[아이티데일리] 한국인터넷진흥원(원장 이원태)과 한국정보보호산업협회(KISIA, 회장 이동범)는 과학기술정보통신부(장관 임혜숙)와 국내 정보보호기업의 동남아시아 시장 진출을 지원하기 위한 정보보호 비즈니스 상담회를 8일부터 11일까지 4일간 온라인으로 개최한다고 밝혔다.
KISA와 KISIA는 이번 비즈니스 상담 개최국으로 동남아 IT 신흥시장인 베트남과 지속적으로 사이버 공격이 증가하는 인도네시아를 선정했다. 실제로 베트남은 작년 중소기업의 59%가 사이버 공격을 받았으며, 인도네시아는 중소기업의 60%가 고객정보 도용 경험이 있는 등 정보보호 필요성이 계속 높아지고 있다.
베트남·인니 대상 온라인 비즈니스 상담회 사진
올해 상담회에는 작년보다 4개 늘어난 총 19개 보안기업이 참여한다. 이들 기업은 KISA 동남아 거점을 활용해 모집한 현지 ICT 유관부처·기관, IT기업, 유통사, 컨설팅사 등 41개 기관·기업과 모두 140건의 1:1 비즈니스 미팅을 진행할 예정이다. 참여하는 보안 기업은 넷앤드, 명정보기술, 소만사, 스콥정보통신, 시큐아이, 안랩, 에어큐브, 에프원시큐리티, 엔피코어, 엘에스웨어, 워터월시스템즈, 이글루시큐리티, 지니언스, 파수, 파이오링크, 피앤피시큐어, 릴테크, 케이제이테크, 시큐레터 등이다.
이번 상담회를 계기로 KISA는 현지 공공 분야 수요를 발굴하고 1:1 매칭지원을 통해 국내 기업의 수출에 실효성을 더하고, 가시적 성과를 낼 수 있도록 지속적으로 비즈니스 미팅을 개최하는 등 진출 기회를 제공할 계획이다.
또한, KISIA는 최근 북미지역에서 개최한 정보보호 전시회와 웨비나에 이어, 이번 상담회를 통해 국내 기업의 동남아시아 수출 확대와 해외 판로 개척을 지원할 예정이다.
이원태 KISA 원장은 “최근 정보보호 수요가 증가하는 동남아시아는 6억 이상의 인구를 보유한 대규모 신흥시장으로, 국내기업의 적극적인 진출이 필요하다”며, “KISA는 글로벌 사이버보안을 선도하는 전문 기관으로서 현지 파트너십 프로그램 등 다양한 해외진출 지원사업을 운영해 신남방정책에 기여하겠다”고 말했다.
이동범 KISIA 회장은 “베트남은 동남아 신흥 IT시장으로 성장 중에 있고, 인도네시아는 지속적인 사이버 공격의 증가와 테러 등으로 인해 정보보호에 대한 필요성이 증대되고 있어 정보보호 시장 수요도 계속해서 상승할 것으로 예상하기 때문에 국내 기업의 시장 선점이 필요하다”며, “이번 상담회를 통해 국내 정보보호기업이 차별화된 기술과 경험을 바탕으로 ASEAN 시장 진출에 효과적으로 대응할 수 있을 것으로 기대한다”고 밝혔다.
📰 아이티데일리 권정수 기자 kjs0915@itdaily.kr 원문 = http://www.itdaily.kr/news/articleView.html?idxno=204995
📰 디지털투데이 강진규 기자 viper@d-today.co.kr 원문 = http://www.digitaltoday.co.kr/news/articleView.html?idxno=423850
글로벌 IT·보안 기업, ZTNA 적용 재택·분산근무 지원 ‘총력’
사용자 인증·데이터 보호 등 재택근무 필수 보안 기술 경쟁 이어져
[데이터넷] ZTNA는 원격근무 환경의 보안 원칙으로 자리잡고 있다. ZTNA를 구현하는데 다양한 기술이 있으며, 에이전트를 필요로 하는 SDP와 에이전트 없이 브라우저만으로 접속하는 방식, 사용자 인증과 권한관리, 마이크로세그멘테이션 등이 있다.
국내에서 SDP 아키텍처 기반 ZTNA 솔루션은 엠엘소프트, 프라이빗 테크놀로지가 제공하고 있으며, 글로벌 기업 중 에이전트를 사용하는 SDP 방식은 지스케일러 ‘ZPA’가 지원하며, 가장 오랫동안 안정적으로 제공되어온 솔루션으로 인정받는다. 클라우드로 서비스 돼 쉽게 사용할 수 있고 편리하게 관리할 수 있다.
브라우저 기반 ZTNA는 구글 비욘드코프, 마이크로소프트, 아카마이, 포스포인트 등 여러 기업들이 제공한다. 웹브라우저를 통해 업무 애플리케이션에 접속하며, 에이전트가 필요 없어 사용하는 기기 제약이 없고, 직원뿐 아니라 외부 파트너사, 계약직, 고개의 접근도 ZTNA를 적용할 수 있다.
글로벌 기업들은 광범위하게 분산된 업무 환경을 보호하는 시큐어 액세스 서비스 엣지(SASE)로 전 세계 지점·지사, 원격지 사무소, 재택근무자까지 보호한다. 네트워크와 보안을 통합한 SASE에는 거의 대부분의 IT·보안·네트워크 기업들이 참여하고 있다.
그 중 맥아피는 SASE에서 요구하는 기능 중 보안 분야에서 CASB, SWG, DLP, FW, ZTNA, 이메일·웹 보안, 웹 격리, 엔드포인트 보안 등을 지원하며, 단일 콘솔에서 통합 관리할 수 있기 때문에 복잡한 분산환경을 단순하게 관리할 수 있다.
서동현 맥아피 엔터프라이즈 코리아 이사는 “맥아피 에이전트 하나 배포되면 맥아피가 제공하는 SASE 요소를 모두 사용할 수 있다. 클라우드로 제공되는 ‘엠비전’ 플랫폼의 보안 기능은 사용자가 어디에 있든 상관없이 연결 가능하며, 제로 트러스트 원칙을 적용해 안전하게 사용자와 애플리케이션을 연결할 수 있다. 사용과 관리 편의성, 보안성이 높기 때문에 국내 여러 대기업 등에도 공급됐다”고 말했다.
안전한 재택근무를 위한 통합 솔루션으로 마이크로소프트가 매우 경쟁력이 있다. 마이크로소프트는 팀즈, 비바, 서피스 등을 통해 협업을 지원하며, IAM, UEM, 웹·이메일 보안 등의 보안 기능을 통해 제로 트러스트 기반 재택근무를 지원한다.
박상준 한국마이크로소프트 모던워크 비즈니스 매니저는 “마이크로소프트는 제로 트러스트 기본을 지키면서 편리한 재택근무를 지원할 수 있도록 40개 이상 보안을 제공하고 있으며, 온프레미스·AWS·구글 등 다른 클라우드도 보호할 수 있게 한다. 강력하지만 편리한 사용자 인증과 뛰어난 위협 탐지와 대응, AI·가시성·자동화 엔진을 적용해 지능적인 위협으로부터 사용자와 고객을 보호한다”고 말했다.
강력하고 편리한 다중인증 필수
재택근무 보안에서 가장 중요한 기술은 사용자 인증이다. 원격지에서 중요 애플리케이션에 접속하려는 사용자가 정상권한을 가진 사람인지, 계정을 탈취한 공격자인지 반드시 확인해야 하며, ID/PW 외에 다른 인증 방식을 사용하는 이중인증/다중인증(2FA/MFA)이 요구된다.
RSA ‘시큐어ID’는 OTP와 MFA를 통해 재택근무 사용자 인증을 지원한다. 온프레미스·멀티 및 하이브리드 환경을 지원하는 시큐어ID는 적응형 상황인지 기술을 제공해 정상 사용자로 위장한 공격자의 접근을 차단한다. 다양한 디바이스를 지원해 사용 편의성을 높인다.
센스톤은 네트워크가 단절된 상황에서도 중복되지 않는 일회용 인증 코드를 발생시키는 ‘OTAC’가 재택근무를 더 안전하게 한다고 강조한다. OTAC는 ID/PW 없이 코드만으로 사용자를 식별해 사용이 편리하며, 인증정보 탈취 공격을 근본적으로 해결할 수 있다.
최경철 센스톤 보안기술이사는 “온라인 피싱으로 유출된 계정과 암호 탈취 악용사례를 방지하기 위해 2차 인증은 기본이며, 추가적으로 계정과 암호를 대체하는 인증체계를 사용하는 것은 VPN과 동일한 보안 가이드라인이 될 것”이라며 “센스톤은 서버 통신 없이 사용자를 검증할 수 있어 폐쇄망이나 네트워크 연결이 어려운 곳에서도 사용자를 확실하고 안전하게 인증할 수 있다”고 설명했다.
라온시큐어는 FIDO 기반 다채널 인증 플랫폼 ‘원패스’, 2FA로 사용 가능한 모바일 OTP ‘터치엔mOTP’, 웹 콘텐츠 유출 방지 솔루션 ‘터치엔 nxWeb’ 등을 제안한다. VDI·VPN을 연동한 보안 솔루션 구축 레퍼런스를 다양하게 확보하고 있으며 재택근무 보안 가이드라인을 만족한다.
최덕훈 라온시큐어 상무는 “보안 공격 트렌드는 끊임없이 변화하며 진화하기 때문에 재택근무 환경 구축은 보다 장기적이고 거시적인 관점에서 접근할 필요가 있다. 보안 솔루션 도입 시에는 최신 보안 기술이 접목된 제품인지 확인할 필요가 있으며, 해당 업체가 풍부한 구축 경험을 갖췄는지도 살펴보아야 한다”며 ”라온시큐어는 VPN, VDI를 연동한 재택근무 보안 솔루션 구축 레퍼런스와 노하우를 기반으로 자회사 라온화이트햇의 화이트해커 연구진을 통한 최신 보안 기술까지 접목시켜 사무실과 동일하게 안정적이고 편리한 재택근무 환경 구축을 지원하기 위해 노력한다”고 말했다.
재택근무자의 얼굴을 인식해 정상 사용자 여부를 판단하는 방법도 사용자 인증에 유용하게 사용된다. 피앤피시큐어의 ‘페이스라커’는 실시간 안면인식으로 재택·원격근무자를 검증해 정상 사용자만 접근하도록 한다. 화면에 다른 사람이 접근하면 화면을 차단하고, 자리를 비웠을 때에도 차단해 중요정보가 유출되지 않게 한다. 감사로그를 암호화해 사고 시 감사 자료로 사용할 수 있다.
단말 무결성 검증·데이터 보호도 필수
재택근무 단말의 무결성 검증은 재택근무 보안 가이드라인에서 요구하는 필수 기술이다. 허가된 단말인지, 침해당했거나 감염 가능성이 있는지 등을 파악하고, 필수 보안 모듈 설치와 최신 보안패치를 실시하는 것도 필요하다. 그래서 NAC가 필수 솔루션으로 꼽히며, 2차인증을 결합해 안전하게 접속다.
지니언스는 재택근무 보안 규정을 검사하고 무결성이 확보된 단말만 업무와 인터넷에 접속하도록 하는 ‘지니안 NAC’를 제공한다. 이 제품은 재택근무자와 단말 인증, 통신 채널 연결 단말 무결성 검사 등을 지원하며, 유사시 접근통제를 수행해 연결부터 종료까지 재택근무자 보안을 강화한다.
재택근무 시 기업·기관이 가장 우려하는 것은 데이터 유출이다. 그래서 사용자 PC에는 어떤 데이터도 저장하지 않도록 하는 것이 안전하다. 이스트시큐리티의 문서중앙화 솔루션 ‘시큐어디스크’는 중앙서버에만 자료를 저장하도록 하고, 모든 문서에 대해 사용자별 접근권한을 부여해 권한없는 공격자가 무단으로 접속해 데이터를 탈취하지 못하게 한다. 허가된 프로세스만 문서 접근이 가능해 랜섬웨어 감염을 차단하고, 메일·메신저를 통한 유출도 막는다.
📰 데이터넷 김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164982
분산된 클라우드 방대한 데이터, 적절한 보호 방안 시급
저장·이동중은 물론 사용중 데이터도 보호하는 방법 필요
[데이터넷] 그룹아이비 조사에 따르면 지난 1년간 10만개 이상의 데이터베이스가 공개됐으며, 아마존 S3 등 클라우드 스토리지를 통해 유출된 사고가 15억개 이상이다. ADT캡스 인포섹 조사에서는 2021년 상반기 발생한 개인정보 유출 사고 중 클라우드 서비스 개발과 관리 미흡 등이 구성오류로 인한 것이 40%를 차지했다. IBM은 클라우드 전환 프로젝트를 진행하는 중 데이터 유출 사고가 발생한 기업은 평균보다 18.8% 높은 비용을 지출했다고 분석했다.
이 통계가 이야기하는 것은 클라우드의 데이터 유출이 심각하다는 점이다. 탈레스가 IT 담당 임원을 대상으로 한 조사에서는 50%의 기업은 데이터의 40% 이상을 외부 클라우드에 저장하고 있으며, 클라우드에 저장한 중요 데이터의 절반 이상을 암호화 한 기업은 17%에 불가했다. 엔트러스트 조사에서는 기업 60%가 암호화·토큰화 적용과 상관없이 민감한 데이터를 클라우드에 전송한다고 답했다.
실수 혹은 장애에 의한 데이터 유출 사고도 큰 문제가 된다. 엔트러스트 조사에서는 민감한 데이터를 위협하는 요인으로 53%가 직원의 실수를 꼽았고 31%가 시스템과 프로세스의 오작동을 들었다.
해커의 공격이 위험하다고 답한 경영진은 29%, 임시직·계약직에 의한 위협이 25% 순이었다. 기업·기관은 클라우드 도입에 있어 가장 우려하는 점으로 데이터 유출을 꼽는다. 그러나 정작 클우드로 전환할 때 데이터 보호 전략 수립에 소홀하다. IBM은 유출되는 데이터의 44%가 이름, 이메일, 암호, 의료데이터 등 개인 민감정보이고, 이러한 데이터가 유출됐을 때 피해액이 평균 180달러로, 다른 데이터 유출 시 피해액인 161달러보다 크다고 분석했다.
클라우드 데이터 보호 ‘난제’
데이터 보호를 위해서는 관리하는 모든 데이터를 파악하고 적절한 기준으로 분류하며, 보호·통제 정책을 적용한다. 데이터에 대한 접근권한을 설정하고, 중요한 데이터는 암호화하며, 암호화 키에 대한 강력한 통제를 적용한다. 사용이 끝난 데이터는 안전하게 폐기해 오남용되지 않도록 하는 것까지 관리해야 한다.
그러나 클라우드에는 너무 많은 데이터가 분산되어 기존의 보안 정책을 적용하기 어렵다. 탈레스 설문에 응한 기업들은 대부분 2개 이상 IaaS와 PaaS를 운영하고 있으며, 27%는 50개 이상 SaaS를 이용한다. 엔트러스트 보고서에서는 데이터 보호의 걸림돌로 데이터 위치를 파악하는 역량(65%), 암호화 대상 데이터 분류의 어려움(34%)을 들었다.
데이터 관리의 어려움을 하나의 예로 들어 설명하면, 클라우드 데이터는 백업을 위해 여러 곳에 분산 저장된다. 그런데 데이터가 어디에 저장되는지 명확하게 파악되지 않는다. 데이터를 삭제해야 할 일이 발생해 원본 데이터와 백업 데이터를 삭제했다고 했을 때, 원본 데이터는 삭제됐지만, 분산 저장된 백업 데이터까지 모두 완벽하게 삭제됐다고 안심할 수 없다.
클라우드 데이터를 보호하기 위해서는 암호화가 필수지만, 암호화 시 업무 생산성이 떨어진다. 암호화는 컴퓨팅 리소스를 많이 사용하기 때문에 데이터 처리 속도에 영향을 준다. 암호화는 키관리가 핵심이며, 저장 중인 데이터의 키 관리는 그리 어렵지 않다.
그러나 이동 중인 데이터의 키관리는 쉽지 않다. 데이터와 키를 함께 보내면 중간에 탈취당했을 때 보호받지 못하며, 키에 대한 접근권한을 잘못 설정하거나 접근권한을 훔친 공격자가 접근하는 것을 막지 못한다. 업무 편의를 위해 암호화를 해제한 후 유통하거나 키에 대한 접근권한을 함께 보내면 암호화의 의미가 없어진다.
데이터 라이프사이클 전체 보호하는 거버넌스 필요
사용 중인 데이터는 암호화할 수 없다는 것도 문제다. 특히 여러 사람이 함께 협업할 때, 접근권한 설정을 잘못하거나 권한을 탈취한 공격자가 협업 공간에 들어왔을 때, 악의 혹은 실수로 보호조치 되지 않은 사용 중 데이터를 공개하거나 유출했을 때 발생하는 문제도 심각하다.
온프레미스 환경에서 데이터는 대체로 보호받는 회사 네트워크 내에 저장되기 때문에 일관성 있게 정책을 적용하고 통제할 수 있었다. 이렇게 잘 통제되는 상황에서도 대규모 데이터 유출사고가 빈번하게 발생했는데, 제대로 통제되거나 관리되지 못하는 멀티 클라우드 환경에서는 데이터를 보호하기 어려워질 수밖에 없다. 그래도 데이터 보호의 핵심 원칙을 지켜 관리하는 것이 필요하다.
멀티 클라우드를 위한 데이터 보호 원칙은 다음과 같다.
- 데이터 인식: 데이터 환경을 이해하고 하이브리드 환경에서 중요한 데이터 식별
- 데이터 보호: 민감한 데이터를 분류·라벨링하고, 암호화·워터마킹과 같은 보호조치 적용
- 데이터 관리: 조직의 민감한 데이터와 지적재산권(IP) 손실 방지
- 데이터 거버넌스 수립: 데이터 라이프사이클을 효율적으로 관리하고, 서비스에 맞게 자동 적용할 수 있는 거버넌스 수립
데이터 보호 전략에는 최소 권한 원칙이 포함돼 있어야 한다. 데이터에 접근할 수 있는 권한과 범위를 최소화해 권한 오남용이나 탈취한 권한을 이용한 침해사고를 미연에 방지해야 한다. 접근권한 통제는 직원뿐 아니라 고위 임원과 경영진, 파트너사 및 외부 조직, 사람이 개입하지 않는 IoT와 사물간 통신에도 일관성 있게 적용한다.
클라우드 사용 중 데이터까지 암호화
마이크로소프트는 마이크로소프트365(M365)와 애저에 ‘MIP(Microsoft Information Protection)’를 내장해 모든 데이터를 식별하고 보호하며 추적·관리한다. AI와 인텔리전스를 이용해 분산된 모든 데이터를 분류하고 정황 정보를 적용시켜 정책을 생성하고 배포한다. 다양한 협업 환경에서 생산성을 해치지 않고 데이터를 보호할 수 있도록 마이크로소프트와 써드파티의 다양한 협업·커뮤니케이션 툴을 지원하는 보안 정책을 제공한다.
사용 중인 데이터는 상황인지 기반 접근 통제를 적용해 권한 없는 사람이나 권한을 탈취한 공격자가 무단으로 접근해 유출하는 것을 막고, 데이터를 수정·변경하는 모든 이력을 모니터링해 이상행위를 감지하고, 모든 작업 내용을 녹화해 사고 발생 시 조사자료로 사용하는 등의 조치를 취하게 된다.
이러한 조치로 데이터 침해 위협을 낮출 수 있지만 암호화 수준의 보호를 제공할 수 없다. 랜섬웨어의 경우 데이터 접근 권한을 획득한 후 일시에 데이터를 유출하고 암호화하기 때문에 접근통제 정책만으로 보호하기는 어렵다.
소프트캠프는 클라우드 환경, 특히 협업 중인 환경에서도 중단 없는 암호화로 데이터를 보호하는 클라우드 스토리지 보안 중개(CSSB) 서비스 ‘실드라이브(SHIELDrive)’를 소개한다. 소프트캠프의 문서 암호화 전문성을 클라우드 데이터에도 적용한 실드라이브는 클라우드의 모든 데이터를 암호화해 보안 수준이 낮은 데이터를 이용한 피해까지 사전 차단한다. 파일 제목까지 난독화해 권한 없는 사람들이 파일명으로 중요한 데이터 여부를 판단하지 못하게 한다.
이와 함께 문서DRM을 클라우드에서 구현한 ‘실디알엠(SHIELDRM)’으로 멀티 클라우드의 데이터 보호 문제를 해결한다. 실드라이브와 실디알엠은 MIP와 같은 클라우드 서비스 사업자(CSP)가 제공하는 데이터 보호 기능을 모두 사용하면서, 그들이 제공하지 못하는 중단없는 암호화와 키관리, 제목까지 난독화해 완전한 데이터 보호가 이뤄질 수 있도록 한다.
데이터 암호화, 키관리가 핵심
데이터 암호화는 데이터를 보호하는 가장 안전한 방법이지만, 키관리에 실패했을 때 무용지물이다. 암호화 키는 암호화 데이터와 분리된 네트워크에서 관리되어야 하지만, 암호화 데이터와 키가 멀리 떨어져있으면 암·복호화 처리 속도가 느려진다.
CSP에서 제공하는 데이터 암호화와 키관리 서비스를 사용하면 효율적으로 암호화 데이터를 보호할 수 있지만, 기업이 완벽하게 데이터 통제권을 갖지 못한다는 우려가 있다. 그래서 암호화 데이터와 키는 가까이 두고, 키에 대한 마스터키를 기업이 관리하는 방법을 추천한다. 암호화 키에 대한 접근권한만 마스터키에서 통제하기 때문에 속도저하 문제를 우려하지 않아도 된다.
클라우드 데이터를 삭제해야 할 때, 마스터키를 통해 해당 데이터의 키를 삭제하면 클라우드에 있는 데이터에 접근할 수 없기 때문에 분산된 클라우드에 삭제되지 않고 남아있는 데이터로 인해 문제가 생길 것을 걱정하지 않아도 된다.
마스터키는 강력한 암호화와 접근통제를 적용한 안전한 키관리 시스템으로 관리되어야 한다. 가장 보안 수준이 높은 하드웨어 보안 모듈(HSM)을 사용하는 것이 권고되며, 탈레스의 ‘루나’, 엔사이퍼의 ‘엔쉴드’가 글로벌 시장을 양분하고 있다.
이 시장에 새로운 경쟁자들이 등장하기 시작했다. 에스케어에서 국내에 공급하는 포타닉스는 하드웨어 기반(HSM)과 소프트웨어 기반(SGX) 암호/인증 키관리를 함께 제공하며, 동형암호화 수준의 안정성을 보장하는 강력한 키관리 시스템을 제공한다.
이 솔루션은 유연하고 비용 효율적이면서도 높은 보안성을 준수할 수 있으며, 가장 까다로운 환경에서도 강력하게 키를 보호한다. 진화하는 비즈니스 요구사항을 충족할 수 있도록 확장 가능해 유연성과 보안성이 요구되는 다양한 서비스에 적용될 수 있다.
포타닉스는 데이터 보호를 위한 모든 기술을 단일 플랫폼으로 제공한다. 키 관리, 암호화, 토큰화, 기밀 정보 관리, 커스텀 코드 등이 단일 플랫폼에서 제공되며, 멀티·하이브리드 클라우드, 데브옵스·데브섹옵스 등 다양한 클라우드 환경에서도 애플리케이션 수정 없이 데이터를 보호한다.
세분화된 액세스 제어, 키 수명주기 관리, 성능이 향상된 암호화, 마이크로 서비스 환경을 위한 보안 기밀 보호 등을 제공한다. AWS, 애저, GCP 등 퍼블릭 클라우드와도 통합되며, 추가 분석을 위한 다른 보안 툴과도 원활하게 통합된다.
사용 중 데이터 암호화하는 컨피덴셜 컴퓨팅
포타닉스가 가진 장점 중 하나는 인텔 SGX를 기반으로 설계돼 사용 중인 데이터까지 보호할 수 있다는 것이다. 인텔 SGX는 컨피덴셜 컴퓨팅 기술을 적용해 하드웨어 단에서 사용 중 데이터까지 암호화해 보호한다. 포타닉스는 SGX 기반 암호화 기술을 상용화한 ‘컨피덴셜 컴퓨팅 매니저(CCM)’를 클라우드와 마이데이터 시장에 적극 알리고 있다.
클라우드 데이터를 삭제해야 할 때, 마스터키를 통해 해당 데이터의 키를 삭제하면 클라우드에 있는 데이터에 접근할 수 없기 때문에 분산된 클라우드에 삭제되지 않고 남아있는 데이터로 인해 문제가 생길 것을 걱정하지 않아도 된다.
마스터키는 강력한 암호화와 접근통제를 적용한 안전한 키관리 시스템으로 관리되어야 한다. 가장 보안 수준이 높은 하드웨어 보안 모듈(HSM)을 사용하는 것이 권고되며, 탈레스의 ‘루나’, 엔사이퍼의 ‘엔쉴드’가 글로벌 시장을 양분하고 있다.
이 시장에 새로운 경쟁자들이 등장하기 시작했다. 에스케어에서 국내에 공급하는 포타닉스는 하드웨어 기반(HSM)과 소프트웨어 기반(SGX) 암호/인증 키관리를 함께 제공하며, 동형암호화 수준의 안정성을 보장하는 강력한 키관리 시스템을 제공한다.
이 솔루션은 유연하고 비용 효율적이면서도 높은 보안성을 준수할 수 있으며, 가장 까다로운 환경에서도 강력하게 키를 보호한다. 진화하는 비즈니스 요구사항을 충족할 수 있도록 확장 가능해 유연성과 보안성이 요구되는 다양한 서비스에 적용될 수 있다.
포타닉스는 데이터 보호를 위한 모든 기술을 단일 플랫폼으로 제공한다. 키 관리, 암호화, 토큰화, 기밀 정보 관리, 커스텀 코드 등이 단일 플랫폼에서 제공되며, 멀티·하이브리드 클라우드, 데브옵스·데브섹옵스 등 다양한 클라우드 환경에서도 애플리케이션 수정 없이 데이터를 보호한다.
세분화된 액세스 제어, 키 수명주기 관리, 성능이 향상된 암호화, 마이크로 서비스 환경을 위한 보안 기밀 보호 등을 제공한다. AWS, 애저, GCP 등 퍼블릭 클라우드와도 통합되며, 추가 분석을 위한 다른 보안 툴과도 원활하게 통합된다.
사용 중 데이터 암호화하는 컨피덴셜 컴퓨팅
포타닉스가 가진 장점 중 하나는 인텔 SGX를 기반으로 설계돼 사용 중인 데이터까지 보호할 수 있다는 것이다. 인텔 SGX는 컨피덴셜 컴퓨팅 기술을 적용해 하드웨어 단에서 사용 중 데이터까지 암호화해 보호한다. 포타닉스는 SGX 기반 암호화 기술을 상용화한 ‘컨피덴셜 컴퓨팅 매니저(CCM)’를 클라우드와 마이데이터 시장에 적극 알리고 있다.
모든 데이터를 암호화하는 것은 생산성을 떨어뜨리는 요인이 된다. 그렇다고 해서 중요도가 떨어지는 데이터를 암호화하지 않고 방치하는 것도 안 된다. 그래서 모든 데이터에 대해서 적절한 접근통제 기술이 적용돼야 한다.
컨피덴셜 컴퓨팅은 칩에 암호화 저장소인 시큐어 엔클레이브를 만들어 이용 중인 데이터와 애플리케이션을 보호한다. 시큐어 엘리먼트(SE), 신뢰 플랫폼 모듈(TPM)과 유사한 기술이지만, SE와 TPM은 프로그래밍 할 수 없으며, 구동할 수 있는 애플리케이션에 제약이 있다.
컨피덴셜 컴퓨팅은 이 문제를 해결할 수 있는 대안으로 떠오르고 있으며, 마이크로소프트, 인텔, 구글, ARM 등 세계 주요 IT 기업들이 컨피덴셜 컴퓨팅 컨소시엄(CCC)을 결성해 기술 개발과 표준화를 위해 노력하고 있다.
포타닉스는 스타트업이지만 CCC에서 활동하며 주목받고 있으며, 애플리케이션 수정 없이 컨피덴셜 컴퓨팅 기술을 이용해 하드웨어 기반 암호화로 데이터를 보호할 수 있게 한다. 포타닉스는 저장중·이동 중 데이터를 보호하는 ‘데이터 시큐리티 매니저(DSM)’와 CCM을 함께 제안해 모든 환경에서 데이터를 보호할 수 있다.
CCC 설립멤버인 마이크로소프트는 애저에 컨피덴셜 컴퓨팅 기술을 내재화했다. 애저는 오픈 엔클레이브 SDK를 제공하며, 기존 애플리케이션을 보안 엔클레이브에 적용시켜 애플리케이션 수준에서 데이터의 기밀성을 보장한다. AKS(Azure Kubernetes Service)에서 지원하는 컨테이너를 보호하며, 관리형 HSM과 함께 애저 키 볼트(Azure Key Vault)를 사용해 키를 기밀성 있게 관리한다.
CCC 설립멤버에는 레드햇도 있다. IBM은 레드햇과 함께 컨피덴셜 컴퓨팅 기술로 데이터를 보호하는 기술을 속한다. IBM의 ‘시큐리티 가디엄’은 쿠핑어콜 조사에서 데이터 보호 부문 리더로 선정됐으며, 데이터의 적절한 분류와 정책 적용, 관리를 통해 데이터 라이프사이클 전반에 걸친 보호를제공한다.
AI를 활용해 데이터 접근과 활용에 대한 이상행위를 탐지하고 온프레미스와 모든 클라우드 환경을 지원한다. 다양한 종류의 데이터베이스를 지원하는데, 특히 제조망에서 사용하는 데이터베이스까지 지원해 모든 산업군에서 활용하고 있다.
데이터 접근제어로 보호 효과 높여
암호화는 데이터를 가장 안전하게 보호하는 방법이지만, 암호화는 많은 컴퓨팅 리소스가 필요하 고 업무에 영향을 주기 때문에 모든 데이터를 암호화하는 것은 생산성을 떨어뜨리는 요인이 된다. 그렇다고 해서 중요도가 떨어지는 데이터를 암호화하지 않고 방치하는 것도 안 된다. 그래서 모든 데이터에 대해서 적절한 접근통제 기술이 적용돼야 한다.
데이터의 중요도, 업무 연관성, 접근하는 사람의 권한, 접근하는 상황 등을 고려해 데이터 접근통제 정책이 적용돼야 하며, 클라우드에서도 동일한 정책으로 관리할 수 있어야 한다.피앤피시큐어는 클라우드 통합접근제어 ‘디비세이퍼 포 클라우드’를 통해 일관된 사용자 인증과 식별, 계정관리, 접근통제, 보안관리를 적용한다. DB 접근제어 솔루션 ‘디비세이퍼’는 모든 데이터베이스와 클라우드에 최적화돼 DB 접근 및 권한제어, SQL 감사, 로깅, 개인정보 보호와 유출방지를 제공한다.
DB와 파일을 암호화하는 ‘데이터크립토’는 커널 레벨 암호화로 애플리케이션 수정 없이 간편하게 설치할 수 있으며, 클라우드의 다양한 OS도 지원한다. 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’는 개인정보 서버에 접근하는 기록을 관리해 권한 오남용이나 권한탈취 공격자의 접근을 모니터링하고 제어한다.
📰 데이터넷 김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164982
누구나 접속 가능한 클라우드, 제로 트러스트 보안 원칙으로 통제
강력하고 편리한 인증으로 제로 트러스트 이상 완성
[데이터넷] 제로 트러스트(Zero Trust)는 코로나19로 가장 몸값을 높인 보안 키워드다. 전통적인 IT 환경은 ‘경계 네트워크 안에서의 접속은 신뢰할 수 있다’는 것을 전제로 보안을 설계했지만, 클라우드와 재택근무가 확산되면서 물리적인 보안 경계가 사라져서 신뢰를 전제로 한 보안 정책이 소용 없게 됐다. 그래서 모든 접속에 대해 비신뢰 원칙을 적용해 접속할 때마다, 접속 대상과 기기를 확인하도록 하는 제로 트러스트가 부상하게 됐다.
제로 트러스트 원칙에 따라 보안을 새롭게 설계한 조직들은 사이버 침해로 인한 피해를 줄일 수 있다는 통계도 나와서 제로 트러스트에 대한 관심이 더욱 집중된다. IBM 조사에 따르면 제로 트러스트 접근 방식의 성숙단계에 있는 기업이 그렇지 않은 기업보다 데이터 유출 사고 시 피해를 절반 정도로 줄일 수 있는 것으로 나타났다.
VPN 대체·개선 위해 도입되는 ZTNA
제로 트러스트는 보안에 대한 새로운 패러다임으로, 이를 구체화하는 기술과 방법은 매우 다양하다. 그래서 가트너는 제로 트러스트 개념 중 ‘접속’에 초점을 맞춰 ‘제로 트러스트 네트워크 액세스(ZTNA)’ 시장을 별도로 분리해 설명한 바 있다.
ZTNA는 대체로 VPN을 대체하거나 개선하면서 원격·분산환경의 업무 생산성과 보안성을 높이기 위해 시작된다. 그러나 기존의 네트워크 인프라를 전면 교체해야 할 수 있으며, 업무 방식의 상당한 변화도 필요하기 때문에 사전에 철저한 준비가 필요하다. 가트너의 ‘제로 트러스트 이행을 위한 베스트 프랙티스’에서는 다음의 항목을 고려해 제로 트러스트를 이행할 것을 권고했다.
· 기존 VPN처럼 ZTNA를 구현하지 말 것
모든 사용자에게 모든 애플리케이션 액세스 권한을 부여하면 VPN과 ZTNA가 다를 바 없다. 중요한 애플리케이션에 대한 강력한 접근권한 적용, 계약업체 등의 그룹에 최소 권한 부여 등의 정책을 마련해 적정하게 배포해야 한다.
· 필요한 응용프로그램 파악
ZTNA를 사용해 접근하는 애플리케이션과 액세스 권한을 파악하고 ZTNA를 배치한다. 어떤 사용자가 어떤 애플리케이션에 액세스 하는 것이 좋은지 파악하는 것은 ZTNA 도입 초기에 미리 완료하는 것이 혼란을 덜 수 있는 방법이다.
· 응용프로그램 액세스 제어
필요한 애플리케이션에 필요한 권한 사용자만 접근하도록 하며, 불필요하거나 과도한 권한을 제거한다. 퇴사자, 임시계약직 등 수시로 변경되는 권한을 반영해 최신의 상태를 유지하도록 한다.
· 변화하는 비즈니스 요구사항에 맞게 정책 조정
비즈니스 요구사항에 맞게 ZTNA 정책을 지속적으로 조정해야 한다. 한 번 설정하고 잊어버리는 전통적인 접근방식은 변화가 많은 클라우드 환경을 보호하지 못한다. 새로운 애플리케이션이 배치되거나 비즈니스에 벼화가 있을 때마다 세분화되고 제한적인 권한 정책을 설정하고 개선해야 한다.
· 비즈니스 리더와 협상
일부 경영진은 ZTNA 마이그레이션으로 사용자 환경이 나빠졌다고 이의를 제기하면서 갈등을 일으 킬 수 있다. 갈등이 생기기 전 ZTNA가 VPN보다 뛰어난 유연성을 제공한다는 것을 설명하고 실제 결과로 보여줘야 한다. 컨텍스트 기반 다중인증(MFA), ZTNA에 내재된 편의성 기능 등을 이용해 보안과 생산성이 향상됐다는 사실을 입증해나간다.
다양한 활용사례 가능한 SDP
ZTNA를 구현하는 방법 중 소프트웨어 정의 경계(SDP)는 확장성이 높고, 원격지 접속의 VPN 사용을 의무화한 국내 공공·금융 재택근무 가이드라인도 만족할 수 있어 국내 여러 기업·기관이 주목하고 있다.
SDP는 엔드포인트에 에이전트를 설치하고, 컨트롤러를 통해 통제해야 하는데, 이 프로세스에 NAC 기술이 활용될 수 있다. 가트너의 NAC 시장 가이드에서는 ZTNA가 NAC를 흡수하고 있으며, SASE 프레임워크 통합 과정에서 NAC를 통합한 ZTNA가 원격·로컬 캠퍼스 사용자를 제어할 것이라고 밝혔다.
엠엘소프트는 NAC와 IT 자산관리 솔루션을 공급해 온 차별화된 경쟁력을 강조하며 시장 공략에 나섰다. 엠엘소프트의 ‘티게이트 SDP’는 기존 네트워크 구성 변경을 최소화하면서 SDP를 구축할 수 있도록 지원하며, 재택근무 가이드라인, 망분리 환경에서 재택근무와 클라우드 사용 등 다양한 환경에서 ZTNA를 구현할 수 있도록 돕는다.
국내 스타트업인 프라이빗 테크놀로지는 독자 개발한 애플리케이션 접속제어 기술이 탑재된 가상게이트를 통해 SDP를 구현한다. 직원, 파트너, 고객 등 애플리케이션에 접속하려는 사용자는 프라이빗 가상 게이트를 통해 접속할 수 있다.
사용자의 위치에 상관없이 가장 가까운 클라우드에 접속이 가능하며, 가상 게이트에서 사용자와 기기, 상황을 검증한 후 접속토록 해 ZTNA의 중요한 요건을 만족시킨다. VPN을 대체하는 가상 게이트는 VPN 보다 성능 5배 향상, 비용절감 효과가 매우 높다. 이 제품은 조달청 혁신 시제품으로 지정 돼 공공기관에 공급되고 있으며, 다수 국내외 특허를 기반으로 독자적인 시장을 형성, 국내외 다양한 기업에 적용됐다.
NAC 전문기업 지니언스도 SDP 솔루션 출시를 예고하며 시장 진출을 예약했다. 완성도 높은 NAC 기술을 기반으로 개발된 SDP는 향후 출시 예정인 SASE 플랫폼에 통합돼 클라우드와 원격·재택근무를 보호한다는 계획이다. 지니언스는 가장 광범위한 엔드포인트 지원 기능을 활용해 안정성 높은 SDP를 제공할 계획이다.
브라우저로 간편하게 구현하는 ZTNA
가트너는 ZTNA 구현 방법의 대표적인 두 가지 모델로 ▲엔드포인트에서 시작한 SDP 아키텍처 ▲서비스에서 시작한 브라우저 기반 ZTNA를 소개한 바 있다. 엔드포인트 기반 SDP는 앞서 소개한 아키텍처로, 클라우드 보안 연합(CSA)이 상용화해 여러 글로벌 기업들이 채택하고 있다.
서비스 기반 모델은 구글의 비욘드코프가 대표적인 사례로, 브라우저를 통해 모든 사용자와 모든 애플리케이션을 제로 트러스트 원칙으로 연결한다. ‘비욘드코프 엔터프라이즈’는 크롬 브라우저를 통해 애플리케이션에 연결하며, 사용자 계정과 권한, 상황, 디바이스 상태를 검증해 안전한 접속 환경을 구축한다. 강력한 피싱방지 인증과 지속적인 인증, 데이터 보호 등의 기능을 제공하며, VPN이나 에이전트 설치 없이 사용할 수 있어 사내 임직원 뿐 아니라 고객사, 파트너, 외주직원도 제한없이 ZTNA를 적용한 분산·원격업무가 가능하다.
구글은 이외에도 컨피덴셜 컴퓨팅 기술을 적용한 강력한 데이터 보안과 클라우드 기반 네트워크 위협 탐지 시스템 ‘클라우드 IDS’, 네트워크 보안 분석 플랫폼 ‘크로니클’ 등의 보안 기술을 제공한다. 또 화상회의 솔루션 ‘구글 미트’에 개인정보 보호를 위한 엔터프라이즈 급 보안 인프라와 기능을 탑재했다.
브라우저를 이용한 ZTNA는 여러 기업들이 활용하고 있다. 포스포인트, 비욘드시큐리티, 체크포인트 등이 VPN 없이 브라우저로 원격접속하는 솔루션을 제공하고, 이를 통해 ZTNA를 구현한다고주장한다. 국내 기업들도 알서포트 등이 브라우저를 이용한 원격접속으로 재택·원격근무를 지원하고 있다.
SASE 일원으로 작동하는 ZTNA
ZTNA는 특별히 정해진 구현 모델이 있는 것은 아니다. 보호해야 할 애플리케이션은 외부에 노출되지 않도록 보호하고, 접속을 요청하는 사람이나 기기의 권한과 상황을 파악해 허가-차단하며, 접속 가능한 범위와 시간을 최소화해 권한을 탈취한 공격자로 인한 침해 가능성을 최소화하는 것이 주요 요건이다.
이 요건을 충족시키는 원격접속 솔루션이 다양하게 제안되고 있는데, 지스케일러는 ‘ZPA’ 솔루션으로 모든 위치, 모든 사용자와 기기를 안전하게 보호되는 애플리케이션으로 접속할 수 있도록 한다. ZPA는 강력한 ID 관리 솔루션을 이용해 사용자와 기기의 ID·상태를 확인하고 정상 권한 사용자가 정상 상황에서만 애플리케이션에 접속하도록 한다. 애플리케이션 세그멘테이션으로 접속 범위를 최소화해 공격자의 수평이동을 차단한다. 사용자와 가장 가까운 서비스 엣지를 통해 애플리케이션에 접속하게 해 지연 없이 애플리케이션에 접속하도록 한다.
팔로알토 네트웍스는 SASE 플랫폼 ‘프리즈마 액세스’에 ZTNA를 통합시켰다. 프리즈마 액세스는ID·역할기반 제어로 권한 있는 사용자의 접근만을 허용하며, 중앙집중 관리를 통해 애플리케이션 접속과 사용자 행위를 모니터링한다. 최소 권한 정책을 적용해 정상 접속도 지속적으로 인증 받게 했으며, 자격증명을 도용하거나 멀웨어·데이터 손실 징후, 기타 악의적 활동을 모니터링해 이상행위를 지속적으로 탐지한다.
포티넷은 차세대 방화벽에 ZTNA 기능을 탑재해 원격환경에서도 속도 저하 없이 보안 접속이 가 능하게 했다. SD-WAN, SASE 플랫폼으로도 사용되는 포티넷 차세대 방화벽은 액세스 프록시 기능을 제공해 어디서나 애플리케이션을 호스팅하고 원활한 사용자 경험을 구현할 수 있게 한다.
국내 기업인 모니터랩도 SASE에 포함되는 ZTNA를 출시하고 시장 공략에 나섰다. 모니터랩 ZTNA는 특화된 프록시 기술을 이용해 원격에서 안전하게 사용자를 애플리케이션에 연결시킨다. ID·컨텍스트 분석으로 정상 사용자·정상 환경에서만 접속을 허용하며, 엣지 컴퓨팅을 활용해 사용자와 가장 가까운 클라우드로 연결시켜 연결지연을 최소화한다.
상황인지·지속인증으로 ZTNA 완성
ZTNA의 핵심은 ‘지속적인 인증’이다. 클라우드 도입으로 비대면 업무가 늘어나면서 사용자가 정상 환경에서 접속을 요청하는지 관리조직이 물리적으로 확인하지 못한다. 그래서 접속을 요청하는 사용자를 지속적으로 검증하면서 정상 권한 내에서만 활동하도록 해야 한다.
이는 부정하게 획득한 접속 권한으로 침투하려는 시도가 클라우드에서 크게 늘어나기 때문이다. ADT캡스에 따르면 2021년 상반기 가장 많이 발생한 침해시도가 크리덴셜 스터핑(32.5%), ID/PW 무차별 대입 공격이 23.6%였다. IBM 조사에서는 데이터 유출 사고의 44%가 인증정보를 도난당한 것이며, 데이터 유출 사고 원인의 20% 이상이 도용된 인증정보로 인한 것이다.
이 같은 계정·권한 침해시도를 차단하기 위해서는 계정탈취 시도를 막고, 탈취한 계정으로 접속하는 것을 찾아 차단해야 한다. 가장 확실한 방법은 강력한 인증으로 탈취한 계정 정보로 접속하지 못하게 하는 것이다. 다단계 인증(MFA)이 대표적인 방법으로, 업무 시스템의 중요도에 따라 강화된 인증을 추가한다. 중요하지 않은 일반 서비스 로그인은 ID/PW만으로, 중요한 시스템 로그인은 ID/PW와 OTP·생체인증 등을 추가하는 방법을 사용한다.
RSA의 차세대 인증 솔루션 ‘시큐어ID(SecurID)’는 리스크 기반 신원인증으로 제로 트러스트 이상을 실현한다. MFA 솔루션 ‘시큐어ID 어센티케이트’는 전용 앱을 사용해 안전성이 높으며, 지문·안면인식 등 사용자 기기의 고유 인증방식을 사용해 편리하게 구현할 수 있다. 개별 업무 중요도에 따라 인증방식을 선택적으로 적용할 수 있어 편의성과 보안성을 만족시킬 수 있다 OTP 솔루션 ‘시큐어ID 소프트웨어 토큰’은 안전한 일회용 비밀번호를 생성시켜 로그인 보안을 강화한다. 전용 모바일 앱이나 웹, 전용 단말기 등 다양한 방식으로 제공될 수 있으며, 온프레미스나 멀티·하이브리드 클라우드 등 모든 환경을 지원한다.
RSA는 OTP 원천기술을 가진 기업으로, 전 세계에서 가장 높은 점유율과 가장 다양한 성공사례를 확보하고 있다. 국내에서도 모든 산업군, 모든 환경에 가장 많은 구축사례를 확보하고 있으며, 상용 소프트웨어는 물론 인하우스·써드파티 개발 애플리케이션과도 원활하게 호환된다.
리소스·사람·데이터 위한 ID 관리 필수
인증은 사용자와 기기의 계정(ID)을 확인하고 해당 ID에 부여된 권한 내에서 접속하도록 허가하는 과정이라고 할 수 있다. 이 과정에서 가장 먼저 ID 관리가 필요한데, 마이크로소프트 액티브 디렉토리(AD)가 이 분야를 대표하는 솔루션이라고 할 수 있다. AD는 사용자 환경과 위치, 디바이스 위험도를 측정해 액세스를 허용·제한·차단한다. 암호 없는 인증, 임시 액세스 패스, 조건부 액세스 등을 적용해 ▲적절한 리소스를 보유한 ▲적절한 사람만 ▲적절한 데이터에 접근할 수 있게 한다.
SSO를 쉽게 적용해 원하는 디바이스에서 모든 서비스에 간편하게 접속할 수 있도록 하며, HR에 연결된 사용자가 접속할 수 있는 액세스 패키지를 자동으로 부여해 ID 관리 업무를 최소화한다. 권한이 부여되는 시간과 범위를 최소화한 JIT·JEA, 사용자 프로비저닝 자동화를 통해 항상 검증된 사용자와 기기만 접속할 수 있게 한다.
ID 관리 기업 옥타 아이덴티티도 제로 트러스트 구현을 위한 솔루션을 추가하면서 시장 공략에 나섰다. 옥타 아이덴티티는 서비스형 ID(IDaaS) 전문기업으로, ID 관리와 접근관리를 통합한 IAM‘WIP(Workforce Identity Products)’와 고객 계정관리를 위한 ‘CIP(Customer Identity Products)’를 공급한다. SSO, 적응형 MFA를 지원하고, 모든 사용자와 그룹, 장비를 한 곳에서 관리하는 유니버설 디렉토리, 패스워드 없는 실시간 인증 지원 등을 제공한다.
클라우드 확산으로 PAM 부상
사람이나 기기가 업무에 할당되면 계정을 받게 되는데, 많은 계정 중에서도 중요한 변경 권한이 있는 계정을 ‘특권계정’이라 한다. 특권계정은 시스템의 중요 설정을 변경하고 애플리케이션·계정 추가·삭제, 중요 데이터 접근과 암·복호화 등 다양한 활동이 가능하다.
특권권한을 중요 시스템의 상위 관리자에게만 부여된다고 생각할 수 있지만, 사실상 거의 대부분의 사람들이 특권권한을 갖는다고 할 수 있다. 윈도우 PC 사용자는 자유롭게 애플리케이션과 계정을 추가·삭제할 수 있는데 이 권한이 특권권한이다. 사실상 거의 대부분의 사람이 특권권한을 갖는다고 할 수 있다.
특권권한은 거의 모든 일을 할 수 있기 때문에 강력한 통제가 필요하다. 특히 권한관리가 쉽지 않은 클라우드에서 더욱 중요도가 높으며, 특권권한 접근제어(PAM)가 ZTNA의 필수 요소로 꼽힌다.
PAM은 ▲모든 권한 있는 계정 추적·보호 ▲액세스 관리와 제어 ▲특권활동 기록과 감사 ▲권한 있는 작업 운영 등의 기능을 한다. 특권 계정·세션 관리(PASM), 특권 평가·위임 관리(PEDM), 비밀번호 관리, 클라우드 인프라·자격 관리(CIEM) 등의 기능이 필수로 요구되며, 제로 트러스트를 위한 JIT·-JEA도 필수 요건으로 꼽힌다.
가트너 매직쿼드런트에 새롭게 리더 그룹으로 합류한 퀘스트소프트웨어 보안사업부인 원 아이덴티티는 ‘세이프가드’ PAM 기능을 강화, 특권 계정을 안전하게 저장, 관리, 인증, 기록, 감사, 분석하는 기능을 제공해 특권 권한 계정과 관련된 부담과 우려를 해소할 수 있게 한다. 또 엔드포인트 특권관리 솔루션을 출시하고 AD, 애저 AD, 윈도우 데스크톱, 리눅스·유닉스, 맥OS 등 다양한 OS를 지원, 포괄적인 엔드 투 엔드 엔드포인트 PAM을 제공한다.
이어 ‘세이프가드 데브옵스 시크릿 브로커’를 추가하며 데브옵스 도구 통합 지원도 공개했다. 이 솔루션은 데브옵스 업무에서 발생하는 특권 접근 관리 감독이 가능하며, 미인가 접근을 제거하는 기능을 통해 애플리케이션 개발 과정에서 네트워크와 데이터를 보호할 수 있다.
더불어 퀘스트는 VPN 없이 원격접속을 지원하는 ‘세이프가드 리모트 액세스’로 재택·원격근무 시장을 공략한다. 브라우저 기반 기술과 연합인증을 사용해 ZTNA를 구현했으며, 사용자·관리자 생산성을 개선할 수 있도록 개선된 환경을 지원한다.
국내기업 진출 시동거는 PAM
PAM 시장의 전통적인 강자인 사이버아크는 PAM의 필수 기능과 JIT를 구현하며, 엔드포인트 특권관리도 SaaS로 제공한다. 완성된 CIEM 솔루션을 갖고 있으며, ITSM·ID 거버넌스 및 관리(IDG) 도구와 원활한 통합을 지원한다. 국내에서도 대규모 공급사례를 다수 확보하면서 PAM 시장을 공략한다.
비욘드트러스트는 엔드포인트 특권관리와 브라우저 기반 원격접속 솔루션의 경쟁력을 강조하면서 국내 시장을 확장하고 있다. 비욘드트러스트의 엔드포인트 PAM은 금융권 컴플라이언스를 위해 공급된 사례를 다수 갖고 있으며, 편리한 원격접속과 포괄적이고 통합된 엔터프라이즈 PAM을 제공해 제로 트러스트 기반 접속을 구현할 수 있게 한다.
계정관리는 접근권한 관리와 함께 작동해야 제로 트러스트를 완성할 수 있다. 그래서 통합계정접근관리(IAM) 솔루션이 클라우드 지원 기능을 확대하면서 경쟁력을 인정받고 있다. 또 부정행위 탐 지·인증이 통합되면서 권한을 탈취한 공격자의 접근을 제어한다.
클라우드 지원 IAM ‘주목’
다양한 클라우드를 지원하는 휴네시온의 IAM ‘NGS’는 게이트웨이와 에이전트 방식, 하이브리드 방식을 지원해 기업 환경에 맞게 선택 도입할 수 있으며, 여러 방식의 MFA를 지원한다. 클라우드 사용자 접근권한 관리, 모니터링, 감사를 수행해 클라우드 환경에서 재난관리시스템 운영이 필요한 다수 지방자치단체 등 공급사례를 다수 갖고 있다.
피앤피시큐어는 클라우드를 포함한 다양한 영역에 대한 포괄적인 통합 인증·접근제어를 지원하는 U-IAM 전략을 드라이브한다. DBMS, 시스템, 애플리케이션·OS에 대한 IAM과 접근통제 기술을 접목한 데이터 보안, 개인정보 접속기록 관리 등을 지원한다.
📰 데이터넷 김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164976
‘신뢰하지 않고 검증한다’ 원칙 보안 정책 수립해야
강력하고 지속적인 인증·모니터링으로 경계 없는 디지털 환경 보호
[데이터넷] 제로 트러스트가 유행하며 많은 정의와 구현 방법이 제안되고 있다. 이 주장들의 공통된 사항은 ‘인증’과 ‘모니터링’이다. 사용자와 기기가 정상 계정과 권한으로 정상 상황에서 접근을 요청하는지 확인 후 인가하고, 접속 후 이상행위가 발생하지 않는지 지속적으로 모니터링 하는 것이 제로 트러스트의 핵심 원칙이다.
또한 업무 시스템과 애플리케이션은 공격자가 침투 시도를 위해 스캔하지 못하도록 안전하게 보호해야 하며, 업무 시스템과 애플리케이션에서는 사용자·엔티티 행위분석으로 정상 권한 사용자라도 이상행위를 찾아내며, 지속적인 인증과 모니터링으로 권한탈취 사용자의 수평·수직이동을 막아야 한다.
간편하고 강력한 추가인증
제로 트러스트를 위해 필요한 첫 번째 항목인 ‘인증’은 접속하려는 사용자·기기의 계정과 권한, 상황 정보를 확인하고 접속 허가-차단을 결정하는 단계다. 최소 권한 원칙에 따라 한 계정에서 접근 가능한 시간과 범위를 최소화해 정상사용자로 위장한 공격자가 이상행위를 할 수 있는 범위를 최소화한다.
잦은 인증 요청으로 인한 불편을 줄이기 위해 무자각 지속인증이 도입될 수 있다. 예를 들면 스크린의 카메라를 통해 일정 시간 단위로 얼굴인증을 하면, 사용자는 모니터를 보고 일하는 것만으로도 인증절차를 끝낼 수 있다. 재택·원격근무 환경에서 다른 사람이 대신 작업하거나, 공격자가 사용자 모르게 악성 행위를 하는 것도 찾아낼 수 있다.
인증을 강화하기 위해 2차인증·다중인증(2FA·MFS)을 사용하는 것도 필요하다. 최근 MFA는 스마트폰을 이용하는 경우가 많은데, 스마트폰이 자체적으로 갖고 있는 생체인증·간편 비밀번호 인증 등을 통해 본인을 확인한 후 업무를 이어가게 한다.
RSA ‘시큐어ID’는 강력한 MFA와 OTP 기술로 제로 트러스트 환경의 인증 보안을 담당한다. RSA는 암호 분야의 선구자이면서 OTP 원천기술을 가진 기업이다. 모든 종류의 디바이스, OS·웹·앱 환경, 가장 강력한 보안으로 보호되는 전용앱을 통해 OTP와 MFA를 지원한다. 다양한 인증 및 권한관리 기술과 유연하게 연동될 수 있으며, 쉽게 구축·관리·사용이 가능하다.
계정탈취공격 막기 위한 ID 관리 솔루션 필수
계정관리와 접근관리는 제로 트러스트 시작을 위한 중요한 기술이다. 사용자·기기에 계정을 발급하고, 상황에 따라 회수·제거하는 자동관리 시스템은 퇴사자, 삭제된 기기 등 사용 종료된 계정이나 변경된 계정을 효과적으로 관리할 수 있게 한다.
공격자들이 계정을 탈취해 권한 사용자로 위장해 접근하기 때문에 계정관리는 매우 중요하다. 최근 심각한 수준으로 번지고 있는 크리덴셜 스터핑, 계정탈취 공격 등이 위험성을 알려준다. ADT캡스 조사에 따르면 올해 상반기 가장 많은 침해사고가 크리덴셜 스터핑(32.5%)이었으며, 무차별 대입공격이 23.6%로 그 뒤를 이었다.
크리덴셜 스터핑을 막기 위해서는 여러 계정에서 너무 많은 잘못된 접속 시도가 발생하거나, 다크웹 등에서 판매되는 계정을 이용한 접속 시도를 차단하는 등 고도화된 모니터링 기술을 사용한다. 그러나 계정탈취 공격을 막은 가장 좋은 방법은 계정을 안전하게 관리하는 것으로, MS AD, 옥타 등이 계정관리(IM) 분야의 선두주자로 꼽힌다. 멀티·하이브리드 클라우드 지원, 다양한 애플리케이션 및 접근제어·MFA 솔루션과의 연동을 지원한다.
접근관리는 계정이 가진 권한에 따라 접속 가능한 애플리케이션과 업무 범위를 정하고, 그 범위를 벗어나는 접근 시도를 차단하는 기술이다. 계정관리와 접근관리를 통합한 IAM으로 발전하는 추세를 보이며, 지금까지 국내에서는 엔터프라이즈 온프레미스 환경을 위해 SI로 구축되는 경우가 많았다. 클라우드로 확산되면서 클라우드 범위를 지원하는 IAM 수요가 늘어나 IAM 벤더들의 기술 혁신이 무엇보다 시급한 상황이다.
뜨거운 감자 ‘PAM’
특권권한 계정을 관리하는 PAM이 최근 접근관리 분야에서 뜨거운 이슈로 떠올랐다. 클라우드에서 특권계정은 ‘모든 것을 할 수 있는 권한’을 부여받기 때문에 더 철저한 관리가 필요하다. 멀티 클라우드는 일원화된 관리나 포괄적인 가시성이 부족하기 때문에 특권계정을 악용해 클라우드의 설정을 취약하게 바꾸거나 무단으로 권한 계정을 생성해 데이터를 유출할 수 있다.
그래서 클라우드를 지원하는 PAM에 대한 수요가 높아지고 있으며, 사이버아크, 비욘드트러스트, 퀘스트소프트웨어 원 아이덴티티, 센트리파이 등이 시장의 리더로 꼽힌다. 이 중 가트너 매직쿼드런트 ‘비저너리’에서 리더그룹으로 뛰어오른 퀘스트소프트웨어 원 아이덴티티가 눈에 띈다. 원 아이덴티티의 권한계정 및 세션 관리(PASM) 솔루션 ‘세이프가드’는 비밀번호 관리, 권한 있는 세션 관리, 권한 있는 분석관리 등의 모듈로 구성된다. SUDO 지원, 유닉스·리눅스 지원, 권한상승 및 위임관리(PEDM) 등 PAM에 요구되는 다양한 기술을 지원한다.
한편 퀘스트소프트웨어는 VPN 없이 원격근무가 가능한 ‘세이프가드 리모트 액세스’와 개선된 엔드포인트 특권관리를 8월 새롭게 출시했다. 세이프가드 리모트 액세스는 사용자 시스템이나 접근하고자 하는 리소스에 에이전트를 설치하거나 VPN을 이용하지 않고, 에이전트 설치 없이 안전한 원격접속을 제공한다. 브라우저 기반 연합인증을 사용해 제로 트러스트 네트워크 액세스(ZTNA)를 구현했으며, 사용자뿐 아니라 관리자 생산성 개선이 가능하며, 감사 추적성과 세션 레코딩을 통한 보안 최적화가 가능하다.
클라우드로 확장되는 IAM
피앤피시큐어는 통합 접근제어 솔루션 ‘디비세이퍼’를 클라우드까지 확장한 U-IAM으로 강화된 접근제어를 제공한다. DB·시스템·애플리케이션·OS·개인정보 등 다양한 접근제어와 계정관리를 통합 지원하며 국내에서 사용되는 거의 대부분의 퍼블릭 클라우드를 지원한다.
휴네시온은 통합계정접근관리 솔루션 ‘NGS’로 차세대 IAM 시장을 공략한다. 이 솔루션도 클라우드로 제공 가능하며, 계정과 접근관리를 통합해 관리 편의성과 보안성을 높인다. 더불어 휴네시온은 NAC 솔루션 ‘세이프NAC’으로 제로 트러스트 네트워크 액세스(ZTNA)를 구현한다고 소개한다. ZTNA는 시스템·애플리케이션에 접속하기 전 사용자와 기기의 무결성과 접속 환경의 안전성을 평가하는데, NAC는 사용자와 기기의 보안상태를 확인한 후 접속을 허용하기 때문에 ZTNA의 이상을 완성할 수 있다고 주장한다.
‘세이프NAC’은 에이전트·에이전트리스 혹은 혼합 방식으로 사용할 수 있으며, 비정상 트래픽을 지속적으로 차단하고 통신을 제어한다. 유연하게 네트워크를 시각화하며, 네트워크에 연결된 자산정보를 파악하고 최적의 정책 설정이 가능하다.
NAC 기술로 ZTNA를 구현한다는 제안은 여러 NAC 기업들이 소개하는 것이기도 하다. 엠엘소프트는 NAC·IT 자산관리 기술과 ETRI에서 이전 받은 네트워크 기술을 결합해 소프트웨어 정의 경계(SDP) 솔루션을 개발했으며, 지니언스는 SDP 아키텍처 기반으로 NAC를 설계한 ZTNA 솔루션 출시를 예고했다.
또 다른 NAC 기업인 스콥정보통신도 에이전트·에이전트리스 방식으로 설정과 운영 편의성을 높였으며, 네트워크 설정 변경 없이 사용할 수 있어 업계의 호응을 받고 있다.
ZTNA 솔루션 속속 등장
ZTNA를 솔루션 관점에서 접근해 제안하는 경우도 있다. 모니터랩은 SASE 접근을 안전하게 하기 위해 SDP 기반 ZTNA 솔루션 ‘SIA’를 공개했다. ID 중심 아키텍처로 설계돼 SWG·방화벽 등 다양한 네트워크 보안 기술을 이용해 안전하게 접근할 수 있게 한다.
포티넷은 ZTNA를 지원하는 차세대 방화벽을 출시하고 시장 공략에 나선다. 이 제품은 ZTNA 컨트롤러로 사용될 수 있으며, 사용자 인증과 안전한 접속, 사용자 모니터링 등을 제공하며, 강력한 성능과 빠른 속도로 분산환경 사용자를 안정적으로 연결한다.
엄밀히 말해 ZTNA는 특정 기술이나 솔루션을 의미하는 것은 아니다. 인증과 접속 관련 기술을 제공하는 거의 대부분의 벤더들이 ZTNA을 지원한다고 주장한다. SDP 아키텍처를 채택한 지스케일러, 펄스시큐어, 브라우저 기반 ZTNA를 지원하는 구글 비욘드코프,애플리케이션 제어 기술로 ZTNA를 완성한 프라이빗 테크놀로지, IAM·PAM·MFA 솔루션 기업 등 수많은 기업들이 ZTNA 구현에 도움이 되는 기술을 제공한다.
내부자 위협 관리로 제로 트러스트 완성
제로 트러스트 전략을 수립할 때 아주 중요한 내부자 위협은 잘 주목하지 않는다. 정상 사용자로 위장해 침투한 공격자나 고의·실수로 침해행위를 하는 내부자에 의한 위협도 제로 트러스트 전략에 필수적으로 포함돼야 한다. 특히 클라우드는 설정오류, 권한설정 실패 등 사용자의 잘못으로 인해 발생하는 사고가 거의 대부분이기 때문에 내부자에 의한 위협을 낮추는 것이 매우 중요하다.
포스포인트의 경우 내부자 위협 방지 솔루션 ‘FIT(Forcepoint Insider Threat)’를 이용해 지능적이고 정교한 위장공격까지 막는다. ‘인간중심 보안’이라는 원칙으로 설계한 FIT는 모든 시스템과 엔드포인트, 애플리케이션에서 사용자의 행위를 분석하고 위협 점수를 매겨 관리하게 하며, 사용자 행위를 기록해 사후 감사자료로 사용할 수 있게 한다.
사용자별, 부서별 업무특성을 감안한 이상행위 탐지와 피어그룹 행위 비교 등을 통해 사용자 행위의 위험도를 수치화·시각화해 사용자 위협을 사전에 인지할 수 있게 한다. IT 전문성 없어도 쉽게 사용 가능하며, 사고 시 조사 가능한 포렌식 정보를 제공해 사고조사 전문성을 높인다.
📰 데이터넷 김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164568
통합접근제어(DB, 시스템, 계정관리) 클라우드 정보보안 전문업체 피앤피시큐어(대표이사 박천오)는 네이버클라우드 사용 고객을 대상으로 무상 프로모션을 진행 한다고 13일 밝혔다.
클라우드 통합접근제어 솔루션 “DBSAFER”는 DBMS와 OS에 접속하는 사용자의 접속 및 권한을 통제하고 로깅하는 솔루션으로 국내 약 4,500개 이상의 고객을 보유하고 있는 업계 1위 솔루션이다. 피앤피시큐어는 한국교육학술정보원(KERIS), KB금융그룹, 현대카드, 현대자동차그룹, SK그룹, CJ그룹 등 다양한 산업분야의 클라우드 사업 성과를 기록하고 있다.
피앤피시큐어는 네이버클라우드 사용 고객을 대상으로 무상으로 이용하고 보안을 강화할 수 있도록 프로모션을 9월13일부터 12월 31일까지 진행한다.
네이버클라우드를 사용하는 고객 중, 공공/기업/금융 모든 기관을 대상으로 수량에 관계 없이 DBSAFER DB(DB접근통제), DBSAFER AM(서버접근통제)을 3개월 무상으로 제공한다.
상기 프로모션은 DBSAFER를 미 운영중인 고객에 한하여 제공한다.
📰 데일리시큐 길민권 기자 mkgil@dailysecu.com 원문 = https://www.dailysecu.com/news/articleView.html?idxno=128855
📰 아이티데일리 권정수 기자 kjs0915@itdaily.kr 원문 = https://www.itdaily.kr/news/articleView.html?idxno=204286
📰 이뉴스투데이 김영민 기자 zeromk@enewstoday.co.kr 원문 = http://www.enewstoday.co.kr/news/articleView.html?idxno=1511969
📰 디지털데일리 이종현 기자 bell@ddaily.co.kr 원문 = http://www.ddaily.co.kr/news/article/?no=221791
📰 데이터넷 김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164302
📰 전자신문 이현수 기자 hsool@etnews.com 원문 = https://www.etnews.com/20210913000090
[보안뉴스 이상우 기자] 피앤피시큐어(대표 박천오)는 코로나19 백신접종을 완료한 모든 임직원들을 대상으로 ‘코로나19 백신접종 격려금 100만 원’을 지급한다. 피앤피시큐어는 방역당국의 백신접종 권장에 따라 전 임직원에게 백신접종을 독려하고 코로나로 지친 임직원을 위로하고자 격려금 100만 원을 지급하기로 결정했다.
박천오 대표는 “길어지고 있는 코로나 상황으로 사회적 거리 두기 및 재택근무 연장에 따른 임직원들의 지친 일상을 위로하고 건강하게 코로나를 이겨내고자 코로나19 백신접종 격려금을 지급하기로 했다”며, “더불어 어려운 외부환경에도 불구하고 맡은 업무에 최선을 다해준 임직원들에게 감사의 마음과 격려를 표한다”고 말했다.
한편, 피앤피시큐어는 마스크 구매가 어려웠던 2020년 3월부터 마스크를 일괄 구매해 전 임직원에게 마스크를 지급했으며, 코로나 장기화로 재택근무가 길어지면서 2021년초 재택근무를 위한 모니터, 화상카메라 등을 임직원 자택으로 배송해 재택근무를 위한 장비지원을 하는 등 코로나로부터 임직원을 보호하기 위해 적극 대응하고 있다.
📰 보안뉴스 피앤피시큐어, 임직원에 코로나19 백신접종 격려금 100만 원 지급
이상우 기자 boan@boannews.com 원문 = https://www.boannews.com/media/view.asp?idx=100418&kind=
📰 데일리시큐 피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
길민권 기자 mkgil@dailysecu.com 원문 = https://www.dailysecu.com/news/articleView.html?idxno=128494
📰 이뉴스투데이 피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
김영민 기자 zeromk@enewstoday.co.kr 원문 = http://www.enewstoday.co.kr/news/articleView.html?idxno=1509724
📰 디지털데일리 피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
이종현 기자 bell@ddaily.co.kr 원문 = http://www.ddaily.co.kr/news/article/?no=221246
[아이티데일리] 국내에서는 법·제도를 통해 개인정보를 강력하게 보호하고 있다. ‘개인정보 안전성 확보조치 기준’에 따르면 개인정보에 대한 접속기록을 1년 이상 안전하게 보관·관리해야 하며, 정기적인 점검을 통해 비정상행위에 대해 적절한 조치를 취해야 한다. 이러한 컴플라이언스를 충족할 수 있도록 지원하는 솔루션이 개인정보 접속기록 관리 솔루션이다. 개인정보 접속기록관리 솔루션은 기관 내 개인정보취급자, 처리자(권한자)가 기관 내 보유한 개인정보를 어떻게 활용하는지 접속기록을 저장하고, 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치할 수 있도록 지원한다. 피앤피시큐어는 지난 2016년 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 출시, 좋은 성과를 거두고 있다.
‘인포세이퍼’ 구성도
강화되는 개인정보 컴플라이언스
데이터 경제가 본격화되면서 개인정보 관련 컴플라이언스도 강화되고 있다. 대표적으로 ‘개인정보 안전성 확보조치 기준’을 꼽을 수 있다. 지난 2019년 접속기록 보관 기간 확대, 월 1회 이상 점검 실시 등 규정이 강화됐다. 특히 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 대한 접속기록은 2년이상 보관 및 관리해야 한다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.
<개인정보의 안전성 확보 기준 제8조> ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만, 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다. ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견됐을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다. ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관해야 한다.
이처럼 개인정보 관련 컴플라이언스가 강화되고, 개인정보의 중요성에 대한 인식이 확대되면서 개인정보 접속기록 관리 솔루션 시장 역시 크게 확대되고 있다. 나라장터 조달 구매 기준, 개인정보 접속기록 관리 전체 솔루션 집계액이 2015년 16억 5천만 원에 불과했으나, 2020년에 100억원이 넘어 6배 이상 확대됐다. 올해는 약 200억 원 규모를 형성할 것으로 예측되고 있으며, 특히 공공을 넘어 기업까지 시장이 확대되고 있다.
‘인포세이퍼’ 접속기록 수집 및 모니터링
개인정보 자동 검출 및 모든 경로 활동 기록
DB 보안 전문기업인 피앤피시큐어도 이러한 흐름에 발맞춰 2016년부터 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’를 공급하고 있다. ‘인포세이퍼’는 데이터베이스 내 개인정보의 위치를 자동으로 검출하고, 해당 개인정보에 접근하는 모든 경로(DB 직접 접속, 업무시스템 경유 접속)의 활동을 기록 및 모니터링하며, 이상징후 분석 및 알림, 소명 관리 기능을 제공해 개인정보 사용 현황을 시스템적으로 즉시 확인할 수 있도록 돕는다.
구체적으로 살펴보면, 보통 개인정보가 저장된 데이터베이스에 접속하는 경로는 DB로 직접 접속하거나 업무시스템을 경유해 접속하는 방법으로 나뉜다. ‘인포세이퍼’는 DB 통신을 파싱하는 기술을 통해 DB에 직접 접속하는 과정을 기록한다. 업무시스템을 경유하는 경우에는 WAS 내 세션정보를 파싱하는 기술을 통해 접속기록을 생성한다. 더불어 생성된 접속기록을 안전하게 보관하기 위해 암호화한 뒤 저장한다. 이때 국가정보원의 검증을 받은 암호모듈을 활용한다. 또한 별도의 WORM(Write Only Read Many) 공간에 접속기록을 백업해 접속기록의 위변조를 예방할 수 있도록 지원하는 것이 특징이다.
사용자 다운로드탐지법1
사용자 다운로드탐지법2
사용자 다운로드탐지법3
또한 ‘인포세이퍼’는 행정안전부 가이드라인에 따라 개인정보처리시스템으로 접근하는 모든 경로에서 개인정보 접속이력을 수집/생성/저장한다. 이에 따라 개인정보 접속기록관리 솔루션에서 기본적으로 제공하는 대량조회 사용자, 이상징후에 대한 소명관리 등의 주요기능을 모든 경로에서 활용할 수 있다. 특히 DB 직접 접속 로그와 업무시스템 경유 접속 로그가 단일 솔루션에 저장될 경우 로깅 데이터가 너무 방대해진다는 점을 해결하기 위해 데이터를 축약하는 기술도 적용돼 있다.
이외에도 ‘인포세이퍼’는 개인정보보호와 관련된 감사의 단골 지적 사항인 관리되지 않은 ‘고스트 개인정보 컬럼’을 자동으로 식별할 수 있다. 개발자나 유지보수 인원이 자체적인 필요에 의해 개인정보처리자의 허락 없이 개인정보 컬럼을 복제하는 경우를 ‘고스트 개인정보 컬럼’이라고 일컫는다. ‘인포세이퍼’는 개인정보의 위치를 자동으로 식별 및 관리함으로써 ‘고스트 개인정보 컬럼’이 생성되지 않도록 지원한다.
피앤피시큐어는 ‘인포세이퍼’를 운영하면서도 시스템의 안정성을 높일 수 있도록 최적의 방안을 제공한다. 업무시스템에 설치한 접속기록 생성 센서가 ‘인포세이퍼’ 운영장비에 바로 접속기록을 생성하는 형태로 운영돼, 업무시스템 내 접속기록을 생성하거나 저장하는 등의 추가 장애요인을 발생시키지 않는다는 설명이다.
위험 및 이상징후 관리
이상징후 소명 관리
‘인포세이퍼’의 주요 기능
‘인포세이퍼’의 주요기능은 ▲서비스 대상 개인정보 접속기록 수집 및 모니터링 ▲개인정보 접근에 대한 위험 및 이상징후 관리 ▲이상징후에 대한 소명관리 등이다.
먼저 ‘인포세이퍼’는 개인정보유형별 이용추이 분석 주간 대시보드를 지원하며, 이를 통해 주간 사용량 평균 대비 사용량 차트, 개인정보 이용량 상세 표시, 사용자, 부서, 업무시간 외 접속 사용자, 비인가 접속 사용자 현황 등을 확인할 수 있다. 더불어 사용자 및 부서, 날짜 링크 제공으로 상세한 정보 확인이 가능하다.
WORM 저장 기능 및 로그 암호화 기능
‘인포세이퍼’는 개인정보취급자의 평균 개인정보 사용량 분석을 지원하며, 평균 대비 사용량이 증가할 경우 자동으로 위험사용자로 인식하고 알림을 제공한다. 또한 업무외 시간, 다중 접속, 권한 외 접근 등에 대한 경고 기능도 지원한다.
개인정보 접속기록에서 이상징후가 발견되면, ‘인포세이퍼’는 자동으로 위험 사용자에게 이메일로 소명을 요청한다. 요청을 받은 사용자는 내용(업무, 사용시간, 테이블, 개인정보유형 등)을 확인한 후 소명할 수 있다. 메일 내용은 감사 증적자료로 활용된다.
마지막으로 개인정보 접속기록 관리 솔루션 또한 개인정보보호법에 의거해 개인정보처리 시스템으로 분류되기 때문에 접속기록을 안전하게 보관하기 위한 기능을 제공한다. 개인정보보호법, 개인정보의 안전성 확보조치 기준, 개인정보보호 영역 수준진단 등 개인정보와 관련된 콤플라이언스를 만족할 수 있도록, 개인정보처리시스템 접속기록 위·변조 방지 기능을 제공한다.
빅데이터 처리 기술 적용 및 클라우드 지원 등 업그레이드 추진
피앤피시큐어는 개인정보 접속기록 관리 시장이 어느정도 성숙됨에 따라, 시장 초기와 다르게 접속기록의 신뢰를 높이는 기술 및 다양한 이상징후를 쉽게 인지하는 기술의 중요성에 주목하고 있다. 특히 개인정보를 활용하는 업무시스템과 접근하는 인터페이스가 급격히 늘어나고, 접속기록 관리 솔루션에서 관리할 데이터양이 매우 방대해지고 있는 상황에 대응하는 기술이 적용돼야 한다는 설명이다.
피앤피시큐어는 ‘인포세이퍼’에 대형화된 데이터를 처리하기 위한 빅데이터 처리 기술을 적용하고, 다양한 클라우드 환경의 유연함을 지원할 수 있도록 업그레이드 한다는 계획이다.
피앤피시큐어 관계자는 “올해는 클라우드 플랫폼 환경에서도 피앤피시큐어의 통합접근제어 솔루션 및 개인정보접속기록관리 솔루션이 주요 솔루션으로 자리잡을 수 있도록 입지를 굳힐 계획이다. 이를 위해서 영업 및 기술 지원을 고도화해 시장을 선점하고 확대해 나가는 것을 목표로 하고 있다”고 설명했다.
개인정보 위치 식별 기능
[구축사례/ A공공기관] ‘모든 경로 접속기록 관리는 물론 안정적 운영까지 지원’
A 공공기관은 개인정보 DB에 접근하는 다양한 경로의 접속기록을 생성하는 부분을 고민했다. DB에 직접 접근해 개인정보를 활용하는 사용자(2티어 사용자)와 업무시스템을 경유해 개인정보를 활용하는 사용자(3티어 사용자) 모두의 접속기록을 손쉽게 관리하는 방안을 찾던 중 ‘인포세이퍼’를 도입했다. ‘인포세이퍼’는 2티어 사용자의 접속기록을 생성/관리 하기 위해 기존에 운영 중인 DB접근제어 솔루션 ‘DB세이퍼(DBSAFER)’와 연동되며, 업무시스템 내 센서 ‘WAS 트래커(WAS TRACER)’를 설치해 3티어 사용자의 접속기록 생성/관리한다. 피앤피시큐어는 공공기관의 DB접근제어 시장에서 성과를 거두고 있는 ‘DB세이퍼’와의 연동이 2티어 사용자에 대한 접속기록을 생성하는 가장 간편하면서, 신뢰도를 높이는 최선의 방법이라는 점을 강조하고 있다. 또한 3티어 접속기록을 생성하는 방안 중에서, 접속기록의 신뢰를 높이기 위해 업무시스템 내 센서를 설치해 업무시스템에서 세션정보를 가져오는 방식을 안내했다. 이는 업무시스템의 다양한 환경을 이해하는 높은 수준의 기술력이 요구된다. 특히 ‘인포세이퍼’의 센서 ‘WAS 트래커’는 업무시스템에 영향을 최소화할 수 있도록 개발됐다. 업무시스템에 접속기록을 저장해 업무시스템의 자원을 사용하고 장애요인을 발생시키는 경쟁제품과 달리 안정적인 운영과 접속기록 서비스의 연속성을 제공한다는 설명이다. A 공공기관 관계자는 “안정적인 운영뿐 아니라 모든 경로의 접속기록을 관리하는 목표를 한 번의 사업을 통해 완수해 행정안전부의 ‘접속기록 관리강화 추진계획’ 가이드라인까지 만족시키는 결과를 얻었다”고 설명했다. 한편 피앤피시큐어는 ‘인포세이퍼’를 통해 공공기관뿐만 아니라 대기업 중심으로도 잇따른 수주 성과를 달성하고 있다. 피앤피시큐어 측은 “법률적 요구사항 이외에도 개인정보처리 담당자들의 실무적 요구사항을 충실히 반영하는 노력을 꾸준히 기울인 결과, 기업 시장에서도 성과가 나타나고 있다”고 분석했다. ‘인포세이퍼’는 개인정보처리시스템으로 접속하는 다양한 경로의 접속기록을 수집/분석함으로써, 단일 솔루션으로 ‘개인정보 안전성 확보조치 기준’을 만족할 수 있도록 지원한다. 특히 ‘인포세이퍼’는 이러한 법률적 요구와 자체적으로 내장된 솔루션 ‘DB스캐너(DBSCANNER)’를 통해 개인정보처리시스템(DB)에서 개인정보를 자동으로 분석하고, 개인정보접속기록 검출 대상으로 자동 등록/관리한다. 수동으로 검출대상을 분석/관리해야 하는 기존 제품의 단점을 해결해 개인정보처리 실무 담당자에게 높은 평가를 받고 있다는 설명이다.
📰 IT DAILY [솔루션 리뷰] 피앤피시큐어 ‘인포세이퍼(INFOSAFER)’
권정수 기자 kjs0915@itdaily.kr 원문 = https://www.itdaily.kr/news/articleView.html?idxno=204129
<박천오 피앤피시큐어 대표는 국내 정보보안 SW 분야에서 수년내 정상 자리에 우뚝 선다는 목표를 갖고 있다.>
“국내 DB보안 시장 1위 자리는 계속 유지될 것입니다. 하지만 특정 보안 시장에서 '국내 최고 통합접근제어' 전문기업이란 타이틀에 결코 만족하고 싶지 않습니다.
피앤피시큐어를 국내 정보보안 분야에서 수년 내 정상 자리에 우뚝 세울 계획입니다.”
박천오 피앤피시큐어 대표는 “창립 20주년을 맞는 오는 2023년 국내 SW 보안 기업 1등을 목표로 하고 있다”며 이같이 밝혔다. 박 대표는 이를 위해 시장점유율 70%인 DB접근제어 솔루션 외에 다른 보안 제품의 시장점유율도 끌어 올린다. DB접근제어·시스템 접근제어 등 기존 솔루션 대비 비교적 최근에 출시한 OS접근제어, 계정·패스워드관리(IM), 암호화 솔루션 등 시장 점유율을 50% 달성키로 했다.
박 대표는 “작년 매출 약 346억원을 달성했고 올해 매출 400억원을 목표로 잡는 등 지난 17년 동안 매출과 인원이 지속적 성장세를 이어가고 있다”면서 “올해 매출 목표 달성을 확신한다”고 덧붙였다.
창업 배경과 기업 비전은
▲주력 제품이자 DB접근제어 솔루션인 '디비세이퍼(DBSAFER)'는 고객 요구을 반영해 개발했다. 정보통신교육원에서 보안담당 공무원들을 대상으로 보안 강의를 하던 시절, 보안담당 공무원들로부터 요구사항을 들었고 DB 중요성을 체감했다. 결국 DB접근제어란 보안솔루션을 국내에서 처음 개발했고 성장 가능성도 높다고 판단해 회사를 지난 2003년 설립했다.
회사는 1등 제품을 만들고 퇴사율이 낮은 좋은 기업을 실현하기 위해 '3E'를 기업 비전으로 삼았다. '3E'란 'Energize(열정과 생동감이 넘치는 기업문화)' 'Expert(정보보안 최고의 전문가 그룹)' 'Encourage(조직 구성원의 상호 발전적 동기부여)'다. 현재 BD보안 시장에서 60%를 점유해 업계 1위를 기록하고 있다. 퇴사율 또한 11%로 동종업계 평균 퇴사율(30%) 대비 매우 낮은 퇴사율을 보이고 있다.
<박천오 대표는 피앤피시큐어는 DB·시스템·OS 등 접근제어, 암호화, 계정관리 등 5가지 핵심기술을 보유한 유일한 DB보안 기업이라고 강조했다.>
회사가 보유한 핵심 기술은
▲국내 최초 DB보안 솔루션 '디비세이퍼'를 시작으로 독창적 기술을 탑재한 보안 솔루션을 개발했다. 최근 정보보안 컴플라이언스는 과거처럼 DB 한 부분에 국한하지 않고 보호 대상인 PC, 네트워크, 서버 등 연계된 모든 분야를 대상으로 한다. 시장은 보안 솔루션이 고도 기술력을 갖추도록 요구하고 있다.
회사는 이러한 요구에 발맞춰 정보보안 관련 컴플라이언스와 클라우드 등 최신 업무시스템을 만족하는 노하우를 토대로 각종 서버와 DB서버에서 생성·저장되는 정보를 보호하는 기술을 보유하고 있다. 뿐만 아니라 DB를 유통·가공하는 구간까지 통제하는 U-IAM(통합계정·접근제어) 기술을 보유한 유일한 기업이다. 즉, DB·시스템·OS 등 접근제어, 암호화, 계정관리 등 다섯 가지 핵심기술을 확보하고 있다.
창업 18년차다. CEO로서 가장 힘들었던 시절은
▲설립 초기에 핵심 개발자가 갑자기 잠적했을 때와 적십자사에 공급한 시스템이 문제를 일으켰을 때가 가장 힘들었다. 잠적한 개발자는 창업부터 동고동락한 직원이었다. 특히 그는 80% 이상 소스코드를 갖고 있었다. 당시 모든 업무가 중단될 정도로 경영에 타격이 컸다. 정상화되기 전까지 6개월여 동안 고생했다.
적십자사 장애 사건은 지난 2005년 일이다. 회사가 개발한 디비세이퍼에 문제가 발생했다. 쉽게 말하면 어떤 혈액이 어디에 있는지 확인을 해야만 하는 데 DB에 접근하는 길목이 막혀 확인할 수가 없었다.
금융권에서 시스템 장애가 발생하면 돈이 문제가 되지만 적십자사 장애는 사람 생명과 직결된다. '사람 목숨이 왔다 갔다 한다'는 말에 그야말로 머리가 쭈뼛쭈뼛 서는 게 느껴질 정도로 긴장했다.
DB 장애 문제를 해결하기 위해 한 달 넘게 사무실 한켠에서 쪽잠을 잤다. 결국 이러한 노력 덕분에 '장애분석 예측 프로그램'도 새롭게 개발했다. 어찌보면 당시에 위기가 기회로 작용한 셈이다.
<박천오 피앤피시큐어 대표는 일하기 좋은 기업문화를 실현하고자 탄력근무제, 금요일 조기 퇴근 등 다양한 복지 제도를 시행하고 있다.>
주요 중장기 경영 전략은
▲향후 2~3년 내 클라우드 플랫폼 환경은 대중화가 될 것이다. 올해 통합접근제어 솔루션이 클라우드 플랫폼 환경에서 클라우드 보안의 주요 솔루션으로서 입지를 다지는 게 목표다. 이를 위해 영업·기술 지원을 고도화해 시장을 선점하고 확대한다.
또 코로나19로 인한 언택트 문화 확산에 따라 비대면(원격·재택근무) 환경에서도 안전하게 업무를 수행하는 재택물리보안 솔루션 '페이스라커(FaceLocker)'를 개발하고 있다. 머지 않아 개발 성과가 나올 것이다.
페이스라커는 개발 기획 단계부터 보안 제품 개념을 뒤흔드는 데서 시작했다. 통상 모든 보안제품은 보안성을 높이기 위해 정도에 차이는 있지만 필수적으로 이용자 편의성을 제한할 수밖에 없다. 하지만 페이스라커는 실시간 안면인식 기술을 기반으로 보안성과 사용자 편의성을 동시에 높여주는 기술을 탑재한다.
이처럼 매년 신제품을 출시한다. 고객 요구에 맞춰 제품 라인업을 다양화해 기존 제품이 안고 있는 매출 성장 한계를 극복할 생각이다. 3년 내 신제품을 시장에 안착시킨 후 해외 시장에도 진출할 계획이다.
📰전자신문 피앤피시큐어 "DB보안 1위 발판 삼아 보안 SW 정상 목표"
안수민 기자 smahn@etnews.com 원문 = https://www.etnews.com/20210824000143
[아이티데일리] 지난해 데이터 3법이 통과된 이후, 국내 데이터 시장이 활성화되고 있다. 데이터 시장 활성화와 함께 개인정보보호 관련 컴플라이언스도 강화되고 있다. 개인정보보호 관련 컴플라이언스에는 데이터를 안전하게 저장하는 것은 물론, 개인정보에 누가 접근·이용하는지 이력을 남기는 ‘관리’도 포함된다.
개인정보보호법, 개인정보의 안전성 확보 기준 등을 통해 개인정보처리시스템 접속 기록을 남기도록 규정하고 있다. 특히 지난 2019년 개인정보의 안전성 확보 기준이 강화되면서 개인정보 접속 기록 관리 솔루션의 수요가 늘어나고 있다. 보관 기간 및 점검 주기가 늘어나면서 관리 솔루션의 필요성이 높아진 것이다.
데이터를 활용하고자 하는 기업이 늘어나면서 공공 부문을 중심으로 형성됐던 시장이 기업 시장까지 확대되고 있다. 시장 규모 역시 올해 200억 원을 넘어서며, 높은 성장률을 보일 것으로 전망된다.
개인정보 접속 이력 관리 솔루션 공급 기업들은 확대되는 시장에서 주도권을 확보하고 위해 치열한 경쟁을 펼치고 있다. 개인정보 접속 이력 관리 솔루션 시장을 살펴본다.
① 공공에서 민간으로 시장 확대, 올해 200억 원 규모 전망 ② 민간 시장 공략 위해 클라우드 서비스 등으로 확장
SMB 시장 겨냥, 클라우드 서비스 등으로 대응
개인정보 접속 기록 관리 솔루션 공급 기업들은 컴플라이언스 강화로 인해 시장이 더욱 확대될 것으로 전망하고 있다. 개인정보를 처리하고 있는 기업이 많기 때문에 시장 성장의 가능성이 높다는 것이다.
김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 “데이터 활용이 본격화되면서 개인정보를 보호하는 것뿐만 아니라, 개인정보 활용 과정의 투명성도 강조되고 있다. 이에 따라 컴플라이언스가 강화돼, 시장의 확대는 불을 보듯 뻔한 상황이다. 초기 시장과는 다르게 접속기록의 신뢰를 높이는 기술과 다양한 이상징후를 쉽게 점검하고 조치할 수 있는 관리 체계, 다양한 클라우드 환경을 지원하는 등 고도화 될 것으로 예상한다”고 말했다.
김훈 위즈코리아 보안사업부문장은 “앞서 말했듯 개인정보 접속 기록 관리 시장은 20%만 개화됐다고 본다. 아직 80%가 남아 있는 것이다. 현재는 공공과 대기업 위주로 시장이 형성돼 있지만, 향후에는 시장이 다변화될 것으로 예상한다. 위즈코리아는 중소기업을 대상으로 한 가벼운 제품을 선보일 계획이다. 클라우드 서비스 형태도 고려하고 있다”고 설명했다.
공급 기업들은 SMB로 시장이 확대될 것을 전망하고, SMB를 겨냥한 제품 개발에 박차를 가하고 있다. SMB 시장을 겨냥해 클라우드로 서비스하는 방안도 고려하고 있다.
이지서티 관계자는 “현재 대다수 공공기관의 경우 개인정보 접속기록관리 솔루션을 도입한 상태다. 현재는 금융, 의료, 교육, e커머스 등 다양한 분야의 민간기관들이 문의하고 있다.”면서, “이지서티는 클라우드 전환 사업에 대한 준비로 보유하고 있는 솔루션 모두 정보통신산업진흥원으로부터 클라우드 품질성능 인증을 획득했으며 다양한 클라우드 환경의 구축 경험을 쌓고 있다”고 설명했다.
피앤피시큐어 “DB접근제어 및 데이터 암호화 기술 결합해 시장 공략”
피앤피시큐어는 지난 2016년 개인정보 접속 기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 출시하고, 시장 공략에 박차를 가하고 있다. 김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 “인포세이퍼는 다른 경쟁 솔루션에 비해 출시시점은 늦었지만 강화되는 컴플라이언스를 만족하고 기술지원의 우수함을 내세워 시장 2위에 안착했다”고 소개했다.
피앤피시큐어의 ‘인포세이퍼’는 데이터베이스 내 개인정보의 위치를 자동으로 검출하고, 해당 개인정보에 접근하는 모든 경로의(DB직접 접근, 업무시스템 경유 접근) 활동을 기록 및 모니터링하며, 이상징후 분석 및 알림, 소명 관리 기능을 제공해 개인정보 사용 현황을 시스템적으로 즉시 확인할 수 있도록 지원한다.
‘인포세이퍼’는 개인정보 접속 기록을 보호할 수 있는 보안 기술을 함께 제공한다는 것이 특징이다. 접속기록의 기밀성을 유지하기 위해 로그데이터를 국정원 검증필을 받은 암호모듈로 암호화해 저장하며, 원본 로그데이터의 위변조를 방지하기 위해 SW적으로 자체 구성한 별도의 웜(WORM) 영역에 백업 및 저장한다.
또한 ‘인포세이퍼’는 행정안전부 ‘접속기록 관리 강화 추진 계획 가이드라인’에 따라 개인정보처리시스템에 접근하는 모든 경로에서 발생하는 개인정보 접속이력을 수집/생성/저장할 수 있도록 지원한다. 2티어 접속은 DB접근통제 솔루션에, 3티어 접속은 개인정보접속기록관리 솔루션에 저장하며, 개인정보접속기록관리 솔루션에서 제공하는 대량조회 사용자, 이상징후에 대한 소명관리 등의 주요 기능이 DB접근통제 시스템에도 동일하게 적용돼 있다. 더불어 2티어 로그와 3티어 로그를 단일 솔루션에 저장할 경우 로깅되는 데이터가 매우 방대하기 때문에, 이를 축약하는 기능이 포함돼 있다.
마지막으로 ‘인포세이퍼’는 WAS에서 Web.xml을 수정하지 않기 때문에 장애 걱정 없이 WAS의 업데이트/수정이 가능하며, 개인정보 접속기록 서비스의 연속성을 보장한다.
피앤피시큐어는 늘어나는 데이터를 처리하기 위해 빅데이터 처리 기술을 적용하는 등 제품을 고도화할 계획이다. 김상헌 이사는 “4차 산업 혁명에 따라 개인정보를 활용하는 업무시스템과 접근하는 인터페이스가 급격히 늘어나고 있으며, 접속기록 관리 솔루션에서 관리할 데이터의 양이 매우 방대해지고 있다. ‘인포세이퍼’도 늘어나는 데이터를 처리하기 위한 빅데이터 처리 기술을 적용하고, 다양한 클라우드 환경의 유연함을 지원하는 것에 초점을 맞추고 있다”고 설명했다.
더불어 클라우드 전환에 발맞춰, 클라우드 서비스로 시장을 확대한다는 전략이다. 김상헌 이사는 “개인정보를 보호하는 것 뿐 아니라, 개인정보의 활용 과정의 투명성이 강조되고 있다. 컴플라이언스는 강화되고 시장의 확대는 확실시되는 상황이다. 초창기 시장과는 다르게 접속기록의 신뢰를 높이는 기술과 다양한 이상징후를 쉽게 점검하고 조치할 수 있는 관리 체계, 다양한 클라우드 환경을 지원하는 등 제품 경쟁이 고도화 될 것으로 예상하고 있다”고 설명했다.
그는 이어 “4차 산업혁명에 따라 클라우드 환경으로의 전환이 급속도로 진행되고 있으며, 관리할 데이터의 양 또한 매우 방대해지고 있다. 매년 폭발적으로 성장하고 있는 클라우드 시장에 발맞춰 피앤피시큐어는 다양한 보안솔루션을 클라우드 시장에 출시해 성공적으로 운영하고 있다”면서 “개인정보처리시스템의 보안, 접속기록 관리 등 우리가 잘할 수 있는 보안 부문에 집중하고 기술적 고도화를 바탕으로 지속적으로 성장하도록 노력하겠다”고 덧붙였다.
📰 IT DAILY [개인정보 접속기록 관리 ②] 민간 시장 공략 위해 클라우드 서비스 등으로 확장
권정수 기자 kjs0915@itdaily.kr 원문 = https://www.itdaily.kr/news/articleView.html?idxno=203963
[아이티데일리] 지난해 데이터 3법이 통과된 이후, 국내 데이터 시장이 활성화되고 있다. 데이터 시장 활성화와 함께 개인정보보호 관련 컴플라이언스도 강화되고 있다. 개인정보보호 관련 컴플라이언스에는 데이터를 안전하게 저장하는 것은 물론, 개인정보에 누가 접근·이용하는지 이력을 남기는 ‘관리’도 포함된다.
개인정보보호법, 개인정보의 안전성 확보 기준 등을 통해 개인정보처리시스템 접속 기록을 남기도록 규정하고 있다. 특히 지난 2019년 개인정보의 안전성 확보 기준이 강화되면서 개인정보 접속 기록 관리 솔루션의 수요가 늘어나고 있다. 보관 기간 및 점검 주기가 늘어나면서 관리 솔루션의 필요성이 높아진 것이다.
데이터를 활용하고자 하는 기업이 늘어나면서 공공 부문을 중심으로 형성됐던 시장이 기업 시장까지 확대되고 있다. 시장 규모 역시 올해 200억 원을 넘어서며, 높은 성장률을 보일 것으로 전망된다.
개인정보 접속 이력 관리 솔루션 공급 기업들은 확대되는 시장에서 주도권을 확보하고 위해 치열한 경쟁을 펼치고 있다. 개인정보 접속 이력 관리 솔루션 시장을 살펴본다.
① 공공에서 민간으로 시장 확대, 올해 200억 원 규모 전망 ② 민간 시장 공략 위해 클라우드 서비스 등으로 확장
SMB 시장 겨냥, 클라우드 서비스 등으로 대응
개인정보 접속 기록 관리 솔루션 시장은 컴플라이언스와 밀접한 연관이 있다. 개인정보보호법 제29조 안전조치의무 조항에는 “개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다”고 규정돼 있다.
이에 따라 행정안전부는 ‘개인정보의 안전성 확보조치 기준’을 고시하고 있다. ‘개인정보의 안전성 확보조치 기준’ 제8조는 “개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다”고 규정하고 있다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.
<개인정보의 안전성 확보 기준 제8조>
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만, 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견됐을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관해야 한다.
개인정보 접속 기록 관리 솔루션은 이러한 컴플라이언스를 충족할 수 있도록 지원하기 위해 개발됐다. 조직 내 개인정보에 대한 접근 권한을 가진 개인정보취급자 및 처리자의 개인정보 접속 기록을 저장하고, 그 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치하는 데 도움을 줄 수 있도록 한 것이다.
보통 개인정보가 저장된 데이터베이스(DB) 접근 방법은 크게 두 가지가 있다. DB에 직접 접속하거나, 업무시스템을 경유해 접속할 수 있다. 최근 공급되고 있는 개인정보 접속 기록 관리 솔루션은 이러한 접속 과정을 기록하며, 이상 징후 분석 및 알림, 소명 관리, 개인정보 사용 현황 확인 등의 기능을 제공한다.
공공에서 금융 일반기업으로 영역 확대
컴플라이언스가 강화된 이후, 개인정보 접속 기록 관리 시장은 공공 부문을 넘어 금융, 기업 시장으로 확대되고 있다. 최근에는 금융권을 중심으로 솔루션 도입이 활발하게 이루어지고 있다.
실제 2019년까지는 공공기관 중심의 레퍼런스가 많았다. 피앤피시큐어는 경상남도청, 경기도경제과학진흥원, 대한지방행정공제회 등의 사업을 수주했다.
최근에는 대기업 및 금융사, 대학교 등으로 수요가 확대되고 있다.
피앤피시큐어는 지난해 포스코건설, 삼천리, 한독 등에 ‘인포세이퍼(INFOSAFER)’를 공급했으며, 올해는 삼성전자서비스, 삼성디스플레이, ADT캡스 등을 고객사로 확보했다.
보통 기업 구축 프로젝트는 공공 부문 구축 프로젝트에 비해 많은 시간이 소요된다. 공공은 조달청 나라장터에 등록된 제품을 구매, 구축하면 되기 때문에 평균 1개월이면 구축이 완료된다. 하지만 기업 및 금융사의 경우에는 업무시스템이 많고 각 파트별로 조율이 필요하기 때문에 평균 2~3개월 정도 시간이 소요되며, 상황에 따라 6개월도 소요되는 경우가 있다고 한다.
김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 공공기관 레퍼런스를 바탕으로 구축 과정을 소개했다. 김 이사에 따르면, ‘인포세이퍼’를 도입한 기관은 개인정보 DB에 접근하는 다양한 경로의 접속기록을 생성하는 부분에 초점을 맞추고 있다. DB에 직접 접근해 개인정보를 활용하는 사용자(2티어 사용자)와 업무시스템을 경유해 개인정보를 활용하는 사용자(3티어 사용자) 모두의 접속기록을 손쉽게 관리하고자 하는 부분을 중점으로 요구했다.
피앤피시큐어는 2티어 사용자의 접속기록을 생성/관리하기 위해 기존에 운영 중인 DB접근제어 솔루션 ‘DB세이퍼’와 ‘인포세이퍼’를 연동했고, 3티어 사용자의 접속기록 생성/관리를 위해 업무시스템 내 센서 ‘WAS트랙커(WASTRACER)’를 설치했다. 특히 3티어 접속기록의 신뢰를 높이기 위해서 업무시스템 내 센서를 설치, 업무시스템에서 세션 정보를 가져오는 방식을 선택했다.
‘인포세이퍼’ 구성도
한편 개인정보 접속 기록 관리 시장에서는 솔루션 도입에 대한 공개를 극도로 꺼리는 다른 보안 분야와는 달리 레퍼런스를 공개하고 있다. 김훈 위즈코리아 보안사업부문장은 이러한 이유에 대해 “개인정보 접속 기록 관리 시장은 보안 시장에 포함되지만, 기존 보안 솔루션과 성격이 다르다. 기존 보안 솔루션은 대부분 외부에서 들어오는 사이버 위협에 대응하는 것에 초점이 맞춰져 있다면, 개인정보 접속 기록 관리 솔루션은 내부 사용자 모니터링을 위해 도입하기 때문이다. 이런 이유로 개인정보보호 관련 컴플라이언스를 충족하고 있다는 점을 홍보하기 위해 고객사에서 오히려 도입 사례를 홍보하는 경우가 있다”고 설명했다.
‘인포세이퍼’ 솔루션 특장점
📰 IT DAILY [개인정보 접속기록 관리 ①] 공공에서 민간으로 시장 확대, 올해 200억 원 규모 전망
권정수 기자 kjs0915@itdaily.kr 원문 = https://www.itdaily.kr/news/articleView.html?idxno=203961
[데이터넷] 권한사용자에 의한 정보유출은 쉽게 탐지되지 않는다. 그래서 국내 주요 신용카드사에서 1억건 이상의 개인정보가 유출되는 것을 2년 동안 인식하지 못하다가 2014년 발견돼 사회적으로 큰 파장을 일으켰다. 이 사고가 오래 전 발생한 것이라고 안이하게 생각해서는 안 된다. 지금도 권한 사용자에 의한 정보유출은 계속 이어지고 있다. 권한사용자에 의한 개인정보 유출 사고를 막기 위해 개인정보에 접근하는 모든 경로를 모니터링해 이상행위를 탐지해야 한다. 피앤피시큐어의 ‘인포세이퍼’가 이러한 요구를 완벽하게 만족시킨다.<편집자>
2014년 국내 주요 신용카드사에서 1억건 이상 개인정보가 유출된 사실이 드러났다. 카드사의 IT 시스템 유지보수 직원이 직접 개인정보 DB에 접속해서 2년 동안 고객정보를 유출해 왔다는 사실이 밝혀진 것이다. 이 사고로 인해 중요정보에 접근할 수 있는 권한을 가진 사람에 의해 중요정보가 피해를 입을 수 있다는 경각심이 생겼으며, 권한관리자의 행위를 모니터링해 개인정보 오남용이나 이상접근을 막는 솔루션이 필요하다는 의견이 모아졌다.
그래서 개인정보에 접속한 기록을 관리해 비정상적인 상황에서 다수의 개인정보에 접근하거나, 너무 잦은 개인정보 접속과 유출을 시도하는 행위를 감시하는 개인정보 접속기록 관리 솔루션의 수요가 생기게 됐다.
2016년 개인정보보호법 ‘개인정보의 안전성 확보조치 기준’에서 개인정보 처리시스템 접속기록 저장과 점검 의무를 명시했으며, 이후 여러 차례 개정을 거쳐 현재 개인정보 접속기록을 1년 이상(5만명 이상 개인정보를 처리하거나 고유식별 정보·민감정보를 처리하는 시스템은 2년 이상) 보관하도 했다.
또 개인정보 DB에 접속하는 모든 경로를 기록하고 감시해야 하며, 웹·WAS 등 업무 시스템, 텔넷·SSH 등을 통한 접근이나 DB 시스템 직접 접속 혹은 DB 접근제어 시스템을 통해 접속하는 경우까지 모든 접근을 기록해야 한다. 더불어 접속기록은 정기적으로 점검해 불법적인 접근이나 비정상적인 행위에 적절한 조치를 취해야 한다.
이 규제를 준수할 수 있도록 도와주는 솔루션이 개인정보 접속기록관리 솔루션으로, 기관 내 개인정보취급자, 처리자(권한자)가 기관 내 보유한 개인정보를 어떻게 활용하는지 접속기록을 저장하고 점검해 비정상행위를 줄이며, 그 과정에 발생할 수 있는 사고를 확인하고 조치한다. 대량조회 사용자, 이상징후에 대한 소명관리 등이 솔루션의 주요 기능이다.
<그림 1>피앤피시큐어 ‘인포세이퍼’ 구성도
강력한 접근통제 기술 적용
개인정보 접속기록 관리 솔루션은 강력한 규제준수 의무를 가진 공공기관에 도입돼 왔다. 그러나 잇단 개인정보 유출 사고가 발생하고, 개인정보 보호 법안에서 기업의 개인정보 보호 책임을 강화하면서 엔터프라이즈 시장에서도 수요가 발생하고 있다. 엔터프라이즈는 특히 클라우드로 확대된 비즈니스 환경에서, 권한 있는 사용자가 개인정보에 접근하는 것을 효과적으로 통제해야 한다는 요구를 갖고 있다. 그래서 개인 정보 시스템에 접근하는 다양한 채널을 모두 지원하는 솔루션의 수요가 늘어나고 있다.
피앤피시큐어의 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’는 규제준수 요건이 강한 공공기관 뿐 아니라 높은 비즈니스 유연성을 요구 받는 엔터프라이즈까지 다양한 산업군 고객의 개인정보 보호를 지원한다. 인포세이퍼는 20여 년간 발전시켜 온 강력한 접근통제 기술을 적용해 모든 환경·모든 경로에서 권한사용자의 개인정보 접속이력을 수집·생성·저장하고 이상행위를 정확하게 기록하고 모니터링한다.
개인정보 접속기록 관리만을 제공하는 경쟁사 솔루션은 웹·WAS 등 간접접근(3티어)하는 경우만 지원하며, DB에 직접접근(2티어)하는 경우에는 DB접근통제 솔루션을 이용해야 한다. 이때 2티어 접속이 기록되는 DB접근통제 시스템에서도 3티어 접근 기록을 동일하게 적용해야 해 관리와 운영이 복잡해지고, 관리되지 않은 홀이 생긴다는 문제가있다.
개인정보를 대량으로 조회하는 개발자와 관리자들에 의한 2티어 접속과 일반 사용자들이 애플리케이션에서 조회하는 3티어 접속 모두를 하나의 솔루션에서 기록하는 것이 관리 편의성이나 보안성 측면에서 유리하다. 인포세이퍼는 2티어 로그와 3티어 로그를 단일 솔루션에 저장해 사용자의 이상행위를 정확하게 파악하고 대응할 수 있다.
인포세이퍼는 개인정보 접속기록 관리 기능 뿐 아니라 포괄적인 개인정보 보호 기능을 제공한다. 인포세이퍼는 개인정보 접속기록을 암호화해 위변조를 예방함으로써 권한사용자가 접속기록을 조작하는 것까지 방지할 수 있다.
관리되지 않고 방치된 개인정보를 찾아 관리할 수 있도록하는 기능도 탁월하다. 개인정보처리자가 방대한 시스템에 분산된 개인정보의 위치를 모두 파악하고 관리하는 것은 매우 어렵다. 개발자와 유지보수 인력이 개인정보처리자 허락 없이 개인정보 컬럼을 복제할 경우, 개인정보처리자는 복제된 ‘고스트 개인정보’를 알 수가 없다. 이러한 문제는 개인정보를 보유하고 있는 모든 기관에 내재된 문제점으로 감독기관의 단골 지적 사항이다. 인포세이퍼는 이 같은 고스트 개인정보까지 찾아 관리되지 않은 개인정보로 인한 보안사고를미연에 방지한다.
더불어 인포세이퍼는 서비스 연속성을 보장해 중단 없는 개인정보 보호가 가능하다. WAS에서 Web.xml을 수정하지 않기 때문에 장애 걱정 없이 WAS의 업데이트·수정이 가능하고 개인정보 접속기록 서비스의 연속성을 보장한다.
고객의 업무시스템에 설치한 접속기록 생성 센서가 인포세이퍼 운영장비에 바로 접속기록을 생성하는 형태로 운영돼 고객의 업무시스템 내 접속기록을 생성하거나 저장하는 등의 추가 장애요인을 발생시키지 않는다.
<그림 2> 모든 경로 개인정보 접속이력 완벽 로깅
전담 엔지니어 지원해 책임 있는 서비스 제공
개인정보 접속기록 관리 솔루션 경쟁사들이 공공시장에 주력하는 것과 달리 피앤피시큐어의 인포세이퍼는 공공시장 뿐 아니라 금융, 엔터프라이즈, 의료 등 다양한 산업군에 공급되면서 영토를 빠르게 확장시키고 있다.
경쟁사 솔루션을 사용하다 서비스 지원이 원활하지 않아 인포세이퍼로 교체한 A 기관은 피앤피시큐어가 전담 엔지니어를 지정해 POC부터 납품, 구축, 유지보수까지 책임 있게 수행하는 것에 높은 점수를 주었다.
이 기관은 업무 시스템이 본사와 국가정보자원관리원으로 나뉘어 있어 개인정보 접속기록 관리 솔루션 구축과 운영에 어려움을 겪어왔다. 이 기관은 업무시스템 내에 센서를 설치해 개인정보 접속기록을 관리했는데, 원격지 업무 시스템에 센서를 설치하는 과정이 쉽지 않았다. 여러 조직의 보안 정책이 충돌하고, 다수 관계자들의 의견이 일치하지 않아 이를 조율하는 복잡한 과정을 거쳐야 해 상당한 어려움을 겪었다.
피앤피시큐어는 다양한 환경에서 솔루션 구축·운영 경험을 갖고 있는 전담 엔지니어를 배치해 분산된 환경에서, 복잡하게 얽혀 있는 여러 조직의 의견을 받아들여 최선의 운영 방안을 찾아 구성할 수 있도록 해 성공적으로 프로젝트를 완성할 수 있도록 했다. 관계된 모든 조직의 의견을 최대한 수렴하고 보안 취약점을 제거하고 관계자의 이견을 좁히면서, 책임 있는 기술지원과 유지보수를 제공해 제품을 안정적으로 사용할 수 있도록 했다.
업무시스템 영향 없이 접속기록 관리
B 기관은 개인정보 DB에 접근하는 다양한 경로에서 접속기록을 관리할 수 있다는 점에서 인포세이퍼를 선택했다. 기존에 운영 중인 DB접근제어 솔루션 ‘디비세이퍼(DBSAFER)’와 인포세이퍼를 연동해 업무시스템을 경유해 개인정보를 활용하는 사용자와 DB에 직접 접근하는 사용자 모두의 접속기록을 쉽게 관리할 수 있다는 점이 가장 강력한 강점이었다.
3티어 사용자의 업무 시스템에서 개인정보 접속기록을 관리하는 기술에 있어서도 인포세이퍼가 탁월한 경쟁력을 갖고 있다. 3티어 사용자 개인정보 접속기록을 관리하기 위해 업무 시스템에 센서를 설치하는데, 경쟁사 제품은 업무시스템에 접속기록을 저장하면서 업무 시스템의 자원을 사용하고 잦은 장애를 발생시킨다. 인포세이퍼의 센서 ‘와스 트레이서(WAS TRACER)’는 센서에서 업무시스템 세션정보를 가져와 접속기록을 관리한다. 업무 시스템에 영향을 주지 않기 때문에 높은 안정성을 보장하면서 시스템을 운영할 수 있다.
B 기관은 인포세이퍼 도입으로 모든 환경에서 안정적으로 개인정보 접속기록을 관리할 수 있게 됐으며, 모든 경로의 접기록까지 한 번에 관리할 수 있어 행정안전부의 ‘접속기록 관리강화 추진계획’ 가이드라인을 만족시켰다.
컴플라이언스를 가장 중요하게 생각한 C 시는 개인정보 안전성 확보조치 기준과 행정안전부 가이드라인을 정확하게 만족하는 유일한 솔루션인 인포세이퍼를 선택했다. 접속기록을 전하게 보관하기 위해 국정원 검증필 암호모듈을 통해 로그데이터를 암호화하고 위변조 방지 기능을 함께 제공한다는 점에 높은 평가를 주었다.
D 원은 피앤피시큐어가 고객사 전담 엔지니어를 지원한다는 점을 높게 평가했다. 피앤피시큐어는 솔루션 도입기관의 환경분석부터 솔루션 구축, 유지보수 등 사후서비스 지원까지 배정된 엔지니어가 모두 책임지고 있어 어떤 환경에서도 안정적인 서비스를 보장받을 수 있다.
실시간 위험관리 체계 구축
금융기관에서도 주목할 만한 성공사례가 잇따르고 있다. E 생명은 개인정보접속이력 관련 업무 처리를 위해 수집된 개인정보 접속이력 로그를 수동으로 다운받아 엑셀로 편집하는 등 수작업에 의존했다. 또 사용자별로 월별 통계 작성 후 위험 사용자에 대해 수작업으로 위험 관리 소명을 받아 업무 처리에 많은 시간과 노력이 소요되었다.
그러나 수많은 개인정보 처리 기록을 수작업으로 처리하는 데 버거움을 느꼈으며, 개인정보안정성 확보조치 기준을 00% 준수하기 어려웠다. 또한 내부적으로 강화된 정보보호 체계를 운영할 수 있어야 한다는 요구도 있었다.
E 생명은 인포세이퍼를 도입해 실시간 위험 관리 모니터링 및 모든 개인정보 사용 이력을 자동으로 통합 관리해 실시간 위험 관리 체계를 구축하고 업무 효율성을 높일 수 있게 됐다. 내장된 ‘DB스캐너’를 이용해 개인정보처리시스템(DB)에서 개인정보를 자동으로 분석하고, 개인정보접속기록 검출 대상으로 등록·관리해 개인정보 보호 편의성을 한층 높였다. 또 ‘디비세이퍼 DB’와 DB 커넥터 기능을 사용해 인포세이퍼를 연동, 2티어 및 3티어 사용자까지 개인정보 접속이력을 모니터링할 수 있었다.
E 생명은 현재 대출, 청약, 보험, 심사, 영업, 콜센터 등 중요 기간 업무 서비스에 적용했고, 향후 전사 업무 서비스에 확대 적용할 예정이다.
오래된 WAS를 사용하는 환경에서 개인정보 접속기록 관리 솔루션을 도입한 사례도 눈에 띈다. 서비스 회사인 F 사는 10여 년 전 개발된 WAS가 메인 시스템으로 사용되고 있어 이를 지원하기 위한 추가개발이 불가피했다. 피앤피시큐어는 이 시스템을 지원하는 기술을 빠르게 개발함으로써 이 기업에서도 개인정보 접속기록을 관리·모니터링할 수 있게 했다.
민감한 개인정보를 대규모로 관리하고 있는 병원은 개인정보 접속기록 관리가 무엇보다 필요한 산업군이다. 대학병원 등 상급병원은 대학병원 등 상급병원 들이 ISMS-P 인증 및 보안사고 예방을 위해 적절한 조치를 고민하고 있으며, 아직은 소극적이지만 곧 개인정보 접속기록 관리 수요가 늘어날 것으로 기대된다.
◇네트워크타임즈 데이터넷 [사례연구] 피앤피시큐어 다양한 산업군에 개인정보 접속기록관리 구축
김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=163132
[아이티데일리] 피앤피시큐어(대표 박천오)는 원격근무 환경에서 필수적인 보안 기능을 제공하는 원격근무 보안 솔루션 ‘페이스락커(FaceLocker)’를 출시한다고 26일 밝혔다.
‘페이스락커’는 인공지능 및 안면 인식과 부가적인 인증을 연동한 ‘통합 실시간 사용자 인증’과 동시에 업무 시스템 실행 및 종료 탐지, 자체 보호, 화상 스트리밍 지원 등의 기능을 제공한다.
피앤피시큐어 페이스락커
PC나 노트북에 부착된 RGB카메라를 활용한 안면 인증으로, 실시간으로 사용자를 인증할 수 있다. 특히 인증 후에도 지속적으로 사용자임을 확인함으로써 보안을 지속할 수 있도록 지원한다. 안면 인증을 진행할 수 없을 때는 OTP(One Time Password)와 같은 부가적인 인증을 연동할 수 있다. 이 외에 외부의 공격이나 인증 무력화 공격 방지를 위해 자체 보호 기능을 포함하고 있는 것도 특징이다.
더불어 실시간 사용자 안면 탐지 중에도 화상 스트리밍(회의)을 지원해 언택트(재택) 근무 상황에 맞춰 업무 처리가 가능하도록 효율성을 향상시켰다.
피앤피시큐어 관계자는 “코로나 종식 이후에는 현재의 재택근무와 보안의 형태가 확장돼 자유롭게 일할 공간을 선택할 수 있는 원격 근무와 보안이 요구될 것으로 보인다. 끊임없이 대두되는 보안 위협 환경에서 ‘페이스락커’는 기업 종사자는 물론 개인 사용자에게도 언택트(재택) 근무를 시작으로 원격 근무로 확장되는 보안의 시작을 함께할 수 있을 것으로 기대된다”고 말했다.
◇IT DAILY 피앤피시큐어, 원격근무 보안 솔루션 ‘페이스락커’ 출시
권정수 기자 kjs0915@itdaily.kr 원문 = https://www.itdaily.kr/news/articleView.html?idxno=203729
◇네트워크타임즈 데이터넷 피앤피시큐어, 재택근무 위한 안면인식 본인인증 솔루션 출시
김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=162363
◇디지털데일리 재택근무 보안 시장 뛰어든 피앤피시큐어··· ‘페이스락커’ 출시
이종현 기자 bell@ddaily.co.kr 원문 = http://www.ddaily.co.kr/news/article/?no=218737
◇디지털타임스 피앤피시큐어, 비대면 근무 보안 솔루션 `페이스락커` 출시
윤선영 기자 sunnysday72@dt.co.kr 원문 = http://www.dt.co.kr/contents.html?article_no=2021072602109931820002&ref=naver
◇전자신문 피앤피시큐어, 재택근무자 실시간 안면인식 솔루션 출시
오다인 기자 ohdain@etnews.com 원문 = https://www.etnews.com/20210726000081
◇데일리시큐 피앤피시큐어, 재택근무에서 원격 근무로 확장되는 보안 강화 위한 ‘페이스락커(FaceLocker)’ 출시
길민권 기자 mkgil@dailysecu.com 원문 = https://www.dailysecu.com/news/articleView.html?idxno=126966
◇아이뉴스24 피앤피시큐어, AI 안면인식 재택근무 보안 솔루션 출시
최은정 기자 ejc@inews24.com 원문 = http://www.inews24.com/view/1388748
[사례연구] 통합 접근제어 구축 산업별 성공사례 공개
피앤피시큐어 하이브리드 지원 통합 접근제어, 다양한 산업군에 공급
보안위협·관리 복잡성 낮춰…단일벤더 지원으로 장애대응·비용 효율 효과 높아
[데이터넷] 클라우드가 대세를 이루고 있지만 모든 업무를 100% 클라우드로 이전하는 기업은 많지 않다. 대부분 기존 IT 환경을 유지하면서 IT 자산의 효율성을 높이기 위해 프라이빗 클라우드로 일부 전환하고, 높은 민첩성과 유연성을 요구하는 업무는 퍼블릭 클라우드를 사용하면서 클라우드 활용률을 넓혀가는 전략을 채택하고 있다.
이 같은 멀티 클라우드 환경에서는 일관된 보안 정책을 적용하기 쉽지 않다. 여러 형태의 가상화·클라우드 플랫폼의 보안 운영 환경이 다르고, 퍼블릭 클라우드의 경우 관리환경이 상이해 온프레미스와 동일한 수준의 보안을 적용하기가 쉽지 않다.
클라우드 도입의 주요 목적이 비즈니스 효율성을 높이는 것인 만큼, 효율성을 해치는 수준의 강도 높은 보안 정책을 적용하는 것도 어려운 일이다. 특히 다양한 환경을 이용하는 멀티 클라우드에서 기존과 같은 방식의 접근통제는 클라우드 전환을 어렵게 할 뿐 아니라 사용자를 불편하게 하고, 보안 위협을 높이는 결과로 이어지기도 한다.
비즈니스 확장되며 복잡해지는 접근제어
이러한 문제는 클라우드 전환에서만 일어나는 것은 아니다. 비즈니스가 확장되면서 여러 외부 기관 및 고객들과 다양한 형태의 협력과 소통을 해야 하는데, 복잡해지는 커뮤니케이션 과정의 접근통제 문제가 불거질 수밖에 없다.
특히 공공분야의 경우, 수많은 대민서비스, 외부기관과의 교류망에서 다양한 접근을 관리할 때, 모든 서버접근의 경로를 제어해야 한다. 많은 경우 기존에 도입한 개별 접근 제어 솔루션들을 복잡하게 연결해서 대응하는데, 중복된 보안정책으로 인해 사용자와 관리자가 불편함을 느끼게 되고, 계정관리와 로그확인이 어려워지면서 취약점이 발생할 수 밖에 없다.
금융기관과 엔터프라이즈는 접근제어 제품군이 도입된 뒤, DB 접근제어, 시스템 접근제어, OS 접근제어 등 제품들을 별도로 관리하는데 시간과 인원의 리소스가 부족하고 업무 부하가 많아 접근제어 대한 통합관리 문제를 겪고 있다. 다양한 접근제어 솔루션을 운영하다 보니 권한 부여에 대한 통합 결재시스템(정보보안 포털)의 필요성이 커지고 있다. 대규모 고객사의 경우 예산을 투자해 SI성으로 통합 정보보안 포털을 구축하지만, 소규모 고객사의 경우 개별 솔루션을 사용해 업무상 고충이 있다.
현재 대부분의 기업·기관은 DB 접근제어, 시스템 접근제어, OS 접근제어, DB 계정관리, OS 계정관리 등을 따로 구축해 업무 시스템과 애플리케이션을 통제한다. 그래서 다음과 같은 어려움을 겪고 있다.
분리할 필요가 없는 DB 사용자와 OS 사용자를 강제로 분리해 동일한 사용자에게 두 번의 인증과 각각의 보안정책을 설정하게 돼 업무가 가중됨
사용자 PC 또는 보안대상서버에 개별 에이전트 사용에 따른 리소스 증가
동일한 사용자의 감사로그가 각각의 솔루션에 저장돼 로그의 연관 조회가 불편함
보안 솔루션 별로 제한된 통제범위로 인한 보안 관리의 홀이 발생
장애 발생시 장애분석이 종합적으로 빠르게 이뤄지기 어려움
각 보안솔루션 간의 연동 필요 시 벤더사간의 입장 차이로 진행이 어려움
규제준수 위한 통합 접근제어 필수
전통적인 접근제어 솔루션은 기술지원 측면에서도 많은 문제를 갖고 있다. 특정 솔루션의 경우, 어도비 플래시를 이용해 구현됐으나 플래시 서비스 종료에 대한 대응이 늦어 고객이 사용에 불편을 겪는 경우가 발생했다. 어플라이언스의 OS, 애플리케이션이 기술지원 종료(EOS) 됐을 때, 주기적 업데이트 관리가 되지 않아 보안 취약성을 해결하지 못한다.
또 감사 대응과 기타 업무 시 각각 별도의 접근제어 솔루션 을 운영하면 동일 업무를 여러번 해야 하는 불편함이 존재해 통합접근제어 제품의 필요성 증대하고 있다.
클라우드 확산으로 다양한 클라우드 환경에 적합한 솔루션이 필요하다는 요구도 계속 증가하고 있다. 기존의 상용화된 DBMS 뿐만 아니라 ▲아마존 레드시프트(Redshift), 애저 SQL MI, 구글 클라우드 SQL 등 클라우드 데이터베이스 ▲몽고DB , H베이스, 다이나모DB 등 NoSQL ▲구글 스패너, 볼트DB(VoltDB ), 누오DB NuoDB ) 등 NewSQL과 같은 최신 DBMS 지원을 필요로 하고 있다.
이와 함께 산업별로 개인정보보호법, 주식회사 등의 외부 감사에 관한 법률(외부감사법), ISMS-P, 클라우드 보안인증제(CSAP), PCIDSS 등 같은 다양한 법률과 인증을 모두 만족할 수 있는 솔루션이 필요하게 됐다.
U-IAM ‘디비세이퍼’, 보안위협·복잡성 낮춰
이러한 문제를 해결할 수 있는 방법 중 하나로 모든 접근제 어 기술을 통합해 제공하는 솔루션이 제안된다. 통합 솔루션은 온프레미스, 클라우드 등 어떤 환경에서도 새로운 DB·OS에 대해 보안기능을 일괄적으로 빠르게 지원해 전사적으로 보안레벨이 향상된다.
예를 들어 사용자가 필요한 DB 계정을 신청 시스템에 상신해 결재 되면, DB 계정관리는 해당 DB 서버에 DB 계정을 생성하고, DB 접근제어는 해당 DB 서버에 접근을 허용하는 정책을 실시간으로 반영한다. 또한 사용자의 부서이동이나 이직시 인사정보와 연동돼 계정 및 관련 정책은 자동으로 소멸된다. 그러므로 보안관리자가 별도의 업무를 수행할 필요가 없게 된다.
이 같은 역할을 하는 통합계정 및 접근제어(U-IAM) 솔루 션으로, 피앤피시큐어의 ‘디비세이퍼(DBSAFER)’가 여러 고객에게 공급되면서 시장을 확장하고 있다.
디비세이퍼는 DB접근제어, 시스템 접근제어, OS 접근제어, DB 계정관리, OS 계정관리에 대한 접근·권한 정책, 로그 통합 관리를 제공하는 솔루션이다. 통합 관리를 통해 보안관리를 쉽게 하고 비용을 줄이며, 복잡한 컴플라이언스에도 만족한다. 보안대상 시스템 증가에 대해서도 적은 보안관리 인력으로도 운영할 수 있다.
피앤피시큐어는 17년 이상 보안솔루션 사업을 영위하며, 전국단위 기술지원 체계를 구축해 운영하고 있다. 이를 통해 공공기관, 금융기관, 기업 등 다양한 환경 및 전국에 분포한 4500여 고객사에 예방점검, 유지보수 등 사후서비스를 원활하게 지원해 고객들에게 높은 만족을 주고 있다.
통합된 솔루션을 제공한다는 기술적인 장점 외에도, 운영이 원활하게 될 수 있도록 수준 높은 서비스를 일괄적으로 제공하고 있다. 피앤피시큐어는 다음과 같은 서비스 체계를 장점으로 하고 있다.
업계 최고 수준의 기술지원 인력 보유. 전체 인원의 80% 가량 기술지원 능력 보유
지속적인 특허 추가, 연관제품 출시, 기술인증 획득
전국 단위사업 수행 가능, 유지보수 능력 보유. 전국 기술채널사 40여개 보유하고 있으며, 18개 광역시도 교육청 에듀파인 사업 성공적으로 완료
▲피앤피시큐어 통합접근제어 구성도
전 산업군서 빠르게 도입
최근 많은 조직들이 클라우드 환경으로 빠르게 전환하고 있다. 피앤피시큐어는 이러한 시장의 흐름에 맞춰 여러 CSP/MSP와의 협력을 추진했으며, AWS, MS 애저, GCP, KT 클라우드, 네이버 클라우드, NHN 클라우드, 클라우드제트, 카카오아이 클라우드 등 다양한 클라우드 플랫폼에서 효율 적인 운용이 가능하도록 클라우드 통합접근제어 솔루션을 제공하고 있다.
이러한 장점이 인정을 받아 모든 산업군에서 고르게 고객을 확보하고 있다.
🔸 공공
공공분야의 대표적인 성공사례인 OO공사는 DB 접근제어, 시스템접근제어, 계정관리 통합 솔루션을 각 구간별, 사업별 수요부서와 시행 SI사에서 도입해 운영한 후 공사 표준제품으로 결정하고 지속적으로 추가 도입하고 있다. 다양한 DB, 시스템, 애플리케이션, 사용자 등에서 보안대상 DB·시스템 접근에 대한 통합접근제어를 적용해, 보안정책·로그·계정관리를 일원화했다.
OO공사 관계자는 “피앤피시큐어 ‘디비세이퍼 엔터프라이즈’를 통해 표준화된 DB·시스템 접근제어를 구현해 공사 내 부 보안정책을 안정적으로 일관성 있게 제공할 수 있게 됐다”고 말했다.
🔸 금융
클라우드 환경에 ‘디비세이퍼 엔터프라이즈’를 도입한 OO금융그룹은 클라우드 환경에 맞게 DB 접근제어와 서버접근 통제를 하나의 제품으로 운영할 수 있다는 점을 높게 샀다. 클라우드에서 신속하게 라이선스가 반영되므로 오토스케일링 기능을 편리하게 사용하고 있다.
OO금융그룹 관계자는 “통합접근제어 제품은 보안 관리가 용이하고 편리하다. 내외부 감사시, 디비세이퍼를 통해 잘 대응하고 있다”고 밝혔다.
ERP와 전자페이를 제공하는 OO사는 ‘디비세이퍼’의 DB·시스템 접근제어와 계정관리 통합 솔루션을 운영하고 있다. 핵심 접근제어 솔루션을 한 제조사 통합 솔루션을 이용해 관리와 업무 효율성을 극대화했다. 특히 내외부 감사시, 디비 세이퍼를 통해 신속 정확하게 대응하고 있다.
OO거래소는 AWS에서 DB·시스템 접근제어를 통합한 ‘디비세이퍼 디비·AM’을 사용하고 있다. AWS에서 하나의 가상서버에 통합접근제어 솔루션을 빠르게 구축해 안정적으로 구축·운영하고 있다.
🔸 엔터프라이즈
OO통신사는 ‘디비세이퍼’를 그룹웨어, ITSM, ILM 등 내부 업무시스템과 연동했다. 결제시스템을 근간으로 보안정책 및 계정관리가 운영되므로 관리자는 보안솔루션의 관리자 화면에 접속할 일이 거의 없다. 사용자가 신청페이지에서 필요사항을 신청하면 워크플로우에 따라 자동으로 처리된다.
DB·시스템·OS 접근제어를 통합한 ‘디비세이퍼’를 그룹표 준화 제품으로 선정한 OO그룹은 온프레미스, 프라이빗 클라 우드, 퍼블릭 클라우드 환경에 점진적으로 확산할 예정이다.
OO그룹 관계자는 “통합적으로 제공하는 보안 솔루션의 도입은 회사의 효율성 및 관리차원에서 꼭 필요하다”며 디비 세이퍼 도입 이유를 밝혔다.
OOO사는 개인정보가 포함된 서버와 일부 중요서버에만 DB 접근제어와 시스템 접근제어, 계정관리를 통합한 ‘디비 세이퍼’를 도입해 수년간 운영했다. 그리리고 통합제품의 장점과 기술지원에 만족해 전체 서버로 확산 적용하고 있다.
OOO사 관계자는 “통합 솔루션이 유지보수 중 관리자 측면에서 관리하기 편하고, 비용적인 면에서도 절감된다. 제조사 한곳에서 접근제어 솔루션을 한 번에 이용할 수 있다는 점은 장점으로 판단된다”고 설명했다.
◇네트워크타임즈 데이터넷 피앤피시큐어 “모든 접근제어 통합해 보안 위협 낮춰”
김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=161524
컨피덴셜 컴퓨팅으로 활용중 데이터 보호…저장·이동중 데이터 암호화 보호
통합 접근제어·MFA·HSM으로 모든 환경의 데이터 보호
[데이터넷] 마이데이터의 핵심 보안 요구사항인 개인정보 보호를 위해서는 민감한 정보를 암호화하고, 법적 근거 없이 수집한 개인정보는 삭제해야 한다. 그래서 웹·서버·PC 등에 있는 개인정보를 파악하고 정책을 위반하는 데이터는 조치하며 자동 암호화하는 솔루션이 필요하다.
통합 접근제어로 빈틈없는 데이터 보호 지원
중요 데이터를 저장한 데이터베이스와 시스템, 애플리케이션 전반에 대한 접근통제도 필수다. 데이터 유출은 데이터베이스에 직접 접속하는 권한 사용자에 의해서도 유출될 수 있으며, OS와 애플리케이션, 시스템 등의 취약점을 이용해서도 탈취될 수 있다.
피앤피시큐어는 개인정보 DB와 시스템, 애플리케이션, OS, 계정·접근관리(IAM) 등 개인정보에 접근할 수 있는 모든 영역에서 강력한 통제를 제공한다. 단일 통합 플랫폼 U-IAM에서 접근제어 관련 기술을 모두 제공하며, 조직의 상황에 따라 모듈을 선택할 수 있 다. 비용과 관리 포인트가 줄어들고 벤더의 기술지원 이 즉각적으로 이뤄지며, 클라우드로 확대된 비즈니스 환경까지 지원할 수 있다.
강필성 피앤피시큐어 솔루션사업부 금융사업팀장은 “피앤피시큐어의 통합접근제어 솔루션은 국내 마이 데이터 사업에 핵심 보안 솔루션으로 공급되고 있다. 이미 대다수의 마이데이터 사업자들이 피앤피시큐어 의 통합접근제어 솔루션으로 구축을 진행했다. 특히 국내 최대 마이데이터 사업인 K사 마이데이터 사업에 DB접근제어, 시스템 접근제어 계정관리 제품이 통합 된 ‘디비세이퍼(DBSAFER)’ 제품군을 구축, 마이데 이터 사업에서 필수적인 강력한 보안 체계를 구축하고 있다”고 말했다.
◇네트워크타임즈 데이터넷 [마이데이터 보안②] 저장·이동·활용 데이터 모두 보호
김선애 기자 iyamm@datanet.co.kr 원문 = http://www.datanet.co.kr/news/articleView.html?idxno=160886
KISA·KISIA, 국내 보안 기업 동남아 시장 진출 지원
2021.11.09
8일부터 4일간 베트남·인니 대상 온라인 비즈니스 상담회 개최
[아이티데일리] 한국인터넷진흥원(원장 이원태)과 한국정보보호산업협회(KISIA, 회장 이동범)는 과학기술정보통신부(장관 임혜숙)와 국내 정보보호기업의 동남아시아 시장 진출을 지원하기 위한 정보보호 비즈니스 상담회를 8일부터 11일까지 4일간 온라인으로 개최한다고 밝혔다.
KISA와 KISIA는 이번 비즈니스 상담 개최국으로 동남아 IT 신흥시장인 베트남과 지속적으로 사이버 공격이 증가하는 인도네시아를 선정했다. 실제로 베트남은 작년 중소기업의 59%가 사이버 공격을 받았으며, 인도네시아는 중소기업의 60%가 고객정보 도용 경험이 있는 등 정보보호 필요성이 계속 높아지고 있다.
베트남·인니 대상 온라인 비즈니스 상담회 사진
올해 상담회에는 작년보다 4개 늘어난 총 19개 보안기업이 참여한다. 이들 기업은 KISA 동남아 거점을 활용해 모집한 현지 ICT 유관부처·기관, IT기업, 유통사, 컨설팅사 등 41개 기관·기업과 모두 140건의 1:1 비즈니스 미팅을 진행할 예정이다. 참여하는 보안 기업은 넷앤드, 명정보기술, 소만사, 스콥정보통신, 시큐아이, 안랩, 에어큐브, 에프원시큐리티, 엔피코어, 엘에스웨어, 워터월시스템즈, 이글루시큐리티, 지니언스, 파수, 파이오링크, 피앤피시큐어, 릴테크, 케이제이테크, 시큐레터 등이다.
이번 상담회를 계기로 KISA는 현지 공공 분야 수요를 발굴하고 1:1 매칭지원을 통해 국내 기업의 수출에 실효성을 더하고, 가시적 성과를 낼 수 있도록 지속적으로 비즈니스 미팅을 개최하는 등 진출 기회를 제공할 계획이다.
또한, KISIA는 최근 북미지역에서 개최한 정보보호 전시회와 웨비나에 이어, 이번 상담회를 통해 국내 기업의 동남아시아 수출 확대와 해외 판로 개척을 지원할 예정이다.
이원태 KISA 원장은 “최근 정보보호 수요가 증가하는 동남아시아는 6억 이상의 인구를 보유한 대규모 신흥시장으로, 국내기업의 적극적인 진출이 필요하다”며, “KISA는 글로벌 사이버보안을 선도하는 전문 기관으로서 현지 파트너십 프로그램 등 다양한 해외진출 지원사업을 운영해 신남방정책에 기여하겠다”고 말했다.
이동범 KISIA 회장은 “베트남은 동남아 신흥 IT시장으로 성장 중에 있고, 인도네시아는 지속적인 사이버 공격의 증가와 테러 등으로 인해 정보보호에 대한 필요성이 증대되고 있어 정보보호 시장 수요도 계속해서 상승할 것으로 예상하기 때문에 국내 기업의 시장 선점이 필요하다”며, “이번 상담회를 통해 국내 정보보호기업이 차별화된 기술과 경험을 바탕으로 ASEAN 시장 진출에 효과적으로 대응할 수 있을 것으로 기대한다”고 밝혔다.
📰 아이티데일리
권정수 기자 kjs0915@itdaily.kr
원문 = http://www.itdaily.kr/news/articleView.html?idxno=204995
📰 디지털투데이
강진규 기자 viper@d-today.co.kr
원문 = http://www.digitaltoday.co.kr/news/articleView.html?idxno=423850
📰 뉴시스
odong85@newsis.com
원문 = https://newsis.com/view/?id=NISX20211108_0001643678&cID=13001&pID=13000
📰 한국무역신문
wtrade07@gmail.com
원문 = https://www.weeklytrade.co.kr/news/view.html?section=1&category=3&item=&no=76927
📰 정보통신신문
박광하 기자 kjs0915@itdaily.kr
원문 = http://www.koit.co.kr/news/articleView.html?idxno=90733
[재택근무 보안] 다양한 근무 환경 보호 기술 경쟁 시작
2021.11.05
글로벌 IT·보안 기업, ZTNA 적용 재택·분산근무 지원 ‘총력’
사용자 인증·데이터 보호 등 재택근무 필수 보안 기술 경쟁 이어져
[데이터넷] ZTNA는 원격근무 환경의 보안 원칙으로 자리잡고 있다. ZTNA를 구현하는데 다양한 기술이 있으며, 에이전트를 필요로 하는 SDP와 에이전트 없이 브라우저만으로 접속하는 방식, 사용자 인증과 권한관리, 마이크로세그멘테이션 등이 있다.
국내에서 SDP 아키텍처 기반 ZTNA 솔루션은 엠엘소프트, 프라이빗 테크놀로지가 제공하고 있으며, 글로벌 기업 중 에이전트를 사용하는 SDP 방식은 지스케일러 ‘ZPA’가 지원하며, 가장 오랫동안 안정적으로 제공되어온 솔루션으로 인정받는다. 클라우드로 서비스 돼 쉽게 사용할 수 있고 편리하게 관리할 수 있다.
브라우저 기반 ZTNA는 구글 비욘드코프, 마이크로소프트, 아카마이, 포스포인트 등 여러 기업들이 제공한다. 웹브라우저를 통해 업무 애플리케이션에 접속하며, 에이전트가 필요 없어 사용하는 기기 제약이 없고, 직원뿐 아니라 외부 파트너사, 계약직, 고개의 접근도 ZTNA를 적용할 수 있다.
글로벌 기업들은 광범위하게 분산된 업무 환경을 보호하는 시큐어 액세스 서비스 엣지(SASE)로 전 세계 지점·지사, 원격지 사무소, 재택근무자까지 보호한다. 네트워크와 보안을 통합한 SASE에는 거의 대부분의 IT·보안·네트워크 기업들이 참여하고 있다.
그 중 맥아피는 SASE에서 요구하는 기능 중 보안 분야에서 CASB, SWG, DLP, FW, ZTNA, 이메일·웹 보안, 웹 격리, 엔드포인트 보안 등을 지원하며, 단일 콘솔에서 통합 관리할 수 있기 때문에 복잡한 분산환경을 단순하게 관리할 수 있다.
서동현 맥아피 엔터프라이즈 코리아 이사는 “맥아피 에이전트 하나 배포되면 맥아피가 제공하는 SASE 요소를 모두 사용할 수 있다. 클라우드로 제공되는 ‘엠비전’ 플랫폼의 보안 기능은 사용자가 어디에 있든 상관없이 연결 가능하며, 제로 트러스트 원칙을 적용해 안전하게 사용자와 애플리케이션을 연결할 수 있다. 사용과 관리 편의성, 보안성이 높기 때문에 국내 여러 대기업 등에도 공급됐다”고 말했다.
안전한 재택근무를 위한 통합 솔루션으로 마이크로소프트가 매우 경쟁력이 있다. 마이크로소프트는 팀즈, 비바, 서피스 등을 통해 협업을 지원하며, IAM, UEM, 웹·이메일 보안 등의 보안 기능을 통해 제로 트러스트 기반 재택근무를 지원한다.
박상준 한국마이크로소프트 모던워크 비즈니스 매니저는 “마이크로소프트는 제로 트러스트 기본을 지키면서 편리한 재택근무를 지원할 수 있도록 40개 이상 보안을 제공하고 있으며, 온프레미스·AWS·구글 등 다른 클라우드도 보호할 수 있게 한다. 강력하지만 편리한 사용자 인증과 뛰어난 위협 탐지와 대응, AI·가시성·자동화 엔진을 적용해 지능적인 위협으로부터 사용자와 고객을 보호한다”고 말했다.
강력하고 편리한 다중인증 필수
재택근무 보안에서 가장 중요한 기술은 사용자 인증이다. 원격지에서 중요 애플리케이션에 접속하려는 사용자가 정상권한을 가진 사람인지, 계정을 탈취한 공격자인지 반드시 확인해야 하며, ID/PW 외에 다른 인증 방식을 사용하는 이중인증/다중인증(2FA/MFA)이 요구된다.
RSA ‘시큐어ID’는 OTP와 MFA를 통해 재택근무 사용자 인증을 지원한다. 온프레미스·멀티 및 하이브리드 환경을 지원하는 시큐어ID는 적응형 상황인지 기술을 제공해 정상 사용자로 위장한 공격자의 접근을 차단한다. 다양한 디바이스를 지원해 사용 편의성을 높인다.
센스톤은 네트워크가 단절된 상황에서도 중복되지 않는 일회용 인증 코드를 발생시키는 ‘OTAC’가 재택근무를 더 안전하게 한다고 강조한다. OTAC는 ID/PW 없이 코드만으로 사용자를 식별해 사용이 편리하며, 인증정보 탈취 공격을 근본적으로 해결할 수 있다.
최경철 센스톤 보안기술이사는 “온라인 피싱으로 유출된 계정과 암호 탈취 악용사례를 방지하기 위해 2차 인증은 기본이며, 추가적으로 계정과 암호를 대체하는 인증체계를 사용하는 것은 VPN과 동일한 보안 가이드라인이 될 것”이라며 “센스톤은 서버 통신 없이 사용자를 검증할 수 있어 폐쇄망이나 네트워크 연결이 어려운 곳에서도 사용자를 확실하고 안전하게 인증할 수 있다”고 설명했다.
라온시큐어는 FIDO 기반 다채널 인증 플랫폼 ‘원패스’, 2FA로 사용 가능한 모바일 OTP ‘터치엔mOTP’, 웹 콘텐츠 유출 방지 솔루션 ‘터치엔 nxWeb’ 등을 제안한다. VDI·VPN을 연동한 보안 솔루션 구축 레퍼런스를 다양하게 확보하고 있으며 재택근무 보안 가이드라인을 만족한다.
최덕훈 라온시큐어 상무는 “보안 공격 트렌드는 끊임없이 변화하며 진화하기 때문에 재택근무 환경 구축은 보다 장기적이고 거시적인 관점에서 접근할 필요가 있다. 보안 솔루션 도입 시에는 최신 보안 기술이 접목된 제품인지 확인할 필요가 있으며, 해당 업체가 풍부한 구축 경험을 갖췄는지도 살펴보아야 한다”며 ”라온시큐어는 VPN, VDI를 연동한 재택근무 보안 솔루션 구축 레퍼런스와 노하우를 기반으로 자회사 라온화이트햇의 화이트해커 연구진을 통한 최신 보안 기술까지 접목시켜 사무실과 동일하게 안정적이고 편리한 재택근무 환경 구축을 지원하기 위해 노력한다”고 말했다.
재택근무자의 얼굴을 인식해 정상 사용자 여부를 판단하는 방법도 사용자 인증에 유용하게 사용된다. 피앤피시큐어의 ‘페이스라커’는 실시간 안면인식으로 재택·원격근무자를 검증해 정상 사용자만 접근하도록 한다. 화면에 다른 사람이 접근하면 화면을 차단하고, 자리를 비웠을 때에도 차단해 중요정보가 유출되지 않게 한다. 감사로그를 암호화해 사고 시 감사 자료로 사용할 수 있다.
단말 무결성 검증·데이터 보호도 필수
재택근무 단말의 무결성 검증은 재택근무 보안 가이드라인에서 요구하는 필수 기술이다. 허가된 단말인지, 침해당했거나 감염 가능성이 있는지 등을 파악하고, 필수 보안 모듈 설치와 최신 보안패치를 실시하는 것도 필요하다. 그래서 NAC가 필수 솔루션으로 꼽히며, 2차인증을 결합해 안전하게 접속다.
지니언스는 재택근무 보안 규정을 검사하고 무결성이 확보된 단말만 업무와 인터넷에 접속하도록 하는 ‘지니안 NAC’를 제공한다. 이 제품은 재택근무자와 단말 인증, 통신 채널 연결 단말 무결성 검사 등을 지원하며, 유사시 접근통제를 수행해 연결부터 종료까지 재택근무자 보안을 강화한다.
재택근무 시 기업·기관이 가장 우려하는 것은 데이터 유출이다. 그래서 사용자 PC에는 어떤 데이터도 저장하지 않도록 하는 것이 안전하다. 이스트시큐리티의 문서중앙화 솔루션 ‘시큐어디스크’는 중앙서버에만 자료를 저장하도록 하고, 모든 문서에 대해 사용자별 접근권한을 부여해 권한없는 공격자가 무단으로 접속해 데이터를 탈취하지 못하게 한다. 허가된 프로세스만 문서 접근이 가능해 랜섬웨어 감염을 차단하고, 메일·메신저를 통한 유출도 막는다.
📰 데이터넷
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164982
[클라우드 보안] 데이터 보호
2021.10.06
분산된 클라우드 방대한 데이터, 적절한 보호 방안 시급
저장·이동중은 물론 사용중 데이터도 보호하는 방법 필요
[데이터넷] 그룹아이비 조사에 따르면 지난 1년간 10만개 이상의 데이터베이스가 공개됐으며, 아마존 S3 등 클라우드 스토리지를 통해 유출된 사고가 15억개 이상이다. ADT캡스 인포섹 조사에서는 2021년 상반기 발생한 개인정보 유출 사고 중 클라우드 서비스 개발과 관리 미흡 등이 구성오류로 인한 것이 40%를 차지했다. IBM은 클라우드 전환 프로젝트를 진행하는 중 데이터 유출 사고가 발생한 기업은 평균보다 18.8% 높은 비용을 지출했다고 분석했다.
이 통계가 이야기하는 것은 클라우드의 데이터 유출이 심각하다는 점이다. 탈레스가 IT 담당 임원을 대상으로 한 조사에서는 50%의 기업은 데이터의 40% 이상을 외부 클라우드에 저장하고 있으며, 클라우드에 저장한 중요 데이터의 절반 이상을 암호화 한 기업은 17%에 불가했다. 엔트러스트 조사에서는 기업 60%가 암호화·토큰화 적용과 상관없이 민감한 데이터를 클라우드에 전송한다고 답했다.
실수 혹은 장애에 의한 데이터 유출 사고도 큰 문제가 된다. 엔트러스트 조사에서는 민감한 데이터를 위협하는 요인으로 53%가 직원의 실수를 꼽았고 31%가 시스템과 프로세스의 오작동을 들었다.
해커의 공격이 위험하다고 답한 경영진은 29%, 임시직·계약직에 의한 위협이 25% 순이었다. 기업·기관은 클라우드 도입에 있어 가장 우려하는 점으로 데이터 유출을 꼽는다. 그러나 정작 클우드로 전환할 때 데이터 보호 전략 수립에 소홀하다. IBM은 유출되는 데이터의 44%가 이름, 이메일, 암호, 의료데이터 등 개인 민감정보이고, 이러한 데이터가 유출됐을 때 피해액이 평균 180달러로, 다른 데이터 유출 시 피해액인 161달러보다 크다고 분석했다.
클라우드 데이터 보호 ‘난제’
데이터 보호를 위해서는 관리하는 모든 데이터를 파악하고 적절한 기준으로 분류하며, 보호·통제 정책을 적용한다. 데이터에 대한 접근권한을 설정하고, 중요한 데이터는 암호화하며, 암호화 키에 대한 강력한 통제를 적용한다. 사용이 끝난 데이터는 안전하게 폐기해 오남용되지 않도록 하는 것까지 관리해야 한다.
그러나 클라우드에는 너무 많은 데이터가 분산되어 기존의 보안 정책을 적용하기 어렵다. 탈레스 설문에 응한 기업들은 대부분 2개 이상 IaaS와 PaaS를 운영하고 있으며, 27%는 50개 이상 SaaS를 이용한다. 엔트러스트 보고서에서는 데이터 보호의 걸림돌로 데이터 위치를 파악하는 역량(65%), 암호화 대상 데이터 분류의 어려움(34%)을 들었다.
데이터 관리의 어려움을 하나의 예로 들어 설명하면, 클라우드 데이터는 백업을 위해 여러 곳에 분산 저장된다. 그런데 데이터가 어디에 저장되는지 명확하게 파악되지 않는다. 데이터를 삭제해야 할 일이 발생해 원본 데이터와 백업 데이터를 삭제했다고 했을 때, 원본 데이터는 삭제됐지만, 분산 저장된 백업 데이터까지 모두 완벽하게 삭제됐다고 안심할 수 없다.
클라우드 데이터를 보호하기 위해서는 암호화가 필수지만, 암호화 시 업무 생산성이 떨어진다. 암호화는 컴퓨팅 리소스를 많이 사용하기 때문에 데이터 처리 속도에 영향을 준다. 암호화는 키관리가 핵심이며, 저장 중인 데이터의 키 관리는 그리 어렵지 않다.
그러나 이동 중인 데이터의 키관리는 쉽지 않다. 데이터와 키를 함께 보내면 중간에 탈취당했을 때 보호받지 못하며, 키에 대한 접근권한을 잘못 설정하거나 접근권한을 훔친 공격자가 접근하는 것을 막지 못한다. 업무 편의를 위해 암호화를 해제한 후 유통하거나 키에 대한 접근권한을 함께 보내면 암호화의 의미가 없어진다.
데이터 라이프사이클 전체 보호하는 거버넌스 필요
사용 중인 데이터는 암호화할 수 없다는 것도 문제다. 특히 여러 사람이 함께 협업할 때, 접근권한 설정을 잘못하거나 권한을 탈취한 공격자가 협업 공간에 들어왔을 때, 악의 혹은 실수로 보호조치 되지 않은 사용 중 데이터를 공개하거나 유출했을 때 발생하는 문제도 심각하다.
온프레미스 환경에서 데이터는 대체로 보호받는 회사 네트워크 내에 저장되기 때문에 일관성 있게 정책을 적용하고 통제할 수 있었다. 이렇게 잘 통제되는 상황에서도 대규모 데이터 유출사고가 빈번하게 발생했는데, 제대로 통제되거나 관리되지 못하는 멀티 클라우드 환경에서는 데이터를 보호하기 어려워질 수밖에 없다. 그래도 데이터 보호의 핵심 원칙을 지켜 관리하는 것이 필요하다.
멀티 클라우드를 위한 데이터 보호 원칙은 다음과 같다.
- 데이터 인식: 데이터 환경을 이해하고 하이브리드 환경에서 중요한 데이터 식별
- 데이터 보호: 민감한 데이터를 분류·라벨링하고, 암호화·워터마킹과 같은 보호조치 적용
- 데이터 관리: 조직의 민감한 데이터와 지적재산권(IP) 손실 방지
- 데이터 거버넌스 수립: 데이터 라이프사이클을 효율적으로 관리하고, 서비스에 맞게 자동 적용할 수 있는 거버넌스 수립
데이터 보호 전략에는 최소 권한 원칙이 포함돼 있어야 한다. 데이터에 접근할 수 있는 권한과 범위를 최소화해 권한 오남용이나 탈취한 권한을 이용한 침해사고를 미연에 방지해야 한다. 접근권한 통제는 직원뿐 아니라 고위 임원과 경영진, 파트너사 및 외부 조직, 사람이 개입하지 않는 IoT와 사물간 통신에도 일관성 있게 적용한다.
클라우드 사용 중 데이터까지 암호화
마이크로소프트는 마이크로소프트365(M365)와 애저에 ‘MIP(Microsoft Information Protection)’를 내장해 모든 데이터를 식별하고 보호하며 추적·관리한다. AI와 인텔리전스를 이용해 분산된 모든 데이터를 분류하고 정황 정보를 적용시켜 정책을 생성하고 배포한다. 다양한 협업 환경에서 생산성을 해치지 않고 데이터를 보호할 수 있도록 마이크로소프트와 써드파티의 다양한 협업·커뮤니케이션 툴을 지원하는 보안 정책을 제공한다.
사용 중인 데이터는 상황인지 기반 접근 통제를 적용해 권한 없는 사람이나 권한을 탈취한 공격자가 무단으로 접근해 유출하는 것을 막고, 데이터를 수정·변경하는 모든 이력을 모니터링해 이상행위를 감지하고, 모든 작업 내용을 녹화해 사고 발생 시 조사자료로 사용하는 등의 조치를 취하게 된다.
이러한 조치로 데이터 침해 위협을 낮출 수 있지만 암호화 수준의 보호를 제공할 수 없다. 랜섬웨어의 경우 데이터 접근 권한을 획득한 후 일시에 데이터를 유출하고 암호화하기 때문에 접근통제 정책만으로 보호하기는 어렵다.
소프트캠프는 클라우드 환경, 특히 협업 중인 환경에서도 중단 없는 암호화로 데이터를 보호하는 클라우드 스토리지 보안 중개(CSSB) 서비스 ‘실드라이브(SHIELDrive)’를 소개한다. 소프트캠프의 문서 암호화 전문성을 클라우드 데이터에도 적용한 실드라이브는 클라우드의 모든 데이터를 암호화해 보안 수준이 낮은 데이터를 이용한 피해까지 사전 차단한다. 파일 제목까지 난독화해 권한 없는 사람들이 파일명으로 중요한 데이터 여부를 판단하지 못하게 한다.
이와 함께 문서DRM을 클라우드에서 구현한 ‘실디알엠(SHIELDRM)’으로 멀티 클라우드의 데이터 보호 문제를 해결한다. 실드라이브와 실디알엠은 MIP와 같은 클라우드 서비스 사업자(CSP)가 제공하는 데이터 보호 기능을 모두 사용하면서, 그들이 제공하지 못하는 중단없는 암호화와 키관리, 제목까지 난독화해 완전한 데이터 보호가 이뤄질 수 있도록 한다.
데이터 암호화, 키관리가 핵심
데이터 암호화는 데이터를 보호하는 가장 안전한 방법이지만, 키관리에 실패했을 때 무용지물이다. 암호화 키는 암호화 데이터와 분리된 네트워크에서 관리되어야 하지만, 암호화 데이터와 키가 멀리 떨어져있으면 암·복호화 처리 속도가 느려진다.
CSP에서 제공하는 데이터 암호화와 키관리 서비스를 사용하면 효율적으로 암호화 데이터를 보호할 수 있지만, 기업이 완벽하게 데이터 통제권을 갖지 못한다는 우려가 있다. 그래서 암호화 데이터와 키는 가까이 두고, 키에 대한 마스터키를 기업이 관리하는 방법을 추천한다. 암호화 키에 대한 접근권한만 마스터키에서 통제하기 때문에 속도저하 문제를 우려하지 않아도 된다.
클라우드 데이터를 삭제해야 할 때, 마스터키를 통해 해당 데이터의 키를 삭제하면 클라우드에 있는 데이터에 접근할 수 없기 때문에 분산된 클라우드에 삭제되지 않고 남아있는 데이터로 인해 문제가 생길 것을 걱정하지 않아도 된다.
마스터키는 강력한 암호화와 접근통제를 적용한 안전한 키관리 시스템으로 관리되어야 한다. 가장 보안 수준이 높은 하드웨어 보안 모듈(HSM)을 사용하는 것이 권고되며, 탈레스의 ‘루나’, 엔사이퍼의 ‘엔쉴드’가 글로벌 시장을 양분하고 있다.
이 시장에 새로운 경쟁자들이 등장하기 시작했다. 에스케어에서 국내에 공급하는 포타닉스는 하드웨어 기반(HSM)과 소프트웨어 기반(SGX) 암호/인증 키관리를 함께 제공하며, 동형암호화 수준의 안정성을 보장하는 강력한 키관리 시스템을 제공한다.
이 솔루션은 유연하고 비용 효율적이면서도 높은 보안성을 준수할 수 있으며, 가장 까다로운 환경에서도 강력하게 키를 보호한다. 진화하는 비즈니스 요구사항을 충족할 수 있도록 확장 가능해 유연성과 보안성이 요구되는 다양한 서비스에 적용될 수 있다.
포타닉스는 데이터 보호를 위한 모든 기술을 단일 플랫폼으로 제공한다. 키 관리, 암호화, 토큰화, 기밀 정보 관리, 커스텀 코드 등이 단일 플랫폼에서 제공되며, 멀티·하이브리드 클라우드, 데브옵스·데브섹옵스 등 다양한 클라우드 환경에서도 애플리케이션 수정 없이 데이터를 보호한다.
세분화된 액세스 제어, 키 수명주기 관리, 성능이 향상된 암호화, 마이크로 서비스 환경을 위한 보안 기밀 보호 등을 제공한다. AWS, 애저, GCP 등 퍼블릭 클라우드와도 통합되며, 추가 분석을 위한 다른 보안 툴과도 원활하게 통합된다.
사용 중 데이터 암호화하는 컨피덴셜 컴퓨팅
포타닉스가 가진 장점 중 하나는 인텔 SGX를 기반으로 설계돼 사용 중인 데이터까지 보호할 수 있다는 것이다. 인텔 SGX는 컨피덴셜 컴퓨팅 기술을 적용해 하드웨어 단에서 사용 중 데이터까지 암호화해 보호한다. 포타닉스는 SGX 기반 암호화 기술을 상용화한 ‘컨피덴셜 컴퓨팅 매니저(CCM)’를 클라우드와 마이데이터 시장에 적극 알리고 있다.
클라우드 데이터를 삭제해야 할 때, 마스터키를 통해 해당 데이터의 키를 삭제하면 클라우드에 있는 데이터에 접근할 수 없기 때문에 분산된 클라우드에 삭제되지 않고 남아있는 데이터로 인해 문제가 생길 것을 걱정하지 않아도 된다.
마스터키는 강력한 암호화와 접근통제를 적용한 안전한 키관리 시스템으로 관리되어야 한다. 가장 보안 수준이 높은 하드웨어 보안 모듈(HSM)을 사용하는 것이 권고되며, 탈레스의 ‘루나’, 엔사이퍼의 ‘엔쉴드’가 글로벌 시장을 양분하고 있다.
이 시장에 새로운 경쟁자들이 등장하기 시작했다. 에스케어에서 국내에 공급하는 포타닉스는 하드웨어 기반(HSM)과 소프트웨어 기반(SGX) 암호/인증 키관리를 함께 제공하며, 동형암호화 수준의 안정성을 보장하는 강력한 키관리 시스템을 제공한다.
이 솔루션은 유연하고 비용 효율적이면서도 높은 보안성을 준수할 수 있으며, 가장 까다로운 환경에서도 강력하게 키를 보호한다. 진화하는 비즈니스 요구사항을 충족할 수 있도록 확장 가능해 유연성과 보안성이 요구되는 다양한 서비스에 적용될 수 있다.
포타닉스는 데이터 보호를 위한 모든 기술을 단일 플랫폼으로 제공한다. 키 관리, 암호화, 토큰화, 기밀 정보 관리, 커스텀 코드 등이 단일 플랫폼에서 제공되며, 멀티·하이브리드 클라우드, 데브옵스·데브섹옵스 등 다양한 클라우드 환경에서도 애플리케이션 수정 없이 데이터를 보호한다.
세분화된 액세스 제어, 키 수명주기 관리, 성능이 향상된 암호화, 마이크로 서비스 환경을 위한 보안 기밀 보호 등을 제공한다. AWS, 애저, GCP 등 퍼블릭 클라우드와도 통합되며, 추가 분석을 위한 다른 보안 툴과도 원활하게 통합된다.
사용 중 데이터 암호화하는 컨피덴셜 컴퓨팅
포타닉스가 가진 장점 중 하나는 인텔 SGX를 기반으로 설계돼 사용 중인 데이터까지 보호할 수 있다는 것이다. 인텔 SGX는 컨피덴셜 컴퓨팅 기술을 적용해 하드웨어 단에서 사용 중 데이터까지 암호화해 보호한다. 포타닉스는 SGX 기반 암호화 기술을 상용화한 ‘컨피덴셜 컴퓨팅 매니저(CCM)’를 클라우드와 마이데이터 시장에 적극 알리고 있다.
모든 데이터를 암호화하는 것은 생산성을 떨어뜨리는 요인이 된다. 그렇다고 해서 중요도가 떨어지는 데이터를 암호화하지 않고 방치하는 것도 안 된다. 그래서 모든 데이터에 대해서 적절한 접근통제 기술이 적용돼야 한다.
컨피덴셜 컴퓨팅은 칩에 암호화 저장소인 시큐어 엔클레이브를 만들어 이용 중인 데이터와 애플리케이션을 보호한다. 시큐어 엘리먼트(SE), 신뢰 플랫폼 모듈(TPM)과 유사한 기술이지만, SE와 TPM은 프로그래밍 할 수 없으며, 구동할 수 있는 애플리케이션에 제약이 있다.
컨피덴셜 컴퓨팅은 이 문제를 해결할 수 있는 대안으로 떠오르고 있으며, 마이크로소프트, 인텔, 구글, ARM 등 세계 주요 IT 기업들이 컨피덴셜 컴퓨팅 컨소시엄(CCC)을 결성해 기술 개발과 표준화를 위해 노력하고 있다.
포타닉스는 스타트업이지만 CCC에서 활동하며 주목받고 있으며, 애플리케이션 수정 없이 컨피덴셜 컴퓨팅 기술을 이용해 하드웨어 기반 암호화로 데이터를 보호할 수 있게 한다. 포타닉스는 저장중·이동 중 데이터를 보호하는 ‘데이터 시큐리티 매니저(DSM)’와 CCM을 함께 제안해 모든 환경에서 데이터를 보호할 수 있다.
CCC 설립멤버인 마이크로소프트는 애저에 컨피덴셜 컴퓨팅 기술을 내재화했다. 애저는 오픈 엔클레이브 SDK를 제공하며, 기존 애플리케이션을 보안 엔클레이브에 적용시켜 애플리케이션 수준에서 데이터의 기밀성을 보장한다. AKS(Azure Kubernetes Service)에서 지원하는 컨테이너를 보호하며, 관리형 HSM과 함께 애저 키 볼트(Azure Key Vault)를 사용해 키를 기밀성 있게 관리한다.
CCC 설립멤버에는 레드햇도 있다. IBM은 레드햇과 함께 컨피덴셜 컴퓨팅 기술로 데이터를 보호하는 기술을 속한다. IBM의 ‘시큐리티 가디엄’은 쿠핑어콜 조사에서 데이터 보호 부문 리더로 선정됐으며, 데이터의 적절한 분류와 정책 적용, 관리를 통해 데이터 라이프사이클 전반에 걸친 보호를제공한다.
AI를 활용해 데이터 접근과 활용에 대한 이상행위를 탐지하고 온프레미스와 모든 클라우드 환경을 지원한다. 다양한 종류의 데이터베이스를 지원하는데, 특히 제조망에서 사용하는 데이터베이스까지 지원해 모든 산업군에서 활용하고 있다.
데이터 접근제어로 보호 효과 높여
암호화는 데이터를 가장 안전하게 보호하는 방법이지만, 암호화는 많은 컴퓨팅 리소스가 필요하 고 업무에 영향을 주기 때문에 모든 데이터를 암호화하는 것은 생산성을 떨어뜨리는 요인이 된다. 그렇다고 해서 중요도가 떨어지는 데이터를 암호화하지 않고 방치하는 것도 안 된다. 그래서 모든 데이터에 대해서 적절한 접근통제 기술이 적용돼야 한다.
데이터의 중요도, 업무 연관성, 접근하는 사람의 권한, 접근하는 상황 등을 고려해 데이터 접근통제 정책이 적용돼야 하며, 클라우드에서도 동일한 정책으로 관리할 수 있어야 한다.피앤피시큐어는 클라우드 통합접근제어 ‘디비세이퍼 포 클라우드’를 통해 일관된 사용자 인증과 식별, 계정관리, 접근통제, 보안관리를 적용한다. DB 접근제어 솔루션 ‘디비세이퍼’는 모든 데이터베이스와 클라우드에 최적화돼 DB 접근 및 권한제어, SQL 감사, 로깅, 개인정보 보호와 유출방지를 제공한다.
DB와 파일을 암호화하는 ‘데이터크립토’는 커널 레벨 암호화로 애플리케이션 수정 없이 간편하게 설치할 수 있으며, 클라우드의 다양한 OS도 지원한다. 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’는 개인정보 서버에 접근하는 기록을 관리해 권한 오남용이나 권한탈취 공격자의 접근을 모니터링하고 제어한다.
📰 데이터넷
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164982
[클라우드 보안] ZTNA·차세대 인증
2021.10.05
누구나 접속 가능한 클라우드, 제로 트러스트 보안 원칙으로 통제
강력하고 편리한 인증으로 제로 트러스트 이상 완성
[데이터넷] 제로 트러스트(Zero Trust)는 코로나19로 가장 몸값을 높인 보안 키워드다. 전통적인 IT 환경은 ‘경계 네트워크 안에서의 접속은 신뢰할 수 있다’는 것을 전제로 보안을 설계했지만, 클라우드와 재택근무가 확산되면서 물리적인 보안 경계가 사라져서 신뢰를 전제로 한 보안 정책이 소용 없게 됐다. 그래서 모든 접속에 대해 비신뢰 원칙을 적용해 접속할 때마다, 접속 대상과 기기를 확인하도록 하는 제로 트러스트가 부상하게 됐다.
제로 트러스트 원칙에 따라 보안을 새롭게 설계한 조직들은 사이버 침해로 인한 피해를 줄일 수 있다는 통계도 나와서 제로 트러스트에 대한 관심이 더욱 집중된다. IBM 조사에 따르면 제로 트러스트 접근 방식의 성숙단계에 있는 기업이 그렇지 않은 기업보다 데이터 유출 사고 시 피해를 절반 정도로 줄일 수 있는 것으로 나타났다.
VPN 대체·개선 위해 도입되는 ZTNA
제로 트러스트는 보안에 대한 새로운 패러다임으로, 이를 구체화하는 기술과 방법은 매우 다양하다. 그래서 가트너는 제로 트러스트 개념 중 ‘접속’에 초점을 맞춰 ‘제로 트러스트 네트워크 액세스(ZTNA)’ 시장을 별도로 분리해 설명한 바 있다.
ZTNA는 대체로 VPN을 대체하거나 개선하면서 원격·분산환경의 업무 생산성과 보안성을 높이기 위해 시작된다. 그러나 기존의 네트워크 인프라를 전면 교체해야 할 수 있으며, 업무 방식의 상당한 변화도 필요하기 때문에 사전에 철저한 준비가 필요하다. 가트너의 ‘제로 트러스트 이행을 위한 베스트 프랙티스’에서는 다음의 항목을 고려해 제로 트러스트를 이행할 것을 권고했다.
· 기존 VPN처럼 ZTNA를 구현하지 말 것
모든 사용자에게 모든 애플리케이션 액세스 권한을 부여하면 VPN과 ZTNA가 다를 바 없다. 중요한 애플리케이션에 대한 강력한 접근권한 적용, 계약업체 등의 그룹에 최소 권한 부여 등의 정책을 마련해 적정하게 배포해야 한다.
· 필요한 응용프로그램 파악 ZTNA를 사용해 접근하는 애플리케이션과 액세스 권한을 파악하고 ZTNA를 배치한다. 어떤 사용자가 어떤 애플리케이션에 액세스 하는 것이 좋은지 파악하는 것은 ZTNA 도입 초기에 미리 완료하는 것이 혼란을 덜 수 있는 방법이다.
· 응용프로그램 액세스 제어
필요한 애플리케이션에 필요한 권한 사용자만 접근하도록 하며, 불필요하거나 과도한 권한을 제거한다. 퇴사자, 임시계약직 등 수시로 변경되는 권한을 반영해 최신의 상태를 유지하도록 한다.
· 변화하는 비즈니스 요구사항에 맞게 정책 조정
비즈니스 요구사항에 맞게 ZTNA 정책을 지속적으로 조정해야 한다. 한 번 설정하고 잊어버리는 전통적인 접근방식은 변화가 많은 클라우드 환경을 보호하지 못한다. 새로운 애플리케이션이 배치되거나 비즈니스에 벼화가 있을 때마다 세분화되고 제한적인 권한 정책을 설정하고 개선해야 한다.
· 비즈니스 리더와 협상
일부 경영진은 ZTNA 마이그레이션으로 사용자 환경이 나빠졌다고 이의를 제기하면서 갈등을 일으 킬 수 있다. 갈등이 생기기 전 ZTNA가 VPN보다 뛰어난 유연성을 제공한다는 것을 설명하고 실제 결과로 보여줘야 한다. 컨텍스트 기반 다중인증(MFA), ZTNA에 내재된 편의성 기능 등을 이용해 보안과 생산성이 향상됐다는 사실을 입증해나간다.
다양한 활용사례 가능한 SDP
ZTNA를 구현하는 방법 중 소프트웨어 정의 경계(SDP)는 확장성이 높고, 원격지 접속의 VPN 사용을 의무화한 국내 공공·금융 재택근무 가이드라인도 만족할 수 있어 국내 여러 기업·기관이 주목하고 있다.
SDP는 엔드포인트에 에이전트를 설치하고, 컨트롤러를 통해 통제해야 하는데, 이 프로세스에 NAC 기술이 활용될 수 있다. 가트너의 NAC 시장 가이드에서는 ZTNA가 NAC를 흡수하고 있으며, SASE 프레임워크 통합 과정에서 NAC를 통합한 ZTNA가 원격·로컬 캠퍼스 사용자를 제어할 것이라고 밝혔다.
엠엘소프트는 NAC와 IT 자산관리 솔루션을 공급해 온 차별화된 경쟁력을 강조하며 시장 공략에 나섰다. 엠엘소프트의 ‘티게이트 SDP’는 기존 네트워크 구성 변경을 최소화하면서 SDP를 구축할 수 있도록 지원하며, 재택근무 가이드라인, 망분리 환경에서 재택근무와 클라우드 사용 등 다양한 환경에서 ZTNA를 구현할 수 있도록 돕는다.
국내 스타트업인 프라이빗 테크놀로지는 독자 개발한 애플리케이션 접속제어 기술이 탑재된 가상게이트를 통해 SDP를 구현한다. 직원, 파트너, 고객 등 애플리케이션에 접속하려는 사용자는 프라이빗 가상 게이트를 통해 접속할 수 있다.
사용자의 위치에 상관없이 가장 가까운 클라우드에 접속이 가능하며, 가상 게이트에서 사용자와 기기, 상황을 검증한 후 접속토록 해 ZTNA의 중요한 요건을 만족시킨다. VPN을 대체하는 가상 게이트는 VPN 보다 성능 5배 향상, 비용절감 효과가 매우 높다. 이 제품은 조달청 혁신 시제품으로 지정 돼 공공기관에 공급되고 있으며, 다수 국내외 특허를 기반으로 독자적인 시장을 형성, 국내외 다양한 기업에 적용됐다.
NAC 전문기업 지니언스도 SDP 솔루션 출시를 예고하며 시장 진출을 예약했다. 완성도 높은 NAC 기술을 기반으로 개발된 SDP는 향후 출시 예정인 SASE 플랫폼에 통합돼 클라우드와 원격·재택근무를 보호한다는 계획이다. 지니언스는 가장 광범위한 엔드포인트 지원 기능을 활용해 안정성 높은 SDP를 제공할 계획이다.
브라우저로 간편하게 구현하는 ZTNA
가트너는 ZTNA 구현 방법의 대표적인 두 가지 모델로 ▲엔드포인트에서 시작한 SDP 아키텍처 ▲서비스에서 시작한 브라우저 기반 ZTNA를 소개한 바 있다. 엔드포인트 기반 SDP는 앞서 소개한 아키텍처로, 클라우드 보안 연합(CSA)이 상용화해 여러 글로벌 기업들이 채택하고 있다.
서비스 기반 모델은 구글의 비욘드코프가 대표적인 사례로, 브라우저를 통해 모든 사용자와 모든 애플리케이션을 제로 트러스트 원칙으로 연결한다. ‘비욘드코프 엔터프라이즈’는 크롬 브라우저를 통해 애플리케이션에 연결하며, 사용자 계정과 권한, 상황, 디바이스 상태를 검증해 안전한 접속 환경을 구축한다. 강력한 피싱방지 인증과 지속적인 인증, 데이터 보호 등의 기능을 제공하며, VPN이나 에이전트 설치 없이 사용할 수 있어 사내 임직원 뿐 아니라 고객사, 파트너, 외주직원도 제한없이 ZTNA를 적용한 분산·원격업무가 가능하다.
구글은 이외에도 컨피덴셜 컴퓨팅 기술을 적용한 강력한 데이터 보안과 클라우드 기반 네트워크 위협 탐지 시스템 ‘클라우드 IDS’, 네트워크 보안 분석 플랫폼 ‘크로니클’ 등의 보안 기술을 제공한다. 또 화상회의 솔루션 ‘구글 미트’에 개인정보 보호를 위한 엔터프라이즈 급 보안 인프라와 기능을 탑재했다.
브라우저를 이용한 ZTNA는 여러 기업들이 활용하고 있다. 포스포인트, 비욘드시큐리티, 체크포인트 등이 VPN 없이 브라우저로 원격접속하는 솔루션을 제공하고, 이를 통해 ZTNA를 구현한다고주장한다. 국내 기업들도 알서포트 등이 브라우저를 이용한 원격접속으로 재택·원격근무를 지원하고 있다.
SASE 일원으로 작동하는 ZTNA
ZTNA는 특별히 정해진 구현 모델이 있는 것은 아니다. 보호해야 할 애플리케이션은 외부에 노출되지 않도록 보호하고, 접속을 요청하는 사람이나 기기의 권한과 상황을 파악해 허가-차단하며, 접속 가능한 범위와 시간을 최소화해 권한을 탈취한 공격자로 인한 침해 가능성을 최소화하는 것이 주요 요건이다.
이 요건을 충족시키는 원격접속 솔루션이 다양하게 제안되고 있는데, 지스케일러는 ‘ZPA’ 솔루션으로 모든 위치, 모든 사용자와 기기를 안전하게 보호되는 애플리케이션으로 접속할 수 있도록 한다. ZPA는 강력한 ID 관리 솔루션을 이용해 사용자와 기기의 ID·상태를 확인하고 정상 권한 사용자가 정상 상황에서만 애플리케이션에 접속하도록 한다. 애플리케이션 세그멘테이션으로 접속 범위를 최소화해 공격자의 수평이동을 차단한다. 사용자와 가장 가까운 서비스 엣지를 통해 애플리케이션에 접속하게 해 지연 없이 애플리케이션에 접속하도록 한다.
팔로알토 네트웍스는 SASE 플랫폼 ‘프리즈마 액세스’에 ZTNA를 통합시켰다. 프리즈마 액세스는ID·역할기반 제어로 권한 있는 사용자의 접근만을 허용하며, 중앙집중 관리를 통해 애플리케이션 접속과 사용자 행위를 모니터링한다. 최소 권한 정책을 적용해 정상 접속도 지속적으로 인증 받게 했으며, 자격증명을 도용하거나 멀웨어·데이터 손실 징후, 기타 악의적 활동을 모니터링해 이상행위를 지속적으로 탐지한다.
포티넷은 차세대 방화벽에 ZTNA 기능을 탑재해 원격환경에서도 속도 저하 없이 보안 접속이 가 능하게 했다. SD-WAN, SASE 플랫폼으로도 사용되는 포티넷 차세대 방화벽은 액세스 프록시 기능을 제공해 어디서나 애플리케이션을 호스팅하고 원활한 사용자 경험을 구현할 수 있게 한다.
국내 기업인 모니터랩도 SASE에 포함되는 ZTNA를 출시하고 시장 공략에 나섰다. 모니터랩 ZTNA는 특화된 프록시 기술을 이용해 원격에서 안전하게 사용자를 애플리케이션에 연결시킨다. ID·컨텍스트 분석으로 정상 사용자·정상 환경에서만 접속을 허용하며, 엣지 컴퓨팅을 활용해 사용자와 가장 가까운 클라우드로 연결시켜 연결지연을 최소화한다.
상황인지·지속인증으로 ZTNA 완성
ZTNA의 핵심은 ‘지속적인 인증’이다. 클라우드 도입으로 비대면 업무가 늘어나면서 사용자가 정상 환경에서 접속을 요청하는지 관리조직이 물리적으로 확인하지 못한다. 그래서 접속을 요청하는 사용자를 지속적으로 검증하면서 정상 권한 내에서만 활동하도록 해야 한다.
이는 부정하게 획득한 접속 권한으로 침투하려는 시도가 클라우드에서 크게 늘어나기 때문이다. ADT캡스에 따르면 2021년 상반기 가장 많이 발생한 침해시도가 크리덴셜 스터핑(32.5%), ID/PW 무차별 대입 공격이 23.6%였다. IBM 조사에서는 데이터 유출 사고의 44%가 인증정보를 도난당한 것이며, 데이터 유출 사고 원인의 20% 이상이 도용된 인증정보로 인한 것이다.
이 같은 계정·권한 침해시도를 차단하기 위해서는 계정탈취 시도를 막고, 탈취한 계정으로 접속하는 것을 찾아 차단해야 한다. 가장 확실한 방법은 강력한 인증으로 탈취한 계정 정보로 접속하지 못하게 하는 것이다. 다단계 인증(MFA)이 대표적인 방법으로, 업무 시스템의 중요도에 따라 강화된 인증을 추가한다. 중요하지 않은 일반 서비스 로그인은 ID/PW만으로, 중요한 시스템 로그인은 ID/PW와 OTP·생체인증 등을 추가하는 방법을 사용한다.
RSA의 차세대 인증 솔루션 ‘시큐어ID(SecurID)’는 리스크 기반 신원인증으로 제로 트러스트 이상을 실현한다. MFA 솔루션 ‘시큐어ID 어센티케이트’는 전용 앱을 사용해 안전성이 높으며, 지문·안면인식 등 사용자 기기의 고유 인증방식을 사용해 편리하게 구현할 수 있다. 개별 업무 중요도에 따라 인증방식을 선택적으로 적용할 수 있어 편의성과 보안성을 만족시킬 수 있다 OTP 솔루션 ‘시큐어ID 소프트웨어 토큰’은 안전한 일회용 비밀번호를 생성시켜 로그인 보안을 강화한다. 전용 모바일 앱이나 웹, 전용 단말기 등 다양한 방식으로 제공될 수 있으며, 온프레미스나 멀티·하이브리드 클라우드 등 모든 환경을 지원한다.
RSA는 OTP 원천기술을 가진 기업으로, 전 세계에서 가장 높은 점유율과 가장 다양한 성공사례를 확보하고 있다. 국내에서도 모든 산업군, 모든 환경에 가장 많은 구축사례를 확보하고 있으며, 상용 소프트웨어는 물론 인하우스·써드파티 개발 애플리케이션과도 원활하게 호환된다.
리소스·사람·데이터 위한 ID 관리 필수
인증은 사용자와 기기의 계정(ID)을 확인하고 해당 ID에 부여된 권한 내에서 접속하도록 허가하는 과정이라고 할 수 있다. 이 과정에서 가장 먼저 ID 관리가 필요한데, 마이크로소프트 액티브 디렉토리(AD)가 이 분야를 대표하는 솔루션이라고 할 수 있다. AD는 사용자 환경과 위치, 디바이스 위험도를 측정해 액세스를 허용·제한·차단한다. 암호 없는 인증, 임시 액세스 패스, 조건부 액세스 등을 적용해 ▲적절한 리소스를 보유한 ▲적절한 사람만 ▲적절한 데이터에 접근할 수 있게 한다.
SSO를 쉽게 적용해 원하는 디바이스에서 모든 서비스에 간편하게 접속할 수 있도록 하며, HR에 연결된 사용자가 접속할 수 있는 액세스 패키지를 자동으로 부여해 ID 관리 업무를 최소화한다. 권한이 부여되는 시간과 범위를 최소화한 JIT·JEA, 사용자 프로비저닝 자동화를 통해 항상 검증된 사용자와 기기만 접속할 수 있게 한다.
ID 관리 기업 옥타 아이덴티티도 제로 트러스트 구현을 위한 솔루션을 추가하면서 시장 공략에 나섰다. 옥타 아이덴티티는 서비스형 ID(IDaaS) 전문기업으로, ID 관리와 접근관리를 통합한 IAM‘WIP(Workforce Identity Products)’와 고객 계정관리를 위한 ‘CIP(Customer Identity Products)’를 공급한다. SSO, 적응형 MFA를 지원하고, 모든 사용자와 그룹, 장비를 한 곳에서 관리하는 유니버설 디렉토리, 패스워드 없는 실시간 인증 지원 등을 제공한다.
클라우드 확산으로 PAM 부상
사람이나 기기가 업무에 할당되면 계정을 받게 되는데, 많은 계정 중에서도 중요한 변경 권한이 있는 계정을 ‘특권계정’이라 한다. 특권계정은 시스템의 중요 설정을 변경하고 애플리케이션·계정 추가·삭제, 중요 데이터 접근과 암·복호화 등 다양한 활동이 가능하다.
특권권한을 중요 시스템의 상위 관리자에게만 부여된다고 생각할 수 있지만, 사실상 거의 대부분의 사람들이 특권권한을 갖는다고 할 수 있다. 윈도우 PC 사용자는 자유롭게 애플리케이션과 계정을 추가·삭제할 수 있는데 이 권한이 특권권한이다. 사실상 거의 대부분의 사람이 특권권한을 갖는다고 할 수 있다.
특권권한은 거의 모든 일을 할 수 있기 때문에 강력한 통제가 필요하다. 특히 권한관리가 쉽지 않은 클라우드에서 더욱 중요도가 높으며, 특권권한 접근제어(PAM)가 ZTNA의 필수 요소로 꼽힌다.
PAM은 ▲모든 권한 있는 계정 추적·보호 ▲액세스 관리와 제어 ▲특권활동 기록과 감사 ▲권한 있는 작업 운영 등의 기능을 한다. 특권 계정·세션 관리(PASM), 특권 평가·위임 관리(PEDM), 비밀번호 관리, 클라우드 인프라·자격 관리(CIEM) 등의 기능이 필수로 요구되며, 제로 트러스트를 위한 JIT·-JEA도 필수 요건으로 꼽힌다.
가트너 매직쿼드런트에 새롭게 리더 그룹으로 합류한 퀘스트소프트웨어 보안사업부인 원 아이덴티티는 ‘세이프가드’ PAM 기능을 강화, 특권 계정을 안전하게 저장, 관리, 인증, 기록, 감사, 분석하는 기능을 제공해 특권 권한 계정과 관련된 부담과 우려를 해소할 수 있게 한다. 또 엔드포인트 특권관리 솔루션을 출시하고 AD, 애저 AD, 윈도우 데스크톱, 리눅스·유닉스, 맥OS 등 다양한 OS를 지원, 포괄적인 엔드 투 엔드 엔드포인트 PAM을 제공한다.
이어 ‘세이프가드 데브옵스 시크릿 브로커’를 추가하며 데브옵스 도구 통합 지원도 공개했다. 이 솔루션은 데브옵스 업무에서 발생하는 특권 접근 관리 감독이 가능하며, 미인가 접근을 제거하는 기능을 통해 애플리케이션 개발 과정에서 네트워크와 데이터를 보호할 수 있다.
더불어 퀘스트는 VPN 없이 원격접속을 지원하는 ‘세이프가드 리모트 액세스’로 재택·원격근무 시장을 공략한다. 브라우저 기반 기술과 연합인증을 사용해 ZTNA를 구현했으며, 사용자·관리자 생산성을 개선할 수 있도록 개선된 환경을 지원한다.
국내기업 진출 시동거는 PAM
PAM 시장의 전통적인 강자인 사이버아크는 PAM의 필수 기능과 JIT를 구현하며, 엔드포인트 특권관리도 SaaS로 제공한다. 완성된 CIEM 솔루션을 갖고 있으며, ITSM·ID 거버넌스 및 관리(IDG) 도구와 원활한 통합을 지원한다. 국내에서도 대규모 공급사례를 다수 확보하면서 PAM 시장을 공략한다.
비욘드트러스트는 엔드포인트 특권관리와 브라우저 기반 원격접속 솔루션의 경쟁력을 강조하면서 국내 시장을 확장하고 있다. 비욘드트러스트의 엔드포인트 PAM은 금융권 컴플라이언스를 위해 공급된 사례를 다수 갖고 있으며, 편리한 원격접속과 포괄적이고 통합된 엔터프라이즈 PAM을 제공해 제로 트러스트 기반 접속을 구현할 수 있게 한다.
계정관리는 접근권한 관리와 함께 작동해야 제로 트러스트를 완성할 수 있다. 그래서 통합계정접근관리(IAM) 솔루션이 클라우드 지원 기능을 확대하면서 경쟁력을 인정받고 있다. 또 부정행위 탐 지·인증이 통합되면서 권한을 탈취한 공격자의 접근을 제어한다.
클라우드 지원 IAM ‘주목’
다양한 클라우드를 지원하는 휴네시온의 IAM ‘NGS’는 게이트웨이와 에이전트 방식, 하이브리드 방식을 지원해 기업 환경에 맞게 선택 도입할 수 있으며, 여러 방식의 MFA를 지원한다. 클라우드 사용자 접근권한 관리, 모니터링, 감사를 수행해 클라우드 환경에서 재난관리시스템 운영이 필요한 다수 지방자치단체 등 공급사례를 다수 갖고 있다.
피앤피시큐어는 클라우드를 포함한 다양한 영역에 대한 포괄적인 통합 인증·접근제어를 지원하는 U-IAM 전략을 드라이브한다. DBMS, 시스템, 애플리케이션·OS에 대한 IAM과 접근통제 기술을 접목한 데이터 보안, 개인정보 접속기록 관리 등을 지원한다.
📰 데이터넷
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164976
[포스트 코로나 시대 주목받는 기술] 제로 트러스트
2021.09.23
‘신뢰하지 않고 검증한다’ 원칙 보안 정책 수립해야
강력하고 지속적인 인증·모니터링으로 경계 없는 디지털 환경 보호
[데이터넷] 제로 트러스트가 유행하며 많은 정의와 구현 방법이 제안되고 있다. 이 주장들의 공통된 사항은 ‘인증’과 ‘모니터링’이다. 사용자와 기기가 정상 계정과 권한으로 정상 상황에서 접근을 요청하는지 확인 후 인가하고, 접속 후 이상행위가 발생하지 않는지 지속적으로 모니터링 하는 것이 제로 트러스트의 핵심 원칙이다.
또한 업무 시스템과 애플리케이션은 공격자가 침투 시도를 위해 스캔하지 못하도록 안전하게 보호해야 하며, 업무 시스템과 애플리케이션에서는 사용자·엔티티 행위분석으로 정상 권한 사용자라도 이상행위를 찾아내며, 지속적인 인증과 모니터링으로 권한탈취 사용자의 수평·수직이동을 막아야 한다.
간편하고 강력한 추가인증
제로 트러스트를 위해 필요한 첫 번째 항목인 ‘인증’은 접속하려는 사용자·기기의 계정과 권한, 상황 정보를 확인하고 접속 허가-차단을 결정하는 단계다. 최소 권한 원칙에 따라 한 계정에서 접근 가능한 시간과 범위를 최소화해 정상사용자로 위장한 공격자가 이상행위를 할 수 있는 범위를 최소화한다.
잦은 인증 요청으로 인한 불편을 줄이기 위해 무자각 지속인증이 도입될 수 있다. 예를 들면 스크린의 카메라를 통해 일정 시간 단위로 얼굴인증을 하면, 사용자는 모니터를 보고 일하는 것만으로도 인증절차를 끝낼 수 있다. 재택·원격근무 환경에서 다른 사람이 대신 작업하거나, 공격자가 사용자 모르게 악성 행위를 하는 것도 찾아낼 수 있다.
인증을 강화하기 위해 2차인증·다중인증(2FA·MFS)을 사용하는 것도 필요하다. 최근 MFA는 스마트폰을 이용하는 경우가 많은데, 스마트폰이 자체적으로 갖고 있는 생체인증·간편 비밀번호 인증 등을 통해 본인을 확인한 후 업무를 이어가게 한다.
RSA ‘시큐어ID’는 강력한 MFA와 OTP 기술로 제로 트러스트 환경의 인증 보안을 담당한다. RSA는 암호 분야의 선구자이면서 OTP 원천기술을 가진 기업이다. 모든 종류의 디바이스, OS·웹·앱 환경, 가장 강력한 보안으로 보호되는 전용앱을 통해 OTP와 MFA를 지원한다. 다양한 인증 및 권한관리 기술과 유연하게 연동될 수 있으며, 쉽게 구축·관리·사용이 가능하다.
계정탈취공격 막기 위한 ID 관리 솔루션 필수
계정관리와 접근관리는 제로 트러스트 시작을 위한 중요한 기술이다. 사용자·기기에 계정을 발급하고, 상황에 따라 회수·제거하는 자동관리 시스템은 퇴사자, 삭제된 기기 등 사용 종료된 계정이나 변경된 계정을 효과적으로 관리할 수 있게 한다.
공격자들이 계정을 탈취해 권한 사용자로 위장해 접근하기 때문에 계정관리는 매우 중요하다. 최근 심각한 수준으로 번지고 있는 크리덴셜 스터핑, 계정탈취 공격 등이 위험성을 알려준다. ADT캡스 조사에 따르면 올해 상반기 가장 많은 침해사고가 크리덴셜 스터핑(32.5%)이었으며, 무차별 대입공격이 23.6%로 그 뒤를 이었다.
크리덴셜 스터핑을 막기 위해서는 여러 계정에서 너무 많은 잘못된 접속 시도가 발생하거나, 다크웹 등에서 판매되는 계정을 이용한 접속 시도를 차단하는 등 고도화된 모니터링 기술을 사용한다. 그러나 계정탈취 공격을 막은 가장 좋은 방법은 계정을 안전하게 관리하는 것으로, MS AD, 옥타 등이 계정관리(IM) 분야의 선두주자로 꼽힌다. 멀티·하이브리드 클라우드 지원, 다양한 애플리케이션 및 접근제어·MFA 솔루션과의 연동을 지원한다.
접근관리는 계정이 가진 권한에 따라 접속 가능한 애플리케이션과 업무 범위를 정하고, 그 범위를 벗어나는 접근 시도를 차단하는 기술이다. 계정관리와 접근관리를 통합한 IAM으로 발전하는 추세를 보이며, 지금까지 국내에서는 엔터프라이즈 온프레미스 환경을 위해 SI로 구축되는 경우가 많았다. 클라우드로 확산되면서 클라우드 범위를 지원하는 IAM 수요가 늘어나 IAM 벤더들의 기술 혁신이 무엇보다 시급한 상황이다.
뜨거운 감자 ‘PAM’
특권권한 계정을 관리하는 PAM이 최근 접근관리 분야에서 뜨거운 이슈로 떠올랐다. 클라우드에서 특권계정은 ‘모든 것을 할 수 있는 권한’을 부여받기 때문에 더 철저한 관리가 필요하다. 멀티 클라우드는 일원화된 관리나 포괄적인 가시성이 부족하기 때문에 특권계정을 악용해 클라우드의 설정을 취약하게 바꾸거나 무단으로 권한 계정을 생성해 데이터를 유출할 수 있다.
그래서 클라우드를 지원하는 PAM에 대한 수요가 높아지고 있으며, 사이버아크, 비욘드트러스트, 퀘스트소프트웨어 원 아이덴티티, 센트리파이 등이 시장의 리더로 꼽힌다. 이 중 가트너 매직쿼드런트 ‘비저너리’에서 리더그룹으로 뛰어오른 퀘스트소프트웨어 원 아이덴티티가 눈에 띈다. 원 아이덴티티의 권한계정 및 세션 관리(PASM) 솔루션 ‘세이프가드’는 비밀번호 관리, 권한 있는 세션 관리, 권한 있는 분석관리 등의 모듈로 구성된다. SUDO 지원, 유닉스·리눅스 지원, 권한상승 및 위임관리(PEDM) 등 PAM에 요구되는 다양한 기술을 지원한다.
한편 퀘스트소프트웨어는 VPN 없이 원격근무가 가능한 ‘세이프가드 리모트 액세스’와 개선된 엔드포인트 특권관리를 8월 새롭게 출시했다. 세이프가드 리모트 액세스는 사용자 시스템이나 접근하고자 하는 리소스에 에이전트를 설치하거나 VPN을 이용하지 않고, 에이전트 설치 없이 안전한 원격접속을 제공한다. 브라우저 기반 연합인증을 사용해 제로 트러스트 네트워크 액세스(ZTNA)를 구현했으며, 사용자뿐 아니라 관리자 생산성 개선이 가능하며, 감사 추적성과 세션 레코딩을 통한 보안 최적화가 가능하다.
클라우드로 확장되는 IAM
피앤피시큐어는 통합 접근제어 솔루션 ‘디비세이퍼’를 클라우드까지 확장한 U-IAM으로 강화된 접근제어를 제공한다. DB·시스템·애플리케이션·OS·개인정보 등 다양한 접근제어와 계정관리를 통합 지원하며 국내에서 사용되는 거의 대부분의 퍼블릭 클라우드를 지원한다.
휴네시온은 통합계정접근관리 솔루션 ‘NGS’로 차세대 IAM 시장을 공략한다. 이 솔루션도 클라우드로 제공 가능하며, 계정과 접근관리를 통합해 관리 편의성과 보안성을 높인다. 더불어 휴네시온은 NAC 솔루션 ‘세이프NAC’으로 제로 트러스트 네트워크 액세스(ZTNA)를 구현한다고 소개한다. ZTNA는 시스템·애플리케이션에 접속하기 전 사용자와 기기의 무결성과 접속 환경의 안전성을 평가하는데, NAC는 사용자와 기기의 보안상태를 확인한 후 접속을 허용하기 때문에 ZTNA의 이상을 완성할 수 있다고 주장한다.
‘세이프NAC’은 에이전트·에이전트리스 혹은 혼합 방식으로 사용할 수 있으며, 비정상 트래픽을 지속적으로 차단하고 통신을 제어한다. 유연하게 네트워크를 시각화하며, 네트워크에 연결된 자산정보를 파악하고 최적의 정책 설정이 가능하다.
NAC 기술로 ZTNA를 구현한다는 제안은 여러 NAC 기업들이 소개하는 것이기도 하다. 엠엘소프트는 NAC·IT 자산관리 기술과 ETRI에서 이전 받은 네트워크 기술을 결합해 소프트웨어 정의 경계(SDP) 솔루션을 개발했으며, 지니언스는 SDP 아키텍처 기반으로 NAC를 설계한 ZTNA 솔루션 출시를 예고했다.
또 다른 NAC 기업인 스콥정보통신도 에이전트·에이전트리스 방식으로 설정과 운영 편의성을 높였으며, 네트워크 설정 변경 없이 사용할 수 있어 업계의 호응을 받고 있다.
ZTNA 솔루션 속속 등장
ZTNA를 솔루션 관점에서 접근해 제안하는 경우도 있다. 모니터랩은 SASE 접근을 안전하게 하기 위해 SDP 기반 ZTNA 솔루션 ‘SIA’를 공개했다. ID 중심 아키텍처로 설계돼 SWG·방화벽 등 다양한 네트워크 보안 기술을 이용해 안전하게 접근할 수 있게 한다.
포티넷은 ZTNA를 지원하는 차세대 방화벽을 출시하고 시장 공략에 나선다. 이 제품은 ZTNA 컨트롤러로 사용될 수 있으며, 사용자 인증과 안전한 접속, 사용자 모니터링 등을 제공하며, 강력한 성능과 빠른 속도로 분산환경 사용자를 안정적으로 연결한다.
엄밀히 말해 ZTNA는 특정 기술이나 솔루션을 의미하는 것은 아니다. 인증과 접속 관련 기술을 제공하는 거의 대부분의 벤더들이 ZTNA을 지원한다고 주장한다. SDP 아키텍처를 채택한 지스케일러, 펄스시큐어, 브라우저 기반 ZTNA를 지원하는 구글 비욘드코프,애플리케이션 제어 기술로 ZTNA를 완성한 프라이빗 테크놀로지, IAM·PAM·MFA 솔루션 기업 등 수많은 기업들이 ZTNA 구현에 도움이 되는 기술을 제공한다.
내부자 위협 관리로 제로 트러스트 완성
제로 트러스트 전략을 수립할 때 아주 중요한 내부자 위협은 잘 주목하지 않는다. 정상 사용자로 위장해 침투한 공격자나 고의·실수로 침해행위를 하는 내부자에 의한 위협도 제로 트러스트 전략에 필수적으로 포함돼야 한다. 특히 클라우드는 설정오류, 권한설정 실패 등 사용자의 잘못으로 인해 발생하는 사고가 거의 대부분이기 때문에 내부자에 의한 위협을 낮추는 것이 매우 중요하다.
포스포인트의 경우 내부자 위협 방지 솔루션 ‘FIT(Forcepoint Insider Threat)’를 이용해 지능적이고 정교한 위장공격까지 막는다. ‘인간중심 보안’이라는 원칙으로 설계한 FIT는 모든 시스템과 엔드포인트, 애플리케이션에서 사용자의 행위를 분석하고 위협 점수를 매겨 관리하게 하며, 사용자 행위를 기록해 사후 감사자료로 사용할 수 있게 한다.
사용자별, 부서별 업무특성을 감안한 이상행위 탐지와 피어그룹 행위 비교 등을 통해 사용자 행위의 위험도를 수치화·시각화해 사용자 위협을 사전에 인지할 수 있게 한다. IT 전문성 없어도 쉽게 사용 가능하며, 사고 시 조사 가능한 포렌식 정보를 제공해 사고조사 전문성을 높인다.
📰 데이터넷
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164568
피앤피시큐어, 네이버클라우드 사용 고객 대상으로 무상 프로모션 제공
2021.09.13
통합접근제어(DB, 시스템, 계정관리) 클라우드 정보보안 전문업체 피앤피시큐어(대표이사 박천오)는 네이버클라우드 사용 고객을 대상으로 무상 프로모션을 진행 한다고 13일 밝혔다.
클라우드 통합접근제어 솔루션 “DBSAFER”는 DBMS와 OS에 접속하는 사용자의 접속 및 권한을 통제하고 로깅하는 솔루션으로 국내 약 4,500개 이상의 고객을 보유하고 있는 업계 1위 솔루션이다. 피앤피시큐어는 한국교육학술정보원(KERIS), KB금융그룹, 현대카드, 현대자동차그룹, SK그룹, CJ그룹 등 다양한 산업분야의 클라우드 사업 성과를 기록하고 있다.
피앤피시큐어는 네이버클라우드 사용 고객을 대상으로 무상으로 이용하고 보안을 강화할 수 있도록 프로모션을 9월13일부터 12월 31일까지 진행한다.
네이버클라우드를 사용하는 고객 중, 공공/기업/금융 모든 기관을 대상으로 수량에 관계 없이 DBSAFER DB(DB접근통제), DBSAFER AM(서버접근통제)을 3개월 무상으로 제공한다.
상기 프로모션은 DBSAFER를 미 운영중인 고객에 한하여 제공한다.
📰 데일리시큐
길민권 기자 mkgil@dailysecu.com
원문 = https://www.dailysecu.com/news/articleView.html?idxno=128855
📰 아이티데일리
권정수 기자 kjs0915@itdaily.kr
원문 = https://www.itdaily.kr/news/articleView.html?idxno=204286
📰 이뉴스투데이
김영민 기자 zeromk@enewstoday.co.kr
원문 = http://www.enewstoday.co.kr/news/articleView.html?idxno=1511969
📰 디지털데일리
이종현 기자 bell@ddaily.co.kr
원문 = http://www.ddaily.co.kr/news/article/?no=221791
📰 데이터넷
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=164302
📰 전자신문
이현수 기자 hsool@etnews.com
원문 = https://www.etnews.com/20210913000090
피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만 원 지급
2021.09.03
마스크, 재택근무 장비지원 등 임직원 보호 위해 적극 대응
[보안뉴스 이상우 기자] 피앤피시큐어(대표 박천오)는 코로나19 백신접종을 완료한 모든 임직원들을 대상으로 ‘코로나19 백신접종 격려금 100만 원’을 지급한다. 피앤피시큐어는 방역당국의 백신접종 권장에 따라 전 임직원에게 백신접종을 독려하고 코로나로 지친 임직원을 위로하고자 격려금 100만 원을 지급하기로 결정했다.
박천오 대표는 “길어지고 있는 코로나 상황으로 사회적 거리 두기 및 재택근무 연장에 따른 임직원들의 지친 일상을 위로하고 건강하게 코로나를 이겨내고자 코로나19 백신접종 격려금을 지급하기로 했다”며, “더불어 어려운 외부환경에도 불구하고 맡은 업무에 최선을 다해준 임직원들에게 감사의 마음과 격려를 표한다”고 말했다.
한편, 피앤피시큐어는 마스크 구매가 어려웠던 2020년 3월부터 마스크를 일괄 구매해 전 임직원에게 마스크를 지급했으며, 코로나 장기화로 재택근무가 길어지면서 2021년초 재택근무를 위한 모니터, 화상카메라 등을 임직원 자택으로 배송해 재택근무를 위한 장비지원을 하는 등 코로나로부터 임직원을 보호하기 위해 적극 대응하고 있다.
📰 보안뉴스
피앤피시큐어, 임직원에 코로나19 백신접종 격려금 100만 원 지급
이상우 기자 boan@boannews.com
원문 = https://www.boannews.com/media/view.asp?idx=100418&kind=
📰 데일리시큐
피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
길민권 기자 mkgil@dailysecu.com
원문 = https://www.dailysecu.com/news/articleView.html?idxno=128494
📰 이뉴스투데이
피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
김영민 기자 zeromk@enewstoday.co.kr
원문 = http://www.enewstoday.co.kr/news/articleView.html?idxno=1509724
📰 디지털데일리
피앤피시큐어, 임직원에게 코로나19 백신접종 격려금 100만원 지급
이종현 기자 bell@ddaily.co.kr
원문 = http://www.ddaily.co.kr/news/article/?no=221246
[솔루션 리뷰] 피앤피시큐어 ‘인포세이퍼(INFOSAFER)’
2021.09.01
개인정보 접속기록 관리로 강화된 컴플라이언스 준수
[아이티데일리] 국내에서는 법·제도를 통해 개인정보를 강력하게 보호하고 있다. ‘개인정보 안전성 확보조치 기준’에 따르면 개인정보에 대한 접속기록을 1년 이상 안전하게 보관·관리해야 하며, 정기적인 점검을 통해 비정상행위에 대해 적절한 조치를 취해야 한다. 이러한 컴플라이언스를 충족할 수 있도록 지원하는 솔루션이 개인정보 접속기록 관리 솔루션이다. 개인정보 접속기록관리 솔루션은 기관 내 개인정보취급자, 처리자(권한자)가 기관 내 보유한 개인정보를 어떻게 활용하는지 접속기록을 저장하고, 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치할 수 있도록 지원한다. 피앤피시큐어는 지난 2016년 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 출시, 좋은 성과를 거두고 있다.
강화되는 개인정보 컴플라이언스
데이터 경제가 본격화되면서 개인정보 관련 컴플라이언스도 강화되고 있다. 대표적으로 ‘개인정보 안전성 확보조치 기준’을 꼽을 수 있다. 지난 2019년 접속기록 보관 기간 확대, 월 1회 이상 점검 실시 등 규정이 강화됐다. 특히 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 대한 접속기록은 2년이상 보관 및 관리해야 한다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만, 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견됐을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관해야 한다.
이처럼 개인정보 관련 컴플라이언스가 강화되고, 개인정보의 중요성에 대한 인식이 확대되면서 개인정보 접속기록 관리 솔루션 시장 역시 크게 확대되고 있다. 나라장터 조달 구매 기준, 개인정보 접속기록 관리 전체 솔루션 집계액이 2015년 16억 5천만 원에 불과했으나, 2020년에 100억원이 넘어 6배 이상 확대됐다. 올해는 약 200억 원 규모를 형성할 것으로 예측되고 있으며, 특히 공공을 넘어 기업까지 시장이 확대되고 있다.
개인정보 자동 검출 및 모든 경로 활동 기록
DB 보안 전문기업인 피앤피시큐어도 이러한 흐름에 발맞춰 2016년부터 개인정보 접속기록 관리 솔루션 ‘인포세이퍼’를 공급하고 있다. ‘인포세이퍼’는 데이터베이스 내 개인정보의 위치를 자동으로 검출하고, 해당 개인정보에 접근하는 모든 경로(DB 직접 접속, 업무시스템 경유 접속)의 활동을 기록 및 모니터링하며, 이상징후 분석 및 알림, 소명 관리 기능을 제공해 개인정보 사용 현황을 시스템적으로 즉시 확인할 수 있도록 돕는다.
구체적으로 살펴보면, 보통 개인정보가 저장된 데이터베이스에 접속하는 경로는 DB로 직접 접속하거나 업무시스템을 경유해 접속하는 방법으로 나뉜다. ‘인포세이퍼’는 DB 통신을 파싱하는 기술을 통해 DB에 직접 접속하는 과정을 기록한다. 업무시스템을 경유하는 경우에는 WAS 내 세션정보를 파싱하는 기술을 통해 접속기록을 생성한다. 더불어 생성된 접속기록을 안전하게 보관하기 위해 암호화한 뒤 저장한다. 이때 국가정보원의 검증을 받은 암호모듈을 활용한다. 또한 별도의 WORM(Write Only Read Many) 공간에 접속기록을 백업해 접속기록의 위변조를 예방할 수 있도록 지원하는 것이 특징이다.
또한 ‘인포세이퍼’는 행정안전부 가이드라인에 따라 개인정보처리시스템으로 접근하는 모든 경로에서 개인정보 접속이력을 수집/생성/저장한다. 이에 따라 개인정보 접속기록관리 솔루션에서 기본적으로 제공하는 대량조회 사용자, 이상징후에 대한 소명관리 등의 주요기능을 모든 경로에서 활용할 수 있다. 특히 DB 직접 접속 로그와 업무시스템 경유 접속 로그가 단일 솔루션에 저장될 경우 로깅 데이터가 너무 방대해진다는 점을 해결하기 위해 데이터를 축약하는 기술도 적용돼 있다.
이외에도 ‘인포세이퍼’는 개인정보보호와 관련된 감사의 단골 지적 사항인 관리되지 않은 ‘고스트 개인정보 컬럼’을 자동으로 식별할 수 있다. 개발자나 유지보수 인원이 자체적인 필요에 의해 개인정보처리자의 허락 없이 개인정보 컬럼을 복제하는 경우를 ‘고스트 개인정보 컬럼’이라고 일컫는다. ‘인포세이퍼’는 개인정보의 위치를 자동으로 식별 및 관리함으로써 ‘고스트 개인정보 컬럼’이 생성되지 않도록 지원한다.
피앤피시큐어는 ‘인포세이퍼’를 운영하면서도 시스템의 안정성을 높일 수 있도록 최적의 방안을 제공한다. 업무시스템에 설치한 접속기록 생성 센서가 ‘인포세이퍼’ 운영장비에 바로 접속기록을 생성하는 형태로 운영돼, 업무시스템 내 접속기록을 생성하거나 저장하는 등의 추가 장애요인을 발생시키지 않는다는 설명이다.
‘인포세이퍼’의 주요 기능
‘인포세이퍼’의 주요기능은 ▲서비스 대상 개인정보 접속기록 수집 및 모니터링 ▲개인정보 접근에 대한 위험 및 이상징후 관리 ▲이상징후에 대한 소명관리 등이다.
먼저 ‘인포세이퍼’는 개인정보유형별 이용추이 분석 주간 대시보드를 지원하며, 이를 통해 주간 사용량 평균 대비 사용량 차트, 개인정보 이용량 상세 표시, 사용자, 부서, 업무시간 외 접속 사용자, 비인가 접속 사용자 현황 등을 확인할 수 있다. 더불어 사용자 및 부서, 날짜 링크 제공으로 상세한 정보 확인이 가능하다.
‘인포세이퍼’는 개인정보취급자의 평균 개인정보 사용량 분석을 지원하며, 평균 대비 사용량이 증가할 경우 자동으로 위험사용자로 인식하고 알림을 제공한다. 또한 업무외 시간, 다중 접속, 권한 외 접근 등에 대한 경고 기능도 지원한다.
개인정보 접속기록에서 이상징후가 발견되면, ‘인포세이퍼’는 자동으로 위험 사용자에게 이메일로 소명을 요청한다. 요청을 받은 사용자는 내용(업무, 사용시간, 테이블, 개인정보유형 등)을 확인한 후 소명할 수 있다. 메일 내용은 감사 증적자료로 활용된다.
마지막으로 개인정보 접속기록 관리 솔루션 또한 개인정보보호법에 의거해 개인정보처리 시스템으로 분류되기 때문에 접속기록을 안전하게 보관하기 위한 기능을 제공한다. 개인정보보호법, 개인정보의 안전성 확보조치 기준, 개인정보보호 영역 수준진단 등 개인정보와 관련된 콤플라이언스를 만족할 수 있도록, 개인정보처리시스템 접속기록 위·변조 방지 기능을 제공한다.
빅데이터 처리 기술 적용 및 클라우드 지원 등 업그레이드 추진
피앤피시큐어는 개인정보 접속기록 관리 시장이 어느정도 성숙됨에 따라, 시장 초기와 다르게 접속기록의 신뢰를 높이는 기술 및 다양한 이상징후를 쉽게 인지하는 기술의 중요성에 주목하고 있다. 특히 개인정보를 활용하는 업무시스템과 접근하는 인터페이스가 급격히 늘어나고, 접속기록 관리 솔루션에서 관리할 데이터양이 매우 방대해지고 있는 상황에 대응하는 기술이 적용돼야 한다는 설명이다.
피앤피시큐어는 ‘인포세이퍼’에 대형화된 데이터를 처리하기 위한 빅데이터 처리 기술을 적용하고, 다양한 클라우드 환경의 유연함을 지원할 수 있도록 업그레이드 한다는 계획이다.
피앤피시큐어 관계자는 “올해는 클라우드 플랫폼 환경에서도 피앤피시큐어의 통합접근제어 솔루션 및 개인정보접속기록관리 솔루션이 주요 솔루션으로 자리잡을 수 있도록 입지를 굳힐 계획이다. 이를 위해서 영업 및 기술 지원을 고도화해 시장을 선점하고 확대해 나가는 것을 목표로 하고 있다”고 설명했다.
‘인포세이퍼’는 2티어 사용자의 접속기록을 생성/관리 하기 위해 기존에 운영 중인 DB접근제어 솔루션 ‘DB세이퍼(DBSAFER)’와 연동되며, 업무시스템 내 센서 ‘WAS 트래커(WAS TRACER)’를 설치해 3티어 사용자의 접속기록 생성/관리한다.
피앤피시큐어는 공공기관의 DB접근제어 시장에서 성과를 거두고 있는 ‘DB세이퍼’와의 연동이 2티어 사용자에 대한 접속기록을 생성하는 가장 간편하면서, 신뢰도를 높이는 최선의 방법이라는 점을 강조하고 있다.
또한 3티어 접속기록을 생성하는 방안 중에서, 접속기록의 신뢰를 높이기 위해 업무시스템 내 센서를 설치해 업무시스템에서 세션정보를 가져오는 방식을 안내했다. 이는 업무시스템의 다양한 환경을 이해하는 높은 수준의 기술력이 요구된다. 특히 ‘인포세이퍼’의 센서 ‘WAS 트래커’는 업무시스템에 영향을 최소화할 수 있도록 개발됐다. 업무시스템에 접속기록을 저장해 업무시스템의 자원을 사용하고 장애요인을 발생시키는 경쟁제품과 달리 안정적인 운영과 접속기록 서비스의 연속성을 제공한다는 설명이다.
A 공공기관 관계자는 “안정적인 운영뿐 아니라 모든 경로의 접속기록을 관리하는 목표를 한 번의 사업을 통해 완수해 행정안전부의 ‘접속기록 관리강화 추진계획’ 가이드라인까지 만족시키는 결과를 얻었다”고 설명했다.
한편 피앤피시큐어는 ‘인포세이퍼’를 통해 공공기관뿐만 아니라 대기업 중심으로도 잇따른 수주 성과를 달성하고 있다. 피앤피시큐어 측은 “법률적 요구사항 이외에도 개인정보처리 담당자들의 실무적 요구사항을 충실히 반영하는 노력을 꾸준히 기울인 결과, 기업 시장에서도 성과가 나타나고 있다”고 분석했다.
‘인포세이퍼’는 개인정보처리시스템으로 접속하는 다양한 경로의 접속기록을 수집/분석함으로써, 단일 솔루션으로 ‘개인정보 안전성 확보조치 기준’을 만족할 수 있도록 지원한다. 특히 ‘인포세이퍼’는 이러한 법률적 요구와 자체적으로 내장된 솔루션 ‘DB스캐너(DBSCANNER)’를 통해 개인정보처리시스템(DB)에서 개인정보를 자동으로 분석하고, 개인정보접속기록 검출 대상으로 자동 등록/관리한다. 수동으로 검출대상을 분석/관리해야 하는 기존 제품의 단점을 해결해 개인정보처리 실무 담당자에게 높은 평가를 받고 있다는 설명이다.
📰 IT DAILY
[솔루션 리뷰] 피앤피시큐어 ‘인포세이퍼(INFOSAFER)’
권정수 기자 kjs0915@itdaily.kr
원문 = https://www.itdaily.kr/news/articleView.html?idxno=204129
피앤피시큐어 "DB보안 1위 발판 삼아 보안 SW 정상 목표"
2021.08.25
“국내 DB보안 시장 1위 자리는 계속 유지될 것입니다. 하지만 특정 보안 시장에서 '국내 최고 통합접근제어' 전문기업이란 타이틀에 결코 만족하고 싶지 않습니다.
피앤피시큐어를 국내 정보보안 분야에서 수년 내 정상 자리에 우뚝 세울 계획입니다.”
박천오 피앤피시큐어 대표는 “창립 20주년을 맞는 오는 2023년 국내 SW 보안 기업 1등을 목표로 하고 있다”며 이같이 밝혔다. 박 대표는 이를 위해 시장점유율 70%인 DB접근제어 솔루션 외에 다른 보안 제품의 시장점유율도 끌어 올린다. DB접근제어·시스템 접근제어 등 기존 솔루션 대비 비교적 최근에 출시한 OS접근제어, 계정·패스워드관리(IM), 암호화 솔루션 등 시장 점유율을 50% 달성키로 했다.
박 대표는 “작년 매출 약 346억원을 달성했고 올해 매출 400억원을 목표로 잡는 등 지난 17년 동안 매출과 인원이 지속적 성장세를 이어가고 있다”면서 “올해 매출 목표 달성을 확신한다”고 덧붙였다.
창업 배경과 기업 비전은
▲주력 제품이자 DB접근제어 솔루션인 '디비세이퍼(DBSAFER)'는 고객 요구을 반영해 개발했다. 정보통신교육원에서 보안담당 공무원들을 대상으로 보안 강의를 하던 시절, 보안담당 공무원들로부터 요구사항을 들었고 DB 중요성을 체감했다. 결국 DB접근제어란 보안솔루션을 국내에서 처음 개발했고 성장 가능성도 높다고 판단해 회사를 지난 2003년 설립했다.
회사는 1등 제품을 만들고 퇴사율이 낮은 좋은 기업을 실현하기 위해 '3E'를 기업 비전으로 삼았다. '3E'란 'Energize(열정과 생동감이 넘치는 기업문화)' 'Expert(정보보안 최고의 전문가 그룹)' 'Encourage(조직 구성원의 상호 발전적 동기부여)'다. 현재 BD보안 시장에서 60%를 점유해 업계 1위를 기록하고 있다. 퇴사율 또한 11%로 동종업계 평균 퇴사율(30%) 대비 매우 낮은 퇴사율을 보이고 있다.
회사가 보유한 핵심 기술은
▲국내 최초 DB보안 솔루션 '디비세이퍼'를 시작으로 독창적 기술을 탑재한 보안 솔루션을 개발했다. 최근 정보보안 컴플라이언스는 과거처럼 DB 한 부분에 국한하지 않고 보호 대상인 PC, 네트워크, 서버 등 연계된 모든 분야를 대상으로 한다. 시장은 보안 솔루션이 고도 기술력을 갖추도록 요구하고 있다.
회사는 이러한 요구에 발맞춰 정보보안 관련 컴플라이언스와 클라우드 등 최신 업무시스템을 만족하는 노하우를 토대로 각종 서버와 DB서버에서 생성·저장되는 정보를 보호하는 기술을 보유하고 있다. 뿐만 아니라 DB를 유통·가공하는 구간까지 통제하는 U-IAM(통합계정·접근제어) 기술을 보유한 유일한 기업이다. 즉, DB·시스템·OS 등 접근제어, 암호화, 계정관리 등 다섯 가지 핵심기술을 확보하고 있다.
창업 18년차다. CEO로서 가장 힘들었던 시절은
▲설립 초기에 핵심 개발자가 갑자기 잠적했을 때와 적십자사에 공급한 시스템이 문제를 일으켰을 때가 가장 힘들었다. 잠적한 개발자는 창업부터 동고동락한 직원이었다. 특히 그는 80% 이상 소스코드를 갖고 있었다. 당시 모든 업무가 중단될 정도로 경영에 타격이 컸다. 정상화되기 전까지 6개월여 동안 고생했다.
적십자사 장애 사건은 지난 2005년 일이다. 회사가 개발한 디비세이퍼에 문제가 발생했다. 쉽게 말하면 어떤 혈액이 어디에 있는지 확인을 해야만 하는 데 DB에 접근하는 길목이 막혀 확인할 수가 없었다.
금융권에서 시스템 장애가 발생하면 돈이 문제가 되지만 적십자사 장애는 사람 생명과 직결된다. '사람 목숨이 왔다 갔다 한다'는 말에 그야말로 머리가 쭈뼛쭈뼛 서는 게 느껴질 정도로 긴장했다.
DB 장애 문제를 해결하기 위해 한 달 넘게 사무실 한켠에서 쪽잠을 잤다. 결국 이러한 노력 덕분에 '장애분석 예측 프로그램'도 새롭게 개발했다. 어찌보면 당시에 위기가 기회로 작용한 셈이다.
주요 중장기 경영 전략은
▲향후 2~3년 내 클라우드 플랫폼 환경은 대중화가 될 것이다. 올해 통합접근제어 솔루션이 클라우드 플랫폼 환경에서 클라우드 보안의 주요 솔루션으로서 입지를 다지는 게 목표다. 이를 위해 영업·기술 지원을 고도화해 시장을 선점하고 확대한다.
또 코로나19로 인한 언택트 문화 확산에 따라 비대면(원격·재택근무) 환경에서도 안전하게 업무를 수행하는 재택물리보안 솔루션 '페이스라커(FaceLocker)'를 개발하고 있다. 머지 않아 개발 성과가 나올 것이다.
페이스라커는 개발 기획 단계부터 보안 제품 개념을 뒤흔드는 데서 시작했다. 통상 모든 보안제품은 보안성을 높이기 위해 정도에 차이는 있지만 필수적으로 이용자 편의성을 제한할 수밖에 없다. 하지만 페이스라커는 실시간 안면인식 기술을 기반으로 보안성과 사용자 편의성을 동시에 높여주는 기술을 탑재한다.
이처럼 매년 신제품을 출시한다. 고객 요구에 맞춰 제품 라인업을 다양화해 기존 제품이 안고 있는 매출 성장 한계를 극복할 생각이다. 3년 내 신제품을 시장에 안착시킨 후 해외 시장에도 진출할 계획이다.
📰전자신문
피앤피시큐어 "DB보안 1위 발판 삼아 보안 SW 정상 목표"
안수민 기자 smahn@etnews.com
원문 = https://www.etnews.com/20210824000143
[개인정보 접속기록 관리 ②] 민간 시장 공략 위해 클라우드 서비스 등으로 확장
2021.08.19
데이터 시장 활성화와 함께 ‘개인정보 접속기록 관리’ 시장 확대
[아이티데일리] 지난해 데이터 3법이 통과된 이후, 국내 데이터 시장이 활성화되고 있다. 데이터 시장 활성화와 함께 개인정보보호 관련 컴플라이언스도 강화되고 있다. 개인정보보호 관련 컴플라이언스에는 데이터를 안전하게 저장하는 것은 물론, 개인정보에 누가 접근·이용하는지 이력을 남기는 ‘관리’도 포함된다.
개인정보보호법, 개인정보의 안전성 확보 기준 등을 통해 개인정보처리시스템 접속 기록을 남기도록 규정하고 있다. 특히 지난 2019년 개인정보의 안전성 확보 기준이 강화되면서 개인정보 접속 기록 관리 솔루션의 수요가 늘어나고 있다. 보관 기간 및 점검 주기가 늘어나면서 관리 솔루션의 필요성이 높아진 것이다.
데이터를 활용하고자 하는 기업이 늘어나면서 공공 부문을 중심으로 형성됐던 시장이 기업 시장까지 확대되고 있다. 시장 규모 역시 올해 200억 원을 넘어서며, 높은 성장률을 보일 것으로 전망된다.
개인정보 접속 이력 관리 솔루션 공급 기업들은 확대되는 시장에서 주도권을 확보하고 위해 치열한 경쟁을 펼치고 있다. 개인정보 접속 이력 관리 솔루션 시장을 살펴본다.
② 민간 시장 공략 위해 클라우드 서비스 등으로 확장
SMB 시장 겨냥, 클라우드 서비스 등으로 대응
개인정보 접속 기록 관리 솔루션 공급 기업들은 컴플라이언스 강화로 인해 시장이 더욱 확대될 것으로 전망하고 있다. 개인정보를 처리하고 있는 기업이 많기 때문에 시장 성장의 가능성이 높다는 것이다.
김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 “데이터 활용이 본격화되면서 개인정보를 보호하는 것뿐만 아니라, 개인정보 활용 과정의 투명성도 강조되고 있다. 이에 따라 컴플라이언스가 강화돼, 시장의 확대는 불을 보듯 뻔한 상황이다. 초기 시장과는 다르게 접속기록의 신뢰를 높이는 기술과 다양한 이상징후를 쉽게 점검하고 조치할 수 있는 관리 체계, 다양한 클라우드 환경을 지원하는 등 고도화 될 것으로 예상한다”고 말했다.
김훈 위즈코리아 보안사업부문장은 “앞서 말했듯 개인정보 접속 기록 관리 시장은 20%만 개화됐다고 본다. 아직 80%가 남아 있는 것이다. 현재는 공공과 대기업 위주로 시장이 형성돼 있지만, 향후에는 시장이 다변화될 것으로 예상한다. 위즈코리아는 중소기업을 대상으로 한 가벼운 제품을 선보일 계획이다. 클라우드 서비스 형태도 고려하고 있다”고 설명했다.
공급 기업들은 SMB로 시장이 확대될 것을 전망하고, SMB를 겨냥한 제품 개발에 박차를 가하고 있다. SMB 시장을 겨냥해 클라우드로 서비스하는 방안도 고려하고 있다.
이지서티 관계자는 “현재 대다수 공공기관의 경우 개인정보 접속기록관리 솔루션을 도입한 상태다. 현재는 금융, 의료, 교육, e커머스 등 다양한 분야의 민간기관들이 문의하고 있다.”면서, “이지서티는 클라우드 전환 사업에 대한 준비로 보유하고 있는 솔루션 모두 정보통신산업진흥원으로부터 클라우드 품질성능 인증을 획득했으며 다양한 클라우드 환경의 구축 경험을 쌓고 있다”고 설명했다.
피앤피시큐어 “DB접근제어 및 데이터 암호화 기술 결합해 시장 공략”
피앤피시큐어는 지난 2016년 개인정보 접속 기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’를 출시하고, 시장 공략에 박차를 가하고 있다. 김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 “인포세이퍼는 다른 경쟁 솔루션에 비해 출시시점은 늦었지만 강화되는 컴플라이언스를 만족하고 기술지원의 우수함을 내세워 시장 2위에 안착했다”고 소개했다.
피앤피시큐어의 ‘인포세이퍼’는 데이터베이스 내 개인정보의 위치를 자동으로 검출하고, 해당 개인정보에 접근하는 모든 경로의(DB직접 접근, 업무시스템 경유 접근) 활동을 기록 및 모니터링하며, 이상징후 분석 및 알림, 소명 관리 기능을 제공해 개인정보 사용 현황을 시스템적으로 즉시 확인할 수 있도록 지원한다.
‘인포세이퍼’는 개인정보 접속 기록을 보호할 수 있는 보안 기술을 함께 제공한다는 것이 특징이다. 접속기록의 기밀성을 유지하기 위해 로그데이터를 국정원 검증필을 받은 암호모듈로 암호화해 저장하며, 원본 로그데이터의 위변조를 방지하기 위해 SW적으로 자체 구성한 별도의 웜(WORM) 영역에 백업 및 저장한다.
또한 ‘인포세이퍼’는 행정안전부 ‘접속기록 관리 강화 추진 계획 가이드라인’에 따라 개인정보처리시스템에 접근하는 모든 경로에서 발생하는 개인정보 접속이력을 수집/생성/저장할 수 있도록 지원한다. 2티어 접속은 DB접근통제 솔루션에, 3티어 접속은 개인정보접속기록관리 솔루션에 저장하며, 개인정보접속기록관리 솔루션에서 제공하는 대량조회 사용자, 이상징후에 대한 소명관리 등의 주요 기능이 DB접근통제 시스템에도 동일하게 적용돼 있다. 더불어 2티어 로그와 3티어 로그를 단일 솔루션에 저장할 경우 로깅되는 데이터가 매우 방대하기 때문에, 이를 축약하는 기능이 포함돼 있다.
마지막으로 ‘인포세이퍼’는 WAS에서 Web.xml을 수정하지 않기 때문에 장애 걱정 없이 WAS의 업데이트/수정이 가능하며, 개인정보 접속기록 서비스의 연속성을 보장한다.
피앤피시큐어는 늘어나는 데이터를 처리하기 위해 빅데이터 처리 기술을 적용하는 등 제품을 고도화할 계획이다. 김상헌 이사는 “4차 산업 혁명에 따라 개인정보를 활용하는 업무시스템과 접근하는 인터페이스가 급격히 늘어나고 있으며, 접속기록 관리 솔루션에서 관리할 데이터의 양이 매우 방대해지고 있다. ‘인포세이퍼’도 늘어나는 데이터를 처리하기 위한 빅데이터 처리 기술을 적용하고, 다양한 클라우드 환경의 유연함을 지원하는 것에 초점을 맞추고 있다”고 설명했다.
더불어 클라우드 전환에 발맞춰, 클라우드 서비스로 시장을 확대한다는 전략이다. 김상헌 이사는 “개인정보를 보호하는 것 뿐 아니라, 개인정보의 활용 과정의 투명성이 강조되고 있다. 컴플라이언스는 강화되고 시장의 확대는 확실시되는 상황이다. 초창기 시장과는 다르게 접속기록의 신뢰를 높이는 기술과 다양한 이상징후를 쉽게 점검하고 조치할 수 있는 관리 체계, 다양한 클라우드 환경을 지원하는 등 제품 경쟁이 고도화 될 것으로 예상하고 있다”고 설명했다.
그는 이어 “4차 산업혁명에 따라 클라우드 환경으로의 전환이 급속도로 진행되고 있으며, 관리할 데이터의 양 또한 매우 방대해지고 있다. 매년 폭발적으로 성장하고 있는 클라우드 시장에 발맞춰 피앤피시큐어는 다양한 보안솔루션을 클라우드 시장에 출시해 성공적으로 운영하고 있다”면서 “개인정보처리시스템의 보안, 접속기록 관리 등 우리가 잘할 수 있는 보안 부문에 집중하고 기술적 고도화를 바탕으로 지속적으로 성장하도록 노력하겠다”고 덧붙였다.
📰 IT DAILY
[개인정보 접속기록 관리 ②] 민간 시장 공략 위해 클라우드 서비스 등으로 확장
권정수 기자 kjs0915@itdaily.kr
원문 = https://www.itdaily.kr/news/articleView.html?idxno=203963
[개인정보 접속기록 관리 ①] 공공에서 민간으로 시장 확대, 올해 200억 원 규모 전망
2021.08.14
데이터 시장 활성화와 함께 ‘개인정보 접속기록 관리’ 시장 확대
[아이티데일리] 지난해 데이터 3법이 통과된 이후, 국내 데이터 시장이 활성화되고 있다. 데이터 시장 활성화와 함께 개인정보보호 관련 컴플라이언스도 강화되고 있다. 개인정보보호 관련 컴플라이언스에는 데이터를 안전하게 저장하는 것은 물론, 개인정보에 누가 접근·이용하는지 이력을 남기는 ‘관리’도 포함된다.
개인정보보호법, 개인정보의 안전성 확보 기준 등을 통해 개인정보처리시스템 접속 기록을 남기도록 규정하고 있다. 특히 지난 2019년 개인정보의 안전성 확보 기준이 강화되면서 개인정보 접속 기록 관리 솔루션의 수요가 늘어나고 있다. 보관 기간 및 점검 주기가 늘어나면서 관리 솔루션의 필요성이 높아진 것이다.
데이터를 활용하고자 하는 기업이 늘어나면서 공공 부문을 중심으로 형성됐던 시장이 기업 시장까지 확대되고 있다. 시장 규모 역시 올해 200억 원을 넘어서며, 높은 성장률을 보일 것으로 전망된다.
개인정보 접속 이력 관리 솔루션 공급 기업들은 확대되는 시장에서 주도권을 확보하고 위해 치열한 경쟁을 펼치고 있다. 개인정보 접속 이력 관리 솔루션 시장을 살펴본다.
② 민간 시장 공략 위해 클라우드 서비스 등으로 확장
SMB 시장 겨냥, 클라우드 서비스 등으로 대응
개인정보 접속 기록 관리 솔루션 시장은 컴플라이언스와 밀접한 연관이 있다. 개인정보보호법 제29조 안전조치의무 조항에는 “개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다”고 규정돼 있다.
이에 따라 행정안전부는 ‘개인정보의 안전성 확보조치 기준’을 고시하고 있다. ‘개인정보의 안전성 확보조치 기준’ 제8조는 “개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다”고 규정하고 있다. 내년부터는 생성된 개인정보 접속 기록을 3년 이상 보관해야 하며, 2025년부터는 5년 이상으로 보관 기간이 확대될 것으로 보인다.
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다. 다만, 5만 명 이상의 정보주체에 관해 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견됐을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관해야 한다.
개인정보 접속 기록 관리 솔루션은 이러한 컴플라이언스를 충족할 수 있도록 지원하기 위해 개발됐다. 조직 내 개인정보에 대한 접근 권한을 가진 개인정보취급자 및 처리자의 개인정보 접속 기록을 저장하고, 그 처리과정에 발생할 수 있는 이상행위를 점검해 사고를 확인, 조치하는 데 도움을 줄 수 있도록 한 것이다.
보통 개인정보가 저장된 데이터베이스(DB) 접근 방법은 크게 두 가지가 있다. DB에 직접 접속하거나, 업무시스템을 경유해 접속할 수 있다. 최근 공급되고 있는 개인정보 접속 기록 관리 솔루션은 이러한 접속 과정을 기록하며, 이상 징후 분석 및 알림, 소명 관리, 개인정보 사용 현황 확인 등의 기능을 제공한다.
공공에서 금융 일반기업으로 영역 확대
컴플라이언스가 강화된 이후, 개인정보 접속 기록 관리 시장은 공공 부문을 넘어 금융, 기업 시장으로 확대되고 있다. 최근에는 금융권을 중심으로 솔루션 도입이 활발하게 이루어지고 있다.
실제 2019년까지는 공공기관 중심의 레퍼런스가 많았다. 피앤피시큐어는 경상남도청, 경기도경제과학진흥원, 대한지방행정공제회 등의 사업을 수주했다.
최근에는 대기업 및 금융사, 대학교 등으로 수요가 확대되고 있다.
피앤피시큐어는 지난해 포스코건설, 삼천리, 한독 등에 ‘인포세이퍼(INFOSAFER)’를 공급했으며, 올해는 삼성전자서비스, 삼성디스플레이, ADT캡스 등을 고객사로 확보했다.
보통 기업 구축 프로젝트는 공공 부문 구축 프로젝트에 비해 많은 시간이 소요된다. 공공은 조달청 나라장터에 등록된 제품을 구매, 구축하면 되기 때문에 평균 1개월이면 구축이 완료된다. 하지만 기업 및 금융사의 경우에는 업무시스템이 많고 각 파트별로 조율이 필요하기 때문에 평균 2~3개월 정도 시간이 소요되며, 상황에 따라 6개월도 소요되는 경우가 있다고 한다.
김상헌 피앤피시큐어 솔루션사업부 채널사업팀 이사는 공공기관 레퍼런스를 바탕으로 구축 과정을 소개했다. 김 이사에 따르면, ‘인포세이퍼’를 도입한 기관은 개인정보 DB에 접근하는 다양한 경로의 접속기록을 생성하는 부분에 초점을 맞추고 있다. DB에 직접 접근해 개인정보를 활용하는 사용자(2티어 사용자)와 업무시스템을 경유해 개인정보를 활용하는 사용자(3티어 사용자) 모두의 접속기록을 손쉽게 관리하고자 하는 부분을 중점으로 요구했다.
피앤피시큐어는 2티어 사용자의 접속기록을 생성/관리하기 위해 기존에 운영 중인 DB접근제어 솔루션 ‘DB세이퍼’와 ‘인포세이퍼’를 연동했고, 3티어 사용자의 접속기록 생성/관리를 위해 업무시스템 내 센서 ‘WAS트랙커(WASTRACER)’를 설치했다. 특히 3티어 접속기록의 신뢰를 높이기 위해서 업무시스템 내 센서를 설치, 업무시스템에서 세션 정보를 가져오는 방식을 선택했다.
‘인포세이퍼’ 구성도
한편 개인정보 접속 기록 관리 시장에서는 솔루션 도입에 대한 공개를 극도로 꺼리는 다른 보안 분야와는 달리 레퍼런스를 공개하고 있다. 김훈 위즈코리아 보안사업부문장은 이러한 이유에 대해 “개인정보 접속 기록 관리 시장은 보안 시장에 포함되지만, 기존 보안 솔루션과 성격이 다르다. 기존 보안 솔루션은 대부분 외부에서 들어오는 사이버 위협에 대응하는 것에 초점이 맞춰져 있다면, 개인정보 접속 기록 관리 솔루션은 내부 사용자 모니터링을 위해 도입하기 때문이다. 이런 이유로 개인정보보호 관련 컴플라이언스를 충족하고 있다는 점을 홍보하기 위해 고객사에서 오히려 도입 사례를 홍보하는 경우가 있다”고 설명했다.
📰 IT DAILY
[개인정보 접속기록 관리 ①] 공공에서 민간으로 시장 확대, 올해 200억 원 규모 전망
권정수 기자 kjs0915@itdaily.kr
원문 = https://www.itdaily.kr/news/articleView.html?idxno=203961
[사례연구] 피앤피시큐어 다양한 산업군에 개인정보 접속기록관리 구축
2021.08.13
강력한 접근통제 기술 적용…모든 접속 경로 지원해 중단 없는 개인정보 모니터링
권한 사용자 이상행위도 탐지…전담 엔지니어 지원으로 원활한 운영 도와
[데이터넷] 권한사용자에 의한 정보유출은 쉽게 탐지되지 않는다. 그래서 국내 주요 신용카드사에서 1억건 이상의 개인정보가 유출되는 것을 2년 동안 인식하지 못하다가 2014년 발견돼 사회적으로 큰 파장을 일으켰다. 이 사고가 오래 전 발생한 것이라고 안이하게 생각해서는 안 된다. 지금도 권한 사용자에 의한 정보유출은 계속 이어지고 있다. 권한사용자에 의한 개인정보 유출 사고를 막기 위해 개인정보에 접근하는 모든 경로를 모니터링해 이상행위를 탐지해야 한다. 피앤피시큐어의 ‘인포세이퍼’가 이러한 요구를 완벽하게 만족시킨다.<편집자>
2014년 국내 주요 신용카드사에서 1억건 이상 개인정보가 유출된 사실이 드러났다. 카드사의 IT 시스템 유지보수 직원이 직접 개인정보 DB에 접속해서 2년 동안 고객정보를 유출해 왔다는 사실이 밝혀진 것이다. 이 사고로 인해 중요정보에 접근할 수 있는 권한을 가진 사람에 의해 중요정보가 피해를 입을 수 있다는 경각심이 생겼으며, 권한관리자의 행위를 모니터링해 개인정보 오남용이나 이상접근을 막는 솔루션이 필요하다는 의견이 모아졌다.
그래서 개인정보에 접속한 기록을 관리해 비정상적인 상황에서 다수의 개인정보에 접근하거나, 너무 잦은 개인정보 접속과 유출을 시도하는 행위를 감시하는 개인정보 접속기록 관리 솔루션의 수요가 생기게 됐다.
2016년 개인정보보호법 ‘개인정보의 안전성 확보조치 기준’에서 개인정보 처리시스템 접속기록 저장과 점검 의무를 명시했으며, 이후 여러 차례 개정을 거쳐 현재 개인정보 접속기록을 1년 이상(5만명 이상 개인정보를 처리하거나 고유식별 정보·민감정보를 처리하는 시스템은 2년 이상) 보관하도 했다.
또 개인정보 DB에 접속하는 모든 경로를 기록하고 감시해야 하며, 웹·WAS 등 업무 시스템, 텔넷·SSH 등을 통한 접근이나 DB 시스템 직접 접속 혹은 DB 접근제어 시스템을 통해 접속하는 경우까지 모든 접근을 기록해야 한다. 더불어 접속기록은 정기적으로 점검해 불법적인 접근이나 비정상적인 행위에 적절한 조치를 취해야 한다.
이 규제를 준수할 수 있도록 도와주는 솔루션이 개인정보 접속기록관리 솔루션으로, 기관 내 개인정보취급자, 처리자(권한자)가 기관 내 보유한 개인정보를 어떻게 활용하는지 접속기록을 저장하고 점검해 비정상행위를 줄이며, 그 과정에 발생할 수 있는 사고를 확인하고 조치한다. 대량조회 사용자, 이상징후에 대한 소명관리 등이 솔루션의 주요 기능이다.
<그림 1>피앤피시큐어 ‘인포세이퍼’ 구성도
강력한 접근통제 기술 적용
개인정보 접속기록 관리 솔루션은 강력한 규제준수 의무를 가진 공공기관에 도입돼 왔다. 그러나 잇단 개인정보 유출 사고가 발생하고, 개인정보 보호 법안에서 기업의 개인정보 보호 책임을 강화하면서 엔터프라이즈 시장에서도 수요가 발생하고 있다. 엔터프라이즈는 특히 클라우드로 확대된 비즈니스 환경에서, 권한 있는 사용자가 개인정보에 접근하는 것을 효과적으로 통제해야 한다는 요구를 갖고 있다. 그래서 개인 정보 시스템에 접근하는 다양한 채널을 모두 지원하는 솔루션의 수요가 늘어나고 있다.
피앤피시큐어의 개인정보 접속기록 관리 솔루션 ‘인포세이퍼(INFOSAFER)’는 규제준수 요건이 강한 공공기관 뿐 아니라 높은 비즈니스 유연성을 요구 받는 엔터프라이즈까지 다양한 산업군 고객의 개인정보 보호를 지원한다. 인포세이퍼는 20여 년간 발전시켜 온 강력한 접근통제 기술을 적용해 모든 환경·모든 경로에서 권한사용자의 개인정보 접속이력을 수집·생성·저장하고 이상행위를 정확하게 기록하고 모니터링한다.
개인정보 접속기록 관리만을 제공하는 경쟁사 솔루션은 웹·WAS 등 간접접근(3티어)하는 경우만 지원하며, DB에 직접접근(2티어)하는 경우에는 DB접근통제 솔루션을 이용해야 한다. 이때 2티어 접속이 기록되는 DB접근통제 시스템에서도 3티어 접근 기록을 동일하게 적용해야 해 관리와 운영이 복잡해지고, 관리되지 않은 홀이 생긴다는 문제가있다.
개인정보를 대량으로 조회하는 개발자와 관리자들에 의한 2티어 접속과 일반 사용자들이 애플리케이션에서 조회하는 3티어 접속 모두를 하나의 솔루션에서 기록하는 것이 관리 편의성이나 보안성 측면에서 유리하다. 인포세이퍼는 2티어 로그와 3티어 로그를 단일 솔루션에 저장해 사용자의 이상행위를 정확하게 파악하고 대응할 수 있다.
인포세이퍼는 개인정보 접속기록 관리 기능 뿐 아니라 포괄적인 개인정보 보호 기능을 제공한다. 인포세이퍼는 개인정보 접속기록을 암호화해 위변조를 예방함으로써 권한사용자가 접속기록을 조작하는 것까지 방지할 수 있다.
관리되지 않고 방치된 개인정보를 찾아 관리할 수 있도록하는 기능도 탁월하다. 개인정보처리자가 방대한 시스템에 분산된 개인정보의 위치를 모두 파악하고 관리하는 것은 매우 어렵다. 개발자와 유지보수 인력이 개인정보처리자 허락 없이 개인정보 컬럼을 복제할 경우, 개인정보처리자는 복제된 ‘고스트 개인정보’를 알 수가 없다. 이러한 문제는 개인정보를 보유하고 있는 모든 기관에 내재된 문제점으로 감독기관의 단골 지적 사항이다. 인포세이퍼는 이 같은 고스트 개인정보까지 찾아 관리되지 않은 개인정보로 인한 보안사고를미연에 방지한다.
더불어 인포세이퍼는 서비스 연속성을 보장해 중단 없는 개인정보 보호가 가능하다. WAS에서 Web.xml을 수정하지 않기 때문에 장애 걱정 없이 WAS의 업데이트·수정이 가능하고 개인정보 접속기록 서비스의 연속성을 보장한다.
고객의 업무시스템에 설치한 접속기록 생성 센서가 인포세이퍼 운영장비에 바로 접속기록을 생성하는 형태로 운영돼 고객의 업무시스템 내 접속기록을 생성하거나 저장하는 등의 추가 장애요인을 발생시키지 않는다.
<그림 2> 모든 경로 개인정보 접속이력 완벽 로깅
전담 엔지니어 지원해 책임 있는 서비스 제공
개인정보 접속기록 관리 솔루션 경쟁사들이 공공시장에 주력하는 것과 달리 피앤피시큐어의 인포세이퍼는 공공시장 뿐 아니라 금융, 엔터프라이즈, 의료 등 다양한 산업군에 공급되면서 영토를 빠르게 확장시키고 있다.
경쟁사 솔루션을 사용하다 서비스 지원이 원활하지 않아 인포세이퍼로 교체한 A 기관은 피앤피시큐어가 전담 엔지니어를 지정해 POC부터 납품, 구축, 유지보수까지 책임 있게 수행하는 것에 높은 점수를 주었다.
이 기관은 업무 시스템이 본사와 국가정보자원관리원으로 나뉘어 있어 개인정보 접속기록 관리 솔루션 구축과 운영에 어려움을 겪어왔다. 이 기관은 업무시스템 내에 센서를 설치해 개인정보 접속기록을 관리했는데, 원격지 업무 시스템에 센서를 설치하는 과정이 쉽지 않았다. 여러 조직의 보안 정책이 충돌하고, 다수 관계자들의 의견이 일치하지 않아 이를 조율하는 복잡한 과정을 거쳐야 해 상당한 어려움을 겪었다.
피앤피시큐어는 다양한 환경에서 솔루션 구축·운영 경험을 갖고 있는 전담 엔지니어를 배치해 분산된 환경에서, 복잡하게 얽혀 있는 여러 조직의 의견을 받아들여 최선의 운영 방안을 찾아 구성할 수 있도록 해 성공적으로 프로젝트를 완성할 수 있도록 했다. 관계된 모든 조직의 의견을 최대한 수렴하고 보안 취약점을 제거하고 관계자의 이견을 좁히면서, 책임 있는 기술지원과 유지보수를 제공해 제품을 안정적으로 사용할 수 있도록 했다.
업무시스템 영향 없이 접속기록 관리
B 기관은 개인정보 DB에 접근하는 다양한 경로에서 접속기록을 관리할 수 있다는 점에서 인포세이퍼를 선택했다. 기존에 운영 중인 DB접근제어 솔루션 ‘디비세이퍼(DBSAFER)’와 인포세이퍼를 연동해 업무시스템을 경유해 개인정보를 활용하는 사용자와 DB에 직접 접근하는 사용자 모두의 접속기록을 쉽게 관리할 수 있다는 점이 가장 강력한 강점이었다.
3티어 사용자의 업무 시스템에서 개인정보 접속기록을 관리하는 기술에 있어서도 인포세이퍼가 탁월한 경쟁력을 갖고 있다. 3티어 사용자 개인정보 접속기록을 관리하기 위해 업무 시스템에 센서를 설치하는데, 경쟁사 제품은 업무시스템에 접속기록을 저장하면서 업무 시스템의 자원을 사용하고 잦은 장애를 발생시킨다. 인포세이퍼의 센서 ‘와스 트레이서(WAS TRACER)’는 센서에서 업무시스템 세션정보를 가져와 접속기록을 관리한다. 업무 시스템에 영향을 주지 않기 때문에 높은 안정성을 보장하면서 시스템을 운영할 수 있다.
B 기관은 인포세이퍼 도입으로 모든 환경에서 안정적으로 개인정보 접속기록을 관리할 수 있게 됐으며, 모든 경로의 접기록까지 한 번에 관리할 수 있어 행정안전부의 ‘접속기록 관리강화 추진계획’ 가이드라인을 만족시켰다.
컴플라이언스를 가장 중요하게 생각한 C 시는 개인정보 안전성 확보조치 기준과 행정안전부 가이드라인을 정확하게 만족하는 유일한 솔루션인 인포세이퍼를 선택했다. 접속기록을 전하게 보관하기 위해 국정원 검증필 암호모듈을 통해 로그데이터를 암호화하고 위변조 방지 기능을 함께 제공한다는 점에 높은 평가를 주었다.
D 원은 피앤피시큐어가 고객사 전담 엔지니어를 지원한다는 점을 높게 평가했다. 피앤피시큐어는 솔루션 도입기관의 환경분석부터 솔루션 구축, 유지보수 등 사후서비스 지원까지 배정된 엔지니어가 모두 책임지고 있어 어떤 환경에서도 안정적인 서비스를 보장받을 수 있다.
실시간 위험관리 체계 구축
금융기관에서도 주목할 만한 성공사례가 잇따르고 있다. E 생명은 개인정보접속이력 관련 업무 처리를 위해 수집된 개인정보 접속이력 로그를 수동으로 다운받아 엑셀로 편집하는 등 수작업에 의존했다. 또 사용자별로 월별 통계 작성 후 위험 사용자에 대해 수작업으로 위험 관리 소명을 받아 업무 처리에 많은 시간과 노력이 소요되었다.
그러나 수많은 개인정보 처리 기록을 수작업으로 처리하는 데 버거움을 느꼈으며, 개인정보안정성 확보조치 기준을 00% 준수하기 어려웠다. 또한 내부적으로 강화된 정보보호 체계를 운영할 수 있어야 한다는 요구도 있었다.
E 생명은 인포세이퍼를 도입해 실시간 위험 관리 모니터링 및 모든 개인정보 사용 이력을 자동으로 통합 관리해 실시간 위험 관리 체계를 구축하고 업무 효율성을 높일 수 있게 됐다. 내장된 ‘DB스캐너’를 이용해 개인정보처리시스템(DB)에서 개인정보를 자동으로 분석하고, 개인정보접속기록 검출 대상으로 등록·관리해 개인정보 보호 편의성을 한층 높였다. 또 ‘디비세이퍼 DB’와 DB 커넥터 기능을 사용해 인포세이퍼를 연동, 2티어 및 3티어 사용자까지 개인정보 접속이력을 모니터링할 수 있었다.
E 생명은 현재 대출, 청약, 보험, 심사, 영업, 콜센터 등 중요 기간 업무 서비스에 적용했고, 향후 전사 업무 서비스에 확대 적용할 예정이다.
오래된 WAS를 사용하는 환경에서 개인정보 접속기록 관리 솔루션을 도입한 사례도 눈에 띈다. 서비스 회사인 F 사는 10여 년 전 개발된 WAS가 메인 시스템으로 사용되고 있어 이를 지원하기 위한 추가개발이 불가피했다. 피앤피시큐어는 이 시스템을 지원하는 기술을 빠르게 개발함으로써 이 기업에서도 개인정보 접속기록을 관리·모니터링할 수 있게 했다.
민감한 개인정보를 대규모로 관리하고 있는 병원은 개인정보 접속기록 관리가 무엇보다 필요한 산업군이다. 대학병원 등 상급병원은 대학병원 등 상급병원 들이 ISMS-P 인증 및 보안사고 예방을 위해 적절한 조치를 고민하고 있으며, 아직은 소극적이지만 곧 개인정보 접속기록 관리 수요가 늘어날 것으로 기대된다.
◇네트워크타임즈 데이터넷
[사례연구] 피앤피시큐어 다양한 산업군에 개인정보 접속기록관리 구축
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=163132
피앤피시큐어, 원격근무 보안 솔루션 ‘페이스락커’ 출시
2021.07.26
원격근무 환경서 실시간 사용자 인증 및 업무시스템 실행 탐지 등 보안 기능 제공
[아이티데일리] 피앤피시큐어(대표 박천오)는 원격근무 환경에서 필수적인 보안 기능을 제공하는 원격근무 보안 솔루션 ‘페이스락커(FaceLocker)’를 출시한다고 26일 밝혔다.
‘페이스락커’는 인공지능 및 안면 인식과 부가적인 인증을 연동한 ‘통합 실시간 사용자 인증’과 동시에 업무 시스템 실행 및 종료 탐지, 자체 보호, 화상 스트리밍 지원 등의 기능을 제공한다.
PC나 노트북에 부착된 RGB카메라를 활용한 안면 인증으로, 실시간으로 사용자를 인증할 수 있다. 특히 인증 후에도 지속적으로 사용자임을 확인함으로써 보안을 지속할 수 있도록 지원한다. 안면 인증을 진행할 수 없을 때는 OTP(One Time Password)와 같은 부가적인 인증을 연동할 수 있다. 이 외에 외부의 공격이나 인증 무력화 공격 방지를 위해 자체 보호 기능을 포함하고 있는 것도 특징이다.
더불어 실시간 사용자 안면 탐지 중에도 화상 스트리밍(회의)을 지원해 언택트(재택) 근무 상황에 맞춰 업무 처리가 가능하도록 효율성을 향상시켰다.
피앤피시큐어 관계자는 “코로나 종식 이후에는 현재의 재택근무와 보안의 형태가 확장돼 자유롭게 일할 공간을 선택할 수 있는 원격 근무와 보안이 요구될 것으로 보인다. 끊임없이 대두되는 보안 위협 환경에서 ‘페이스락커’는 기업 종사자는 물론 개인 사용자에게도 언택트(재택) 근무를 시작으로 원격 근무로 확장되는 보안의 시작을 함께할 수 있을 것으로 기대된다”고 말했다.
◇IT DAILY
피앤피시큐어, 원격근무 보안 솔루션 ‘페이스락커’ 출시
권정수 기자 kjs0915@itdaily.kr
원문 = https://www.itdaily.kr/news/articleView.html?idxno=203729
◇네트워크타임즈 데이터넷
피앤피시큐어, 재택근무 위한 안면인식 본인인증 솔루션 출시
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=162363
◇디지털데일리
재택근무 보안 시장 뛰어든 피앤피시큐어··· ‘페이스락커’ 출시
이종현 기자 bell@ddaily.co.kr
원문 = http://www.ddaily.co.kr/news/article/?no=218737
◇디지털타임스
피앤피시큐어, 비대면 근무 보안 솔루션 `페이스락커` 출시
윤선영 기자 sunnysday72@dt.co.kr
원문 = http://www.dt.co.kr/contents.html?article_no=2021072602109931820002&ref=naver
◇전자신문
피앤피시큐어, 재택근무자 실시간 안면인식 솔루션 출시
오다인 기자 ohdain@etnews.com
원문 = https://www.etnews.com/20210726000081
◇데일리시큐
피앤피시큐어, 재택근무에서 원격 근무로 확장되는 보안 강화 위한 ‘페이스락커(FaceLocker)’ 출시
길민권 기자 mkgil@dailysecu.com
원문 = https://www.dailysecu.com/news/articleView.html?idxno=126966
◇아이뉴스24
피앤피시큐어, AI 안면인식 재택근무 보안 솔루션 출시
최은정 기자 ejc@inews24.com
원문 = http://www.inews24.com/view/1388748
피앤피시큐어 “모든 접근제어 통합해 보안 위협 낮춰”
2021.07.05
[사례연구] 통합 접근제어 구축 산업별 성공사례 공개
피앤피시큐어 하이브리드 지원 통합 접근제어, 다양한 산업군에 공급
보안위협·관리 복잡성 낮춰…단일벤더 지원으로 장애대응·비용 효율 효과 높아
[데이터넷] 클라우드가 대세를 이루고 있지만 모든 업무를 100% 클라우드로 이전하는 기업은 많지 않다. 대부분 기존 IT 환경을 유지하면서 IT 자산의 효율성을 높이기 위해 프라이빗 클라우드로 일부 전환하고, 높은 민첩성과 유연성을 요구하는 업무는 퍼블릭 클라우드를 사용하면서 클라우드 활용률을 넓혀가는 전략을 채택하고 있다.
이 같은 멀티 클라우드 환경에서는 일관된 보안 정책을 적용하기 쉽지 않다. 여러 형태의 가상화·클라우드 플랫폼의 보안 운영 환경이 다르고, 퍼블릭 클라우드의 경우 관리환경이 상이해 온프레미스와 동일한 수준의 보안을 적용하기가 쉽지 않다.
클라우드 도입의 주요 목적이 비즈니스 효율성을 높이는 것인 만큼, 효율성을 해치는 수준의 강도 높은 보안 정책을 적용하는 것도 어려운 일이다. 특히 다양한 환경을 이용하는 멀티 클라우드에서 기존과 같은 방식의 접근통제는 클라우드 전환을 어렵게 할 뿐 아니라 사용자를 불편하게 하고, 보안 위협을 높이는 결과로 이어지기도 한다.
비즈니스 확장되며 복잡해지는 접근제어
이러한 문제는 클라우드 전환에서만 일어나는 것은 아니다. 비즈니스가 확장되면서 여러 외부 기관 및 고객들과 다양한 형태의 협력과 소통을 해야 하는데, 복잡해지는 커뮤니케이션 과정의 접근통제 문제가 불거질 수밖에 없다.
특히 공공분야의 경우, 수많은 대민서비스, 외부기관과의 교류망에서 다양한 접근을 관리할 때, 모든 서버접근의 경로를 제어해야 한다. 많은 경우 기존에 도입한 개별 접근 제어 솔루션들을 복잡하게 연결해서 대응하는데, 중복된 보안정책으로 인해 사용자와 관리자가 불편함을 느끼게 되고, 계정관리와 로그확인이 어려워지면서 취약점이 발생할 수 밖에 없다.
금융기관과 엔터프라이즈는 접근제어 제품군이 도입된 뒤, DB 접근제어, 시스템 접근제어, OS 접근제어 등 제품들을 별도로 관리하는데 시간과 인원의 리소스가 부족하고 업무 부하가 많아 접근제어 대한 통합관리 문제를 겪고 있다. 다양한 접근제어 솔루션을 운영하다 보니 권한 부여에 대한 통합 결재시스템(정보보안 포털)의 필요성이 커지고 있다. 대규모 고객사의 경우 예산을 투자해 SI성으로 통합 정보보안 포털을 구축하지만, 소규모 고객사의 경우 개별 솔루션을 사용해 업무상 고충이 있다.
현재 대부분의 기업·기관은 DB 접근제어, 시스템 접근제어, OS 접근제어, DB 계정관리, OS 계정관리 등을 따로 구축해 업무 시스템과 애플리케이션을 통제한다. 그래서 다음과 같은 어려움을 겪고 있다.
규제준수 위한 통합 접근제어 필수
전통적인 접근제어 솔루션은 기술지원 측면에서도 많은 문제를 갖고 있다. 특정 솔루션의 경우, 어도비 플래시를 이용해 구현됐으나 플래시 서비스 종료에 대한 대응이 늦어 고객이 사용에 불편을 겪는 경우가 발생했다. 어플라이언스의 OS, 애플리케이션이 기술지원 종료(EOS) 됐을 때, 주기적 업데이트 관리가 되지 않아 보안 취약성을 해결하지 못한다.
또 감사 대응과 기타 업무 시 각각 별도의 접근제어 솔루션 을 운영하면 동일 업무를 여러번 해야 하는 불편함이 존재해 통합접근제어 제품의 필요성 증대하고 있다.
클라우드 확산으로 다양한 클라우드 환경에 적합한 솔루션이 필요하다는 요구도 계속 증가하고 있다. 기존의 상용화된 DBMS 뿐만 아니라 ▲아마존 레드시프트(Redshift), 애저 SQL MI, 구글 클라우드 SQL 등 클라우드 데이터베이스 ▲몽고DB , H베이스, 다이나모DB 등 NoSQL ▲구글 스패너, 볼트DB(VoltDB ), 누오DB NuoDB ) 등 NewSQL과 같은 최신 DBMS 지원을 필요로 하고 있다.
이와 함께 산업별로 개인정보보호법, 주식회사 등의 외부 감사에 관한 법률(외부감사법), ISMS-P, 클라우드 보안인증제(CSAP), PCIDSS 등 같은 다양한 법률과 인증을 모두 만족할 수 있는 솔루션이 필요하게 됐다.
U-IAM ‘디비세이퍼’, 보안위협·복잡성 낮춰
이러한 문제를 해결할 수 있는 방법 중 하나로 모든 접근제 어 기술을 통합해 제공하는 솔루션이 제안된다. 통합 솔루션은 온프레미스, 클라우드 등 어떤 환경에서도 새로운 DB·OS에 대해 보안기능을 일괄적으로 빠르게 지원해 전사적으로 보안레벨이 향상된다.
예를 들어 사용자가 필요한 DB 계정을 신청 시스템에 상신해 결재 되면, DB 계정관리는 해당 DB 서버에 DB 계정을 생성하고, DB 접근제어는 해당 DB 서버에 접근을 허용하는 정책을 실시간으로 반영한다. 또한 사용자의 부서이동이나 이직시 인사정보와 연동돼 계정 및 관련 정책은 자동으로 소멸된다. 그러므로 보안관리자가 별도의 업무를 수행할 필요가 없게 된다.
이 같은 역할을 하는 통합계정 및 접근제어(U-IAM) 솔루 션으로, 피앤피시큐어의 ‘디비세이퍼(DBSAFER)’가 여러 고객에게 공급되면서 시장을 확장하고 있다.
디비세이퍼는 DB접근제어, 시스템 접근제어, OS 접근제어, DB 계정관리, OS 계정관리에 대한 접근·권한 정책, 로그 통합 관리를 제공하는 솔루션이다. 통합 관리를 통해 보안관리를 쉽게 하고 비용을 줄이며, 복잡한 컴플라이언스에도 만족한다. 보안대상 시스템 증가에 대해서도 적은 보안관리 인력으로도 운영할 수 있다.
피앤피시큐어는 17년 이상 보안솔루션 사업을 영위하며, 전국단위 기술지원 체계를 구축해 운영하고 있다. 이를 통해 공공기관, 금융기관, 기업 등 다양한 환경 및 전국에 분포한 4500여 고객사에 예방점검, 유지보수 등 사후서비스를 원활하게 지원해 고객들에게 높은 만족을 주고 있다.
통합된 솔루션을 제공한다는 기술적인 장점 외에도, 운영이 원활하게 될 수 있도록 수준 높은 서비스를 일괄적으로 제공하고 있다. 피앤피시큐어는 다음과 같은 서비스 체계를 장점으로 하고 있다.
▲피앤피시큐어 통합접근제어 구성도
전 산업군서 빠르게 도입
최근 많은 조직들이 클라우드 환경으로 빠르게 전환하고 있다. 피앤피시큐어는 이러한 시장의 흐름에 맞춰 여러 CSP/MSP와의 협력을 추진했으며, AWS, MS 애저, GCP, KT 클라우드, 네이버 클라우드, NHN 클라우드, 클라우드제트, 카카오아이 클라우드 등 다양한 클라우드 플랫폼에서 효율 적인 운용이 가능하도록 클라우드 통합접근제어 솔루션을 제공하고 있다. 이러한 장점이 인정을 받아 모든 산업군에서 고르게 고객을 확보하고 있다.
🔸 공공
공공분야의 대표적인 성공사례인 OO공사는 DB 접근제어, 시스템접근제어, 계정관리 통합 솔루션을 각 구간별, 사업별 수요부서와 시행 SI사에서 도입해 운영한 후 공사 표준제품으로 결정하고 지속적으로 추가 도입하고 있다. 다양한 DB, 시스템, 애플리케이션, 사용자 등에서 보안대상 DB·시스템 접근에 대한 통합접근제어를 적용해, 보안정책·로그·계정관리를 일원화했다.
OO공사 관계자는 “피앤피시큐어 ‘디비세이퍼 엔터프라이즈’를 통해 표준화된 DB·시스템 접근제어를 구현해 공사 내 부 보안정책을 안정적으로 일관성 있게 제공할 수 있게 됐다”고 말했다.
🔸 금융
클라우드 환경에 ‘디비세이퍼 엔터프라이즈’를 도입한 OO금융그룹은 클라우드 환경에 맞게 DB 접근제어와 서버접근 통제를 하나의 제품으로 운영할 수 있다는 점을 높게 샀다. 클라우드에서 신속하게 라이선스가 반영되므로 오토스케일링 기능을 편리하게 사용하고 있다.
OO금융그룹 관계자는 “통합접근제어 제품은 보안 관리가 용이하고 편리하다. 내외부 감사시, 디비세이퍼를 통해 잘 대응하고 있다”고 밝혔다.
ERP와 전자페이를 제공하는 OO사는 ‘디비세이퍼’의 DB·시스템 접근제어와 계정관리 통합 솔루션을 운영하고 있다. 핵심 접근제어 솔루션을 한 제조사 통합 솔루션을 이용해 관리와 업무 효율성을 극대화했다. 특히 내외부 감사시, 디비 세이퍼를 통해 신속 정확하게 대응하고 있다.
OO거래소는 AWS에서 DB·시스템 접근제어를 통합한 ‘디비세이퍼 디비·AM’을 사용하고 있다. AWS에서 하나의 가상서버에 통합접근제어 솔루션을 빠르게 구축해 안정적으로 구축·운영하고 있다.
🔸 엔터프라이즈
OO통신사는 ‘디비세이퍼’를 그룹웨어, ITSM, ILM 등 내부 업무시스템과 연동했다. 결제시스템을 근간으로 보안정책 및 계정관리가 운영되므로 관리자는 보안솔루션의 관리자 화면에 접속할 일이 거의 없다. 사용자가 신청페이지에서 필요사항을 신청하면 워크플로우에 따라 자동으로 처리된다.
DB·시스템·OS 접근제어를 통합한 ‘디비세이퍼’를 그룹표 준화 제품으로 선정한 OO그룹은 온프레미스, 프라이빗 클라 우드, 퍼블릭 클라우드 환경에 점진적으로 확산할 예정이다.
OO그룹 관계자는 “통합적으로 제공하는 보안 솔루션의 도입은 회사의 효율성 및 관리차원에서 꼭 필요하다”며 디비 세이퍼 도입 이유를 밝혔다.
OOO사는 개인정보가 포함된 서버와 일부 중요서버에만 DB 접근제어와 시스템 접근제어, 계정관리를 통합한 ‘디비 세이퍼’를 도입해 수년간 운영했다. 그리리고 통합제품의 장점과 기술지원에 만족해 전체 서버로 확산 적용하고 있다.
OOO사 관계자는 “통합 솔루션이 유지보수 중 관리자 측면에서 관리하기 편하고, 비용적인 면에서도 절감된다. 제조사 한곳에서 접근제어 솔루션을 한 번에 이용할 수 있다는 점은 장점으로 판단된다”고 설명했다.
◇네트워크타임즈 데이터넷
피앤피시큐어 “모든 접근제어 통합해 보안 위협 낮춰”
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=161524
[마이데이터 보안②] 저장·이동·활용 데이터 모두 보호
2021.06.21
컨피덴셜 컴퓨팅으로 활용중 데이터 보호…저장·이동중 데이터 암호화 보호
통합 접근제어·MFA·HSM으로 모든 환경의 데이터 보호
[데이터넷] 마이데이터의 핵심 보안 요구사항인 개인정보 보호를 위해서는 민감한 정보를 암호화하고, 법적 근거 없이 수집한 개인정보는 삭제해야 한다. 그래서 웹·서버·PC 등에 있는 개인정보를 파악하고 정책을 위반하는 데이터는 조치하며 자동 암호화하는 솔루션이 필요하다.
통합 접근제어로 빈틈없는 데이터 보호 지원
중요 데이터를 저장한 데이터베이스와 시스템, 애플리케이션 전반에 대한 접근통제도 필수다. 데이터 유출은 데이터베이스에 직접 접속하는 권한 사용자에 의해서도 유출될 수 있으며, OS와 애플리케이션, 시스템 등의 취약점을 이용해서도 탈취될 수 있다.
피앤피시큐어는 개인정보 DB와 시스템, 애플리케이션, OS, 계정·접근관리(IAM) 등 개인정보에 접근할 수 있는 모든 영역에서 강력한 통제를 제공한다. 단일 통합 플랫폼 U-IAM에서 접근제어 관련 기술을 모두 제공하며, 조직의 상황에 따라 모듈을 선택할 수 있 다. 비용과 관리 포인트가 줄어들고 벤더의 기술지원 이 즉각적으로 이뤄지며, 클라우드로 확대된 비즈니스 환경까지 지원할 수 있다.
강필성 피앤피시큐어 솔루션사업부 금융사업팀장은 “피앤피시큐어의 통합접근제어 솔루션은 국내 마이 데이터 사업에 핵심 보안 솔루션으로 공급되고 있다. 이미 대다수의 마이데이터 사업자들이 피앤피시큐어 의 통합접근제어 솔루션으로 구축을 진행했다. 특히 국내 최대 마이데이터 사업인 K사 마이데이터 사업에 DB접근제어, 시스템 접근제어 계정관리 제품이 통합 된 ‘디비세이퍼(DBSAFER)’ 제품군을 구축, 마이데 이터 사업에서 필수적인 강력한 보안 체계를 구축하고 있다”고 말했다.
◇네트워크타임즈 데이터넷
[마이데이터 보안②] 저장·이동·활용 데이터 모두 보호
김선애 기자 iyamm@datanet.co.kr
원문 = http://www.datanet.co.kr/news/articleView.html?idxno=160886