DB제어·암호화 등 ‘통합 데이터 보호 솔루션’ 구축이 최적의 대안

최근 잦은 정보침해사고가 발생하고 있으며, 흥미롭게도 데이터베이스 시스템 자체가 주된 대상이 되고 있는 상황에서 DB보안에 대한 대응체계 구축에 대한 관심이 높아만 가고 있다. 한국인터넷진흥원(KISA)이 지난해 12월에 발표한 ‘2008 국내 정보보호산업 시장 및 동향 조사’에 따르면, DB보안 시장은 2008년 1백5십여억 규모로 2007년 매출액 1백4십여억 보다 7십8억여원이 증가했으며, 연평균성장률(CAGR)은 4.9%로 꾸준히 상승해 2013년도의 매출액은 1백9십여억에 이를 것으로 예측했다. 그렇듯 데이터베이스 관리에 대한 중요성이 증대되고 있지만 여전히 기업 등의 많은 조직들은 DB보안을 어떻게 해야 하는지, 그 제품은 어떻게 구축해 활용하는지를 잘 모르는 경우가 많다.

지난 9월 8일부터 9일 양일간 서울 삼성동 코엑스 그랜드볼룸에서 행정안전부 주최로 개최된 국제정보보호 컨퍼런스 ‘ISEC 2009’에서는 갈수록 복잡해지고 있는 데이터베이스 환경에서의 보안 이슈에 따른 방안을 어떻게 마련하고, 또한 그러한 DB보안 제품은 어떻게 구축하면 성공적인지를 알 수 있는 정보가 제공돼 주목된다.

 

▲김상현 세이프넷코리아 PS엔지니어링 팀장. ＠보안뉴스.

김상현 세이프넷코리아 PS엔지니어링 팀장은 “현재와 같은 전산환경에서 모든 기업 및 단체는 데이터를 중심으로 움직인다고 해도 과언이 아니다. 이런 이유로 데이터라는 것이 많은 조직에게 있어 사람 다음으로 중요한 핵심적인 요소가 된 것”이라며 DB의 중요성을 언급하고 “최근 많은 사람들이 주지하고 있는 바와 같이 하루가 멀다 하고 정보 침해 사고가 발생하고 있으며 흥미롭게도 데이터베이스 시스템 자체가 주된 대상이 되고 있는 것이 현실이다. 여기에는 많은 이유가 있을 텐데 정보가 압축적으로 모여 있기 때문일뿐더러 적절한 보호 조치가 부족함을 다른 원인으로 여기는 것이 타당할 것”이라고 말했다.

또한 김상현 팀장은 “만약 보호되지 않은 데이터베이스가 침해된다면 수 분만에 수십 만 건의 레코드를 다운로드 받기란 어려운 일이 아닐 것이다. 따라서 회사 및 조직에 그들의 데이터베이스를 보호하고 법적인 주의 의무를 다할 수 있도록 개선된 보안 구조를 구축하는 것이 필수적”이라고 강조했다.

좀 더 상세하게 김 팀장은 기업은 보안 및 위험 관리, 표준 준수, 가용성 및 성능, 비용 및 복잡도 경감과 같은 뚜렷한 목적을 이루기 위해 자신의 정보 자산을 보호하려고 할 것이지만 전통적인 혼합 데이터베이스 환경에서의 보안은 이러한 목적을 이루지 못하는 문제점을 노출해 왔다고 지적했다.

김 팀장이 지적한 문제점은 ▲데이터베이스 마다 독립적으로 수행되는 키 관리는 관리 약점을 증가시킴 ▲관리 콘솔이 제 각각으로 구성됨 ▲적용시 보안 정책의 구현을 위해 추가적인 개발 공수 필요 ▲로깅 및 감사 복잡도를 증가시켜 감사관의 정서적 친화도 저하 ▲다수의 관리자 도입으로 인한 인적, 물적인 경비 증가 등이다.

아울러 김 팀장은 문제 지적에 따른 타개책도 제시했다. 김 팀장이 최적의 대안으로 제시한 것은 통합 데이터 보호 솔루션으로 그러한 제품 구축 시 ▲혼합 데이터베이스 환경에서 독자적으로 수행되던 보안 구현을 통합해 그에 따르는 관리 작업을 경감시킬 수 있는 구조의 도입이 가장 시급하고 ▲보호된 데이터에 대한 인증 및 권한 관리를 중앙 집중화해 좀 더 안전한 시스템 체계 구축이 필요하며 ▲데이터 보호를 암호화 작업에 필수적으로 수반되는 암호학적 작업을 분산시켜 성능에 미치는 영향을 최소화할 수 있어야 할 것과 ▲통합 데이터베이스 환경과 메인프레임 및 웹 서버와 같은 응용프로그램 환경의 요구사항까지 아울러 충족시킬 수 있는 유연함을 제공해야 하고 ▲마지막으로 데이터베이스 및 응용프로그램에 대한 표준화된 로깅 및 감사 기능을 제공해 표준 준수를 위해 드는 기업의 비용을 줄여줄 수 있어야 할 것 등을 고려해야 한다고 말했다.

반면 홍기환 NS농수산홈쇼핑 시스템 운영팀 차장은 자사에 구축한 DB암호화 제품인 이글로벌시스템의 큐브원(CubeOne)과 더불어 DB접근제어 솔루션까지 도입한 사례를 소개했다.

홍기환 차장은 “NS농수산 홈쇼핑의 중요 정보자산이 저장된 데이터베이스에 대한 감사·통제 체계 구축을 위해 DB보안 솔루션을 도입·구축함으로써, 중요 데이터를 내·외부 공격에 대한 위험으로부터 안전하게 보호하고자 했다”고 구축 배경을 밝히고 “데이터베이스 접속 이력 감사 및 사용 권한 통제를 통한 보안성을 강화하고 내부자 및 외주 개발 업체에 의한 비인가 접속 방지 및 중요 정보 접근 감사, 그리고 엑세스 컨트롤 및 로깅 기능 등을 통한 외부 규제 준수 등을 전략으로 구축했다”고 DB보안에 대한 구축 전략을 밝혔다.

또한 홍 차장은 이러한 DB보안 제품 구축 결과 “접근제어 측면에서는 실시간 감시 모니터링이 가능해졌고, 암호화 적용 결과로는 비인가자 DB 사용자에 의한 고객데이터 조회 및 유출 방지를 할 수 있게 됐다”며 “특히 DB보안제품 적용 전과 적용 후의 시스템 성능을 비교했을 때도 CPU 점유율 등을 낮출 수 있는 장점도 있었다”고 말했다.

 

▲NS농수산 홈쇼핑의 DB보안 솔루션 구축 결과.

 

특히 홍 차장은 DB보안 제품 구축으로 실시간 문제점 식별 및 추적이 가능해 문제점을 추적하기 용이하고, 위반 행위 제어 또는 경보 등의 즉시성이 가능한 한편 부하 유발 SQL을 추출할 수 있어 성능 이슈를 해결하는 것은 물론 암호화함으로써 유출가능성을 원천 차단할 수 있었다고 개선효과를 강조했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>