현대오일뱅크, ‘다크트레이스 기업 면역 시스템’ 도입

▲ 현대오일뱅크 대산공장(출처: 현대오일뱅크)

[컴퓨터월드] 4차 산업혁명시대, 다양한 분야에 IT 기술이 접목되면서 보안의 중요성은 더욱 강조되고 있다. 특히 제조, 정유 등의 분야에서는 공정 시스템이 중단 없이 안정적으로 운영될 수 있도록 시스템을 구축해야 하며, 이 과정에서 보안은 필수적이다. 그러나 대부분 제조기업들은 중요성에도 불구하고 보안 인력이 부족해 수많은 보안 이벤트에 대응할 수 없는 등 어려움을 겪고 있다.

이러한 상황에서 현대오일뱅크는 다크트레이스 제품을 도입, 네트워크에 대한 가시성을 확보하고, 머신러닝을 통해 보안 문제를 해결함으로써 동종 업계의 주목을 받고 있다. 다크트레이스(Darktrace)의 ‘기업 면역 시스템(EIS: Enterprise Immune System)’ 및 ‘위협 시각화(Threat Visualizer) 솔루션’을 통해 제조기업들이 안고 있는 보안 문제를 해결한 것이다.


복잡해지는 네트워크 환경, 가시성 확보 필요

현대오일뱅크는 현대중공업그룹의 계역사로, 원유정제를 거쳐 휘발유, 경유, 등유 등 주요 에너지원 및 석유화학의 기초원료를 생산, 판매하는 종합 에너지 기업이다. 현대오일뱅크의 전신은 1964년 민자로 설립된 정유기업 극동석유공업으로, 2002년 현재의 명칭인 현대오일뱅크로 상호를 변경했다.

현대오일뱅크는 현재 충청남도 서산시 대산읍에 대산공장을 두고 있으며, 하루 약 65만 배럴 규모의 원유정제 설비를 갖추고 있다. 또한 연산 120만 톤 규모의 혼합자일렌(MX) 생산공장 및 연산 142만 톤 규모의 방향족 제품 생산 공장을 보유하고 있으며, 연산 100만 톤 규모의 윤활기유 공장, 타이어와 프린터 잉크 등을 생산하는 제펄화학 공장 등을 통해 사업 다각화를 추진하고 있다. 더불어 1994년 주유소에 ‘오일뱅크(Oilbank)’ 브랜드를 도입한 현대오일뱅크는 전국 약 2,400개 직영 및 자영 주유소에 제품을 공급하고 있다.

특히 최근 4차 산업혁명 시대를 맞아 현대오일뱅크도 공장 자동화를 추진하고 있다. 이에 대부분의 공정이 자동화되고 있으며, 담당자는 모니터링 등 업무를 수행하고 있다. 이런 상황에서 현대오일뱅크의 가장 중요한 이슈는 공정 시스템을 중단 없이 안정적으로 운영하는 것이다.

현대오일뱅크는 주유소 운영과 관련해 멤버십 등 소비자와의 접점도 있다. 이런 소비자 고객정보를 다루다 보니, 정보 유출 시 치명적인 기업 이미지 손상 등 문제가 발생한다. 이에 개인정보보호관리체계(PIMS) 인증 심사도 매년 진행하는 등 개인정보보호도 중요한 분야로 주목하고 있다.

현대오일뱅크는 폐쇄망 보안, 개인정보관리 등 보안 관련 요구 사항이 많다보니 보안 체계가 복잡해지고 있었으며. 보안 장비가 많아질수록 한정된 보안 인력으로 이벤트를 모니터링하고 이에 대응하는 데 어려움을 겪고 있었다. 이에 현대오일뱅크는 네트워크 전반에 대한 가시성을 확보하기 위해 ‘다크트레이스 기업 면역 시스템’ 도입을 추진했다.


네트워크 가시성 확보 및 보안 업무 효율화 위해 구축

대부분 기업에서처럼 현대오일뱅크 역시 보안 담당자가 충분하지 않다. 부족한 인원으로 수많은 보안 장비에서 발생하는 이벤트에 대응하는 데 어려움을 겪고 있었던 것. 이 때문에 네트워크 가시성을 확보하고, 보안 담당자의 업무를 효율화해야 한다는 문제에 직면해 있었다.

현대오일뱅크는 이러한 문제 해결의 실마리를 한 세미나에서 찾았다. 한 세미나에서 다크트레이스의 구축 사례를 듣고 관심을 갖게 된 것. 김태현 현대오일뱅크 경영정보팀 대리는 세미나에서 타사 구축사례를 듣고 ‘다크트레이스’에 관심을 갖게 됐으며, 도입시 관리자 업무 효율성이 높아질 것으로 판단해 POC를 진행하게 됐다고 설명했다.

▲ 다크트레이스 관련 인포그래픽(출처: 다크트레이스)

현대오일뱅크는 ‘다크트레이스 기업 면역 시스템’을 도입하기 이전에 솔루텍시스템(대표 이인명)과 POC를 진행했다. POC를 진행하면서 유의미한 성과가 나오자 도입을 결정했고, 제안 발표회를 거쳐 ‘다크트레이스 기업 면역 시스템’을 구축했다.

현대오일뱅크는 ‘다크트레이스 기업 면역 시스템’을 통해 내부 단말기, PC, 서버 등의 외부 통신을 모니터링하고 있다. ‘다크트레이스 기업 면역 시스템’은 네트워크 중간에 포트미러링을 OOB(Out of band) 방식으로 설치해 네트워크 패킷을 모니터링한다.

‘다크트레이스 기업 면역 시스템’은 네트워크 접점에서 기존 방어 수단을 회피, 침입을 시도하는 사이버 위협을 탐지하고 그에 대한 조치를 취할 수 있도록 돕는 네트워크 보안 솔루션이다. 고급 수학기법을 활용해 네트워크와 시스템 상의 모든 행위를 인지하고 모니터링, 학습된 정상행위에서 벗어난 이상행위를 감지한다.

‘기업 면역 시스템’은 어플라이언스 장비 형태로, 실시간 네트워크 흐름을 포트미러링을 이용해 모니터링한다. 네트워크에 연결되면 머신러닝을 통해 개인 사용자뿐만 아니라 네트워크상의 모든 시스템을 대상으로 ‘행동패턴’을 자동으로 비지도 학습(Non-Supervisory Machine Learning)한다.

이러한 과정에서 솔루션 스스로 터득한 정상 패턴을 기반으로 네트워크상의 이상행위를 탐지한다. ‘기업 면역 시스템’는 설치된 이후부터 지속적으로 학습을 수행하기 때문에 조직에 변화가 생겨도 이에 따른 네트워크 및 시스템 사용 패턴 또한 자동으로 업데이트한다. 특히 행동패턴을 기반으로 하기 때문에 외부 침입에 의한 정보탈취나 악성코드 감염은 물론, 불만을 품은 직원이나 근무 태만으로 발생할 수 있는 내부위협까지도 감지할 수 있다.

▲ 다크트레이스 네트워크 트래픽 모니터링 예시(출처: 솔루텍시스템)

‘기업 면역 시스템’은 ‘위협 시각화 솔루션’에 의해 발현된다. ‘위협 시각화 솔루션’은 3D 그래픽 인터페이스로 디자인 돼, ‘기업 면역 시스템’에서 탐지된 위협 정보를 시각화해준다. 특히 네트워크의 모든 지점이나 이력을 망라한 통합적 관점을 통해, 실시간으로 데이터간의 관계와 흐름으로 제공한다. 비이상적인 행위가 시작됐을 때 또는 그 변형들이 일어났을 때 일련의 이벤트들을 재생할 수 있도록 함으로써 이벤트들이 어떠한 모습으로 발생되는지 또는 변형적인 행위가 일어나는 동안의 이벤트들을 자세히 분석할 수 있다.


OOB 방식의 빠른 설치 및 네트워크 현황 시각화가 특징

김태현 대리는 ‘다크트레이스’ 제품의 장점으로 제품의 성능 기능 외에 빠른 설치를 꼽았다. 포트미러링을 이용한 OOB 방식으로 설치되기 때문에 실제 설치는 수시간 안에 가능했다는 것이다. 다크트레이스 장비를 설치하고 미러 패킷을 연결해 설정만 변경하면 된다는 것이다.

다만 시스템에서 유의미한 결과가 나오기까지는 최소 2주 정도의 시간이 필요하다는 것이 김태현 대리의 설명이다. ‘다크트레이스 기업 면역 시스템’은 행동패턴을 학습하기 때문에 의미 있는 데이터가 나오기 까지는 학습시간이 필요하다는 설명이다. 장비가 설치된 초기에는 정상행위가 학습돼 있지 않기 때문에, 보안 담당자의 확인 및 예외처리 등의 조치가 필요하다. 이 과정을 거쳐 데이터가 축적된 후에는 정상 범위에서 벗어나는 이상행위를 탐지한다.

▲ 다크트레이스 네트워크 트래픽 분석 기능 예시(출처: 솔루텍시스템)

김 대리는 다크트레이스 제품의 또다른 장점으로 시각화를 꼽았다. 다크트레이스는 네트워크에서 발생하는 이상행위에 대한 정보를 시각화해 제공한다. 더불어 IP 주소 등 관련 정보를 함께 제공함으로써 다양한 측면에서 이상행위를 분석할 수 있도록 돕는다. 이에 따라 보안 담당자는 해당 이상행위를 추적, 분석해 실제 사이버 위협인지 판단할 수 있다.

더불어 네트워크 전반에 대한 가시성을 제공함으로써, 기업 내부 정보 유출에도 대응할 수 있다. 내부 직원이 클라우드, NAS(Network-Attached Storage)를 개인적으로 사용하는 경우, 기존의 환경에서는 인지하기 어려웠다. 하지만 다크트레이스를 도입한 후 실제 직원들의 네트워크 사용 현황을 모니터링함으로써 내부 정보를 보호하는데도 많은 도움이 되고 있다는 것이다. 기존의 보안 환경은 내부 직원의 잘못된 클릭 한 번으로 무력화될 수 있는데, 다크트레이스 도입 후에는 이상행위에 대한 가시성을 통해 이런 위협에도 대응이 가능하다고 설명했다.

▲ 다크트레이스 네트워크 트래픽 추적 기능 예시(출처: 솔루텍시스템)

특히 다크트레이스 제품 도입 후 클라우드, NAS 등을 개인적으로 사용할 경우 모니터링 된다는 사실을 알고 직원들이 보안에 대한 경각심을 갖게 됐다는 점도 중요한 변화로 꼽하고 있다.

시각화 할 때 태그를 지정, 관리할 수 있는 것도 장점이다. NAC 등 다른 솔루션은 PC에 에이전트를 설치해 호스트를 설정해야 하는 경우가 있다. 하지만 다크트레이스 제품은 별도의 에이전트 설치 없이 태그명 설정으로 관리가 가능하다는 설명이다.


향후 공정망에도 도입 고려

김태현 대리는 ‘다크트레이스 기업 면역 시스템’을 구축해, 보안 업무의 효율성을 높였다고 설명했다. 내부 직원의 개인적인 클라우드 및 NAS 이용 등에 따른 내부 정보 유출 위협도 예방할 수 있었으며, 랜섬웨어 등 파일 다운로드에 대한 가시성도 제공해 외부 위협에도 대응 가능하다는 것이다.

더불어 머신러닝을 통해 발생하는 보안 이벤트 수도 줄어들고 있다고 덧붙였다. 수많은 보안 이벤트 알림이 현재는 하루 1~2건으로 줄었다는 설명이다. 이를 통해 보안 담당자의 업무의 우선순위를 설정하는 등 효율성을 증진시켰다.

현대오일뱅크는 내부 폐쇄망인 공정망에도 ‘다크트레이스 기업 면역 솔루션’ 도입을 고려하고 있다. 김태현 대리는 “실제 다른 제조기업에서 공정망 마다 ‘다크트레이스 기업 면역 솔루션’을 도입한 사례도 있었다. 현대오일뱅크도 공정망을 보호하기 위해 다크트레이스 제품 도입을 검토하고 있으며, 현재 POC를 준비하기 위해 구축사례 등을 소개받고 있다”고 말했다.

 

▲ 김태현 현대오일뱅크 경영정보팀 대리

<인터뷰>
“머신러닝 통해 하루 보안 이벤트 수 1~2건으로 줄여”
김태현 현대오일뱅크 경영정보팀 대리 <사진>


Q. 다크트레이스 및 솔루텍시스템을 선택하게 된 배경은?

2015년, 인공지능이 주목받기 시작할 때 다크트레이스에 대해 소개받은 바 있다. 다크트레이스를 접하고 이론대로 구현이 가능하다면 보안 담당자의 업무가 많이 줄어들 것이라고 생각했다. 이후 세미나에서 다크트레이스 구축사례를 접하게 됐고, 회사 입장에서 필요하다고 생각돼 POC를 진행하게 됐다.

솔루텍시스템을 선택하게 된 배경은 POC를 솔루텍시스템과 진행했다. 2개월간 진행된 POC에서 유의미한 결과를 얻었다. 솔루텍시스템을 선택하게된 이유는 POC를 진행하면서 현대오일뱅크의 시스템을 알고 있었으므로 구축 때 편리한 점이 많았다. 더불어 솔루텍시스템은 내부적으로 다크트레이스 제품에 대한 스터디를 진행하는 등 적극적인 의지를 보였다. 이런 적극적인 의지는 기술지원 등에서 이점이 있을 것으로 판단했고, 솔루텍시스템을 선택하게 됐다.

Q. 시스템 도입과정에서 어려웠던 점은?

구축 과정이 오래 걸리지 않았다는 것은 장점이다. 하루 만에 설치가 가능하며, 포트미러링을 연결해 설정만 하면 사용 가능하다. 다만 구축 직후는 의미 있는 데이터를 확보할 수 없다. 예외 처리 등 보안 담당자의 확인이 필요하며, 최소 분석 기간으로 약 2주정도 필요하다.

실제 구축시 문제점도 있다. 악성코드에 이미 감염돼 있다면, 악성코드로 인한 통신을 정상으로 판단할 수 있다. 이 경우 보안 담당자의 세심한 확인이 필요하다. 시스템을 도입하면서 가장 어려웠던 점은 어느 조직에서나 그렇듯이 사업 예산을 확보하는 것이었다. POC를 진행할 도입 효과가 확실해야만 기업 임원을 설득할 수 있다. 다행히 다크트레이스 제품은 POC과정에서 확실한 효과를 보장할 수 있었다. 어느 회사에서나 그렇듯이 확실한 효과가 담보되어야 예산을 확보할 수 있다.

Q. 실 사용자 입장에서 다크트레이스의 강점은 무엇인가?

쉽게 구축할 수 있고, 기존 시스템에 영향을 거의 미치지 않는다는 것이 장점이다. 포트미러링으로 연결하면 사용할 수 있기 때문이다. 더불어 시각화를 통해 가시성을 높였다는 것도 특징이다. 다크트레이스 제품은 태그를 지정하고 관리할 수 있다. NAC 등 다른 솔루션은 PC에 에이전트를 설치하고 호스트를 설정해야만 관리가 가능하지만, 다크트레이스는 태크명을 통해 쉽게 관리가 가능하다.

다만 다크트레이스는 가시성을 제공해 편리한 점은 있지만, 차단 등의 조치는 담당자의 개입이 필요하다. 가시성 제공은 큰 장점이지만, 사용하는 기업에 분석 역량이 요구되는 솔루션이다. 기업에 발생하는 이벤트에 대한 분석 역량이 없다면, 솔루션의 성능을 발휘하지 못할 것이다.

Q. 서비스에 대한 만족도는 어떠한가?

솔루텍시스템과 POC를 진행하면서, 상세한 리포트를 제공한다는 점이 좋았다. 실제 위험 상황을 추출해 리포트로 제공하기 때문에, 현재 네트워크의 보안 상황에 대해 점검할 수 있는 계기가 됐다. 더불어 사업을 추진함에 있어 다크트레이스와 솔루텍시스템의 설명이 자세하게 진행돼 신뢰가 갔으며, 구축과정에 많은 도움이 됐다.

시스템 구축 후 원격 데스크톱 프로토콜(RDP)에 대해서는 가시성을 제공하지 못해 커스터마이징이 필요했다. 이 때 솔루텍시스템과 다크트레이스의 빠른 기술지원 덕분에 이슈를 해결할 수 있었다.

Q. 향후 계획은?

최근에는 폐쇄망인 공정망 쪽에도 다크트레이스 제품 적용을 고려하고 있다. 이를 위해 폐쇄망 POC를 준비하고 있으며, 구축 사례 등을 소개받고 있다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지