편집 : 2017.12.10 일 19:26
금융IT
[성공사례]수협은행, 차세대 NAC 도입 1년 성과는…엠엘소프트 ‘T게이트’ 구축·운영…IP주소 관리까지 일괄 해소
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.04.25  21:45:09
트위터 페이스북 미투데이 요즘 네이버 구글 msn

국내 유일 수산업 지원 금융기관, 수협은행이 최근 네트워크 접근제어(Network Access Control, 이하 NAC) 구축 성과를 발표, 눈길을 끌고 있다.

25일 수협은행은 작년 2월부터 운영중인 네트워크 접근제어 및 IP주소관리 관련, 단순한 규제준수 뿐만 아니라 IP별 인증 등을 통해 수협은행 전체의 보안성이 크게 향상됐다고 밝혔다.

송재문 수협은행 정보보호 최고 책임자(CISO)는 “수협은행은 지난 2015년, 엠엘소프트를 주사업자로 네트워크 접근제어(NAC) 및 IP주소 관리시스템을 구축했다”며 “규제준수 차원을 넘어서 궁극의 보안을 구현하게 됐다”고 밝혔다.

◆과거 수협은행의 고민은? = 수협은행은 은행 전체의 네트워크 운영에 있어 적지 않은 고민을 갖고 있었다.

우선, 수협은행은 네트워크 접근 제어 시 단말IP를 통한 전산센터 구간별 인라인 센서를 통해 에이전트 설치 및 무결성 체크가 불가능했다.

그렇다 보니 자연스레 엔드포인트 단에서 비인가 정비 등 차단 불가능한 구조였다.

사용자별 단말 IP 관리가 되지 않다는 점 때문에 IP(MAC포함)를 통한 접근제어는 당연히 어려웠고, 전체 사용자에 대한 IP관리가 힘들어 전체 IP사용 현황 파악 및 감사시 대응에 어려움을 겪어왔다.

채종로 수협은행 정보보호실 과장은 “NAC 정책 변경 시 관리자에 의한 즉시 정책 수정이 불가능해 보안 정책 공백이 발생했고, IP별 장비 인증 미비로 비인가 장비에 대한 통제가 쉽지 않았다”고 밝혔다.

◆2015년, 엠엘소프트 선정…4개월간 개발 나서 = 이같은 난제 해소를 위해 수협은행은 지난 2015년 10월, 입찰을 거쳐 엠엘소프트(대표 이무성)를 선정, ‘네트워크 관리통제 시스템’ 도입에 본격 나선다.

2016년 2월 22일까지 4개월 동안, 수협은행과 엠엘소프트는 33.7 M/M를 투입, 엠엘소프트의 ‘티게이트(TGATE) NAC’ 솔루션 및 ‘TCO!시큐IP(SecuIP)’를 도입했다.

엠엘소프트 선정 배경에 대해 수협은행은 ▲손쉬운 커스터마이징 ▲싱글사인온(SSO) 연동의 용이성 ▲DLP, DRM, 망분리 등 연계성 등에 강점을 보였다고 강조했다.

수협은행 ‘업무망 NAC 센서 및 인증 및 관리 서버’ 구축은 AP 및 DB 서버를 이중화 구성해 사용자 정보 및 IP 사용 허용 및 차단, 정책 위반시 접근을 차단하도록 구축했다.

특히 수협은행은 인증서버 이중화 구성을 통해 사용자 인증 정책 적용 및 불법 단말 통제, 특정 IP 및 맥(Mac) 차단 정책에 적용하도록 시스템을 구성한 것이 특징이다. <그림1 ‘수협은행 NAC 구성도’ 참조>

   
▲ 그림1 ‘수협은행 NAC 구성도’
채종로 과장은 “전국에 650개 가량의 에이전트를 설치했다. 지점 또는 영업점 수는 약 620여개인데, 울릉도 등 섬에 있는 지점에는 2개의 에이전트를 설치, 본 장비-백업장비 역할을 하도록 구성했다”고 말했다. <그림2 ‘수협은행 섬 지역 NAC 구축 운영 방식’ 참조>

   
▲ 그림2 ‘수협은행 섬 지역 NAC 구축 운영 방식’
실제로 수협은행은 섬 지역 NAC 센서를 이중화 구성했다. 이를 통해 사용자 단말의 IP/MAC 정보수집 및 단말을 통제하고 있다고 밝혔다.

◆“수협은행, NAC-IP관리 도입 후 이렇게 달라졌어요” = 수협은행은 지난 1년간 모든 네트워크 단말(PC 포함)의 IP 및 MAC을 통한 관리시스템을 구현했다고 강조했다.

이를 통해 수협은행은 실시간 IP관리 및 IP별, MAC별 통제가 가능해졌고, 비인가 장비의 네트워크 접근 통제로 악성코드 등 위협으로부터 체계적인 네트워크 보호가 가능하게 됐다.

아울러 수협은행은 사용자별 IP 관리로 감사 지적사항 정리 및 규정을 준수하고, 네트워크 접근시 사용자별 ID를 통한 네트워크 접근제어로 직원 및 외부 직원 등 사용자별 통제를 구현한다.

수협은행은 이 밖에도 ▲NAC 정책 변경시 관리자에 의한 즉각적인 정책 변경으로 관리 효율성 증대 ▲무결성 미준수 및 비인가 단말기의 엔드포인트 단에서 통제가 가능해 유해 트랙픽의 네트워크 유입을 사전에 방지하게 된다고 밝혔다.

◆엠엘소프트 ‘NAC’, ‘TCO!시큐IP’는 = 신한은행, 교보생명 등 국내 금융권에 적지 않은 운용 사례를 보유한 엠엘소프트 ‘네트워크 접근제어’ 솔루션 ‘티게이트(Tgate)’는 일체형 장비 형태의 네트워크 보안 솔루션이다.

네트워크에 접속하는 모든 기기들을 보안정책에 따라 강력히 통제해 인증-검역을 통과했을 경우에만 내부망까지 접근하게 허용하는 제품이다. <그림3 ‘엠엘소프트 티게이트 구성’ 참조>

   
▲ 그림3 ‘엠엘소프트 티게이트 구성’
‘티게이트’의 강점은 아웃-오브-밴드(Out-of-Band) 방식으로 네트워크 장비의 재구성이 불필요해 장애가 발생해도 다른 네트워크에 전혀 영향을 주지 않는다.

이 장비는 에이전트를 설치할 수도, 설치하지 않을 수도 있는 사용자 정의 및 인증단계에 따라 모든 정책을 지원한다.

아울러 ‘티게이트’는 IP 관리솔루션(TCO!시큐IP), 자산관리 솔루션, 패치관리솔루션 등과 연동을 통해 기존 인프라를 활용할 수 있다.

수협은행은 ‘티게이트’ 연계성에 착안한 ‘TCO!시큐IP’도 도입했다.

   
 
엠엘소프트 ‘TCO!시큐IP’는 수동으로 관리되는 네트워크 자원(IP, MAC, 사용자명)의 관리를 자동화해 분산 네트워크에 대한 중앙 집중적인 관리가 가능하게 한다.

불특정 사용자의 불법적 IP 사용으로 인한 중요 장비의 충돌을 방지하고, 네트워크에 접속중인 단말의 종류(NAT, iphone, PC 등) 파악이 가능하게 해 보다 정교한 보안정책 수립에 도움을 준다.

‘TCO!시큐IP’는 이 외에도 새로운 웜 바이러스 발생시 발생 위치를 파악하고 확산을 방지한다. ARP 스푸핑(sppofing)을 차단, 안전한 보안환경을 제공한다고 엠엘소프트는 덧붙였다.

<김동기 기자>kdk@bikorea.net

 

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
<초점>3개 카드사 차세대 현재 진행정도는?
2
KT 기가지니-스마트스터디, 사업협력
3
IBM “파워9 이어 파워10 로드맵 이미 나와”
4
SKT, 생산설비에 ‘로라’ 적용 서비스 출시
5
SK텔레콤, ‘T 멤버십’ 12월 혜택 확대
6
“내년 복합적 보안위협 급격히 증가 전망”
7
“2018년, 사이버보안에서 AI간 대결 첫 해 될 것”
8
LG유플러스, ‘알뜰폰 멤버십’ 출시
9
KT, ‘Be Y 폰 2’ 출시
10
CJ올리브네트웍스, ‘빅데이터센터 쇼케이스’ 진행
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 박시현
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 박시현 | 청소년보호책임자 : 박시현
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net