[보안뉴스 오병민] 정보보안의 글로벌 리더 세이프넷(지사장 황동순)은 지난 26일 SK커뮤니케이션즈가 운영하는 ‘네이트’와 ‘싸이월드’에서 수천만 건의 고객정보가 탈취되는 초유의 해킹 사건이 발생한 것과 관련하여 세이프넷의 키관리 핵심 기술을 해결책으로 제시했다.

이번 사건에서 중국 해커가 SK컴즈 데이터 센터 내 개발자 컴퓨터의 악성코드를 이용해 시스템 접근 권한을 획득한 후 고객DB등의 정보를 탈취해 중국 서버로 전송한 것으로 밝혀졌다.

따라서 주민등록번호와 비밀번호 등의 민감한 정보들이 암호화 되어 있다고는 하지만, DB서버에 저장되어 있는 암호화 키가 해커에 의해 함께 탈취해고 이를 통해 암호가 풀릴 가능성이 있으므로 암호화 키의 안전한 관리가 DB암호화에 있어 얼마나 중요한지 다시 한 번 생각해볼 수 있는 사례라고 할 수 있다. 이에 전용 하드웨어 어플라이언스 기반의 키관리시스템은 DB서버가 해킹 당하더라도 암호화 키는 누출되지 않는다는 점에서 소프트웨어 기반의 DB암호화 제품 대비 다음과 같은 큰 장점을 제시한다.

첫째,  암호화 키는 DB서버의 파일시스템은 물론 메모리에도 저장되지 않아  해커가 DB서버의 파일과 메모리까지 완전히 장악하더라도 암호화된 데이터에만 접근할 수 있을 뿐, 암호화를 해제할 수 있는 암호화 키는 절대로 누출되지 않는다.

둘째,  암호화 키는 국제 인증(FIPS, CC)을 받은 키 관리 전용 장비(appliance)에 안전하게 보관된다. 해커가 DB서버를 경유해서 키 관리 서버를 공격하는 경우, 범용 서버(Windows, Linux, Unix)에 설치되는 소프트웨어 방식의 DB암호화 키관리 시스템은 OS의 보안 취약점을 통해서 해킹 당할 수 있다.

셋째, 세이프넷의 키관리 시스템은 DB관리자 계정이 탈취되어도 데이터 암호화는 해제되지 않고, DB관리자와 데이터 보안 관리자(=암호화 키 관리자)는 별도의 계정으로 관리되므로 DB관리자 계정을 탈취해도 암호화된 데이터의 원래 내용을 볼 수 없도록 권한이 제한된다.

이런 점에서 전용 어플라이언스 형태의 키관리 제품은 소프트웨어 방식에 비해 원천적으로 훨씬 뛰어난 보안성을 제공한다.

황동순 세이프넷 지사장은 사이버텍 홀딩스 해외 사업부의 영업 및 마케팅 매니저를 거쳐 Sinar Mas그룹과 SK 주식회사의 합작 프로젝트를 주도하였고 수년간 보안 업계에 몸 담고 있으며 현재 세이프넷코리아의 지사장 및 아시아태평양지역(APAC)사업개발팀의 대표직을 맡고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>