DBMS 정책적용시, 과부하로 인한 장애 등 파악 위한 별도 대책 필요

기업은 DBMS 자체보안 기능을 보완하기 위해 DB보안 전용솔루션을 활용하고 있지만 과연 다양한 이들 DB보안 전용솔루션들이 얼마만큼 DB로깅, 데이터암호화 기능 등을 제대로 제공하고 있는지를 명확화 되지 않아 구입·활용 시 애로 사항들이 있다. 그런 점에서 22일 소만사가 서울 양재동 소재 엘타워에서 개최한 ‘개인정보의 기술적·관리적 보호조치 해설서 교육’에서 마지막 발표자로 나선 염동복 삼성SDS 보안컨설팅팀 책임연구원의 발표 내용은 DB보안 전용솔루션 활용에 대한 실례 위주의 발표로 이루어져 주목된다.

우선 이날 ‘기업정보 보호를 위한 DB보안 솔루션 적용사례’라는 주제로 펼쳐진 강연에서 염동복 책임연구원은 “최근 이슈화된 정보유출 사고 분석결과, 내부자 유출, 프로세스 미흡, 개발자 실수, 외부 해킹 등의 발생원인이 복합적으로 나타나고 있다”며 “단편적 처방은 사고를 재발시키는 주된 원인이 될 것”이라고 지적했다.

지난 2008년 9월 A사의 고객정보 담당직원이 외부로 대량의 고객정보를 유출하는 등 내부자 유출 및 내·외부자 해킹 가능성을 종합적으로 고려하지 않아 발생한 사고가 대부분이기 때문이라는 것이 염동복 책임연구원의 설명이다.

이어 정보유출 사고는 기업이미지 및 주가·매출에 직접적 영향을 미친다고 말한 염동복 책임연구원은 “기업과 관련된 정보는 ▲사내 업무영역 ▲사외 업무영역 ▲인터넷 영역 이상 3개 영역으로 분류된다”고 말하고 “이들 모두에서 발생 가능한 사고 가능성을 동시에 충족 가능하도록 정책 수립이 필요하다”고 강조했다.

이를 위해서 염동복 책임연구원은 “정보유출 사고 방지를 위해 매체통제, 권한, 해킹가능성을 종합해 방어대책을 수립해야 하는데, 데이터보안을 위한 기준, 프로세스 및 기술의 적절한 조화가 필요하다”고 말하면서 “하지만 이들 데이터보안을 위한 방어대책은 한방에 끝낼 수 없는 만큼 지속적이고 끊임없는 방어대책 수립에 따른 노력이 필요하다”고 덧붙였다.

특히 이날 강연에서 염동복 책임연구원은 기존 DB보안의 문제점으로 “대량 데이터에 대한 열람 통제 및 한시적 업무권한 부여 등에 대해 기존 보안장비는 IP나 계정 단위 통제로 명령어 수행에 대한 통제가 불가한 한계가 있다”고 말하고 “DBMS 자체 로깅 정책 적용 시 과부하로 인한 장애 및 실사용자 파악을 위한 별도의 대책이 필요하다”고 말했다.

한편 염동복 책임연구원은 이날 DB보안 솔루션들의 기능을 DB로깅, 접근이력, 데이터암호화기능 제공 등의 체크 항목에 따라 기능 비교를 언급하고, 접근제어 솔루션 도입 시 고려사항을 설명했다. 그리고 염 연구원은 DB 접근제어 솔루션의 한계를 지적하고 “DB접근제어 솔루션으로 통제하지 못하는 범위는 별도의 관리적·기술적 통제 방안의 마련이 필요하다”고 강조했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>