모범사례

정보 보안의 관점에서 소프트웨어 자산관리 통제 수위 높여
BC카드의 소프트웨어 자산관리는 정보보안실에서 맡고 있다. BC카드는 비인가 소프트웨어 사용을 기업의 정보 보안이란 큰 테두리 속에
서 해석하고 관련 규정을 조직원 모두가 따를 수 있도록 하는 정책을 택하고 있다.
여기에 더해 SAM 도구와 SAM_DB로 이루어진 소프트웨어 자산관리 환경에 NAC와 같은 보안 솔루션을 접목해 비인가 소프트웨어 사용에
대한 통제와 차단을 더욱 강력하게 수행하고 있다. 소프트웨어 자산관리를 정보 보안의 한 축인 IT 컴플라이언스의 핵심 사항 중 하나로
규정해 관리 활동을 하고 있는 BC카드의 사례를 소개한다.
SAM 체제
기존 환경 선진화된 환경
  • SAM 도구로 설치 내역 점검
  • 구매 및 사용 소프트웨어 현황 및 보유 라이선스 정보를 수기
    로 관리
  • 비인가 소프트웨어 발견 시 일일이 수동으로 삭제 조치
  • SAM 도구와 SAM_DB 연동
  • SAM 관리 체제에 인사 DB 연계
  • NAC (네트워크 접근 제어) 솔루션을 통해 비인가 소프트웨어
    사용자 대상 네트워크 통제
  • SAM_DB에 등재되지 않은 비인가 소프트웨어를 임의 설치
    하고자 할 경우 사용자 경고 및 설치 차단
  • 인사이동 시 사용하던 PC를 함께 가지고 가는데, 새롭게 부여
    된 업무에 따라 필요 소프트웨어인지 아닌지를 점검해 삭제
    조치 후 이동

SAM 체제 고도화 성공의 핵심 포인트 SAM 도구, SAM_DB를 인사 DB 및 NAC 등과 긴밀히 연계하여 각종 차단 활동을 자동으로 수행
정품 소프트웨어 사용을 전사적 보안 규정이란 큰 틀 안에 포함시켜 관리

조직 변동에 따른 소프트웨어 자산 추적 어려워
BC카드의 소프트웨어 자산관리 역사는 두 번의 변곡점을 거치며 발전해왔다. 그 첫 번째 변곡점은 2004년이었다. 당시 BC카드는 SAM
도구 기반의 SW 자산관리의 시대를 열었다. 관리자가 일일이 PC를 찾아다니면 설치 내역을 파악하던 방식을 넘어 중앙에서 일괄적으로
전사 PC에 설치된 소프트웨어 내역을 파악할 수 있게 된 것이다. 그러나 SAM 도구를 통한 관리 방식의 변화 속에서 새로운 혁신의
필요성이 대두되게 된다.
BC카드의 경우 인사이동을 할 때 기존에 쓰던 PC를 가지고 새로운 곳으로 가 업무를 본다. 이처럼 조직 내 PC 자산은 끊임없이 변하는데,
SAM 도구만 가지고는 누가 어떤 소프트웨어를 왜 쓰는지 투명하게 파악할 방도가 없었던 것이다. 그러다 보니 인사이동, 입사, 퇴사 등
인력의 이동에 따른 소프트웨어 자산 추적에 어려움이 컸다. 또한, 소프트웨어 자산관리 담당자들은 설치된 소프트웨어 내역과 보유한
소프트웨어 라이선스 간 비교를 하는데 많은 시간을 할애해야만 했다.
그러던 차에 2008년 BC카드는 소프트웨어 자산관리 혁신을 위한 새로운 계기를 맞이하게 된다. IT 기획실에서 담당하던 소프트웨어
자산관리 업무를 2008년 신설된 정보보안실이 맡게 된 것이다. 정보보안과 자산관리는 상호 밀접히 영향을 주고받는 관계라
보고 정보보안실에서 소프트웨어 자산관리를 책임
지게 된 것이다.
정보 보안의 관점에서 소프트웨어 자산관리에 접근
BC카드 정보보안실은 소프트웨어 자산관리에 대한 과감한 전환을 시도했다. 운영체제와 오피스 프로그램에 대한 효율적인 투자 차원에서
라이선스 계약을 체결하였고, 과거 수기로 관리하던 소프트웨어 라이선스 정보를 SAM_DB 도입을 통해 자동화하기로 결정한 것이다.
BC카드가 이 같은 결정을 하게 된 데에는 소프트웨어 자산관리를 사용자 중심으로 자동화해야 한다는 생각이 자리하고 있었다.
즉, 직무를 고려한 맞춤형 소프트웨어 자산의 배포 및 관리가 이루어져야 불필요한 지출을 줄일 수 있고 동시에 비인가 소프트웨어 사용
제한 등에 대한 활동을 자동화해야 소프트웨어 관련 각종 관리 이슈를 풀어낼 수 있다고 본 것이다.
BC카드 정보보안실 우선 자동화 체제를 가다듬었다. BC카드 정보보안실은 과거에도 마찬가지였지만 비인가 소프트웨어 사용을 무조건
사용자 책임으로만 할 수는 없다는 점을 명확히 하였다. 사용자가 실수로라도 비인가 소프트웨어를 사용하지 못하도록 사전에 막는
것이 IT 관련 부서의 임무라고 생각
한 것이다. BC카드 정보보안실이 구상한 체제는 사용자의 PC에 에이전트가 설치되어 있는 각종
보안 도구를 적극적으로 활용하는 것이었다. SAM 도구와 SAM_DB를 통해 비인가 소프트웨어 설치가 확인될 경우 우선 경고 메시지가
나간 다음 NAC(Network Access Controller) 솔루션 등을 통해 네트워크 차단 등의 강제 조처가 내려지도록 한 것이다. 또한, 이런 부문에
대한 사용자 계도를 위해 직원용 정보보안 가이드 책자를 만들어 배포하는 것도 잊지 않고 챙겼다.
직무를 고려한 맞춤형 소프트웨어 배포 및 관리
새로이 구축한 관리 환경을 토대로 BC카드 정보보안실은 사용자의 직무 등을 고려한 맞춤형 관리 방안도 하나하나 실천해 나아
갔다. 우선 사용자에 따른 맞춤형 소프트웨어 배포를 하였다. 이런 기준 아래 가장 큰 변화를 일어난 곳은 바로 콜센터였다. 과거에는
상담원용 PC에까지 사용치 않는 사무용 소프트웨어들이 깔려 있는 경우도 있었다고 한다. 이처럼 불필요한 곳에 소프트웨어가 설치되지
않도록 콜센터 직원 직무 분석을 통해 관리자에게는 사무용 소프트웨어를 배포하고, 상담원은 업무용 조회 화면 상에서만 일을 볼 수
있도록 하였다.
이외에 인사이동에 따른 소프트웨어 관리 역시 예전과 달리 사용자 중심으로 바뀌었다. BC카드의 경우 인사이동 시 기존 부서에서 쓰던
PC를 가지고 간다. 과거에는 누가 어떤 소프트웨어를 쓰지는 파악이 되지 않아 인사이동 시 새로운 업무에 필요 여부를 따져 소프트웨어를
삭제 및 설치하기 위한 지원이 쉽지 않았다. 하지만 이제는 다르다. 인사이동 시 새로운 업무에 필요하지 않은 소프트웨어의 경우 바로
삭제 조처가 내려진다. BC카드 정보보안실은 5명 정도가 상주하는 헬프데스크를 운영하고 있는데 이곳 직원들이 투입되어 인사이동이
있거나 할 때 소프트웨어 삭제 및 설치 등의 작업을 지원하고 있다.
인터뷰 :: 정보 보안과 소프트웨어 자산관리는 밀접한 영향BC카드 정보보안실 관계자
소프트웨어 자산관리 혁신에 나서게 된 이유는 무엇인가요?
오랜 기간 경험을 통해 소프트웨어 자산관리는 정책만 가지고는 안 된다라는 것을 알게 되었습니다. 과거 주로 비정품 SW 사용에
대한 저작권사 등의 조사에 대응하기 위한 것을 목표로 하다 보니 소프트웨어 자산관리가 다소 소극적인 면이 있었습니다.
소프트웨어를 자산 관점에서 활용하는 데에는 기존 관리 방식이 큰 도움이 되지 않다는 생각에 2008년 정보보안실이 신설되면서
새로운 기술적 방법론을 가지고 소프트웨어 자산관리 혁신을 하게 되었습니다. 당시 기준으로 삼았던 것이 정보 보안과 소프트웨어
자산관리를 밀접한 영향을 끼치고 있으며, 사용자 중심의 자동화가 필요하다고 것이었습니다.
기존 소프트웨어 자산관리 활동에서 가장 비효율적인 것이라 보셨던 것은 무엇이신지요?
예전에는 소프트웨어 자산관리 업무 시간 대부분을 소프트웨어 라이선스 구매한 것과 실제 깔려 있는 소프트웨어 수량이랑 맞추어
보는데 썼습니다. 하지만 지금은 그럴 필요가 없습니다. 조직 구성이 변하는 가운데에서도 설치 내역과 보유 라이선스 간 숫자를
맞추느라 고생할 필요가 없습니다. BC카드의 경우 인사이동을 할 경우 새로운 부서로 담당자가 갈 때 자신이 쓰던 PC를 가지고
갑니다. 예전에는 이를 일일이 점검해 필요한 것과 그렇지 않은 것을 구분하는 등의 일을 공수가 많이 들어 쉽게 할 수 없었습니다.
지금은 이를 정확히 판단해 불필요한 것은 삭제한 후 보내집니다.