지난 2008년은 개인정보와 내부정보 유출 등 다양한 보안 사고가 발생하여 기업 및 개인에게 정보보호의 중요성이 주요 이슈로 떠오른 한 해였다. 2009년에는 정보통신망법이 개정되어 시행됨으로써 개인정보처리시스템에 대한 불법적인 접근을 막기 위해 정부와 공기업은 물론 금융기관, 통신업체, 일반 대기업까지 대책마련이 시급한 상황이다. 이에 따라 보안사고를 당한 기업과 개인정보를 다루는 일부 기업에서 보안에 대한 대책이 조금씩 나오고 있으며, 이제 더 이상 데이터베이스 보안 시스템의 도입이 늦춰져서는 안 된다는 것이 전반적인 흐름이 됐다.

현재 일부 정부기관이나 기업들이 도입하고 있는 보안시스템은 사용자의 접근을 통제하는 접근통제 솔루션이 대부분이다. 이는 설치의 편리함과 비용, 솔루션 운영 시 서버에 부하를 주지 않아 가용성을 헤치지 않기 때문이다.

이미 가까운 일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션들이 속속 구축되고있는 실정이며 미국, 유럽 등에서도 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 등으로 기업, 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보리스크에 대한 대비를 촉구하고 있다. 업계의 전문가들은 “완벽한 보안이란 불가능하며 결국 정보의 누출은 불가피할지 모른다”며 “따라서 정보가 누출될 수 있는 가능성을 최소화하며 설혹 누출되더라도 피해를 최소화할 수 있도록 시스템적인 보완이 필수다”고 언급하고 있다.

그렇다면 기업의 주요 자산인 데이터베이스를 보호할 수 있는 데이터베이스 보안 솔루션(이하 ‘DB보안솔루션’이라 함)이란 무엇일까?

DB보안솔루션은 중요 정보를 데이터베이스에 보관할 시 특정 필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지하는 솔루션이다. 내부에 위치한 중요 정보에 대하여 외부로의 유출 차단 및 악의적 목적을 가진 행동에 의한 내부로의 접근을 차단하기 위하여 아래 그림과 같이 계층별 보안솔루션이 적용되어야 하며, DB보안 솔루션은 DB의 최종적 보안성을 유지하기 위한 수단으로써 데이터를 암호화 하거나 접근통제를 수행하는 마지막 관문으로 볼 수 있다.

[DB보안솔루션의 통제 활동 범위]

DB보안은 크게 DB 자체를 암·복호화하는 방식과 DB 사용자의 접근을 제어하는 방식으로 나뉘는데, DB접근 제어 방식의 DBMS Auditing 기능은 DB 사용자의 행동을 감시하여 누가 어떤 테이블을 언제 사용하고, 어떤 작업을 하는지를 기록하여 사후 보안 감사기능을 강력하게 지원해준다. 또한 DB암호화 솔루션은 DB내의 중요 데이터(개인정보)를 직접 암호화함으로 써 데이터 유출 시 해독이 불가능하고 추가적인 Auditing 기능을 지원하기도 한다. 하지만 두 가지 방식 모두 Auditing 및 암호화 적용 범위에 따라 시스템의 과부하를 줄 있기 때문에 적용범위에 대한 적용 범위에 대한 신중한 고려가 요구된다. 주요 특징을 살펴보면 아래와 같다.

[DB보안솔루션의 종류 및 특징]

DB 보안 솔루션은 종류 및 특징에 따라 각기 보호하는 영역이 정해져 있다. 접근제어 및 감사 제품의 경우 DB 전체 데이터 및 DB로의 접근 시도에 대한 통제를 통하여 보안위협을 줄일 수 있으나, Data유출에 대한 원천방지를 막을 수는 없다. Data암호화 제품의 경우 암호화된 데이터에 대한 접근제어 및 접근감사 기록에 대한 기능을 일부 지원하고, Data 를 암호화 함으로써 정보 유출에 대한 원천방지 기능을 제공한다. 각기 제품별 특성에 따라 보안위협에 대한 위험감소 기능이 분류된다. 솔루션의 기능별 주요 보안영역을 구분해 보면 아래 그림과 같다.

[DB보안 제품의 위험감소 범위]

암호화 솔루션과 접근제어 솔루션은 상호 보완적인 관계 속에서 필요해 보이며, 암호화 솔루션은 접근제어 솔루션의 간편성과 적용성에 비해 다소 복잡할 수 있으나, 암호화를 통해 얻을 수 있는 이점이 많다. 따라서 최근 접근제어 솔루션이 대세를 이루며 구축 되고 있지만, 향후 1~2년 안에 암호화 솔루션에 대한 관심과 적용 범위가 확대될 전망이며, DB보안의 최종 목표는 암호화와 접근제어를 동시에 이루는 일이다.

사용 DATA의 성격과 운용 시스템에 따라 암호화를 기본으로 하고 접근제어 기능을 포함 하는 솔루션을 구축 하느냐, 암호화와 접근제어를 별개로 구축 하느냐, 접근제어만 구축 하느냐는 보안의 경중과, 시스템의 성격에 따라 우선 순위를 두고 구축해야 할 것으로 보인다. 

 

* 박현수 책임 컨설턴트 | A3Security 컨설팅사업본부
* 본 기고글은 지난 2009년 6월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.