Q. DB암호화를 의무적으로 해야 하는 기관 및 기업의 진행 현황은 어느 정도로 보는가? 향후 정부 측에서 이를 독려할 수 있는 방안이 있는가? 그리고 DB 암호화 의무화 조치를 충족시키기 위해 어떤 단계 및 절차를 거쳐야 할지 잘 모르는 기관 및 기업들에 대한 가이드라인이 있다면 소개해 달라.

A-1. DB암호화 조치를 충족시키기 위한 단계로는 순차적인 암호화 일정 계획이 수립되어야 한다. 법규에서 정한 DMZ내의 서버들을 1차 암호화 대상으로 선정하되 제품의 기능으로 향후 기간업무에도 충분히 적용할 수 있는 제품으로 선정되어야 한다.

그리고 2차 대상으로 Intranet내의 기간계 DB서버, 데이터 연동이 필요한 ERP 서버들에 대한 암호화 계획이 수립되어야 한다. 암호화 이전 고려해야 할 전제조건으로는 다음과 같은 사항을 생각해 볼 수 있다.

-현행 개인정보보호관련 법규의 충족

-향후 암호화 대상 확대 시에도 일관성 유지

-기간업무에 적용이 가능한 제품의 확장성

-ERP등의 서버와의 데이터 연동성

또한, 위 전제조건과 아울러 성공적인 암호화 프로젝트를 위해서는 관련조직의 역할과 책임도 중요하다.

PM(보안)

-프로젝트 전체를 주관

-암호화 대상 컬럼 및 적용 알고리즘 선정

-권한통제 정책 결정

-각 파트에 대한 협조유도 및 통제

-관련 규정에 따른 적용 대상 정보의 규정 및 알

-고리즘에 대한 책임

-권한통제 정책설정에 대한 책임

솔루션 공급사

-제품 설치 및 대상 정보 암호화 작업

-영향도 평가 가이드(문제 Query 유형 정보 및 해결 방안 안내)

-권한통제 정책 결정시 가이드

-제품의 운영 지침 교육

-제품의 보안성 및 안정성 책임

-중요 보안요소 및 위협에 대한 고지

-제품 운영에 필요한 정보 전달

인프라 운영(시스템 & DBA)

-암호화 대상 테이블의 상세 조사(ERD 포함)

-필요한 테스트 환경 및 H/W 자원 준비

-제품 구동에 필요한 DB Object생성(Plug-In방식)

-영향도 평가 분석 및 주관(응용 프로그램 운영팀에서 테스트한 문제 SQL문 변경 및 DB내부의 Procedure 또는 Function 내부의 SQL의 테스트 및 변경)

-운영DB적용 시 관련 서비스의 중단/재가동 실시

-H/W 준비 및 DB정보의 정확한 파악 및 보고

-응용프로그램 소스를 제외한 모든 DB 내외부의 SQL문 중 암호화 테이블과 관련있는 SQL의 조사/테스트/수정/관리

-DB Object 생성 및 관리(Plug-In방식)

-수정이 필요한 SQL문들을 제품 공급사의 조언대로 수정/테스트하여 응용프로그램 운영팀에 전달

-운영DB 적용 시 관련 서비의 중단/재가동을 위한 인프라 운영체계 마련(사전 공지 등 포함)

응용 프로그램 개발 및 운영(SI)

-암호화대상 테이블 관련 SQL문을 포함한 소스 조사(ERD 포함)

-영향도 평가 지원(암호화 후, 조사된 모든 SQL문을 실행하여 결과 추출)

-추출된 결과 중, 성능이슈 또는 실행상의 문제점 등으로 인해 수정을 요하는 SQL문 제출

-인프라 운영팀에서 수정된 SQL문을 소스에 반영

-반영된 버전의 응용프로그램을 운영DB 암호화시에 응용프로그램 서버에 반영

-응용프로그램내의 암호화 테이블 관련 SQL문의

접수 조사

-접수 테스트

-응용프로그램 소스에 반영 및 관리책임

-운영 DB적용 시에 인프라 운영팀의 요청에 따라 일사분란하게 해당 서비스의 운영

(조돈섭 이글로벌시스템 이사/alex@eglobalsys.co.kr )

A-2. 개인정보보호법상 DB암호화 의무화로 인해 많은 기업들이 암호화를 했을 것으로 보인다. 개인정보 및 내부정보 유출의 심각성을 기관 및 기업에 홍보해 할 수 있도록 해야 한다. 가이드라인은 개인 정보보호 종합지원 포털사이트(www.privacy.go.kr)에서개인정보 암호화 조치 안내서에 DB암호화 가이드라인이 있다.

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>