내부정보유출방지, DB접근통제 및 이후 관리가 중요

디지털인사이트코리아 주최, 안철수연구소·A3시큐리티·에이콘출판사 후원으로 22일  포스틸타워에서 개최된 ‘정보 보안 트렌드 세미나 2009’에서는 김대환 소만사 대표가 ‘내부정보유출방지 가이드라인 및 2009년 전망’이란 주제로 강연을 펼쳤다. 이날 강연 내용을 다음과 같이 소개한다.

이날 김대환 대표는 특히 ‘개인정보를 중심으로 내부정보유출방지를 위한 기술적 보안대책’을 발표해 참관객들로부터 높은 호응을 얻었다.

우선 김 대표는 “강연을 통해 늘 밝히는 바이지만, 고객정보유출은 충분히 조직전체를 흔들 수 있는 소송이 될 수 있다”며 고객정보관리의 중요성을 강조했다.

이와 관련 김 대표는 작년에 발생했던 GS칼텍스 사건을 예로 들며, “최근 그에 대한 소송에 대한 판결이 있었다. 고객정보를 유출시킨 직원에 대해 유죄판결이 났지만, 회사 측에는 무죄 판결이 났다. 하지만 이후 이와 같은 똑같은 사건이 발생한다면 회사도 그 죄값을 치뤄야 할 것”이라며, “천문학적인 돈을 투자하더라도 사고는 언제든지 발생가능하기에 그 대안과 대책을 마련해 어느 수준까지 솔루션을 구축·운영·교육·컨설팅해서 최선을 다했음을 입증할 필요가 있다”고 밝혔다.

특히 이날 강연을 통해 김 대표는 “보안 트렌드는 보안솔루션 등의 인프라 중심에서 현재·미래에는 데이터 중심의 컴플라이언스에 그 중심이 이동했다”며, “각 회사의 대표들은 망법, 개인정보보호법 및 카드 보안표준 PCI(Payment Card Industry Data Security Standard) 등의 컴플라이언스에 주목하고 인지해야 한다”고 언급했다.

또한 김 대표는 이날 강연의 핵심은 “데이터 보호를 위해 그에 대한 대책을 인지해야 하며, 그 중심에 암호화 등의 DB접근통제에 귀를 기울여야 한다”며, “외부자보다는 접근권한이 있는 내부자에 대해 접근통제와 암호화는 상호보완적이고 기술적인 보안대책이 돼야 한다”고 강조했다.

이를 위해서 “DB의 질의어(QUERY)는 결제를 받아서 접근해야 하는 등의 접근통제를 강화하고, 보안전문 쿼리 툴을 설치하는 등 원천적으로 평문이 다운로드되지 않도록 해야 한다”고 김 대표는 덧붙여 말했다.

그리고 김 대표는 이날 강연을 통해 “DB접근통제의 중요함을 잊지 말아야 한다”며, “하지만 그 보다 더욱 중요한 것은 이후의 관리다. 회사들은 DB접근부터 유출까지를 일관성 있게 추적할 수 있어야 한다”며 결론지었다.

한편 김 대표는 “과거에는 고객정보를 되도록이면 많이 수집하고, 이를 활용하려 했지만 현재에 있어 이러한 고객정보가 필요한 부서는 회사 전체가 아닌 특정부서다”며, “이를 위해 회사는 되도록이면 고객정보를 정말 필요한 것 외에는 수집하지 않는 것이 좋다”며 회사의 ‘개인정보 무소유 운동’을 펼칠 것을 제안하기도 했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>