DB보안, DB 자체에서 집중적으로 보호장치를 마련한다

계정관리는 엔터프라이즈 보안 영역에서 가장 큰 비중을 차지하고 있다. 효율적인 계정관리가 이뤄져야만 뒷단의 다양한 업무영역에 대한 보안을 강화할 수 있다. 계정관리는 또 기업 대표의 정책이 반영돼야 한다. 프로세스 전반에 걸쳐 중요한 영향을 주기 때문에 그만큼 간과할 수 없는 부분이다. 이것은 DB보안 프로젝트를 통해 효율적으로 이뤄질 수 있다는 지적이다. 한국오라클의 현은석 상무를 만나 DB보안에 대한 상황과 해법에 대한 이야기를 나눴다.

방창완 편집국장 bang@ciociso.com

▲ 현은석 한국오라클 테크놀로지세일즈컨설팅 상무

한국오라클 테크놀로지세일즈컨설팅의 현은석 상무는 “직원이 부서를 옮길 때는 그동안에 맡았던 권한과 역할이 바뀐다는 것을 의미한다. 그동안 그 직원에게 일임했던 데이터베이스 접근 권한과 프로세스 변경이 이뤄져야한다. 하지만 전체 롤에 대한 연동과 통합관리에는 현실적으로 많은 어려움이 따를 수 밖에 없다”고 말했다.
데이터베이스는 기업의 민감한 정보가 모두 들어가 있다. 물론 파일서버도 있지만, 가치 측면에서 ‘비즈니스 데이터’가 내부 유출 및 해커들의 공격 대상이 된다. 최근 버라이존에서 조사한 기업 유출건수의 90% 이상이 노출된 데이터베이스에서 발생하는 것으로 나타났다.

내부유출 보안사고는 DB에서 진행된다

현은석 상무는 그만큼 DB보안에 대한 중요성을 강조하고 있지만 금융권의 경우, 프로젝트가 미미하다고 지적했다. 표면적으로는 ‘성능저하’라는 이유를 꼽을 수 있지만, 그동안 간과해 왔던 투명성과 법적문제에 대한 고민 때문일 수 있다는 것이다. 또한 그동안 업무 편의성 때문에 방관해 왔던 중복 데이터에 대한 문제 때문이기도 하다는 것.
현은석 상무는 기업에서 DB보안을 추진하기 위해서는 데이터가 깔끔하게 정리돼야 함을 강조했다. 구축시 가능한 범위를 축소시키고, 대상 자체를 최소화하면 문제될 것은 없다는 것이다. 타기팅해서 관리를 하면 돼지만, 우선적으로 선행돼야 할 것이 아키텍처를 설계할 때 보안 아키텍처를 고려해야 한다는 것이다.
현 상무는 자사의 DB보안 제품을 들며, 한 예로 암호화를 적용했을 때 CPU 사용률이 기존의 52%에서 43% 이상 줄어드는 효과를 보고 있다고 지적했다. 물론 여기에는 오라클 솔루션을 통한 엔진 최적화가 이뤄졌을 때의 경우다. 현은석 상무는 “최근 전자금융거래법을 통해 많은 가이드와 규제가 잇따르고 있다. 개인정보보호법의 경우는 포괄적인 법안으로, 산업 및 개별법과의 우선순위에서 떨어진다. 보통은 위반시 약한 수준의 금융거래법과 개별법에 따르지만, 9월에 산업별 개별법이 개정되면 징벌적 손해보상도 넣을 가능성이 있다. 이렇게 되면 어마어마한 파급력을 가질 수 있다”고 지적했다.
이런 상황에서 금융권에서도 어떤 형식으로든 이런 법에 대응하기 위해 DB보안 부분을 강화하지 않을 수 없다는 것. DB보안 프로젝트를 진행하게 되면 기업에서 가장 우려하는 것이 성능에 대한 이슈이지만, 자사의 암호화를 적용할 때 성능에 대한 고민은 없다는 것이 그의 설명이다. 업그레이드와 적절한 튜닝을 통해 이를 극복할 수 있다는 것.
또 현상무는 편의성을 고려해 DB를 보호하기 위한 많은 프로세스와 방법론이 존재하지만 오라클은 DB 자체에서 집중적으로 보호할 수 있는 관리 방법을 제공하며, 성능도 보장받을 수 있다고 설명했다. DB 자체에서 암호화를 실행하면 된다는 것이 오라클의 방법론이다.

DB자체에서 암호화 및 관리기능 구현

또한 업무에 따라 직원별로 보여지는 형태에 있어서도 데이터베이스와 애플리케이션을 변경하는 것이 아니라, 마스킹을 통해 업무에 맞게 적절한 형태로 보여 질 수 있다. 일종의 규칙을 정해서 보여지는 형태를 적절하게 제약을 두면서 표현하면 된다는 것이다.
현 상무는 보안에 있어서 중요한 위협요소는 내부자에 있다고 지적했다. 회사의 직원 모두가 내부자이기 때문에 이에 대한 적절한 통제가 필요하다는 지적이다. 이는 권한에 따라 접근 단계를 달리하면 된다는 것이 그의 의견이다. 현 상무는 “우리가 보통 데이터를 다루는 직원을 간과하는 경우가 있는데 이런 DB 관리자도 업무 성격에 따라 적절한 관리가 필요하다. 사실 전 직원에 대한 적절한 DB 통제가 필요하며, HR DB를 볼 수 있는 권한은 HR 영역만 주어지면 된다”고 말했다.
이밖에 오라클에서 제공할 수 있는 솔루션에는 DB 자체에서 제공할 수 있는 서비스 요소로 마음대로 수정을 못하게 하는 장치나 실수를 방지할 수 있는 장치 등을 마련할 수 있다. 물론 오라클이 아닌 이 기종 DB에 대해서는 어느 정도 제약이 따른다.
현은석 상무는 앞으로 하반기 법 개정에 따른 기업들의 보안 고민을 해결하기 위해 다양한 방법론을 제시할 계획이라고 말했다.