성공사례

xCon for SAP

산업군 : 판매

[ 내 용 ]

SAP ERP의 접속기록 확인 및 내부 사용자 추적 장치로 xCon을 도입하게 되었습니다.
해당 고객사는 SAP ERP를 Master Data로 하여 Legacy 시스템을 구축하였는데, RFC에 포함된 사번 정보를 이용하여 Legacy 시스템을 사용하는 사용자의 개인 정보 조회 이력까지 모두 모니터링하고 있습니다. 또한 운영 시스템에서 비 허가된 디버깅을 이용한 데이터 변경을 감시하며, 업무 이슈 발생 시 이슈 발생 상황에 대한 추적 및 원인 파악에 사용하고 있습니다.

[ 특 징 ]

  • RFC 내의 사번 정보를 매핑하여 NON-ERP의 개인 정보 사용 감시
  • End-User단의 성능을 리포팅 받아 SAP ERP 튜닝 포인트로 활용

산업군 : 제조

[ 내 용 ]

고객사의 특징상 SAP ERP 내부에 개인 정보를 보관하지 않습니다.
하지만 운영상 사용자가 개인 정보를 입력하게 되면, xCon은 개인 정보 담당자에게 메일로 사용자가 사용한 SAP 화면을 보내고, 해당 내용을 기반으로 입력 경위를 조사하여 입력한 정보가 개인 정보일 경우, 해당 내용을 삭제 조치하여 SAP ERP 내부 데이터를 관리합니다.

[ 특 징 ]

  • SAP 포탈을 통한 SSO을 사용하여 사번 데이터를 매칭하여 정확한 사용자를 분석
  • IP + ID를 기반으로 한 로그인 통제
  • 개인정보 접근 시 보안 담당자에게 메일로 SAP 화면 전송

산업군 : 공공

[ 내 용 ]

권한이 없는 외주 직원이 정직원의 ID/PW를 이용하여 작업을 처리한 사실이 감사에 적발되어, 이를 조사하기 위해 SAP의 접속기록을 요청했습니다.
하지만 접속기록이 3일에 불과하고, 내부 접속자 추적장치가 없어 무단 접속자 적발이나 사고 발생 시 책임자를 규명하는데 제 기능을 못하고 있는 상태였습니다.
감사 이후 후속 조치로 xCon을 도입하여 SAP 접속기록을 18개월 동안 보관하고, IP&MAC+ID 조합을 통해서 SAP 접속을 통제하고 있습니다.
또한 퇴사자들을 대상으로 내부 정보 유출에 대한 검증을 하고 있습니다.

[ 특 징 ]

  • SAP 접근기록 18개월 보관 (21TB)
  • IP&MAC+ID를 기반으로 한 로그인 통제

산업군 : 금융

[ 내 용 ]

SAP의 보안채널인 SNC를 사용하는 고객사로 xCon을 사용하여 SAP ERP의 접속기록 정보를 1년간 보관하고 있습니다.
계정 조회 정보가 중요하여 특정 GL 계정을 조회 시 누적치를 확인하여 일정 수준 이상 조회를 할 시에 담당자에게 알림을 주고 있습니다.

[ 특 징 ]

  • SAP 서버와 SNC 통신 모니터링 적용
  • 계정 잠김 발생 시 로그인 실패 화면 이메일 전송
  • 특정 GL 계정 조회 시 누적 이벤트 발생

SecureDB for SAP

산업군 : 제조

[ 내 용 ]

국내에서 SAP를 가장 많이 사용하는 회사로 일일 업무 처리량이 일반적인 기업의 한 달 치와 비슷합니다.
암호화 적용 후, 업무를 처리와 관계없이 SAP 성능 저하 같은 문제가 발생하지 않았고, 개인 정보 복호화 감사 기록들을 활용하여 개인 정보 사용을 줄이는 업무 개선 작업을 수행하고 있습니다.

[ 특 징 ]

  • 국내 최대 SAP ERP 사용 업체
  • 국내 최초 SAP DB 개인 정보 암호화 도입

산업군 : 금융

[ 내 용 ]

국내 최대 규모 보험사 업체 중 하나로 수많은 고객들의 개인 정보를 다수 보유하고 있었고, SAP 내에서 대량의 고객 정보를 처리하여 처리 속도 저하 이슈가 있었습니다.
이를 해결하기 위해 블럭핀, 사전 암호화, 데이터 정제 그리고 대량 데이터 분산 처리 등을 통하여 고객이 요구하는 SLA를 만족했습니다.

[ 특 징 ]

  • 약 40억 건 이상의 개인 정보 데이터 보유
  • 업무 특성상 개인정보 처리 프로세스 다량 존재
  • SAP HANA DB에서 암호화 적용

EnDB for SAP

산업군 : 제조/유통

[ 내 용 ]

업체 특성상 고객 관리에 사용하지 않아 내부 밴더와 개인 사업자 및 내부 직원의 개인 정보 등만 존재하는 SMB 업체로 개인 정보가 많지 않았습니다.
주민번호, 계좌번호 그리고 카드번호가 암호화 대상이었고, EnDB 특성상 별도의 서버와 통신 저하가 없어 퍼포먼스 변화가 전혀 없는 빠른 처리가 이점이 되어 성공적인 도입이 되었습니다.

[ 특 징 ]

  • SAP에서 고객 관리를 하지 않음
  • 적은 양의 암호화 대상 데이터