• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

DB보안, 복잡한 심층 방어가 필요하다 2015.07.16

체계적 보안관리 위해 예방보다 감사영역 확대해야


[보안뉴스 김태형] 흔히 보안을 이야기할 때 ‘디펜스 인 뎁스(Defence in Depth)’를 이야기한다. 이는 심층 방어, 즉 여러 겹의 복잡한 방어를 통해 최적화되고 강력한 보안체계를 구축하는 것을 말한다.

▲ 한국오라클 박형도 상무(왼쪽)와 노형준 부장(오른쪽)


DB보안에 있어서도 이와 같은 심층적이고 복잡한 보안체계를 갖추는 전략이 필요하다. 지난해 국내 주요 카드사 정보유출 사고 이후 개정된 개인정보보호법에 따라 인터넷 구간 외에 내부 인사 시스템 등에서도 개인정보를 암호화하도록 규제가 강화됐다.

 

이에 개인정보보호법상의 고유식별번호, 즉 주민등록번호에 대한 암호화뿐만 아니라 정부의 행정 시스템에도 개인정보보호를 위한 암호화가 의무화된 상태다. DB의 암호화는 권한 소유자 외에는 누구든지 DB를 읽어볼 수 없도록 정보를 암호 알고리즘을 이용해 변환하거나 전달하는 것이다.

 

이와 같은 암호화와 함께 DB접근제어를 통해 사람이나 프로세스가 시스템이나 파일에 읽기·쓰기·실행 등의 접근 여부를 허가하거나 거부하도록 DB에 대한 보안관리를 해야 안전하다.

특히, DB접근제어 솔루션은 정보가 유출되거나 무결성이 훼손되는 것을 방지하기 위해 개인정보취급자 등 정보를 볼 수 있는 권한이 주어진 사람에게만 DB에 접근할 수 있도록 통제 및 관리하기 때문에 DB접근제어는 DB암호화와 함께 DB보안의 핵심이라고 할 수 있다.

 

이에 DB 전문기업 오라클은 DB보안에 있어서도 여러 겹의 복잡한 방어 체례를 통한 ‘맥시멈 시큐리티 아키텍처(Maximum Security Architecture)’ 구축을 통한 최적화된 DB보안을 추구하고 있다.

 

이와 관련 한국오라클 데이터사업부 박형도 상무는 “최근 고객들을 보면 DB보안을 위해 암호화와 접근제어 시스템을 많이 도입해 운영하고 있다. 하지만 이를 일반 네트워크 보안의 파이어월과 같은 방식으로 접근제어 시스템을 구성하고 있다. 그러나 이는 완벽하지는 못하다. 물론 완벽한 보안은 없지만, 정보유출의 대부분이 내부자 또는 권한자에 의한 것이기 때문에 각 권한자에 대한 업무별 권한 분리와 적절한 접근통제가 중요하다”고 말했다.


또한, 한국오라클 노형준 부장은 “오라클의 맥시멈 시큐리티 아키텍처는 감사 서버를 통한 네트워크 접근통제 → 데이터 실시간 변조 및 암호화 → 권한 권리 및 사용자 접근관리를 통한 체계적인 보안을 말한다”면서 “DB보안에 있어서도 각자 역할에 대한 업무에 충실하도록 역할을 분리하고 이에 따라 보안도 쪼개서 복잡·다단하게 넓히는 방법으로 한다면 더 단단한 보안을 갖출 수 있다”고 말했다. 즉, DB보안을 설계할 때 심층적이고 복잡한 방어전략을 위해서는 맥시멈 시큐리티 아키텍처를 기반으로 최적화된 DB보안 관리가 필요하다는 것.


박형도 상무는 “지난해 국내 카드사 고객정보 유출사고가 있었지만, 기업의 정보유출 사고에서 DB관리자나 보안담당자가 보안사고의 책임으로 인해 억울하게 피해를 당하는 경우가 많다”면서 “좀 더 체계적인 보안관리를 위해서 예방보다는 감사영역으로 확대해 나가는 것이 최근의 보안 트렌드다. 이렇게 되면 정보유출이 어디에서 발생했는지 어디로 나갔는지 알 수 있기 때문에 억울한 피해자가 덜 나올 수 있다”고 말했다. 

이어서 그는 “보안 아키텍처를 구성할 때 대부분은 정보시스템이나 DB를 기준으로 설계를 하게 마련인데, 특히 DB보안 설계시 기존에는 성능과 가용성, 그리고 무중단 서비스에 중점을 두었다”면서 “하지만 최근 들어 기술적인 측면, 즉 암호화와 접근통제, 권한관리에 중점을 두고 보안사고시 데이터가 어디에서 나갔는지, 또 이를 알 수 있는 담당자가 누구인지를 알 수 있는 부분에 중점을 두고 있어 보안측면에서 많이 성숙해졌다”고 덧붙였다.


노형준 부장은 “오라클 DB솔루션은 사용자들의 DB보안을 위해 자체적인 보안기능을 강화했다. 특히 버전 12에서는 자체 보안 기능을 강화해 암호화 및 권한자의 권한과 역할 분석 기능을 탑재했다”면서 이는 “권한을 가진자가 권한을 행사했는지, 사용하지 않는 권한이 있는지 등의 적절한 사용과 남용에 대해 통제한다”고 말했다.


즉 DB는 기간계 시스템, 정보계 시스템 등 복잡한 시스템들이 서로 연계되어 있다보니, 한 명의 담당자가 관리하고 있지 않다. 이 때문에 DB 유출사고시 데이터가 어디에서 유출됐는지 찾기가 쉽지 않은데 오라클 DB솔루션의 특정 속성에 대한 암호화 기능, 표시제한 등의 보호장치를 통해 데이터의 전체적인 보안을 강화할 수 있다는 것이다.


또한, 이러한 기능들이 오라클 DB의 커널에 임베디드 되어 있어 DB솔루션이 버전업 됨에 따라 자동으로 업그레이드 된다는 점도 장점이다. 여러 DB가 통합된 환경에서도 각 레벨별로 각기 다른 접근통제 기능을 적용할 수 있도록 효율성을 높였다는 점도 오라클 DB보안의 특징이다.


DB보안에서 고객들이 가장 중점을 두는 부분은 보안으로 인해서 다른 영향이 생기지 않는 것이다. 해결이 가능한 성능 문제는 바로 비용 문제로 연결된다. 스토리지 확대나 코어 증설, 응용프로그램의 수정 등에는 어느 정도의 비용이 필요하다. 즉 보안에 대한 비용 투자는 필수적이라는 것이다. 

최근 개인정보보호법 강화에 따른  DB 유출사고 방지를 위해 기업들의 보안은 DB보안에 초점이 맞춰지고 있다. 여기서 자사의 환경에 얼마나 적절한 DB보안 솔루션을 선택하느냐가 매우 중요해졌다. 특히, 기업들은 보다 심층적이면서 복잡한 DB보안체계를 통해 보안수준을 최대한 높이는 방안을 강구할 필요가 있다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>