| [구축사례] 아주대학교의 DB보안 구축·운영 노하우 | 2015.01.14 | ||||
DB보안 도입 이후...법·규제 준수하고 보안도 강화 ‘一石二鳥’
[보안뉴스 김태형] 경기도 수원시에 위치한 4년제 사립대학인 아주대학교는 개교 이후, 공과대학으로 출범한지 8년만에 종합대학으로 승격했고 뒤이어 의과대학을 설립하고 법학전문대학원 인가를 받는 등 성장을 거듭해 왔다. 아시아가 세계의 중심이 되는 21세기에 아시아를 리드하는 최고의 대학이 되겠다는 이념을 담고 있는 ‘아주대학교’는 개교 이래 인간존중·실사구시·세계일가를 대학 이념으로 추구해 오고 있다.
▲ 아주대학교는 중요 데이터 공격 증가에 따른 DB보안 필요성 증대와 함께 개인정보보호법 현재 1만여 명의 재학생들과 300여명의 교수·교직원들로 구성되어 있는 아주대학교는 졸업생, 재학생, 연구원 등을 포함해 수십만건에 이르는 개인정보보호와 학내 전산시스템의 보안 업그레이드, 그리고 한층 강화된 개인정보보호법을 준수하기 위해 많은 노력을 하고 있다.
아주대학교는 사내 전산망 보안을 위해 웹방화벽, IPS, 방화벽, VPN 등의 보안 시스템을 갖추고 있었다. 하지만 최근 데이터의 자산가치가 증대함에 따라 중요 데이터에 대한 불법 취득을 목적으로 하는 공격의 증가로 DB보안 강화의 필요성을 느꼈다. 또한, 개정 개인정보보호법 발효 및 정보통신망법의 강화로 인한 컴플라이언스 준수를 위해 DB보안 체계의 업그레이드가 요구됐다. 이에 아주대학교는 지난 2012년부터 DB암호화 솔루션을 시작으로 DB접근제어, 감사솔루션을 연이어 도입하고 이를 효과적으로 운영하고 있다. 이와 관련 아주대학교 중앙전산원 조우철 선생은 “학교에서 VPN을 도입하는 것은 쉽지 않다. 그 이유는 구성원이 다양하기 때문이다. 하지만 보안의 중요성을 알고 있기 때문에 우선 전산담당 직원들의 안전한 DB접속을 위해 VPN을 도입했고 ERP 접속자에 대한 VPV은 향후 도입할 계획”이라고 설명했다. 지난 2012년부터 DB보안 필요성과 개인정보보호법 이슈로 DB암호화부터 DB접근제어, 감사솔루션까지 도입한 아주대학교는 시스템에서 구동되는 애플리케이션이 굉장히 많은 편이다. DB암호화 등 DB보안 솔루션을 도입하면서 가장 고려한 부분은 수많은 애플리케이션에 영향을 주지 않고 성능 이슈가 없어야 한다는 것이었다. 그래서 여러 가지 DB보안 솔루션을 비교하고 적용해본 후, 성능 저하가 없는 DB보안 솔루션을 선택하게 됐다.
▲ 아주대학교 중앙전산원 조우철 선생님 또한 데이터베이스 운영체제의 핵심 단위인 커널(kernel) 자체에서 암호화 기능 및 접근 통제를 수행해 보안 효과는 높이는 한편, 데이터베이스 성능 저하를 최소화했다. 이를 기반으로 웹 사용자 기반 접근제어 및 감사 시스템도 추가로 도입할 수 있었다는 것. 이를 통해 아주대학교는 로그인 접속 기록 관리 및 중요정보 접근 기록 관리가 보다 효율적으로 이루어질 수 있었고 누가, 언제, 어디서, 어떤 작업을 수행했는지 모니터링이 가능해짐에 따라 비허가자의 모든 접속을 파악하고, 인가자의 모든 활동을 감시할 수 있게 됐다. 아울러 원격으로 감사 데이터를 수행하여 운영시스템 성능에 미치는 영향이 최소화됐으며 감사 데이터의 자동 수집·관리, 중요한 통제 대상의 접근에 대한 모니터링, 실시간 경고 및 감사 보고서 생성이 가능해져 시스템 관리가 용이해졌다. 한편, 아주대학교는 보안강화를 위해 내년엔 개인정보영향평가를 받을 계획이다. 조우철 선생은 “최근 IT 환경에서 보안은 더욱 중요해지고 있다. 이제는 보안을 의무적으로 하기 보다는 전체적인 리스크 감소의 수단으로 보고 투자 관점에서 접근하는 것이 중요하다. 아주대학교는 이러한 관점에서 보안강화를 위한 투자를 확대해 나갈 계획”이라고 강조했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
