통합 웹 보안 및 네트워크 보안 환경 구축
사전 예방·편리한 관리·TCO 절감 등 효과 누려, 트렌드마이크로 솔루션 도입
한국코카콜라보틀링은 최근 트렌드마이크로의 통합 웹 보안 솔루션 및 네트워크 보안 솔루션을 도입하여 통합 보안 환경을 구축했다. 스파이웨어 및 기타 위협으로부터 안전해졌을 뿐만 아니라 사용 및 관리의 효율성, 저렴한 TCO, 보안 제어의 용이성, 빠른 재난 복구 등의 효과를 톡톡히 톡톡히 누리고 있다. 유진상 기자 jinsang@rfidjournalkorea.com
한국 코카콜라보틀링은 국내 코카콜라의 생산 제조 및 유통 판매 등을 총괄 책임지고 있는 다국적 기업으로 전체 직원수가 2,300여명에 이르는 대형 회사이다.
지난 96년 아시아 오세아니아 지역의 코카콜라 제조 및 유통 판매를 책임진 호주 아마틸사가 전액 출자해 설립한 이 회사는 두산음료를 비롯해 우성, 호남, 범양 등 개별적으로 존재했던 4개의 보틀러를 인수 통합해 출범했다.
이 회사는 국내 약 30여개 지점과 여주, 양산, 광주 등 3개 공장을 보유하고 있다.
새로운 통합 보안 환경 구축
한국코카콜라보틀링은 다른 제조업체에 비해 IT에 대한 투자가 상대적으로 많은 회사로 잘 알려져 있다. 전체 IT 운영 인력이 23명으로 다른 회사보다 많다는 사실은 이를 단적으로 뒷받침하고 있다.
한국코카콜라보틀링이 IT에 투자를 아끼지 않는 이유는 IT 투자야 말로 업무 효율성을 증대시키고 생산성을 높이며, 가장 투자회수율이 높은 분야라는 것을 일찌감치 인식했기 때문이다. 이 회사의 정보시스템부 김시운 부장은 "IBM i시리즈를 비롯해 유닉스와 윈도우 등 서버 80여대와 PC 1,200여대, 그리고 안티바이러스 솔루션을 포함한 네트워크 등 방대한 IT 환경을 갖추고 있다"면서 그 이유로 "일반 소비자가 아니라 파트너를 대상으로 한 영업 구조로 웹 서버 등 네트워크를 통한 정보교환이 업무의 주류를 이루고 있기 때문"이라고 설명한다.
이처럼 이미 광범위하고 방대한 IT 환경을 갖춘 한국코카보틀링이 새로운 통합 보안 환경을 구축한 이유는 무엇일까?
김시운 부장은 "아무리 효과적인 IT 운영환경을 갖추어도 웜이나 바이러스의 공격에 취약하면 업무 생산성이 떨어질 수 밖에 없다는 것을 지난 2~3년간의 바이러스와 웜의 공격으로 깨달았다"면서 특히 지난 2004년과 2005년에 걸쳐 바이러스 문제가 심각하게 대두됐다는 점을 그 배경으로 내세웠다.
김 부장의 말에 따르면 당시 한국코카콜라보틀링은 사내 네트워크 이외에 VPN을 사용하고 있었다. 노트북PC를 사용하는 일부 직원들이 사내 네트워크 이외에 좀더 접속이 편리하고 보안 영향력이 적은 네트워크 사용을 원했기 때문이다. 이에 따라 회사에서는 ADSL을 활용하여 VPN을 구성했다. 하지만, 사내 보안 감시 체계에서 자유로워진 노트북 PC들이 외부에서 웜 등에 감염되어 사내에서 아무런 제재 없이 사용되었다.
김시운 부장은 "바이러스에 감염된 것은 아니었는데 이상 트래픽이 발생하여 네트워크가 마비되는 상황이 발생했다. 이를 확인한 결과 외부와 연결됐던 노트북을 통해 내부 네트워크에 웜이 침투하여 대규모 트래픽을 유발시켰고, 네트워크 과부하로 연결됐던 것"이라고 당시 상황을 전했다.
본사차원에서 매년 보안과 관련된 감사를 받고 있는 한국코카콜라보틀링은 이 같은 상황에 위기감을 느꼈다. 바이러스와 웜으로부터 시스템이 감염되어 이메일과 네트워크를 통해 본사 시스템에까지 영향을 끼칠 수 있으며, 이상 트래픽으로 인해 영업망이 마비되는 상황도 발생할 수 있었기 때문이다.
또 이미 DMZ 서비스라든가 안티바이러스 솔루션을 사용하고 있었지만, 서비스 속도가 느리며, 기술 지원과 언어 지원 등의 문제로 제대로 성능을 발휘하지 못한 것도 위협을 가중시키는 요인이었다.
트렌드마이크로의 NVW, IWSA 도입
한국코카콜라보틀링은 이러한 문제의 해결 방안으로 트렌드마이크로의 네트워크 바이러스 월(NVW: Network Virus Wall)를 도입했다. 웜 유입을 막고, 내부 네트워크에 침입한 웜이 일으키는 트래픽을 통제하기에 가장 좋은 솔루션이라는 판단에 따른 것이다. 김시운 부장은 "바이러스 월 제품은 다른 회사에서도 공급하고 있지만 이미 감염된 상태에서 이상 트래픽을 잡아내는 제품은 트렌드마이크로가 유일했다"고 설명했다.
NVW는 종합적인 네트워크 방역 기능을 제공하는 솔루션으로 네트워크 접속 차단 외에도 긴급 상황 모니터링, 사전 예방, 네트워크 바이러스 검사 및 치료, 보안 정책 강화, 자동 피해 복구 등의 기능을 포함하고 있다. 또한 웜과 바이러스가 서버와 PC로 확산되기 전에 네트워크 레벨에서 차단할 수 있고 감염되더라도 곧 바로 치료가 가능하다. 웜이나 바이러스가 공격하는 특정 네트워크, 포트, 서비스, 파일이름 등을 정확하게 찾아낸 뒤 격리시키기 때문이다.
이와 함께 한국코카콜라보틀링은 지난해 12월에 인터스캔 웹 시큐리티 어플라이언스(IWSA:InterScan Web Security Appliance)를 도입했다. IWSA는 통합 웹 보안을 통한 스파이웨어 및 기타 위협을 차단할 수 있으며, HTTP 및 FTP 트래픽에 대한 고성능 검사, 의도하지 않은 소프트웨어의 무분별 다운로드 및 의심스러운 사이트의 차단, 세분화된 정책 및 보고서를 통해 손쉬운 관리를 제공해준다.
이로써 한국코카콜라보틀링은 NVW를 각 지점과 공장의 내부 네트워크 세그먼트에 설치하여 네트워크 웜이나 바이러스의 공격으로부터 안전해질 수 있었으며, IWSA를 통해 게이트웨이 단에서 스파이웨어를 차단해 스파이웨어가 네트워크 내부로 유입되는 것을 효과적으로 막을 수 있게 됐다.
또한 본사의 보안 감사에서도 올해는 보안관련 문제가 상당히 감소한 것으로 나타나 좋은 점수를 받았다. 이 외에도 사후 대응뿐이던 프로세스도 사전예방이 가능한 체제로 발전했다. 공격 전 또는 공격 발생 시 선택적으로 큰 위협이 되는 특정 보안 취약점들을 격리시킬 수 있도록 하여, 보안 취약점을 이용하여 확산되는 것을 방지하였으며, 네트워크 웜의 초기 발생 시기에 패치가 되지 않은 컴퓨터의 네트워크 접속을 제어하여 다른 네트워크 세그먼트를 공격함으로 발생되는 네트워크 정체 발생을 억제할 수 있게 됐다.
설치 및 관리 용이 등 효과 뚜렷
한국코카콜라보틀링이 통합 보안 솔루션을 도입하면서 어려움 점은 없었을까?
김시운 부장은 "사실 IWSA를 도입하기 이전 IWSS(InterScan Web Security Suite)를 먼저 도입하려 했다. 하지만 IWSS를 도입하면서 윈도우 서버와 유닉스 서버에의 초기 튜닝 과정에서 문제가 발생했다"고 말했다. "때마침 어플라이언스 형태인 IWSA가 새로 출시되어 IWSS를 IWSA로 교체했으며, 이 과정에서 트렌드마이크로의 빠른 사후관리와 버전 업데이트, 튜닝 등으로 현재는 매우 만족하고 있다"는 게 김 부장의 설명이다.
그는 특히 "IWSA(InterScan Web Security Appliance)는 안티바이러스/안티스파이웨어 소프트웨어에 비해 설치가 매우 간편하고 관리가 쉬워 관리자가 부담 없이 사용할 수 있다는 점에서 매력적"이라고 강조했다. 트렌드마이크로의 제품의 도입으로 긍정적인 효과를 거두고 있다는 얘기인 셈이다.
그렇지만 김 부장은 "아직 갈 길이 멀다. 이미 많은 보안 솔루션을 갖추고 있긴 하지만 보다 체계적인 보안 전략이 필요하다고 판단된다"며, "앞으로 IPS, 웹 방화벽, DMS(데스크톱 관리 솔루션), 엔드포인트 솔루션 등의 추가 도입을 고려하고 있다" 고 밝혔다.
한국코카콜라보틀링은 앞으로 이미 도입한 장비들을 가지고 네트워크 인프라를 좀더 효율적으로 재구성할 계획이며, 내부 직원들에 대한 보안의식 교육과 보안 정책 실행을 지속적으로 수행해나간다는 방침이다. 특히 단 한 명이라도 보안의 허점을 갖고 있으면, 전체 직원들에게 위협이 될 수 있기 때문에 컴퓨터를 실행시키면 초기 로그인 화면에서 '보안 권고사항'을 읽고 동의하도록 유도할 계획이다.
한편, 한국코카콜라보틀링은 최근 출력보안 문제를 해결하기 위해 노력하고 있다. 인터넷의 힘이 점점 강해지고 있어, 자칫 일반인들에게 잘못된 정보가 전달될 수 있는 문제를 미연에 방지하기 위해서다.
김시운 부장은 "궁극적으로 이러한 모든 보안에 관한 문제는 올해 안으로 해결할 계획"이라고 밝혔다.
Interview
김시운 부장 한국코카콜라보틀링 정보시스템부
트렌드마이크로 제품을 도입한 이유는
우리 회사는 수년 전부터 IT에 과감한 투자를 진행해왔다. 업무 효율과 생산성을 향상시킬 수 있으며, 투자회수율이 높은 분야라고 판단했기 때문이다. 하지만 이처럼 IT 환경에 적극 투자했음에도 웜이나 바이러스의 공격에는 취약했다. 특히 지난 2004년과 2005년에는 바이러스 문제가 심각한 수준에 이르렀다. 일부 노트북 사용자들이 방화벽과 기타 통신상의 문제로 VPN을 사용했는데 이것이 바로 바이러스와 웜이 사내에 침투할 수 있는 통로 역할을 한 것이다. .
이에 따라 네트워크 웜을 차단하는NVW(Network VirusWall)와 웹을 통해 유입되는 각종 위협들을 게이트웨이에서 차단하는 IWSA(InterScan Web Security Appliance)를 도입하게 되었다.
트렌드마이크로 제품의 도입 효과는
우선 네트워크 바이러스 월(NVW)을 각 지점과 공장 내부 네트워크 세그먼트에 설치해 사용한 결과 네트워크 웜이나 바이러스의 공격이 현저히 줄어들었다. 또한 IWSA 도입 후 최전선인 게이트웨이에서 웹을 통해 들어오는 바이러스 및 스파이웨어를 원천 봉쇄하기 때문에 기존의 데스크탑 보안 제품보다 성능면에서나 비용면에서 효과가 컸다. 왜냐하면 보안 담당자가 일일히 안티스파이웨어 제품을 클라이언트에 설치할 필요도 없고 업데이트와 관리가 매우 쉽기 때문이다.
코카콜라보틀링은 본사차원에서 매년 보안 감사를 시행하고 있다. 트렌드마이크로 제품을 도입하기 이전에는 리스크가 '높음'으로 나왔으나, 도입 ·원년인 올해에는 문제가 전혀 없는 것으로 나타났다.
향후 계획은
이미 많은 보안 솔루션을 갖추고 있긴 하지만 보다 체계적인 보안 전략이 필요하다. 그래서 앞으로 IPS, 웹 방화벽, DMS(데스크톱 관리 솔루션), 엔드포인트 솔루션 등의 추가 도입을 고려하고 있다. 또 내부 직원들에 대한 보안의식 교육과 보안 정책 실행을 지속적으로 수행할 방침이다. 최근에는 출력 보안에도 관심을 갖고 있는데 모든 보안 문제를 올해 안으로 해결할 계획이다.
적용 솔루션
트렌드 마이크로 인터스캔 웹 시큐리티 어플라이언스(InterScan Web Security Appliance)
최전방 게이트웨이에서 웹을 통해 유입되는 각종 바이러스, 스파이웨어, 피싱 차단
트렌드마이크로가 최근 선보인 '인터스캔 웹 시큐리티 어플라이언스(이하 IWSA)'는 웹 방역 솔루션으로써, 인터넷 게이트웨이에서 각종 인터넷 위협들을 효과적으로 차단하는 웹 통합 보안 장비이다.
최근 대부분의 기업 보안 관리자는 다양한 안티 바이러스 솔루션을 적용하여 바이러스의 유입 경로를 원천 봉쇄하고자 노력하고 있다.
예를 들어서, 안티 바이러스 구현을 위해서 가장 기본적인 영역이 되는 각각의 데스크톱의 백신 프로그램은 모든 회사가 구비 및 사용을 완료하고 있다. 그리고, 중요서비스를 제공하는 윈도우 서버들(파일서버, 데이터베이스 서버, 웹서버 등)에도 백신 프로그램을 운영하고 있다. 하지만 사용자들이 매일매일 웹사이트를 돌아다니면서 다운로드 받는 무수한 데이터 중에는 바이러스나 스파이웨어가 포함되어 있을 수 있는데, 아직까지 대부분의 기업들은 이러한 웹을 통한 바이러스나 스파이웨어의 다운로드에 대해서는 무방비 상태이며, 데스크톱용 안티바이러스 프로그램에만 의존하고 있는 상황이다.
이에 대한 대안이 바로 IWSA이다. IWSA는 인터넷 최전선인 게이트웨이에 설치함으로써 웹을 통한 각종 위협요소 즉, 스파이웨어, 웜, 바이러스, 피싱 등을 원천 차단한다. 이 제품은 데스크톱용 보안 SW에 비해 신속하게 구축할 수 있고 관리가 쉬워 전체 운영비용의 절감효과가 탁월하다. 특히 웹 보안 SW가 가지고 있던 웹 성능 저하에 대한 문제도 해결했다.
각종 위협들이 게이트웨이로 유입되는 것도 효과적으로 차단하지만 클라이언트에 이미 침입한 스파이웨어가 게이트웨이 외부로 정보를 전송할 수 없도록 차단한다. 또 감염된 PC나 서버를 치료할 수 있도록, DCS(Damage CleanUp Service)서버와 연동할 수 있다. 즉, 스파이웨어에 감염된 시스템이 탐지될 경우 DCS와 연동하여, 치료툴을 시스템에 전달하여 치료할 수 있도록 유도한다.
이와 더불어 TrendLab(트렌드마이크로 연구지원센터)의 포괄적인 DB를 사용해 실시간으로 URL을 분류, 스파이웨어/그레이웨어 관련 웹사이트의 검색을 차단하고 애플릿 및 ActiveX(액티브X) 보안은 액티브X 및 Java 애플릿의 디지털 인증/서명을 분석하고 위협에 대비할 수 있도록 의도하지 않는 SW의 다운로드 및 설치를 방지해 준다.
네트워크 바이러스 월(Network Virus Wall)
네트워크 웜 검색 및 탐지, 감염된 PC 격리, 사전 예방
네트워크 바이러스 월은 외부에서 들어오는 트래픽을 실시간으로 분석해 이상이 발견될 경우 해당 이상 트래픽을 필터링하고, 내부 클라이언트 PC에서 바이러스 발생시 해당 PC를 네트워크로부터 격리시키는 네트워크 보안 어플라이언스다.
이 제품의 주요 기능은 우선, 네트워크 웜 검색 및 탐지 기능이 탁월하다는 점이다. 기존의 전통적인 바이러스 백신 제품들이 네트워크 레이어는 제외하고 애플리케이션 레이어에서만 바이러스를 검색하는 반면, 이 제품은 네트워크 패킷의 시그네쳐 분석을 통한 네트워크 레이어에서 전파되는 바이러스를 제거할 수 있다는 점이다. 두번째로 네트워크 웜 발생 모니터링 기능이 뛰어나다. 이는 사전방역 정책을 적용하여 네트워크 세그먼트에서 바이러스에 대한 조기 경보 정보를 제공함으로써 조직이 미리 적기에 필요한 보안 조치를 취할 수 있도록 돕는다. 또한 감염된 호스트 컴퓨터, 바이러스 공격 대상 및 특정 취약점들에 대한 공격을 식별하고 TMCM(Trend Micro Control Manager) 3.0을 통해 IT관리자에게 즉각 통보하는 기능을 갖추었기 때문이다.
세 번째는 네트워크 웜을 사전에 예방할 수 있다. TrendLab으로부터 배포되는 사전 방역 정책을 통해 네트워크 바이러스를 방역하고 초기 확산을 억제할 수 있는 것. 특히 트렌드마이크로는 사전방역 정책을 적용에 네트워크 웜의 유형의 기준을 정하고 이 기준을 바탕으로 웜을 차단해 준다.
이 외에도 사용 및 관리, 보안 제어가 용이하다는 것과 자동 치료 및 피해 복구가 가능하다는 점 등이 네트워크 바이러스 월의 특징이다.
마지막으로 공격 전 또는 공격 발생 시 선택적으로 큰 위협이 되는 특정 보안 취약점들에 대해 취약한 시스템들을 격리할 수 있어, 네트워크 웜이 보안 취약점을 이용하여 확산되는 것을 미연에 방지하여 클라이언트 PC의 패치관리와 보안관리를 모두 할 수 있다.