"SAP ERP 전용 보안 솔루션 필요하다"

IT컨설팅 전문업체 인스피언(대표 최정규)이 SAP 전사적 자원관리(ERP)시스템에 최적화된 접근 제어 방식의 개인정보보호 솔루션을 내놨다. SAP ERP에 민감한 데이터가 많이 담긴 만큼, 개별 솔루션 도입이 필요하다는 것이 회사측 입장이다.

인스피언이 출시한 '엑스콘'(xCon for SAP)은 SAP ERP 시스템에 접속하는 사용자 또는 인터넷주소(IP)별 접근 이력, 이들의 업무수행 이력 등 접근 로그(log) 기록을 관리함으로써 ERP에 저장돼 있는 각종 개인정보를 보호해 주는 것이 특징이다.

최정규 대표는 지금까지 접근 제어 솔루션은 DB단에 맞춰져 있어, 사용자가 누구가 어떤 IP에서 들어오는지 파악하기 힘들었다면서 엑스콘은 애플리케이션에 초점을 맞춰 누가 들어왔는지도 파악이 가능하다고 강조했다.인스피언에 따르면 ERP는 기업 재무와 인사 및 판매 등 모든 자원을 통합 관리하는 시스템으로 업무처리를 위해 주민번호, 계좌번호, 외국인등록번호, 카드번호, 주소, 연락처 등 다양한 유형의 개인정보를 포함하고 있다.

최근에는 비즈니스 프로세스 효율성을 위해 ERP를 기업 내부 시스템으로만 사용되는 것이 아니라 고객관계관리(CRM), 공급망관리(SCM) 등 각종 기업 애플리케이션들과 상호 유기적으로 연계하는 추세여서 ERP에 담긴 개인정보가 유출될 경우 해당 기업뿐만 아니라 사회적으로도 큰 파장을 야기할 수 있다.

인스피언은 서비스업에 종사하는 A사는 ERP에 주민번호를 포함한 개인정보가 6억건이 보관돼 있으며 금융업 회사인 B사의 경우 주민번호와 계좌번호 등 1억건의 개인정보를 보관하고 있다고 전했다.

아직까지 국내에서 SAP ERP에서 개인정보가 유출된 사례는 없다. 그러나 대기업들 사이에선 ERP에 저장된 개인정보보호에 대한 요구가 늘고 있다고 인스피언측은 강조했다.

인스피언 엑스콘은 특정 사용자가 로그인에 성공하거나 실패할 때, 개인정보를 조회할 때, 사용자 암호를 변경할 때, 중요 업무에 접근하거나 오류를 범할 때 등의 다양한 특이현상을 파악한다.

이 같은 현상 가운데 규정 위반사항으로 판명날 경우 이를 보안 위반행위로 간주하고 실시간으로 위반행위를 탐지해 사용자를 차단시키고 경고하는 ‘업무 접근 차단’ 기능을 수행한다. 사용자 로그인을 사용자 ID, IP 주소, 시간에 따라 통제할 수 있는 ‘시스템 로그인 통제’ 기능도 갖췄다.

다양한 통계리포트도 제공한다. 일별 감사 및 경고 발생에 대한 추이 정보, 가장 빈번하게 사용되는 애플리케이션 정보, 가장 많은 업무를 수행하는 조직 등의 시스템 운영 현황 정보를 보여준다. 전체 모니터링 대상 시스템에서 운영중인 SAP 프로그램들에 대한 응답시간, 수행횟수, 주요 사건들에 대한 정보 및 이력 등을 활용하여 기간별 추이를 볼 수 있는 통계 데이터도 제공한다.

엑스콘은 안전행정부가 만든 개인정보보호법 준수를 위한 개인정보 관리 관련 기술적 보호대책도 제공한다. 사용자 행위 감사, SAP 시스템에 대한 접근 통제, 시스템 활용 현황 및 개선요소까지 제공함으로써 시스템 관리자들이 안심하고 개인정보를 보호할 수 있도록 지원한다고 회사측은 강조했다.

인스피언 관계자는 2011년 9월 시행된 개인정보보호법에 따라 기업들은 고객정보에 대한 보호조치를 수행해야 한다며 기술적으로는 개인정보처리 시스템에 대한 접근을 제어/기록하는 접근제어 솔루션과 개인정보에 대한 암호화 솔루션이 필요한데, 암호화와 더불어 접근제어솔루션을 구축해야만 이 같은 법적 요구사항을 만족시킬 수 있다고 말했다.