자 단에서의 비인가자 관리를 해줄 수 있는 플러스아이티에스의 ‘IP블럭’ 솔루션 도입도 함께 고민하게 됐다. 또 현대석유화학은 당시 구축돼어 있던 네트워크 장비들이 노후화됨에 따라 기존 장비와의 연동보다는 향후 새롭게 도입하게 될 보안 장비와 IP블럭과의 연동에 대한 커스터마이징을 고려했다.
최우식 차장은 “플러스아이티에스의 IP블럭 외에도 관련 제품들을 검토한 결과 시장의 선점 업체로써 안정성과 인지도가 높은 제품이 있었지만 향후 새롭게 도입하게 될 보안 장비와 IP블럭과의 연동에 대한 커스터마이징을 고려해 최종적으로 IP블럭을 선택했다”고 밝혔다.
5단계로 체계적인 프로젝트 진행
현대석유화학은 구체적인 목표와 세부적인 계획이 수립됨에 따라 지난 6월 8일부터 동월 30일까지 프로젝트를 성공적으로 완료했다.
최우식 차장은 “프로젝트 진행 과정에서 현대석유화학 본사가 충남 대산에 위치하고 있어 위치적으로 기술지원을 받기 힘든 상황이었지만 플러스아이티에스의 체계적인 기술지원으로 무사히 프로젝트를 완료할 수 있었다”고 밝혔다.
이번 IP관리 프로젝트 진행과정은 크게 5단계로 분류돼 진행됐다. 우선 1단계로는 DB 구축 단계로 현대석유화학의 모든 호스트 정보를 DB화했다. 2단계는 호스트 인증 과정으로 수집된 호스트 정보들을 현대석유화학 자산임을 확인했으며 종류에 따라 분류하고 호스트 타입, 주요 그룹 지정, 사용 기간 설정 등의 적용 정책을 수립했다.
3단계는 주요 정책을 설정하는 과정으로 DB에 등록된 자산 외에 호스트에 대한 네트워크 접속을 차단할 수 있는 신규 MAC 차단, 관리범위 외 신규 IP 자동 차단 및 IP 충돌 차단 등의 정책을 적용했다. 4단계는 호스트를 관리하기 위한 과정으로 보안에 위배되는 호스트들에 대해 네트워크 사용을 차단하기 위해 지정된 호스트/MAC 차단 외에 게이트웨이 차단과 접근금지 리스트 차단 정책을 도입했다. 마지막 단계는 호스트 등록 과정으로 신규로 등록되는 호스트에 대해 IP관리 DB에 등록하기 위한 호스트 등록 보기 정책을 적용했다.
IP관리·통제·확장성 ‘일석삼조’ 효과
현대석유화학은 이번 IP관리 솔루션인 IP블럭을 성공적으로 도입함으로서 IP관리에 대한 체계적인 관리와 함께 비인가자에 대한 차단 및 새로운 장비 도입에 따른 확장성까지 보장받을 수 있게 됐다.
최우식 차장은 “IP블럭 솔루션을 도입한 후 인가되거나 비인가된 사용자들의 IP 도용으로 인한 장비들간의 IP 충돌이 없어졌으며 허가 받지 않은 사용자들의 내부 네트워크 접속 시 보안관리자의 허가를 받아야 사용할 수 있기 때문에 내부 보안 기능도 강화됐다”며 “또 바이러스 및 유해 트래픽이 발생한 사용자를 IP블럭에서 실시간으로 네트워크에서 차단해 내부 네트워크를 보호할 수 있을 뿐만 아니라 IP블럭에서 전체 네트워크에서 사용하는 IP를 관리할 수 있어 효율적인 IP 사용이 가능해졌다”고 설명했다.
현대석유화학이 IP블럭을 도입해 얻게된 혜택을 정리하면 다음과 같다.
·자산관리 : DHCP 환경에서도 네트워크 전체에 분포돼 있는 단말 현황을 한눈에 실시간으로 파악할 수 있어 효율적인 IP 자산관리와 네트워크 연동의 초기 데이터로써 활용할 수 있다.
·비인가자 관리 : IP블럭 정책을 활용해 비인가된 내부직원 및 협력업체 직원의 장비(노트북 등)를 내부 네트워크에 연결하지 못하게 통제가 가능하다. 더불어 보안강화를 위해 내부 네트워크 사용에 대한 지침을 마련하고, 내부 네트워크 연결 시 해당 장비에 백신 프로그램 설치를 의무화하는 등 네트워크 보안을 강화하는 계기가 됐다. 즉, 비인가자에 의한 바이러스 확산에 대한 사전예방이 가능하게 됐다.
·보안장비와 연계조치 : 방화벽과 IDS에서 발생하는 로그를 통해 파악된 IP 정보와 MAC 정보를 가지고 IP블럭 콘솔에서 실제 사용자를 파악해 적절한 조치를 취할 수 있다.
최우식 차장은 “IP블럭 도입 후 내부 네트워크에 접속하기 위해서 사용자가 네트워크 서비스 신청서를 보안 관리자에게 접수해야하기 때문에 사용자들의 불편이 발생했지만 내부 보안 강화를 위해 필요함을 주지시켜야 했다”며 “또 관리자가 퇴근 후 네트워크 사용자 추가시 실시간으로 사용자 추가가 어려웠으나 재택근무 프로그램을 통해 집에서 추가가 가능해졌다”고 설명했다. 또 그는 “유니캐스트를 활용한 케이트웨이 차단 기능 구현 시 차단이 안되는 문제가 있었으나 플러스아이티에스에서 네트워그 구성상의 문제임을 밝혀내 신속한 조치가 가능했다”고 덧붙였다.
I·n·t·e·r·v·i·e·w
본사·영업소 IP 한눈에 실시간으로 관리 가능
프로젝트 진행 전 내부 사항은.
현대석유화학의 네트워크 망은 크게 충남 대산의 본사와 서울 영업소를 연결하는 VPN 라우터, 내부망 라우터 그리고 인터넷 라우터로 구성돼 있었다. 특히 현대석유화학의 약 1천여명의 직원과 협력업체들의 상주 인력들에 대한 체계적인 IP 관리와 비인가자의 네트워크 접속에 따른 보안문제들에 노출돼 있었다. 또한 기존 장비의 노후화로 조만간 새로운 시스템 교체작업이 진행될 것이란 점에서 전체적인 시스템 구성에 대한 컨설팅이 필요한 시점이었다.
IP블럭을 선택한 이유는.
현대석유화학은 하나의 가상랜(VLAN)으로 구성되어 있고, B-클래스 IP 네트워크를 사용하고 있다. 그래서 같은 가상랜 내에 협력업체 직원과 내부직원, 심지어는 주요 서버도 같이 있는 환경이므로 특정 직원에 대한 특정 IP 접근을 제어할 수 없었다. 이에 IP블럭은 유니캐스트 차단방식에 의한 특정 서버차단기능이 있어서 우선적으로 검토를 했고, 결국에는 설치하게 됐다.
구축과정에서 특히 요구한 사항은.
현대석유화학은 DHCP를 사용해 네트워크 상에서 이용되고 있는 IP 및 PC에 대한 현황 관리 및 통제가 불가능했다. 특히 협력업체의 상주 인력에 대한 IP관리는 꿈조차 꿀 수 없는 상황이었다. 이에 따라 할당된 IP 자원에 대한 실시간 관리 및 차단 기능과 함께 비인가자의 네트워크 접속에 따른 웜 및 바이러스 확산에 대한 원천적인 방지 대책을 요구했다. 또한 향후 보안 강화를 위해 계획하고 있는 침입방지시스템(IPS)과의 연동도 주문했다.
구축에 따른 효과는.
현대석유화학은 IP블럭을 성공적으로 구축함으로서 크게 IP관리와 비인가자에 대한 차단 효과와 함께 IP블럭에서 얻은 정보를 향후 구축하게 될 시스템에 대한 원천 데이터로 이용할 수 있게 됐다. 구축 후 직원들이 네트워크에 접속하기 위해 관리자의 요청을 받아야 하는 번거로움이 있었지만 내부 보안 강화 측면에서 모두가 동의하고 있다. 또 IP블럭에서 실시간으로 네트워크를 차단해 내부 네트워크를 보호할 수 있을 뿐만 아니라 IP블럭에서 전체 네트워크에서 사용하는 IP를 관리할 수 있어 효율적인 IP 사용이 가능해졌다.
최우식 현대석유화학 IT실 차장
