최근 잇따른 대규모 개인정보유출 사건은 단순한 개인정보를 빼낸 것이 아니라 이를 되팔아 금전적 이익을 얻는데 활용되고 있어 사회적으로 커다란 파장을 일으켰다. 이제 각 기업과 기관의 개인정보보호와 내부정보 유출방지는 더 이상 미룰 수 없는, 사활이 걸려있는 중요한 과제가 됐다. 특히 기업의 중요 정보자산과 고객의 개인정보를 안전하게 보호하지 않으면 기업이 존립조차 어렵다는 인식이 확대되면서 DB보안의 중요성도 확대되고 있다.

‘정보통신망이용촉진및정보보호등에관한법률’의 대상이 준용사업자들로 확대되면서 대형 할인점, 병원, 여행사 등 다양한 업종의 소규모 사업자들에게도 법 적용 기준이 확대되었다. 이에 따라 현재 고객정보보호를 위해 여러 유형의 시스템이 개발되고 있는 가운데 이러한 문제 해결을 위한 최선의 선택은 어디에 있는지 알아보자.

DB접근제어 시스템의 필요성

DB보안 솔루션은 데이터베이스를 보안하는 보안 솔루션이다. 허가받지 않은 사용자의 DB접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도 유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 것이 DB보안 솔루션의 목적이다.

이러한 목적을 수행하기 위해 DB보안 솔루션은 DB의 접근을 제어하는 방식의 접근제어 솔루션과 DB 자체를 암호화해 DB를 보안하는 방법의 크게 2가지 방식이 있다.

DB암호화 방식은 암호키 관리가 잘된다는 가정하에 백업된 DB가 유출돼도 암호화된 형태의 데이터이기 때문에 보안성이 뛰어나지만 DBMS에 직접 설치되며 데이터의 속성을 바꾸기 때문에 적용 전에 DBMS의 성능 및 애플리케이션 영향도 분석이 필수적이라고 할 수 있다.

이 때문에 트랜잭션이 많고 애플리케이션 복잡도가 높은 고객사들은 도입을 망설이는 경우가 많다. 따라서 DB암호화 방식은 DB 전체에 대한 전사적인 도입보다 반드시 지켜야만 하는 중요 데이터 중심으로 부분적인 도입에 그치는 경우가 대부분이다.

또한 보안 사고는 허가된 사용자에 의해 발생하는 경우가 많으므로 이미 복호화된 데이터에 대해 유출되는 경우가 이에 해당된다.

하지만 접근제어 방식의 경우 DB에 대한 SQL(질의) 작업 시 별도 서버에서 가상 계정이 부여된 사용자만 접근이 가능하도록 한다. 비 인가자의 DB접근을 원천 차단하며 사용내역 저장 및 분석기능으로 DB가 유출되더라도 추적이 가능한 솔루션이다. 즉 감시 대상인 DB에 권한이 부여된 사용자만 접근이 가능하도록 구성해 실시간 감시와 차단, 접근·사용 이력의 기록, 감사 데이터 재분석 기능이 제공된다. 그리고 기존 DBMS 시스템에 부하를 주지 않는 것이 접근제어 솔루션의 특징이다. 따라서 시스템과 네트워크에 부하를 주지 않기 때문에 시스템 가용성을 중시하는 금융, 통신, 포털 등의 고객들에게 각광받고 있다.

DB접근제어시스템의 변천 과정 및 핵심 기술

지금까지의 DB 접근제어의 변천사를 돌이켜 보면 주요 요구사항 및 기능의 변화를 거쳐 왔다. DB보안 접근제어 시스템의 핵심 기술은 기존 DB보안 시스템의 보안 허점을 극복하고 이를 해결하기 위한 것으로 과거의 시스템보다 보안성, 안정성 등을 강화하여 고객의 요구에 가장 부응할 수 있도록 하는데 초점이 맞추어지고 있다. 현재까지 기존 DB보안 시스템의 보안 허점을 극복하기 위한 핵심 기술의 몇 가지를 소개한다.

첫째, 데이터마스킹 기술을 통한 암호화 기능의 대체 기술>> DB보안 게이트웨이 기술을 이용하여 특정 DB툴과 관계없이 중요 데이터를 포함하고 있는 테이블의 컬럼 또는 데이터에 대해 사용자로 하여금 ‘*’와 같은 형태로 마스킹 처리하여 나타낼 수 있도록 하는 기술이다. 예를 들어, DB에 SQL Client(sqlplus, Toad, golden등)로 직접 접속하는 사용자의 경우 의도적이든 비의도적이든 사용자가 고객의 중요한 정보를 포함한 테이블을 조회하고자 할 경우 주민번호와 같은 고객 데이터를 마스킹 처리하여 사용자가 인식하지 못하도록 보여주는 기술이다.

둘째, 보안 장비의 장애 시 세션의 가용성 보장 기술>> 기존 접근제어 시스템의 장애 발생 시 Bypass기능으로 새로운 접속에 대해서는 연결이 가능하나 연결된 세션은 모두 단절되어 안정성을 보장할 수 없었다. 세션의 가용성 보장을 위해 통제(데이터마스킹, 명령어 거부 등)가 가능하면서도 시스템의 장애 발생 시에도 세션을 안정적으로 유지할 수 있는 고객의 요구 사항이 반영된 기술이 TTP(Trusted Transparent Proxy) 기술이다. 접근제어 시스템의 장애 시에도 기 연결된 세션이 끊어지지 않아 기존 접근제어 시스템에 비해 안정성 부분에서 획기적으로 진보시킨 기술이다.

셋째, 보안 오브젝트 제어 기능>> 기존 DB보안 시스템의 최대 보안 허점이라고 할 수 있는 Stored Procedure, Synonym의 사용을 들 수 있다. 이러한 경우는 네트워크상에서 패킷 흐름이 이루어지는 것이 아니라 DB내에서 자체적으로 수행되는 것으로 접근 제어 시스템에서뿐만 아니라 DB내에 설치, 운영되는 암호화 시스템에서 조차 제어를 할 수가 없는 것이다. 이에 대해 보안 허점을 보완, 실시간으로 제어할 수 있는 기술이다.

넷째, WAS 사용자 식별 기술>> WAS를 경유하여 DB에 접속하는 사용자에 대해서는 기존의 DB보안 시스템에서는 사용자를 WAS 서버로 인식하였다. 기존의 시스템을 이용하여 문제 발생할 경우 WAS에서의 로그와 DB보안 시스템 로그를 일일이 원인 분석을 하여야 했다. 이렇게 WAS에 접속한 실제 사용자 인식 기술은 최근 DB에 인접한 시스템인 WAS에 대한 보안 인식이 점점 증가함에 따라 필요 기술로 자리잡아 가고 있다.

다섯째, 정형겫珠ㅗ?쿼리의 구분 기능>> WAS는 일반적으로 개발자에 의해 정의된 쿼리가 실행되는 즉, 반복적이고 루틴화된 명령어인 정형화된 쿼리가 실행되는 시스템이다. 이러한 시스템은 말 그대로 반복적이고 일정한 규칙을 가지고 있기 때문에 이에 대해 기타 비정형적인 쿼리와 별도로 취급되어야 한다. 또한 정형겫珠ㅗ?쿼리 구분 기능을 통해 모니터링, 로그 축약, 저장 및 조회, 통계 등 WAS와 같은 시스템에 전문화되고 특화되어 나타나야 하는 기능이다.

WAS에서 DBMS로의 고객 정보보호 인식 확대 필요

이제는 ‘정보통신망이용촉진및정보보호등에관한법률’에 따라 개인정보의 관리적, 기술적 조치의 기준이 앞으로는 대형 할인점, 병원, 여행사 등 다양한 업종으로의 적용이 확대되고 이들 사업자의 수요가 예상된다. 이들 사업자는 주로 소규모이며 대부분 웹을 통해 고객정보를 저장하고 관리하게 된다.

이들에 대한 시장수요 확대가 예상됨에 따라 특히 WAS 서버에서의 DB 경로간의 보안인식이 더욱 더 높아질 것으로 예상된다.

그러나 기존 DB보안 시스템으로는 단순히 사용자가 WAS서버로 인식되어 감사도구로만 활용되거나 일반 2Tier 사용자처럼 WAS도 동일하게 취급할 수 밖에 없는 것이다.

또한 WAS에서 DB로의 보안을 고려하여 애플리케이션을 작성한 경우가 아니면 DB암호화 시스템도 보안에 대한 솔루션은 될 수 없다. 이는 대부분의 공격형태가 실제 DB서버를 해킹하는 것이 아니라 WAS나 애플리케이션 서버를 공격해서 권한을 탈취하는 것이며 권한이 있는 사용자는 복호화된 데이터를 볼 수 있기 때문이다.

이에 대한 대책으로는 DB보안 솔루션이 아닌 IPS, WAF, OS보안 및 애플리케이션 자체에서 보안을 고려하여 프로그램이 작성되어야 하는데 실제로는 서로 다른 시스템간의 결합이 원만하지 못하다.

고객정보보호를 위한 최선의 선택

현재 IT 컴플라이언스 강화, 금감원 규정, 정보통신망법등을 포함한 법제화가 더욱 더 강화되고 있는 상황에서 기존의 암호화·접근제어 모두 3Tier에 대해서 완벽한 보안을 못해주고 있는 상황이다. 특히 대형 할인점, 병원, 여행사 등의 사업자들의 실제 업무 환경을 고려할 때 WAS에서의 DB간의 보안은 성능과 안정성, 가용성과 더불어 WAS에 특화되어 있는 솔루션의 선택이 우선시 되어야 한다.

향후 DB보안의 고려 사항 부분이 성능, 가용성, 안정성 측면에서 중시되고 중시돼야 하는 한, WAS에서 DB 접속에 대한 모니터링 기술과 DB접근제어 솔루션의 필요성은 지속될 것이다.

<글 : 백순용 피앤피시큐어 정보안기술연구소 소장(sybaik@pnpsecure.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>