IT기획/ DB보안 및 데이터 개인정보 이슈
비정형 및 로그데이터 관리·권한 소유자 키 관리·정책 실행 등이 필요하다

올해 금융감독원에서 시행된 개인정보보호법에 의하면, 기업에서 보관하고 있는 주민등록번호 규모가 100만명 미만의 기업은 올해 말까지, 100만명 이상의 기업은 2017년 말까지 주민등록번호를 암호화하도록 규정하고 있다.
이에 기업에서는 보유한 DB 중에서 개인정보가 포함된 데이터 암호화에 대한 과제를 해결해야 한다. DB암호화 시장에서 선전하고 있는 벤더들을 만나 DB암호화 이슈 및 트랜드에 대해 들었다.

보매트릭, 미들웨어 개인정보 로그 암호화 가능

이문형 보메트릭 지사장은 “기존에는 대부분 PC단에서 데이터가 외부로 나가는 것만을 관리하고 보호했다. 하지만 지금은 개인정보 데이터가 남아있는 미들웨어 단에 포함된 비정형 데이터도 보호해야 한다”고 강조했다.
웹 애플리케이션 서버와 같은 미들웨어는 각종 정보를 로그파일에 저장한 후 업무를 처리하고 있다. 어떤 기업의 경우는 수백 개의 미들웨어를 보유하고 있다. 미들웨어의 로그파일에는 요청자의 수많은 정보가 기록되며, 다수의 민감 정보, 특히 주민등록번호가 포함되는 경우가 많다.

보메트릭은 미들웨어에 잔존한 개인정보 로그를 보안하기 위해 디에스엔텍과 협업해 이 부분에 대한 대응을 마쳤다. 디에스앤텍의 로그세이버 솔루션이 미들웨어의 로그들을 유형에 맞게 취합할 수 있기 때문이다. 이문형 지사장은 “작년 대비 올해 10%이상 성장했다. 앞으로 금융권을 중심으로 활동할 계획이다. 최근 국내 금융권에서 미들웨어 개인정보 로그 암호화를 위해 본사의 솔루션을 도입했다.”고 말했다.

더불어 “IoT의 확대에 따라 빅데이터 시장도 커지고 있다. 결국 IoT에서도 암호화에 대한 니즈는 발생하게 된다. 이에 보메트릭의 파일방식의 암호화 핵심 전략이 지속적으로 개인정보 보호에 역할을 할 수 있을 것이라고 본다”고 했다.

오라클, DB 권한 소유자 외에 볼 수 없도록 변환

오라클(대표 김형래) 관계자는 “DB보안에 있어서 권한 소유자 외에는 누구든지 DB를 읽어볼 수 없도록 하는 것이 중요하다. 정보를 암호알고리즘으로 변환해서 전달해야 한다”며 “오라클은 DB보안에 있어서도 여러 겹의 복잡한 방어 체계를 구축했다”고 말했다.
더불어 “특히 최근 자체 보안 기능을 강화해 암호화할 수 있게 했고 권한자의 권한과 역할 분석 기능을 탑재했다”며 “적절한 사용과 남용에 대해 통제한다”고 덧붙였다.

DB는 기간계, 정보계 등의 복잡한 시스템들이 연계되어 있다. 따라서, 한 명의 담당자가 관리할 수 없기 때문에 DB 유출시 어디에서 유출됐는지 찾기가 쉽지 않다. 오라클은 DB솔루션의 특정 속성에 대해 암호화하고, 표시제한 등의 보호 장치를 마련해 데이터의 전체적인 보안을 강화했다는 전략이다.

오라클은 DB보안에서 무중단 서비스에 중점을 두었다. 즉 사용자들의 DB보안을 위해 자체적인 보안기능을 강화하겠다는 것이다. 경쟁사의 솔루션과 비교했을 때 오라클은 응용프로그램의 성능 저하를 최소화할 수 있으며, 암호화를 위한 다운타임도 최소화할 수 있다.

파수닷컴, DB보안에 대한 정책 마련에서 컨설팅 단계까지 지원

파수닷컴(대표 조규곤)의 DB암호화 솔루션 ‘솔리드베이스(Solidbase)’는 파수닷컴의 DB접근제어 솔루션 ‘페이스(Face)’를 통해 DB보안을 강화한다. 페이스는 비정상 행위에 대응하도록 관리자들이 기준을 갖도록 하고 이상행동에 대해 담당 매니저들이 판단하게 하는 시스템이다.
안혜연 부사장은 “DB암호화를 하더라도 내부 유출자가 악의적으로 탈취할 경우에 대한 시장의 니즈가 커지고 있다”며 “사실 기업에서는 DB에 대한 정책을 마련하고 실행하는 현실적 어려움을 느끼고 있다.”고 했다.
최근 DB보안의 트랜드는 ‘통합’이다. 이에 파수닷컴은 DB보안의 전체그림을 그려 기업에서 개인정보 보호 및 내부 유출에 대한 정책을 마련하고 실행할 수 있도록 A~Z까지의 정책 마련에서 컨설팅 단계까지 지원하고자 준비 중에 있다.
안혜연 부사장은 “현재 고객 기업에서 방법론을 만들어 테스트를 하고 있는 단계이다. 내년에 솔루션 화해서 딜리버리 할 계획”이라고 소개했다.

데이터 보안에 대해서는 궁극적으로 권한자만 보도록 해야 한다는 부분을 해결해야 한다. 안혜연 부사장은 “문서 자체에 권한을 주는 방식으로 통제하는 것이 관권이다. 파수의 리스크뷰는 사용자별로 문서사용의 패턴을 확인할 수 있어 이상행위를 탐지할 수 있다”고 말했다.

케이사인, 민감정보 DB보호 위해 개인정보 BANK 사업 추진

국내 DB암호화 시장 점유율 1위인 케이사인(대표이사 최승락)은 통합 데이터베이스 보안 솔루션 ‘케이사인 시큐어DB(KSign SecureDB)’로 데이터 암호화, 접근제어 및 로그감사를 동시에 지원한다. 특히 OS 제약사양 없이 설치가 가능하고 파일 및 이미지의 암호화가 가능하다.
구자동 부사장은 “비정형 데이터에 대해서 어플라이언스 장비로 네트워크 단에서 암호화 및 복호화를 할 수 있다. 안정성을 높이면서 부하는 줄일 수 있어 최근 금융권에서 도입했다”고 말했다. 케이사인은 보안수준이 높은 곳은 금융권을 위해서, API 형식의 어플리케이션에서 자체 암호화 방식과 혼합한 하이브리드 암호화 기능도 제공하고 있다.

구자동 부사장은 “시스템에서 암호화를 하더라도 메모리 단계로 올라가면 암호화된 내용이 다 보인다. 따라서 정말 법규만을 위한 암호화를 할 것인지, 데이터를 보호하기 위한 암호화를 할 것인지에 대해 기업은 현명한 선택을 해야 한다” 강조했다.

구자동 부사장은 “케이사인은 공공부문 사업을 지속적으로 확대해 나가고 있다. 지난해 DB 암호화 솔루션 매출은 지난해 대비 10% 이상 성장했으며, 올해도 비슷한 성장세가 지속될 것으로 기대한다”고 했다.

한편 케이사인은 내년에 오픈할 계획으로 G-클라우드를 이용해 ‘개인정보 데이터 BANK'를 구축하고 있다. 국내 의료기관, 병원, 그 외 개인정보를 보유한 중소기업들을 주력으로 지원할 계획이다.

한컴시큐어, DB암호화 키 통합적으로 관리 가능

나형수 한컴시큐어그룹장은 “고객정보가 포함된 DB암호화에서의 핵심은 키이다. 금융감독원에서는 DB암호화 시스템에서 키 교체를 요구했다. 그러나 키를 교체할 경우 전체 시스템에 영향을 줄 수 있다는 우려 때문에 기업에서는 현실적으로 키를 변경하는 것이 불가능했다”며 “한컴시큐어(대표 이상헌)의 통합 키 관리솔루션 `제큐어 키 매니저(XecureKeyManager)`는 DB암호화 키 교체를 지원하는 통합 솔루션”이라고 말했다.
제큐어 키 매니저의 특징은 실시간으로 키를 교체할 수 있다는 점과 타사의 시스템과도 높은 호환성을 제공한다는 점이다.

나형수 그룹장은 “비정형데이터를 암호화하기 위해서 소스 수정이 없는 에이전트 방식의 암호화 기술을 개발했다. 경쟁사 대비 성능저하 면에서 130~140% 수준으로 최소의 수치이다”고 말했다. 또한 한컴시큐어는 PDF 등 이미지 데이터에서 포함된 개인정보를 선별, 마스킹하는 암호화 솔루션 '제큐어디비(XecureDB)'을 개발했다. 내년 초에 시장에 선보일 예정이다.

사실 DB암호화는 관리자 화면에서는 데이터가 다 보인다는 맹점이 있다. 관리자들은 사용하는 패스워드를 서로 공용하기도 한다.
이에 대해 나형수 그룹장은 “관리자 화면에서 DB에 접속하면 모두 평문으로 나타난다. 관리자 기밀 정보를 탈취할 경우는 무용지물인 것이다. 현실적으로 기업에서는 SI, 유지보수, 순환보직에 의해서 DB 패스워드는 시간이 흘러감에 따라 광범위하게 노출되고 있는 실정이다. 민감정보 유출 중 내부자에 의한 유출이 80%에 이르는 것이 이러한 상황 때문이다“고 말했다.
더불어 “법규만 지킬 것인가, 데이터까지 지킬 것인가를 신중하게 고민해야 한다. 법규만을 준수하는 암호화는 결국 고객정보유출로 이어지기 마련이다”고 강조했다.

한편 한컴시큐어에서는 API암호화와 키 라이프사이클을 통해 업무 DB계정 관리자가 DB에 접속해도 평문으로 볼 수 없게 지원한다. 더불어 DB암호화 키도 주기적으로 교체할 수 있다.