망분리와 DB암호화, 다각적으로 고민하자

갈수록 지능화돼 가고 있는 해킹과 최근 이어지고 있는 기업 내부의 보안 사고들로 기업들의 고민은 더욱 깊어지고 있다. 기업마다 단순히 지엽적인 솔루션 구축만으로는 보안 한계에 봉착하고 있어, 망분리와 DB암호화와 같이 정보를 원천적으로 보호할 수 있는 방안이 강구되고 있다. 이에 CIOCISO 매거진에서는 금융권을 중심으로 보안 핫이슈를 다시 조명하고 최신 보안트렌드와 기업 정보보호 대응 전략 등 최적의 방안을 제시하는 시간을 가졌다. 제 8차 CISO 컨퍼런스는 클라우드 및 빅데이터 환경이 대두되고 있는 시점에서 기업의 내적자산을 안전하게 운영할 수 있는 보안요소를 찾고, 이를 활용할 수 있는 방안이 소개됐다.

양광수 기자 ksyang@ciociso.com

▲ 유형선 델소프트웨어코리아 부장

“최근 잇따른 기업정보유출로 기업들은 내부자 유출에 대한 관리·감독이 한층 강화됐다. 그러나 여전히 많은 부분에 있어서 파견업체나 직원들에게 너무 많은 권한을 부여하기 때문에 언제나 보안 홀(hole)이 존재하고 있다. 이런 시기에 우리는 ‘Zero-Trust Security Model’을 항상 고려할 필요가 있다”
유형선 델소프트웨어코리아 부장은 기업정보유출 방지를 위한 보안전략이라는 주제로 강연을 시작하며 보안에 대해 근본적인 고민이 필요하다고 주장했다.
제로-트러스트 보안 모델은 다섯가지 원칙을 통해 기업이 보안취약성을 재고할 수 있도록 설계됐다. 첫째, 실제 시스템 접속이 필요한 사람에게만 시스템 접속 권한을 제공할 것. 둘째, 시스템 사용 전 승인 프로세스와 사용 후 권한 회수가 이뤄져야 할 것. 셋째, 모든 중요 데이터는 암호화돼 저장되고 접근을 통제할 것. 넷째, 시스템 접근 권한 부여 과정이 모두 기록되고 정기적으로 분석될 것. 다섯째, 네트워크는 내적으로 설계될 것이다.
그러나 실제 기업에서는 업무효율성을 위해 실제 필요보다 더 많은 사람이 오랜 시간동안 시스템 접속권한을 보유하며, 내부로부터 정보유출 위험성을 내포한다고 유 부장은 설명했다.
그는 “기업에서 소수의 담당자가 다수의 시스템을 관리하므로 완벽한 보안 규정 준수가 어려운 실정”이라며 “이를 위해 자동화된 특권계정 패스워드 관리가 필요하다”고 강조했다.
델소프트웨어코리아는 TPAM(Total Privileged Account Management)를 통해 특권계정 패스워드를 암호화해 저장하고 디스크 전체 암호화도 제공하고 있다. 뿐만 아니라 패스워드 기밀성 보장을 위해 사용시간 경과 후 제공된 패스워드를 자동으로 변경하고 패스워드 변경 및 발급 이력에 대한 보고서를 자동으로 생성한다.
유 부장은 “패스워드의 변경은 상시적으로 변경되고 관리해야한다는 사실은 기업의 누구라도 인지하고 있는 상황에서 자동화된 관리 시스템을 통해 더욱 안전한 기업환경을 제공한다”며 “또한 상시 감사 대비자료를 확보할 수 있어 운영 관련 규제에 대해 사전에 대응할 수 있다”고 덧붙였다.

▲ 박현숙지란지교시큐리티과장

최근 금융권은 각종 보안 사건·사고로 어느 때보다 민감하다. 특히나 개인정보와 관련된 처리는 금융권 보안담당자의 과제로 남아있다. 이를 위해 많은 기업들이 망분리를 도입하고 있지만, 업무연속성에 취약한 점을 나타내는 것이 현실이다.
박현숙 지란지교시큐리티 과장은 “망분리로 인한 업무연속성 저해를 방지하고자 최근 망연계솔루션이 도입되고 있지만, 망연계 솔루션은 수신자 본인에게만 제공되는 한계가 존재한다”며 “외부직원, 협력업체, 팀, TF팀에 이르기까지 지원의 확장이 가능하며 안전한 공유가 가능한 보안웹하드 이용이 각광받고 있다”고 말했다.
지란지교시큐리티 보안웹하드는 검색을 통해 문서 내 개인정보가 포함돼 있는지 자동으로 인지하고, 검출 후 암호화 및 비밀번호 압축을 지원한다. 이를 통해 개인정보 침해 위험성을 사전에 발견하고, 효과적으로 대응할 수 있는 장점이 있다. 뿐만 아니라 전송구간 내 암호화 및 암호화 보관을 통해 더욱 안전한 보안성을 제공한다.
박 과장은 “많은 기업에서 보안솔루션을 통해 보안을 강조하고 있지만, 제품 간의 충돌로 인해 업무가 차질이 생기거나, 심한 경우 업무가 마비되는 경우도 잦다”며 “지란지교시큐리티는 보안웹하드를 최종단말기에 별도의 설치가 없이도 사용할 수 있는 ‘non-install 에이전트’를 제공하며 최상의 업무환경을 지원할 수 있다”고 설명했다.
또 그는 이외에도 제약설정, 백신탑재, 본문검색 탑재 등 추가적인 컴플라이언스 요구를 지속적으로 반영해 보다 강력한 보안을 실현할 수 있다고 전했다.

▲ 이보성 미라지웍스 상무

이보성 미라지웍스 상무는 “정부는 ICT 활성화 정책을 목적으로 2012년 지속적인 클라우드과 빅데이터 산업 활성화를 위한 법률을 제정하고 범정부적인 정책 추진을 시행하고 있다”며 “금융기관도 클라우드, 빅데이터, 모바일 기반의 스마트워크 확산에 대비할 필요성이 있다”고 말했다.
더불어 이 상무는 주요 ICT 전망 별 주요 보안이슈를 설명했다. 클라우드 보안 이슈로는 서비스 안정성 및 안전성, 개인정보보호, 클라우드 서버센터 위치 문제, 거버넌스 결여 및 컴플라이언스 이슈, 소프트웨어 라이선스 및 지적재산권 침해가 살펴봐야 한다고 설명했다. 또한 빅데이터에서는 무수한 경로로 식별정보가 유출될 가능성을 제기했으며, 스마트워크 보안이슈로는 BYOD 사용으로 인한 기업의 주요 정보 유출을 우려했다.
그는 “결국 성공적인 클라우드 서비스와 스마트워크를 고려하기 위해서는 무엇보다 보안이 우선되야 한다”며 “이를 수행하기 위한 망분리방안과 내부정보 유출방지방안이고려돼야 한다”고 강조했다.
미라지웍스 vDesk는 샌드박스 기반의 업무 전용 가상 워크 스페이스를 제공하며, 정책기반의 망 제어 기능과 VPN을 이용한 논리적 망분리를 제공한다. 이를 통해 오피스 문서부터 설계도면, 소스코드, 이미지 데이터에 이르기까지 애플리케이션 종류와 관계없이 모든 분야에서 내부정보 유출을 방지한다.
더불어 iDesk는 인터넷 전용 가상 워크스페이스를 제공하고 격리된 가상공간에서만 인터넷을 사용할 수 있게 제한하며, 업무용 로컬데스크톱과 인터넷용 가상 데스크톱 간의 모든 이동을 격리해 사이버 위험요소를 원천적으로 차단한다.
이 상무는 “클라우드와 스마트워크는 정부에서 적극적으로 추진하는 과제로써 망분리 보안 가이드 배포 등으로 그 의지를 확인할 수 있었다“며 ”사내 업무 영역에서 iDesk를 통해 정보자산을 보호하고, vDesk를 통해 사내 업무망 접속 후 스마트워크 업무 수행을 할 수 있다“면서 강연을 마무리했다.

▲ 이은경 굿모닝아이텍 부장

이은경 굿모닝아이텍 부장은 최근 IT 부서가 IT 구축자 및 운영자의 역할에서 이제는 서비스 브로커의 역할로 전환되고 있다고 서두를 던지며 강연을 시작했다. 그는 망분리 구축도 마찬가지로 많은 비용과 성능, 유연성, 가용성 등을 판단하고 이를 운영할 수 있는 인력을 고려한다면 적은 자원으로도 효과적인 망분리 방식을 고려해야 한다고 주장했다.
그는 “VDI 구축비용에서 스토리지가 65% 이상을 차지하고 있다”며 “스토리지를 최적화할 수 있는 수단이 있다면 구축비용이 더욱 줄어들게 될 것”이라고 설명했다.
굿모닝아이텍은 ‘Persona Management’와 SSD 가격 하락, 효율적인 플래쉬 캐쉬사용을 통해 비용을 최소화하고 있다. 뿐만 아니라 각기 상이한 하드웨어, 소프트웨어, 관리인력 등을 동일한 플랫폼으로 엮어 유연성을 높이고 장애 발생을 줄였다.
이 부장은 “복잡한 인프라 관리를 하나의 플랫폼 ‘SCAF-G’로 통합해 망분리에 대한 도입과 관리에 대한 단순화가 가능해졌다”며 “서버 인프라, 백신, 스토리지 등 하드웨어와 소프트웨어의 일원화를 통해 안정성과 구축 비용절감 효과가 있다”고 말했다.
더불어 그는 좋은 기술이라고 할지라도 어떤 장인에 의해 구현되느냐에 따라 명품이 될 수도, 아닐 수도 있다고 전하면서 사전검증이 완성된 형태로 제공되는 SCAF-G는 IT 부서가 새로운 시대, 새로운 역할을 수행할 수 있도록 도울 수 있다고 전했다.

▲ 이선주 에스컴 이사

개인정보보호법은 기존 5개 부문 법률체계를 하나로 통합한 법률로써 살아 있는 개인에 관한 성명, 주민등록번호(고유식별 번호) 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 보호하기 위한 내용을 담고 있다. 기술적으로 8개 조항으로 되어있는 개인정보보호법은 보안시장에서 충분히 많은 업체와 솔루션으로 대응할 수 있게 됐다.
이선주 에스컴 이사는 “그럼에도 불구하고 계속 보안사고가 일어나는 것은 전체적인 보안 관점에서 암호화에서 취약점이 존재하기 때문이다”라며 “DB암호화를 구축했다고 하더라도 방식에 따른 장·단점을 파악하는 혜안이 기업보안 책임자에게 필요하다”고 주장했다.
그에 따르면DB암호화 방식은 크게 커널방식, API방식, Plug In방식으로 나눌 수 있다. API과 Plug In방식의 경우 암·복호화시 암호문을 공개 OS기반의 리눅스 키관리 서버로 운용한다. 반면 커널방식의 경우 커널 메모리 영역에서 전용 키관리 장비를 사용하는 차이점이 있다.
이 이사는 “뿐만 아니라 암호화 시스템은 암호화 컬럼 추가시 응답 속도 지연에 빠르게 대응할 수 있어야 한다”며 “API, Plug In 방식에 비해 커널 방식은 전체 테이블을 암호화하기 때문에 응답시간에 영향을 주지 않는 장점이 있다”고 설명했다.
에스컴의 ‘VDS(Vormetric Data Security)’은 커널 레이어 암호화 방식을 채택해 데이터 암호화로 인한 데이터 및 백업데이터의 유출 차단과 소스 코드의 수정, 암호화 전후의 성능 차이가 거의 없다. 또한 OS유저 및 프로세스 접근제어, 파일 시스템 및 볼륨에 대한 접근제어와 클라우드 환경에서의 모든 DBMS를 중앙에서 관리하게 된다.
이 이사는 “모든 보안 프로세스에는 취약점이 있기 마련이다”며 “그러나 그 취약점을 스스로 파악하고 있어 사전에 대비하는 기업과 그렇지 못한 기업에서의 차이는 분명하다. 특히 보안사고시 기업 리스크를 보다 줄일 수 있느냐 없느냐의 차이로 이어질 것”이라며 발표를 마쳤다.

▲ 한은혜 솔루피아 상무

한은혜 솔루피아 상무는 ‘End-Point 보안 강화를 위한 통합 관리 방안’을 주제로 발표를 진행했다.
한 상무는 “보안에 대한 이슈가 계속적으로 제기되고 있으나, 통합 보안을 실현하기 전 자산관리상 모든 IT 정보에 접근할 수 있는 단말 기기의 실물자산 관리가 무엇보다 절실하다. 사람이 태어나서 주민등록번호가 부여되듯이 실물 자산에 대한 고유 관리 번호가 부여된다면 이를 보다 효과적으로 통제할 수 있을 것”이라고 말했다.
그는 최근 점차 복잡해지고 다양한 디바이스 환경으로 인해 보안책임자들이 어떤 단말 기기가 이용되고 있는지 파악하기 어려워지고 있다고 설명했다. 따라서 보안책임자가 엔드-포인트 상의 모든 단말기를 통제할 수 있는 방법이 강구돼야 한다고 주장했다. 또한 단말기 상에 접근되는 저장매체와 인가되지 않은 소프트웨어에 대한 통제도 이뤄져야 한다고 덧붙였다.
한 상무는 “솔루피아의 화이트리스트 기반의 통합PC보안을 통해 내·외부로부터의 모든 상황을 보안책임자가 인지할 수 있도록 지원한다”며 “모든 엔트-포인트 단말에 대한 라이프사이클을 관리해 악성코드 감염에 의한 피해를 사전에 방지할 수 있다”고 말했다.
솔루피아 통합PC보안 시스템은 한국소프트웨어저작권 협회에서 제공하는 4천~5천 개의 DB분석을 통해 기본적인 소프트웨어 관리가 가능하며, 셋업 파일명이 아닌 파일 자체 회식값을 참조해 분석할 수 있어 위·변조 파일의 잠복도 쉽게 탐지할 수 있다. 현재 솔루피아가 자체적으로 분석할 수 있는 역량은 5만~6만 개의 소프트웨어를 분별할 수 있으며, 이를 통해 손쉬운 보안정책을 설정할 수 있다고 한 상무는 강조했다.
이번 컨퍼런스는 금융권 대상 제 8차 CISO 컨퍼런스로 지난 4월 22일 여의도 콘래드호텔에서 ‘두 마리 토끼를 확실히 잡아라’라는 주제로 개최됐다.