이번 보고서에는 금융당국과 금융회사에 ‘금융사 보유 개인정보에 대한 암호화 확대 시행 방안 검토’, ‘정보보호 예산 집행의 적정성에 대한 지도 및 점검 강화’ 등의 시정 명령을 내렸으며, 금융회사가 당국의 규제 준수에 소홀했을 경우 그에 대한 법적 제재를 강화하고 민형사상의 책임을 물을 것이라 경고했다.

이에 암호화와 개인정보 보안 강화에 대한 금융권의 고민도 깊어지고 있다. 특히 해당 정보 유출사건의 용의자가 “암호화가 돼 있지 않은 정보라 빼돌리기 쉬워 범행을 저질렀다”고 진술하면서 암호화되지 않은 정보가 범죄에 얼마나 취약한지를 그대로 보여줬다.

이 때문에 정부는 ‘예외 없는 암호화 의무화’를 내세우며 전 구간 암호화 의무를 강화했고 금융권의 움직임이 분주해졌다. 내년 말까지는 모든 금융사가 데이터베이스(DB) 암호화 적용을 완료해야 하기 때문이다.

뿐만 아니라 금융기관의 경우, 자체 보안 시스템을 갖췄다 하더라도 신용정보회사 등 외부업체와 정보를 교환하기 때문에 대외연계 시스템이 취약하면 고객정보가 유출될 수 있어 DB 암호화가 더욱 중요하다.

하지만 여전히 많은 은행과 대형 카드사들이 방대한 양의 자사 DB에 대한 암호화 솔루션 및 도입 방식 등을 놓고 섣불리 결정하지 못하고 있다. 암호화 도입으로 인한 성능 저하, 구축 기간 및 예산 등 우려되는 부분이 많기 때문이다.

그러나 이러한 이유로 더 이상 민감한 금융 정보가 담긴 DB 암호화를 미뤄서는 안 된다. DB는 전사적인 정보 인프라의 핵심 구성요소인 만큼 여기서 데이터가 유출될 경우 그 피해규모가 가장 심각하기 때문이다.

커널(kernel) 단위 기반 DB 암호화는 이러한 금융권의 고민을 덜어주는 해결책이 될 수 있다. DB 운영체제의 핵심 단위인 커널 레벨에서 암호화를 처리하면 다양한 우회경로를 원천 봉쇄해 보안효과를 극대화하는 한편, 금융권에서 민감한 성능 저하를 최소화해 업무 연속성을 보장할 수 있기 때문이다.

예컨대 오라클 DB 암호화 솔루션의 경우, 데이터베이스의 옵션 형태로 제공되기 때문에 암호화를 위해 추가적인 에이전트를 설치하거나 응용프로그램을 수정할 필요가 없다. 이를 통해 DB 암호화로 인한 시스템 다운타임과 보안 예산으로 걱정하는 금융회사들은 구축비용을 절감하고 신속하고 간단하게 암호화 구축을 완료할 수 있다.

그 밖에도 데이터베이스 내에서 표시제한(Redaction) 기능을 통해 개인의 신용카드 번호와 같은 민감한 데이터를 보호하며, 개발 및 테스트 환경에서 주기적으로 복제되는 데이터를 변조 처리해 고객의 중요한 데이터가 노출될 수 있는 위험을 사전에 방지할 수도 있다.

곳곳에서 발생하는 데이터 유출 사고의 빈도는 계속해서 증가하고 있다. 그리고 그 수법도 날이 갈수록 치밀하고 교묘해지고 있다. 특히 최근 데이터 유출 범죄의 동기는 개인정보의 경제적 가치에서 기인하는 경우가 대부분인 만큼, 보안 사고가 금전적인 피해로 직결될 수 있으므로 금융사들의 보안 강화는 더욱 절실해 보인다.

이제 더 이상 물러설 곳도 빠져나갈 구멍도 없다. 경각심을 갖고 단순히 정부 규제 준수를 넘어 더욱 적극적으로 고객의 정보 보호에 앞장서는 금융권의 책임감 있는 모습을 기대해본다. 

[글 _ 현은석 한국오라클 DB 사업부 상무(eunseok.x.hyun@oracle.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>