조돈섭 이글로벌시스템 이사, “DB암호화의 특성을 숙지해야”

[보안뉴스 호애진] DBMS 암호화의 성공 요건은 국정원 요구기준을 충족시키고 암호화 정보에 대한 세밀한 권한을 통제할 수 있으며 데이터와 키의 유출 가능성을 제거할 수 있어야 한다.

12월 30일 코엑스 그랜드볼룸에서 개최된 ISEC 2010에서 ‘DB암호화 프로세스와 전략’이라는 주제로 강연한 조돈섭 이글로벌시스템 이사는 “DB암호화는 비인가 접근 시의 유출을 방지하는 것이 목적으로 법정 암호화 대상 개인정보를 저장한 모든 DB에 실제 적용해 운영해야 한다”며 “법, 규정을 반드시 충족이 가능한 형태로 구성/ 구축해 유출위험을 제거해야 한다”고 설명했다.

조돈섭 이사는 “제품의 기능과 완성도가 천차만별이며 BMT로 제품에 대한 평가가 불가능한 점, 추진 조기의 구성 및 주체(PM)에 따라 성패가 좌우되기 때문에 DB암호화에 어려움이 있다”고 운을 떼며 “DB암호화의 특성을 숙지해야 하는 것이 성공의 열쇠”라고 말했다.

조돈섭 이사는 “DBMS 암호화 제품들 간에 장단점이 있지만 API는 보안성 충족이 불가능하므로 단독 적용보다는 Plug-In의 성능보완 수단으로 적용하는 것이 바람직하다”고 설명하며 더불어 키 관리 체계에 있어서 기밀성의 중요성을 강조했다.

즉 비밀키 방식의 암호화 제품에서 ‘사용상태의 키’는 성능 때문에 복호화해 메모리에 올려 놓고 사용하는데 메모리에 로딩된 키 외에 자동 로딩을 위해 키를 디스크 상에 영구 저장하고 있는 경우 파일시스템 백업 및 DB 백업을 통해 키와 데이터가 함께 유출될 수 있다는 것이다. 결국 암호화는 무용지물인 셈.

이어 그는 구축 절차 및 역할에 대해 발표하며 “DBMS 구축시 무엇보다도 중요한 것은 TFT 결성과 내 일이라는 Mind 필요, 높은 Priority 부여, 전향적인 협조 자세, 시간/비용이 최소화되는 적용 시점 선정”이라고 의견을 피력했다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>