재무, 인사, 판매, 협력사 관련 개인정보 유출 원천 통제

[보안뉴스 김태형] 최근 일부 카드사의 대규모 개인정보 유출로 정보보안에 대한 관심이 뜨거운 가운데 종합 IT컨설팅 전문 업체 인스피언이 기업체의 전사적 자원관리(ERP)시스템용 전문 보안솔루션을 개발했다.

인스피언(대표 최정규, www.inspien.co.kr)은 삼성, 현대, LG, SK 등 국내 주요 대기업들이 사용하고 있는 SAP ERP용 접근제어솔루션 ‘엑스콘(xCon for SAP)’를 세계 최초로 개발, 본격 출시했다고 4일 밝혔다.

인스피언의 접근제어솔루션 ‘xCon for SAP’는 SAP ERP 시스템에 접속하는 사용자 또는 인터넷주소(IP)별 접근 이력, 이들의 업무수행 이력 등 접근 로그(log) 기록을 관리함으로써 ERP에 저장돼 있는 각종 개인정보를 완벽하게 보호해주는 것이 특징이다.

ERP는 기업의 재무와 인사 및 판매 등 모든 자원을 통합 관리하는 시스템이어서 업무처리를 위해 ‘주민번호’, ‘계좌번호’, ‘외국인등록번호’, ‘카드번호’, ‘주소’, ‘연락처’ 등 다양한 유형의 개인정보를 포함하고 있다.

뿐만 아니라 ERP에는 해당 기업 임직원들의 인사평가, 급여 등 민감한 인사정보가 보관돼 있으며 고객이나 거래처에 대한 ‘주소’, ‘주민번호’, ‘계좌번호’, ‘연락처’ 및 경비처리를 위한 ‘카드번호’, ‘계좌번호’ 등 다양한 개인정보를 포함하고 있어 이 같은 정보가 유출될 경우 커다란 사회적 혼란을 야기할 수 있다.

최근에는 비즈니스 프로세스의 효율성을 향상시키기 위해 ERP가 기업의 내부 시스템으로만 사용되는 것이 아니라 고객관계관리(CRM), 공급망관리(SCM) 등 각종 기업 애플리케이션들과 상호 유기적으로 연계되는 추세여서 ERP의 개인정보가 유출될 경우 해당 기업뿐만 아니라 사회적으로도 큰 영향을 줄 수 있다.

인스피언에 따르면 서비스업에 종사하는 A사는 ERP에 주민번호를 포함한 개인정보가 6억건이 보관돼 있으며 금융업에 종사하는 B사의 경우 주민번호와 계좌번호 등 1억건의 개인정보를 보관하고 있다.

ERP에 저장된 개인정보 보안 방법은 사용자와 애플리케이션 서버 사이에서 접근제어를 하는 방법과, 사용자와 ERP 데이터베이스(DB) 서버 사이에서 접근제어를 하는 방법이 있다. 이 가운데 DB서버 앞단에 대한 접근제어시스템을 구축할 경우 ‘누가’ ‘어디에서’ ‘무엇을’ 행하였는지에 대한 정보를 제공할 수 없다. 반면 사용자와 애플리케이션 서버 사이에서 접근제어를 할 경우 이 같은 정보를 모두 조회할 수 있다는 장점이 있다.

인스피언의 ‘xCon for SAP’는 특정 사용자가 로그인에 성공하거나 실패할 때, 개인정보를 조회할 때, 사용자 암호를 변경할 때, 중요 업무에 접근하거나 오류를 범할 때 등의 다양한 특이현상을 파악한다.

만약 이 같은 현상 가운데 규정 위반사항으로 판명 날 경우, 이를 보안 위반행위로 간주하고 실시간으로 위반행위를 탐지하여 사용자의 세션을 차단 및 경고하는 ‘업무 접근 차단’ 기능을 수행해준다. 또한 사용자의 로그인을 사용자 ID, IP 주소, 시간에 따라 통제할 수 있는 ‘시스템 로그인 통제’ 기능을 수행해준다.

특히 이 솔루션은 안전행정부의 ‘개인정보보호법’ 준수를 위한 개인정보 관리의 기술적 보호대책을 제공해주며 사용자의 행위 감사, SAP 시스템에 대한 접근 통제, 시스템 활용 현황 및 개선요소까지 제공함으로써 시스템 관리자들이 안심하고 개인정보를 보호할 수 있도록 지원해준다.

xCon for SAP는 SAP서버가 구성된 네트워크 스위치에서 포트 미러 또는 TAP방식과 같은 미러 방식으로 구축된다. SAP 사용자는 업무에 따라 SAP GUI 또는 웹 클라이언트 환경을 사용하고, 서버간 통신을 위해 RFC 통신을 사용한다. xCon for SAP는 이 같은 모든 SAP 사용자 환경을 지원해준다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>