행정안전부 주최로 9월 8일부터 9일까지 서울 삼성동 코엑스 1층 그랜드볼룸에서 개최되는 보안컨퍼런스 ‘ISEC 2009’에서 첫째날 트랙B 두번째 강연자로 나서는 김상현 세이프넷코리아 PS엔지니어링 팀장은 ‘혼합 데이터베이스 환경에서의 데이터 보호 이슈 및 방안’이라는 주제로 강연을 펼친다. 이날 김상현 팀장이 펼칠 강연의 주된 내용은 다음과 같다.

현재와 같은 전산환경에서 모든 기업 및 단체는 데이터를 중심으로 움직인다고 해도 과언이 아니다. 이런 이유로 데이터라는 것이 많은 조직에게 있어 사람 다음으로 중요한 핵심적인 요소가 된 것이다. 90% 이상의 데이터가 데이터베이스 시스템 내에 저장되는 것으로 알려져 있고 대부분의 경우 부서마다 매우 다른 형태로 사용하고 있는 것이 현실이며 따라서 다양한 장소 및 데이터베이스 내에 저장되고 있다.

최근 많은 사람들이 주지하고 있는 바와 같이 하루가 멀다 하고 정보 침해 사고가 발생하고 있으며 흥미롭게도 데이터베이스 시스템 자체가 주된 대상이 되고 있는 것이 현실이다. 여기에는 많은 이유가 있을 텐데 정보가 압축적으로 모여 있기 때문일뿐더러 적절한 보호 조치가 부족함을 다른 원인으로 여기는 것이 타당할 것이다. 만약 보호되지 않은 데이터베이스가 침해된다면 수 분만에 수십 만 건의 레코드를 다운로드 받기란 어려운 일이 아닐 것이다.

따라서 회사 및 조직에 그들의 데이터베이스를 보호하고 법적인 주의 의무를 다할 수 있도록 개선된 보안 구조를 구축하는 것이 필수적이다. 좀 더 구체적으로 기업은 보안 및 위험 관리, 표준 준수, 가용성 및 성능, 비용 및 복잡도 경감과 같은 뚜렷한 목적을 이루기 위해 자신의 정보 자산을 보호하려고 할 것이다. 하지만 전통적인 혼합 데이터베이스 환경에서의 보안은 이러한 목적을 이루지 못하고 다음과 같은 문제점을 노출해 왔다.

▲ 데이터베이스 마다 독립적으로 수행되는 키 관리는 관리 약점을 증가시킴

▲ 관리 콘솔이 제 각각으로 구성됨

▲ 적용시 보안 정책의 구현을 위해 추가적인 개발 공수 필요

▲ 로깅 및 감사 복잡도를 증가시켜 감사관의 정서적 친화도 저하

▲ 다수의 관리자 도입으로 인한 인적, 물적인 경비 증가

이러한 문제점을 타개하고 혼합 데이터베이스 환경의 데이터를 안전하게 보호하기 위해서는 다음과 같은 점이 해결되어야 할 것이며 세이프넷의 데이터시큐어는 이러한 문제 인식에 최적의 대안을 제시해주는 통합 데이터 보호 솔루션이다.

첫 번째로 혼합 데이터베이스 환경에서 독자적으로 수행되던 보안 구현을 통합하여 그에 따르는 관리 작업을 경감시킬 수 있는 구조의 도입이 가장 시급하다고 할 수 있을 것이다. 두 번째로는 보호된 데이터에 대한 인증 및 권한 관리를 중앙 집중화하여 좀 더 안전한 시스템 체계를 구축하는 것이다.

세 번째로는 데이터 보호를 암호화 작업에 필수적으로 수반되는 암호학적 작업을 분산시켜 성능에 미치는 영향을 최소화할 수 있어야 할 것이다. 네 번째로는 통합 데이터베이스 환경과 메인프레임 및 웹 서버와 같은 응용프로그램 환경의 요구사항까지 아울러 충족시킬 수 있는 유연함을 제공하여야 할 것이다. 마지막으로 데이터베이스 및 응용프로그램에 대한 표준화된 로깅 및 감사 기능을 제공하여 표준 준수를 위해 드는 기업의 비용을 줄여줄 수 있어야 할 것이다.

■ 참관안내: www.isecconference.org 접속 ->사전참관등록->승인메일 발송->승인메일 출력후 ISEC 2009 현장서 제출->패찰 및 발표자료집 받음.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>