• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[칼럼] 내부통제는 DB보안부터 2006.03.20

<엑셈 김광열 기술이사>

게임업체인 엔씨소프트의 사례에서 보듯이 오늘날 정보에 대한 보안은 기업의 사활과 직결된 중요한 문제가 되어 가고 있다. 120만명 정도의 주민번호 도용 사고가 발생했는데, 그에 대한 회사의 정당하게 대처 했는지에 대한 법적인 책임 문제가 결국 소송으로 이어져, 만약 회사가 패소할 경우 최고 1인당 100만원 가량을 손해배상해야 하는 상황이 되었다.


아직까지 알려진 보안 사고의 많은 부분은 웹서버나, 웹을 이용하는 이용자를 대상으로 벌어지고 있다. 하지만 한국침해사고대응팀협의회(CONCERT)는  2006년 기업 정보호호 7대 이슈를 선정해서 발표하였는데 그 중에 하나로 선정된 것이 ‘내부 보안사고 예방’ 이었고, 2005년도 IBM 글로벌 비즈니스 보안 인덱스 보고서에 나와있는 5대 보안 키워드 중의 하나도 ‘내부자 보안’이었다.


또한 이미 발효된 샤베인 옥슬리(SOX) 법안이나 카드업계의 보안 표준이 PCI(Payment Card Industry) 표준에서 보여주듯이, 점점 더 내부에 대한 통제를 요구하고 있다. 그렇다면 내부 통제의 핵심은 무엇인가?


내부 시스템에 접근할 수 있는 사람이 부당하게 정보에 접근하여 수정 혹은 유출하는 것이 핵심이고, 가장 중요한 표적은 조직의 정보 자산을 보유하고 있는 DB 시스템이 된다.


DB는 내부자만이 관심 있는 것은 아니다. 존에이치(www.zone-h.org)라는 사이버범죄전문 조직의 설립자 로베르토 프리토리에 의하면 Hacker의 공격 대상이 서버의 운영체제나 웹서버에서 DB서버 등으로 옮겨가고 있다고 한다고 한다.


결국 DB 서버는 기업에 치명적인 타격을 입히고 싶어하거나, 정보를 빼내 다른 곳에 팔고자 하는 해커에게는 최고의 사냥감이고, 기업의 정보를 빼내 개인적인 욕망을 채우려고 하는 사람에게는 최고의 정보 저장소이다.


데이터 보안을 완성하려면 기업은 올바른 보안 정책을 수립해야 하고, 좋은 솔루션을 도입하여야 한다. 많은 기업과 정부 기관에서 면피용으로 DB 보안 시스템을 구입하고 있는 경우가 있다고 한다. 상급 기관의 지시나 회계 감사에 대한 대응, 법적인 요구 때문에 어떨 수 없이 시중에 나와 있는 아무 솔루션이 구매한 후에 실제 업무 프로세스에는 전혀 활용하지 않는다는 것이다. DB 보안은 보안 시스템을 들여왔다고 해결되지 않으며, 더구나 들여온 시스템이 방치되어있는 경우에는 전혀 제 기능을 발휘할 수가 없다.


DB 보안을 제대로 하기 위해서는 조직 내에서 보안에 대한 정책을 수립하고 이를 뒷받침할 수 있는 프로세스를 만들어야한다. 또한 만들어진 프로세스를 효율적으로 수행하기 위해서는 조직의 보안 목적에 합당한 좋은 솔루션을 구매하여, 필요한

사항을 모두 반영하여 구성하여야 한다.


보안과 사용편리성(Usability)는 서로 역행하는 경향이 있다. 보안을 너무 강화하다 보면, 실행하는 입장에 있는 사람들이 너무 불편할 수 있고, 편리성을 너무 강조하면 보안에 많은 허점을 갖게 된다. 그러므로 모든 조직에 일관된 방식으로 DB 보안을 구축할 수는 없고, 조직의 특성을 고려한 정책 및 프로세스를 수립해야 한다.


DBMS 자체에도 많은 보안 기능이 있다. 어플리케이션을 설계하는 과정에서 적절히 활용할 수 있어야 하는데, 불행히도 현재 조직 내에서 사용하는 대부분의 어플리케이션은 설계 단계에서 보안에 대한 고려가 거의 이루어지지 않아, 그것들을 올바로 활용하기가 어렵다.


또한 DBMS 자체에 심각한 보안 결함이 내재된 경우가 많은데, 이번에 Oracle 관련된 심각한 보안 결함이 발견된 것도 그 예이다. 이런 경우에 보통 벤더에서 제공하는 패치를 적용하면 문제가 해결되지만, 그 과정 자체가 많은 시간과 인력이 소요될 뿐만 아니라, 패치 자체의 안정성을 먼저 검증해야 하는 어려움이 있다.


이런 이유와 더불어, 보안에 대한 고객의 요구를 충족하기에는 DBMS 자체가 가진 보안 기능이 너무 미약하기 때문에, 많은 조직에서 별도로 DB 보안 솔루션을 도입하게 된다.


DB 보안 솔루션은 기본적으로 인증, 접근통제, 감사, 암호화 등의 기능을 제공하지만, 자세히 살펴보면  제공되는 수준에 있어서 매우 차이가 많고, 강조하는 영역이 다르므로, 솔루션을 도입하기 전에 조직의 요구사항을 모두 만족하는지 검증하는 절차를 가지는 것이 필요하다. 담당자가 DB 보안에 대해 얼마나 많이 이해하고, 조직에 맞는 요구사항을 갖고 있느냐에 따라 도입되는 솔루션의 품질이 결정된다.


DB에 보안 사고가 발생하면, 해당 조직은 재앙에 가까운 피해를 입을 수 있다. 실효적으로  DB에 대한 완벽한 보안 시스템을 갖추는 것은 이제 시급한 과제가 되었다. 데이터를 잃는 기업은 모든 것을 잃는다.

[글: 김광열 ㈜엑셈 기술이사]

 

            <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>