> 뉴스 > 기획특집 > 구축사례
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
Case Study - 한국야쿠르트 통합보안·SSL VPN 도입
2006년 04월 03일 00:00:00
다운타임 제로·성공적 네트워크 방어 체제 구축
SSL VPN으로 완전 교체 단행 … 관리 비용 절감·유지보수 편리 만족


‘건강사회건설’이라는 창업정신을 바탕으로 지난 1969년 창업 이래 유산균 발효유 제품을 생산해 온 한국야쿠르트(대표 김순무 www.yakult.co.kr)는 보안 장비 교체 시기를 맞아 통합보안 장비와 SSL VPN 솔루션을 도입했다.
향후 통합보안장비가 트렌드가 될 것이라는 전망 아래 기존 방화벽을 통합보안장비로, 기존 IPSec VPN 시스템을 SSL VPN으로 전면 교체한 것. 한국야쿠르트는 주니퍼의 안전하고 확장성 높은 보안 장비를 도입함으로 보다 신뢰성있는 기업 보안 인프라 구축에 성공했다. 한국야쿠르트의 보안장비 도입 사례를 살펴본다.
장윤정 기자·linda@datanet.co.kr
사진·김구룡 기자·Photoi@dreamwiz.com

지난해 하반기, 노후화된 방화벽과 VPN 시스템 등 보안장비 교체를 고려하던 한국야쿠르트는 방화벽뿐만 아니라 침입방지(IPS) 등의 다기능을 갖춘 주니퍼네트웍스의 ‘ISG2000’을 도입키로 결정했다. 갈수록 늘어나는 해킹, 바이러스, 웜 등 보안 침해사고에 대응하기에는 노후화된 기존 장비로는 무리가 있었기 때문이다.
이에 단순 방화벽의 업그레이드보다는 통합보안제품을 도입해 관리포인트를 줄이고 향후 확장성을 대비하는 편이 낫다는 결론을 내렸다. 또한 기존 IPSec VPN을 통한 엑스트라넷 환경 유지의 관리적 어려움 등으로 인해 기존 IPSec VPN보다 SSL VPN을 도입함으로써 유지보수에 드는 인력과 비용을 절감키로 결정했다. 한국야쿠르트 자체도 영업소, 관리점, 직영점 등이 많은 구조인데다 ‘파스퇴르’와 ‘나드리’ 등을 통합해 지점과 영업소가 더욱 늘어났기 때문에 IPSec VPN보다 SSL VPN이 효용성이 높다고 분석됐기 때문이다.

쉽고 간단하고 안정성 높은 주니퍼에 ‘만족’
한국야쿠르트가 주니퍼의 ISG2000과 SSL VPN 제품인 ‘SA-5060A’를 도입한 것은 지난 2005년 10월이다. 아직 많은 시간이 지난 것은 아니지만 설치를 완료하고 운영해본 결과 아직까지 별다른 문제없이 안정적으로 운영되고 있다. 둘다 지난 10월에 도입했지만 ISG2000은 설치 후 바로 운영할 수 있었던 반면 SSL VPN은 커스트마이징에 시간이 조금 더 걸려 지난 12월에 오픈할 수 있었다. 한국야쿠르트, 파스퇴르, 나드리 등 사용자 그룹이 많아 사용자 그룹별로 셋팅하고 기업용 애플리케이션 등을 적용시키는데 약간의 시간이 더 소요됐던 것.
한국야쿠르트 정보시스템팀 김형섭 과장은 “한국야쿠르트의 환경이 거의 C/S환경이라 SSL VPN 커스트마이징에 시간이 걸렸다”며 “또한 SSL VPN은 윈도98 등의 지원이 미흡한 부분이 있지만 특별히 문제되지는 않아 현재 안정적으로 운영되고 있다”고 언급했다.
한국야쿠르트가 주니퍼의 제품을 선택한 이유는 지난 97년부터 넷스크린 100, 25, 10을 사용해오면서 느낀 제품의 안정성 때문이었다. 통합보안제품과 SSL VPN의 도입을 앞두고 주니퍼를 포함해 여러 제품의 BMT를 한달여간 실시해봤지만 주니퍼만한 성능과 편이성을 제공하는 제품을 찾을 수 없었다.
김 과장은 “주니퍼의 ISG2000의 안정성은 예전부터 써오던 넷스크린 제품으로 이미 알고 있었고 손쉬운 사용자 인터페이스 등에서 다른 제품과 비교가 되지 않았다”며 “통합보안을 지향하는 인터페이스 모듈의 확장성이 뛰어나 향후 우리가 원하는 통합보안의 여러 기능들을 추가할 수 있을 것 같아 주니퍼네트웍스를 선택케됐다”고 언급했다. 또한 그는 “SSL VPN도 다른 제품보다 가장 쉽고 간단하게 엑스트라넷에 접속할 수 있도록 지원됐고 C/S 환경에서 SAM(Secure Application Manager)을 활용할 수 있어 편리하다”며 “센트럴 매니저가 있어 동시 사용자 수, 퍼포먼스, CPU 등이 한눈에 보이는 관리 툴을 제공하기 때문에 관리가 손쉽다”고 덧붙였다.
아직 ISG2000의 모든 기능을 활용하는 것이 아니라 방화벽 기능만으로 쓰고 있지만 점진적으로 커스트마이징을 지속할 방침이다. 갑자기 모든 정책을 풀로 적용하면 사용자들이 불편해할 수도 있기 때문에 시간을 두고 적용할 방침이다. ISG2000을 선택한 또 하나의 이유는 다른 통합보안제품은 방화벽 외에 안티바이러스 등 다른 기능을 적용하면 현저히 속도가 떨어지는 것을 경험했지만 ISG2000의 경우 전혀 속도의 변화가 없었다고 김 과장은 강조한다.
그는 “ISG2000은 아직까지 통합보안장비의 한계로 보이는 여러 보안기능을 한꺼번에 구동할 경우 속도가 떨어진다는 점을 전혀 느낄 수 없는 안정성 높은 장비였다”며 “무엇보다 모듈식 구성으로 확장성이 좋아 현재 구동하고 있는 기능외에 다른 기능이 추가적으로 필요할 경우 언제든지 첨가할 수 있어 투자비 절감에도 유용하다”고 강조했다.


IPSec에서 SSL VPN으로 전면 교체 단행
한국야쿠르트가 도입한 SSL VPN ‘SA-5060A’는 SW 배치 없이 강력한 인증 및 승인 정책을 제공하는 액세스 권한 관리 기능, 엔드포인트 클라이언트, 장치, 데이터 및 서버 계층별 보안 제어, 사용자 그룹, 역할은 물론 네트워크, 장치 및 세션 속성을 기준으로 ID별 액세스 권한 지정 가능, 기업이 목적에 따라 프로비저닝할 수 있도록 지원하는 3가지 액세스 방법 제공, 상세 감사 및 로깅, 인증 모듈로 FIPS- 암호 키 처리 기능 등이 특징이다.
한국야쿠르트 정보시스템팀 김형섭 과장은 “기존 IPSec VPN에서 SSL VPN으로 전면 교체한다는 것은 전례가 거의 없는 만큼 쉬운 결정은 아니였다”며 “그러나 3주동안 IPSec과 SSL VPN을 병행해 보니 별 문제가 없었고 야쿠르트 및 파스퇴르, 나드리 등의 영업소, 직영점의 상주인원이 소규모라 SSL VPN쪽이 훨씬 유리할 것 같아 전면 교체했다”고 언급했다.
SSL VPN으로 완전 교체한 후 한국야쿠르트는 IPSec VPN의 관리 부담에서 벗어난 것을 가장 큰 성과로 꼽고 있다. 클라이언트를 일일이 설치하고 장애시 원격관리 등이 불편해 관리자가 사이트를 방문, 지원해줘야 했던 것에 비하면 엄청난 변화라는 것. 클라이언트가 필요 없이 웹 상에서 아이디와 패스워드만으로 엑스트라넷에 접속이 가능하고 중앙에서 원격 관리해 장애발생 시 직접 방문할 필요가 없다. 또한 사용자별 유연한 정책 설정이 가능해 한국야쿠르트, 파스퇴르, 나드리 등의 각 사용자별 정책이 손쉽게 구성됐다.
김 과장은 “SSL VPN의 로그분석 기능이 가장 맘에 든다”며 “첫 페이지에서 보고서 형식으로 이벤트, 사용자별 현황 등 잘 분리돼 있어 편리하다”고 언급했다.
이렇게 기존 IPSec VPN에 들어가야 했던 유형, 무형의 비용들을 따지면 SSL VPN으로 교체한 후 엄청난 비용절감효과가 있다는 것이다. 김 과장은 “주변에서 SSL VPN으로 완전히 교체한 것에 대해 걱정하는 시선도 있었지만 우리 환경에는 SSL VPN으로 바꾼 것이 적합했다”며 “소규모 인원들의 영업소가 전국에 산재해있고 계열사 영업소 등까지 포함하면 기존 IPSec VPN으로는 관리가 힘들다. 여기에 중국, 러시아 등에 상주직원이 있고 출장자와 외주업체들도 있어 SSL VPN이 가장 적합한 방법이었다”고 언급했다.

인증 강화·회사 DB 연동 등 확장 계획
김 과장은 “SSL VPN 도입을 고려하는 회사들은 자사의 기업 애플리케이션과 잘 맞는지 면밀히 살펴본 후 구입하는 것이 좋을 것”이라고 제안했다. SSL VPN의 활용성만을 보고 덜컥 구입했다가는 기존 기업에서 사용하는 기업용 애플리케이션과 충돌을 일으킬 수도 있어 전체 기업 자원을 더 활용하기 어려운 방향으로 몰고 갈수도 있기 때문이다.
또 SSL VPN을 현재 자체 인증으로 구동하고 있으나 퇴직자 등의 사용자 관리를 위해 인사DB와 연동해 퇴직자 관리를 강화할 방침이다. 웹상에서 간단히 접속할 수 있는 SSL VPN은 권한이 사라진 사용자를 적절히 제어해 주지 않으면 내부 정보가 유출될 수 있는 위험이 항시 도사리고 있기 때문. 현재 지점이나 대리소 등에 발급돼 사용되고 있는 아이디는 1천100개 가량이다. 구입시 1천300개의 ID를 발급받았는데 아직 여유가 좀 있기 때문에 당분간 SSL VPN의 추가 도입 계획은 없다. 그러나 ISG2000은 방화벽 기능만을 쓰고 있기 때문에 다른 통합보안의 기능들을 조금씩 적용, 향후 최고 성능까지 늘려간다는 방침이다.
한편 김 과장은 “지난해 보안 때문에 TFT를 구성해 효율적인 보안전략 등을 고민해봤지만 어디서부터 시작해서 어떻게 적용할지 쉽지 않다”며 “보안은 적용할수록 부족한 부분이 눈에 띄어 투자가 끝이 없다. 그러나 사용자의 불편을 최소화시키면서 사용자 교육 강화 등으로 최선의 보안정책을 지속적으로 찾아볼 방침”이라고 언급했다.

- 요구 사항: 기존 노후화된 방화벽과 VPN 장비의 업그레이드. 계열사 추가로 늘어난 인원을 수용할 수 있는 고용량 보안장비 필요
- 도입 제품: 주니퍼네트웍스 넷스크린 ISG2000, SA-5060A 등
- 도입 효과: 관리 비용절감으로 관리 인력 감소로 ROI 향상, 통합보안 장비로 인한 향후 관리 포인트, 투자비용 절감, 네트워크 속도 향상, 보안 강화, 이동사용자 지원 원활 등

INTERVIEW
안정성 뛰어난 주니퍼 보안장비로 보안시스템 ‘이상무’
김형섭 | 한국야쿠르트 정보시스템팀 과장

주니퍼 보안 솔루션을 선택한 이유는.
기존에 주니퍼 넷스크린 방화벽을 쓰고 있었기 때문에 제품의 안정성, 신뢰성에 대해 익히 알고 있었다. 여러 제품들을 비교, 분석해봤으나 ISG2000이 보여주는 안정성을 따라잡기 힘들었고 모듈식 구성의 향후 확장성을 고려해 방화벽 단품보다 통합보안장비인 ISG2000을 도입키로 결정했다. ISG2000은 오래 사용했기 때문에 신뢰할 뿐만 아니라 워낙 익숙한 상태다.
반면 주니퍼 넷스크린 SSL VPN은 BMT를 실시한 다른 장비에 비해 엑스트라넷에 가장 쉽고 간단하게 접속할 수 있도록 지원해준 점이 눈에 띄었다. C/S 환경으로 이뤄진 한국야쿠르트의 엑스트라넷에 어떤 환경의 연결도 지원하는 SAM(Secure Application Manager)은 매우 편리하다. 주니퍼 SSL VPN을 선택한 큰 이유중의 하나가 바로 이 SAM을 활용한 편리한 관리에 있다.

SSL VPN 전격 도입은 쉽지 않은 결정이었을 텐데.
보통 IPSec VPN의 보완개념으로 SSL VPN을 도입하는 경우가 대부분이라 SSL VPN의 전면 교체 사례는 드물다. 하지만 전국에 산재해있는 영업소의 숫자는 많은 반면 영업소내에 직원은 많은 편이 아니라서 관리에 용이한 SSL VPN이 우리 회사에는 적합했다. 클라이언트를 설치할 필요도 없고 원격 관리 등이 가능해 관리자들에게도 유용하다.
SSL VPN의 보안성, 안정성 등에 걱정할 수도 있겠지만 아직까지 문제도 없었고 2차 인증 등 인증을 보완, 강화할 계획이라 걱정 없다. 간혹 사용자들이 아이디와 패스워드를 입력하고 사용해야한다는 점에서 불평도 있지만, 웹이 연결된 어디에서나 기업 자원에 접근할 수 있기 때문에 비용도 절감되고 편리해서 사용에 익숙해진 이후에는 더 편리하다고 얘기하고 있다.

향후 확장 및 활용 계획은.
현재 SSL VPN이 자체 인증만 돼 있지만 인사 DB 등과 연동해 퇴직자 관리를 강화할 방침이다. 언제 어디서나 접속할 수 있다는 SSL VPN의 특성상 퇴직자가 퇴직후에도 기업자원에 전처럼 접속한다면 내부 정보가 유출될 위험이 있다. 또한 통합보안 장비 역시 모든 기능을 풀로 사용하는 것이 아니라서 최고 성능이 나올 때까지 기능을 추가, 활용 효율성을 향상킨다는 계획이다. 그러나 무엇보다 사용자 보안 의식 교육 등을 통해 회사 보안정책을 점진적으로 향상시킨다는 것이 한국야쿠르트의 거시적인 보안 정책이다.
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr