시스템 성능 저하·소스변경 최소화에 중점...DB성능 향상 효과  

암호화 작업 등 전체 IT 예산 중 10% 이상 보안에 투자  

[보안뉴스 김태형] 국립암센터는 암에 대한 전문적인 연구와 진료를 통해 우리나라 국민의 암 발생률과 사망률을 낮추고 암환자의 삶의 질을 높여 국민보건 향상에 이바지하기 위해 지난 2000년 설립됐다.

지난 2000년도 설립 이후 암 연구 수행 및 지원, 암환자 진료, 국가암관리사업 지원, 암전문가 교육훈련 등을 통해 우리나라 국민의 암 부담을 줄이기 위해 지속적으로 노력하고 있는 국립암센터는 올해 초 대규모 정보보호 구축 프로젝트를 진행했다.

특히, 개인정보보호법의 본격 시행과 더불어 의료기관의 개인정보보호에 대한 중요성이 높아졌고, 기술적 보호조치인 DB암호화 적용이 필수가 되면서 이를 준수하기 위해 DB암호화 전용 솔루션을 도입하기로 결정했다.

이와 관련 윤태식 국립암센터 정보전산팀 팀장은 “국립암센터 EMR은 지난 2010년 4월 오픈됐고 이와 함께 오라클 DB에서 제공하는 DES 알고리즘(64bit)을 이용해 최소 개인정보(주민등록번호)에 대한 암호화를 적용한 상태로 EMR 시스템을 운영해 왔다”면서 “그러나 2011년 개인정보보호법 시행과 함께 기술적 보호조치로 DB암호화 적용이 필수요소가 되면서 국립암센터에서는 이를 준수하기 위한 전용 암호화 솔루션 도입과 강화된 알고리즘(256bit 이상) 적용을 전격 결정하게 되었다”고 배경을 설명했다.

이에 국립암센터는 지난 2012년 하반기부터 3대 중점 요소인 소스변경 최소화, CPU/메모리 점유율 최소화, 기존 BMT 결과를 중심으로 DB 암호화 솔루션에 대한 비교 조사를 진행했으며, 입찰을 통해 주사업자로 온크루소프트와 이글로벌시스템의 암호화 솔루션 큐브원을 최종 결정하게 됐다.

하지만 국립암센터는 기존 오라클 DB 제품을 이용해 암호화 조치를 하고 있던 상태에서 이를 다시 복호화한 후, 기존 암호화 솔루션을 걷어내고 새로운 암호화 솔루션을 구축하는 작업이다 보니 더 복잡하고 어려운 문제들이 많았다는 전언이다.

윤 팀장은 “올 1월부터 본격적으로 DB 암호화에 착수하고 기존 DB의 구성도와 주요 업무 파악, 그리고 DB의 성능(CPU/MEM)등의 모니터링 수행을 통해 국립암센터 DB의 특성을 우선 확인하는 작업을 진행했다. 전반적인 프로젝트 수행의 효율성을 높이기 위해 4개 파트로 업무를 분장하고 단계별 수행업무들을 계획·수립했다”고 설명했다.

본격적으로 암호화 작업이 시작되면서 약 1개월의 기간을 걸쳐 암호화 대상 테이블·필드·사용쿼리 등에 대한 사전 조사를 진행했고 그 과정에서 다수의 불필요한 부분들을 발견해 이에 대한 분석 및 프로세스 변경 작업을 진행했다. 이러한 작업을 완료한 결과 테이블 108개, 필드 174개에 데이터는 약 1700만건이 암호화 대상으로 결정했다.

윤 팀장은 “이와 같이 암호화 대상을 선정한 후에 기존 암호화에 대한 로직 제거와 데이터들의 원복을 위한 작업을 진행했고, 이 과정에서 실수를 최소화하기 위해 국립암센터 TFT/시스템파트와 개발자들이 이중 크로스 체크를 통해 오류 없이 기존 암호화 로직을 제거했다”고 설명했다.

그 이후 본격적인 신규 암호화 적용 프로젝트를 진행했으며 주요 쿼리 및 암호화 대상 관련 쿼리(약 700여개)에 대한 속도 측정을 통해 속도가 느려지는 쿼리/프로세스 발견 시에는 DB 암호화 업체의 가이드를 참조해 개발자/시스템파트간 협력과 상호 확인과정을 거쳐 수정작업을 진행했다.

EMR 시스템이 정상 운영 중이었기에 위의 모든 작업들은 개발서버라는 제한된 환경에서만 수행됐고 실제 운영서버에 적용 시에 어떤 문제가 발생할지에 대해서 완벽한 예측이 불가능하다는 점과 함께 개발 환경에서 반영 절차 시간을 시험한 결과 약 17시간이라는 결과에 걱정도 없지 않았지만, 여러 번의 테스트를 거쳐 문제점을 개선하고 보완하면서 문제를 해결했다는 게 국림암센터 측의 설명이다.  

추가적으로 이글로벌시스템 측에 GUI에 의한 반영이 아닌 Script에 의한 반영으로 변경요청을 하면서 4명이 동시에 암호화를 병행하는 환경을 구성해 개발서버 반영시간이 17시간에서 8시간으로 단축됐고 실제 사양이 훨씬 높은 운영서버에서도 제한된 시간 내에 가능하다는 예측이 나올 수 있었다.  

문제는 운영서버에 암호화를 적용하는 것이었는데 운영서버의 중단 가용시간은 5시간이어서 이 시간 안에 암호화 작업을 진행해야 했고, 만일의 사태에 대비해 각 단계별 장애 대응 롤백 시나리오를 작성해 대응했다고 윤 팀장은 설명했다.

     ▲ 국립암센터의 DB 모니터링 상황판 화면

윤 팀장은 “운영서버에 암호화 적용도 여러 번의 테스트와 리허설을 거쳐 문제들을 해결하고 제한된 시간 안에 문제없이 서비스하게 됐다”면서 “이번 암호화 작업을 진행한 이후 CPU나 메모리 성능과 주요 쿼리 속도 등의 전체적인 DB 성능이 향상되는 결과를 보였다”고 강조했다.

이어서 그는 “이번 DB 암호화 작업을 진행하면서 속도 튜닝 및 DB 관리의 중요성을 다시 한번 인식하게 됐다. 앞으로는 지속적으로 DB 모니터링을 통해 단계별 튜닝을 진행할 예정이다. 또한 DB 감시체계를 구축해 데이터 오남용이 발생하지 않도록 관리할 방침”이라고 덧붙였다.

윤태식 팀장은 “개인정보를 보유하고 있는 시스템들은 DB 암호화가 반드시 수반되어야 한다고 생각한다. 그리고 DB 암호화 구축시 시스템 관리자, 개발자, 암호화 업체의 유기적인 연계와 팀워크는 물론 철저한 계획과 충분한 검토 후에 이루어져야 DB 성능저하가 아닌 DB 성능향상을 가져올 수 있다”고 강조했다.

한편, 국립암센터는 개인정보노출 점검, 통합로그관리·분석, 좀비PC 방지, DDoS 방어 장비의 도입 등 종합적인 보안 시스템 구축의 일환으로 이번 DB 암호화를 도입했다.

지난해의 경우 전체 IT예산 중 10%가 넘은 예산을 보안에 투자한 국립암센터는  올해에도 보안에 대한 투자를 아끼지 않고 있다. 이를 통해 전반적인 보안수준을 향상시켰을 뿐만 아니라 DB 암호화를 계기로 DB 관련 시스템을 사용하는 업무자들의 만족도 향상, 그리고 데이터 보안강화 효과를 얻은 것으로 평가하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>