B증권사는 IB(Investment Bank), 채권중계 법인영업 등에서 고른 성장을 바탕으로 업계 최고의 수익성을 시현하는 작지만 강한 증권사다. B증권사는 다양한 금융 서비스를 고객에게 안정적으로 제공하기 위해 보안에 많은 투자를 단행하고 있다. 특히 내부에서 발생하는 보안위협을 차단하기 위해 스콥정보통신의 네트워크 접근제어 솔루션 ‘아이피스캔NAC’을 도입했다.
B증권사는 기존 증권사의 백화점식 영업을 지양하고 특화된 자산관리 전문 증권사로 도약하고 있다. 위탁매매(현물)에 전략적으로 집중, 롱텀인베스트먼트(거액, 소수고객) 고객발굴에 주력하고 있으며, M&A, PF(Project Finance)주선뿐만 아니라 투자 컨설팅 등 다양한 금융상품을 제공하는 저위험 고효율 구조의 증권사로 성장하고 있다.
‘내부 보안위협 차단’ 최우선 과제
B증권사의 다양한 서비스는 온라인을 통해 이뤄지기 때문에 네트워크 속도와 안정성, 보안성을 보장하는 것이 서비스 경쟁력을 지키는 길이라고 판단하고 있다. 특히 보안은 금융사 비즈니스를 지키는 핵심 요건으로, 내부 보안위협을 막을 수 있는 보안 정책이 반드시 필요하다.
금융감독원의 정보자산을 보호하고 정보유출 방지하기 위한 인터넷망과 업무망 분리 추진과 각종 정보보호 규제 강화와 점차 진화하는 보안위협 및 내부 보안 위협 관리의 필요성이 증대됨에 따라, B증권사는 정보보호 규약준수와 지속적인 보안 위협 요소에 대한 관리 및 내부 네트워크 접근 관리 체계를 강화하여 내부 직원 PC를 통한 해킹과 정보유출 사고를 예방할 수 있는 방법이 필요했다.
B증권사의 정보보안 담당자는 “네트워크에 접속하는 모든 사용자 및 장비의 중앙 통합 관리와 사내 보안 정책에 의한 사용자와 장비의 인증과 보안 규제 준수, 네트워크 보안 위협 요소 사전 제거, 필수 및 악성 소프트웨어 관리를 통한 네트워크 보안 강화를 통해 지능화되는 공격을 방어할 수 있도록 여러 보안 시스템을 지속적으로 고도화하고 있다”고 말했다.
B증권사는 특히 중앙 통제 및 정책 일관성 유지와 제로데이 공격 예방 등 내부 보안 위협과 최신 사이버 공격에 대응할 수 있는 방어 기술을 적용해, 비인가 사용자 접근 제어, 비인가 소프트웨어 사용 통제, 과다 트래픽 차단 및 비인가 장비 접근제어를 통해 위협 요소 원천 차단, 사전 예방 및 네트워크 보안 관리 체계를 강화 할 수 있도록 하고 있다.
IP자원 관리·NAC 통합으로 네트워크 보안 강화
B증권사는 망연계 사업에 맞춰 기존 업무망에서 운영하던 네트워크 접근제어 솔루션을 스콥정보통신의 ‘아이피스캔NAC(IPScan NAC)’으로 교체하고, 인터넷망에도 ‘아이피스캔NAC’을 도입했다. 이때 가장 중요하게 검토한 사항이 IP자원에 대한 효율적인 관리와 NAC 통합 관리 정책 구현을 통한 네트워크 보안 강화였다. 네트워크 접속인증과 인증 된 장비에 대한 검역(백신 및 필수 프로그램 설치 여부, 불법 소프트웨어 설치 검역 등), 패치를 실시해 실제 네트워크에 접속을 시도하는 장비들을 철저히 관리하는 기능을 통합적으로 관리함으로써 네트워크 보안을 강화하고자 했다.
스콥정보통신의 ‘아이피스캔NAC’은 DBMS, DHCP 서버와 IP/MAC 자원관리 및 에이전트를 관리하는 서버를 하나의 하드웨어에 통합한 솔루션이다. 에이전트 없이 레이어2 접근제어를 기본으로 안정적인 네트워크 자원관리를 유지한다. 또한 분산 네트워크의 자료 수집과 제어를 위한 기능을 수행한다. 제어 불가능한 정보는 에이전트를 설치해 보다 강력하게 내부보안을 유지할 수 있도록 하고 있다.
‘아이피스캔NAC’은 내부 사용자에 대해 인증정책을 보다 통합적으로 관리 할 수 있고, 비인가 되어 있는 IP/MAC에 대해서 네트워크 접속 시 즉시 차단으로 내부 네트워크 접근을 막아 내부 보안을 강화 할 수 있다. 또한 기존 네트워크의 구성 변경 없이 어플라이언스 형태의 서버와 센서(Probe)를 구축해 업무에 지장을 주지 않고 통합관리 할 수 있다.
중요한 금융 정보를 다루는 내부 사용자들의 IP/MAC 관리를 위해 IP 고정·MAC 고정을 설정, 네트워크 관리자가 부여한 IP만을 사용하도록 한다. 내부 사용자가 IP변경을 해도 변경 된 IP를 사용 할 수 없으며 기존 사용자가 사용하고 있는 IP와의 충돌을 막는다. 이상 동작 이 발생하면 실시간 이벤트를 생성하고 리포트를 제공해 장애 추적이 용이하다.
외주인력 네크워크 접속 자동 관리
B증권사는 일정 시간 네트워크 접속이 필요한 외부 손님이나 고객, 파견 근무자의 내부 네트워크 접속을 제공해야 했다. 이들에 대한 임시 예외 처리 IP 관리를 보안 담당자가 직접 개별 건 별로 관리해야 하는 어려움이 있었다. ‘아이피스캔NAC’ 도입을 통해 IP를 자동 반환 할 수 있는 기능 설정으로 네트워크 접속을 등록할 때, 사용기간/시간을 설정이 가능하여, 외부 사용자는 설정 된 시간 외에 네트워크에 접속 할 경우 이를 자동 감지/차단함으로 관리자가 효율적으로 관리 및 운영 할 수 있도록 해 주며 불필요한 네트워크 접속을 차단함으로 이에 대한 문제를 최소화 시킬 수 있게 됐다.
외부 사용자들이 내부 네트워크에 접속했을 때 신규IP, 신규MAC 차단 정책을 설정함으로써 네트워크 관리자가 수동 차단 할 필요 없이 자동으로 차단시키며, 차단 후에 웹 접속을 하면 어떠한 정책으로 차단되었다는 알림으로써 보안정책에 의한 차단임을 빠르게 인식시킬 수 있다.
보안에 민감한 금융권에서는 통계 및 이력관리가 중요하여, ‘아이피스캔NAC’에서는 네트워크 자원 활용 현황을 실시간으로 확인하고, 사전에 네트워크 장애를 예방할 수 있도록 지원 하는 대시보드를 제공한다. 각 관리 포인트 별 IP 이력 결과 조회와 신뢰성 높은 IP 사용 이력 현황 보고서 제공으로 사용자 중심의 IP이력관리가 가능하다.
B증권사 또한 ‘아이피스캔NAC’ 도입을 통해서 실시간 IP 사용 현황 그래프, 도표 GUI와 IP 사용 이벤트 및 라이선스 현황 실시간 정보를 사용자 중심의 직관적으로 확인할 수 있었다. 또한 제공하는 통계 자료를 분석, 부문별로 수집되고 분석된 사용 유형을 바탕으로 네트워크 장애 발생을 사전에 예방하고, 발생한 장애에 대해서는 신속한 원인파악과 대응을 통해 안정적인 네트워크 운영을 기대할 수 있게 됐다.
에이전트/에이전트리스 혼합 구성
B증권사가 기존에 운영하던 네트워크 접근제어 솔루션이 에이전트리스 방식으로 제한적인 NAC 기능만을 이용할 수 있었다. 성능도 충분히 뒷받침되지 못해 다른 제품으로 교체해야 했다. B증권사는 에이전트 방식과 에이전트리스 방식 혼합 구성을 지원하는 네트워크 접근제어 솔루션 제품을 다양하게 검토했으며, 실망에서 B증권사의 고객과 서비스를 보호할 수 있는 시스템을 찾았다.
‘아이피스캔NAC’은 두 방식을 모두 지원해 다양한 환경에서 네트워크 접근제어가 용이하다. 에이전트 방식은 에이전트가 설치된 PC 상태 점검, 탄력적인 NAC 정책 운용이 가능하다. 에이전트 방식 사용을 위해서는 수동으로 각 단말에서 프로그램을 설치하거나 에이전트리스 방식 상태에서 미설치 단말 차단과 에이전트 설치 유도 방식에 따라 설치해 사용할 수 있다.
에이전트리스 방식은 비인가 호스트를 웹페이지 리다이렉션 기능을 통해 게스트 신청을 할 수 있도록 해 관리자의 승인을 통해 에이전트를 설치하지 않고 일정 시간 동안 네트워크를 접근하게 할 수 있도록 한다. 또한 에이전트리스 동작은 사전에 등록된 ID와 패스워드를 통해 웹페이지에서 로그인 한 후 접근 제어된 호스트의 사용 승인을 관리자의 별도 승인 없이 제공할 수 있다.
파일 배포 정책 기능 기본으로 제공
스콥정보통신의 ‘아이피스캔NAC’은 파일배포 정책 기능을 기본으로 제공해 별도의 패치관리시스템(PMS)이 불필요하다. 에이전트가 DRM, DLP, 백신, 망연계 에이전트 등 백그라운드 파일을 배포, 자동 실행해 사용자의 업무에 지장 없이 패치 업데이트와 관리를 실행한다.
패치 배포 진행 현황과 대기 현황을 관리자 웹에서 쉽게 확인할 수 있으며, OS의 종류를 별도로 지정해 조건에 맞는 PC에만 파일 배포를 할 수 있다. 전체, 부서, 개인에 따라 각기 다른 파일배포도 가능하다. 윈도우 업데이트 서버와 보안패치 서버 없이 파일 배포 정책을 통해 윈도우 보안패치. 기타 보안패치를 업로드해 사용자 PC는 항상 최신상태의 보안을 유지 할 수 있다.
B증권사의 네트워크 접근제어 솔루션은 기존 네트워크 환경의 구성변경 없이 설치해야 했기 때문에 높은 비용의 고성능 제품보다 합리적인 가격으로 제공되는 안정성 높은 네트워크 접근제어 솔루션을 구축하는 것이 효과적이라고 판단했다.
B증권사는 보안담당자가 내부보안 정책 설정과 운영 등에 대해 스콥정보통신의 ‘아이피스캔NAC’의 도입으로 네트워크 자원에 대한 가시성 및 관리의 편리성을 확보할 수 있어 보다 신속하고 용이하게 관리가 가능해 내부보안 위협에 효과적으로 대응하고 있으며, 금융당국의 권고사항을 적극적으로 적용하는 한편, 내부 사용자의 업무편의를 해치지 않도록 편의성도 함께 보장하고 있다.
