한응수 한국데이터베이스진흥원장 eungsoohan@kdb.or.kr 현대사회에서 ‘정보’란 섣불리 측정할 수 없는 가치를 가진다. 이러한 정보는 일반적으로 소스 데이터를 가공, 정제 및 분석한 결과물로, 특히 정보시스템의 경우 그 저장소로서의 역할을 하는 데이터베이스의 중요성은 굳이 강조할 필요조차 없다. 오늘날 대부분의 데이터베이스는 데이터의 효율적인 수집 및 활용을 위해 다양한 네트워크 수단을 통해 물리적인 거리에 크게 상관없이 접근할 수 있는 체계를 함께 갖추고 있다. 이렇게 ‘효율’을 추구하는 과정에서 그 대가로 다소간 포기해야 했던 것이 바로 데이터에 대한 보안이다. 데이터 보안이란 데이터베이스 내에 저장된 데이터의 비인가 된 변경, 파괴, 노출 등으로부터 보호하는 것이다. 엄청난 혁신을 몰고 올 것처럼 떠들썩하게 등장한 클라우드 컴퓨팅이 생각만큼 활성화 되지 않는 것도, 그 효율보다 정보 유출의 우려가 더 크다고 판단한 기업들의 소극적인 움직임 때문이다. 이처럼 데이터베이스에 있어 보안은 부차적 기능이 아닌 필수 사항으로 전제되고 있다. 하지만 이처럼 중요한 보안에 대한 자원 할당은 그리 충분하지 않은 실정이다. 농담 반 진담 반 ‘노동 집약 산업’으로 표현되는 국내 IT 서비스 산업 환경에서 개발 업체 측은 단가 경쟁을 하느라 축소되어 충분하지 않은 인력으로 촉박한 일정에 맞추어 겨우 겨우 명시된 기능들을 개발해 내는 데에 바쁘고, 현업 담당자들은 부족한 IT 지식으로 인해 세세한 사항은 고려하지 못한 채 수정된 요구사항들을 쏟아낸다. 보안은 의구심 가득한 희망으로 해결 안 돼 이러한 상황에서 철저한 보안을 위해 응당 설계 단계부터 고려해야 할 사항들은 충분히 반영되지 못하고 보안 툴 하나면 모든 것이 해결될 것이라는 의구심 가득한 희망이 그 자리를 대신하곤 한다. 하지만 기술적인 요소만으로 충분한 수준의 보안 체제를 구축했다고 보기는 어렵다. 보안 조직 및 관리 체계와 제도적 방안이 우선하고, 여기에 미흡한 부분이나 효율성을 높일 수 있는 부분에서 기술적인 보완이 이루어질 때 비로소 그 효과가 극대화 될 수 있다. 일반적인 정보시스템 구조상으로 봤을 때 데이터베이스는 논리적으로 가장 깊숙한 곳에 자리하고 있고, DBMS 자체에서 상당한 수준의 보안 기능을 제공하기 때문에 데이터베이스 자체에 대한 보안은 오히려 가벼이 여길 수 있다. 따라서 데이터의 이동 경로인 네트워크의 대한 방어는 여러 가지로 강조되지만 궁극적 보호 대상인 데이터에 대한 보안 대책은 여러모로 취약한 것이 현실이다. 이는 곧 높은 담과 커다란 자물쇠로 집은 둘러싸고 있지만 정작 가장 중요한 금고 자체는 방치해 둔 것과 같다. 게다가 외부 인력을 통한 개발 및 유지보수 사업 진행 또는 내부 직원의 의도적인 정보 유출 등 조직 내 인원에 의한 보안사고 가능성뿐만 아니라 실제 사고 사례가 증가하고 있는 상황에서 데이터베이스에 대한 보안의 중요성은 더욱 두드러진다. 이러한 위협에 대응하기 위해서는 내부 인력을 포함한 모든 사용자들에 대한 철저한 접근 제어 및 최소한의 권한 할당, 그리고 끊임없는 모니터링과 감사(Audit) 활동을 체계화해 시행하는 등 대책을 마련해야 한다. DB 보안의 성과는 시간이 필요한 사업 이처럼 데이터베이스와 그 데이터에 대한 보안 활동이 강화되기 위해서는 의사결정자의 의지와 실무자들의 보안 의식이 무엇보다 중요하며, 또한 이를 위한 기준 마련 또는 의무화 등 정부의 제도적 지원을 수반해야 한다. 이러한 맥락에서 볼 때 지난 해 발의된 데이터베이스산업진흥법 안은 바람직한 데이터 보호를 위해 그 역할이 매우 중요하다. 데이터베이스산업진흥법은 매년 성장을 거듭해 10조 원 규모의 시장으로 성장한 국내 데이터베이스 산업을 올바르게 이끌어 나가기 위한 제도적 기틀을 마련했다. 뿐만 아니라 데이터베이스의 소재가 되는 데이터(소재 데이터)가 제공자의 의사에 반해 임의로 유출 또는 위???떫프?않도록 하는 대책의 의무화 조항을 포함하고 있다. 이를 통해 정보시스템 보안 침해의 목표인 데이터 자체를 보호하도록 했고, 데이터베이스 시스템의 안정적 운영을 위해 사업자가 수행해야 할 보안 관리 방안 및 데이터 보안 관리의 항목과 기준, 대상과 규모 등 구체적인 기준 마련을 위한 정부기관의 지원이 뒷받침하도록 하고 있다. 데이터베이스에 대한 보안의 도입 및 적용이 쉽지 않은 점은 물론 그에 따른 성능 저하 등에 대한 우려도 있겠지만, 한국데이터베이스진흥원에서 독려 중인 데이터 품질 개선과 마찬가지로 투입 자원에 비례해 눈에 띄는 성과를 보이는 사업이 아니라는 점에 있다. 성능 향상이나 리소스의 절감을 위한 일반적인 시스템 개선 및 고도화 또는 차세대 시스템 신규 구축 등에 비해 데이터 품질과 보안은 노력이 금세 드러나지 않는다. 이는 언제 일어날지 모르는 사고에 대비한 예방 활동의 성격이 크고, 이러한 대비 활동은 사고의 확률을 줄여주지만 사고가 나지 않는 것이 철저한 예방 활동의 결과라는 증명은 되기 어렵기 때문이다. 하지만 데이터 사고는 이러한 예방 활동에 드는 비용과는 비교할 수 없는 커다란 손실을 초래할 수 있어 결코 소홀히 해서는 안 되는 활동이다. 그래서 보이지 않는 노력을 통한 대비 수준을 점검하고 증명하기 위해 기업 및 기관에서는 공신력 있는 기관의 진단 및 인증을 적극 활용해야 한다. 또 정부 차원에서는 법제화를 통해 여러 지원으로 뒷받침하는 한편 나아가 공공 및 금융 등 업종 구분에 따라 일정 수준 이상의 인증을 의무화하는 방안을 추진하는 것이 바람직하다 하겠다. 한응수 문화공보부를 시작으로 문화체육관광부 예술원사무국장과 홍보콘텐츠기획관을 거쳐 2009년부터 현재까지 한국데이터베이스진흥원 원장을 맡고 있다. 성균관대학교 신문방송학과를 졸업하고 서울대학교 행정대학원 행정학과 석사학위를 수여했다.