한국투자증권 DB보안 시스템 구축사례

고객 정보보호는 기업의 신뢰도에 큰 영향

한국투자증권은 지난 30여년간 한국 자본시장을 선도하여 왔으며 기업금융과 투신업계를 선도해 온 대형 종합 증권사이다. 끊임없는 경영혁신과 최상의 고품격 종합금융 서비스 제공으로 고객의 성공만을 위해 노력해왔다. 또한 최근 고객정보 유출 등 각종 보안 사고를 방지하고자 고객정보보호를 위한 DB보안 솔루션을 구축, 보다 안정적이고 신뢰성 있는 서비스를 제공하기 위해 많은 노력 을 하고 있다.

한국투자증권 IT서비스운영부에서 근무하는 최홍주 차장은 사내 데이터베이스를 관리하는 데이터베이스관리자(DBA:DataBase Administrator)다.

그는 DBA로서 최근의 고객정보 유출과 관련된 일련의 보안사고들을 보면서 그동안 서버보안만으로 사내 DB 보안을 대체해왔던 것에 대해 DB보안의 필요성을 느꼈다고 한다.

최 차장은 “지난해 10월 DB보안을 강화하기 위해 DB 보안 솔루션을 도입했다. 이를 위해 DB보안 솔루션 선택을 위한 사전조사와 제안 설명회, 그리고 BMT를 진행했다”며 “DB보안 구축 이전에는 서버보안과 로그 외에 DB보안과 관련 된 관리는 없었고 최근 사회적인 이슈와 관련해서 DB보안 솔루션 도입의 필요성을 인식하고 도입을 추진했다”고 설명했다. 이러한 상황 외에도 금융감독원이 요 구하는 금융권에 대한 규제 사항도 DB보안 구축이 포함되어 있었다.

특히, 신시웨이의 DB보안 솔루션인 디그리핀을 선택하게 된 이유와 관련해 최 차장은 “솔루션 제안설명회와 BMT를 진행한 결과, 현재 사내의 기본적인 서버와 DB 운영측면과 개발환경에 가장 적합한 솔루션으로 디그리 핀이라고 판단, 도입하게 됐다”고 설명했다.

보안사고, 기업 이미지와 신뢰도 하락에 큰 영향

한국투자증권이 DB보안 솔루션을 도입하게 된 가장 큰 이유는 앞서 언급한 바와 같이 최근 고객정보 유출 사 고 등으로 인해 전사적으로 DB보안의 중요성을 인식하 고 있었고 또 고객정보 유출 등의 보안 사고가 발생하면 기업의 신뢰도 하락에 가장 큰 영향을 미치고 이는 또한 회사로서도 큰 손실이라고 판단했기 때문이다.

고객정보 유출로 인한 신뢰도 하락은 기업 존폐의 위기로도 이어질 수 있다.

최소한의 보안 투자로 고객정보 유출방지와 해킹 피해 최소화

최 차장은 “고객정보 유출로 인한 신뢰도 하락은 기업 존폐의 위기로도 이어질 수 있다는 판단에서 최소한의 보안 투자로 고객정보 유출 방지와 해킹 피해의 최소화 를 위해 DB보안 솔루션을 도입하기로 결정한 것”이라고 말했다.

그는 또 “신시웨이의 디그리 핀은 경쟁제품들 중 BMT 를 통해 기존 사내의 IT환경의 변경 없이 많은 부분을 커버할 수 있는 안정적인 DB보안 솔루션이라는 판단에서 선택, 구축하게 됐다”고 덧붙였다. 한국투자증권은 현재 암호화 툴의 도입도 진행 중이다.

한국투자증권이 도입한 디그리핀은 강력한 레파지토리 기능으로 대량의 로그를 효율적으로 관리할 수 있는 메커니즘을 제공한다. 최 차장은 “관리하는 DB보안 서버 수가 증가하면 매우 많은 양의 로그 정보가 생성되고 다양하게 흩어지면서 사후 추적을 위한 로그 관리 부담 이 커져 관리가 어려워지는 문제가 발생 하는데 디그리핀은 이러한 문제점을 해결하기 위해 로그를 자동으로 통합하는 기능을 갖추고 있다”고 말했다.

그는 또 로그 최소화 메커니즘을 활용, 로깅되는 정보량을 최소화하고 파티션 기법을 이용해 손쉽게 로그를 백업 및 복구 할 수 있는 기능을 제공한다는 점이 특징 이라고 덧붙였다.

또한 타인의 IP 이용을 식별할 수 있는 기능과 함께 개인정보보호를 위한 쿼리 마스킹 기능을 제공하고 비인가자의 정보조회를 차단해 준다. 아울러 이 제품은 신규 SQL에 대한 차단 및 경보기능과 데이터베이스관리시스템(DBMS) 서버 상에서 수행한 모든 명령을 저장할 수 있는 보안 쉘 기능, 데이터를 암호화 할 수 있는 암호화 기능 등을 제공한다.

안정화 신뢰도 확보 위해 충분한 테스트 후 적용

“구축 과정에서 기존 에이전트 방식은 약간 위험성이 있었고 또 신뢰도 없이 자사 에 적용하려다 보니 테스트와 검증 시간 이 오래 걸렸기 때문에 전체적인 솔루션 구축 시간이 길어져 다소 어려움이 있었지만 이는 안정 적인 시스템 운영을 위한 테스트와 안정화, 그리고 신뢰도 확보시간으로 보면 된다”고 최 차장은 강조했다. 한국투자증권의 DB보안 솔루션은 그만큼 충분한 테스트와 검증을 거친 후에 안정적으로 개발 구축됐다는 것이다.

또한 그는 “디그리핀은 접근 기록에 대한 로깅과 접근 통제 기능이 가장 중요한 기능으로 보고 있다”며 “현재 이러한 기능을 중심으로 한국투자증권의 DB는 안 정적으로 운영되고 있다”고 강조했다. 이러한 강력한 로깅 기능은 부수적으로 내부직원들의 오조작으로 인한 실수를 기록, 감사를 대비한 로그 기 록이 잘 남아있고 개발자와 운용자 등이 자기 자신도 모르게 잘못 조작했을 때 그 기록들을 찾아낸다고 최 차장은 덧붙였다.

한국투자증권은 이번 구축된 DB보안은 항상 사내 보 안 이슈였는데 이번 신시웨이의 디그리핀 구축으로 대부분 해결됐다. 이 외에도 한국투자증권은 네트워크단 과 서버단의 보안이 이미 기본적으로 잘 갖춰져 있었기 때문에 지금까지 안정적으로 서비스를 제공해왔다는 것이다.

신시웨이의 김재현 기술본부 이사는 “디그리핀의 가장 큰 특징은 하이브리드 방식의 지원이며 스니핑, 에이전 트, 게이트웨이 등 DB 보안 관련된 최신의 기술을 지원 하고 있다”며 “이를 기반으로 사용자 인증, 신규 SQL 에 대한 통제, 다양한 결재 기능, 개인정보보호를 위한 쿼리 마스킹 기능 등을 제공하고 있다”고 설명했다. 그는 또 “BC카드 이후 최대 고객인 한국투자증권의 DB보안솔루션 디그리핀 구축 프로젝트는 어느 때 보다 많은 노력과 신경을 썼다”며 “증권사에는 무엇보다 DB보안의 성능이 매우 중요한데, 구축 초기 안정성 측면에서 가장 큰 주안점을 두고 진행했고 성공적으로 구축이 완료됐다”고 설명했다.

“현재 한국투자 증권의 DB보안 솔루션은 안정적으로 운용되고 있으며 향후 추가적인 소프트웨어 업그레이드 등을 포함한 IT환경 변화에 따른 유지보수는 지속적으로 이루어질 것”이라고 김 이사는 밝혔다.

디그리핀은 신시웨이가 자체 개발한 메모리 DBMS를 사용해 보안정책 및 로그를 관리함으로써 초당 수천에 서 수만 SQL을 수행하는 대용량 트랜잭션 사이트에서 모든 SQL에 대해 보안 규칙을 적용하기 위한 성능을 보장하고 대량의 로그를 효율적으로 관리할 수 있는 메커니즘을 제공하는 것이 특징이다.

김 이사는 “디그리핀이 오라클을 비롯해 사이베이스와 알티베이스 DBMS에 대한 국정원 보안적합성 검토를 획득, 보안 솔루션의 안정성을 인정받았다”고 강조했다. 아울러 공공부문에서 정통부, 국세청, 경남도청 등 30 여 개와 금융부문에서 한국투자증권을 비롯해 BC카드, 미래에셋증권 등 20여 개의 사이트를 포함해 현재 약 70개의 고객 사이트를 확보했다고 덧붙였다.

<글/사진 : 김태형 기자 (is21@boannews.com)>
[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>