| DB=우리 집이라는 가정 하에 대책 세워야 | 2011.06.30 |
.gif) DB 보안의 목적은 가치 있는 데이터에 대해 서비스를 보장하고 중요 정보에 대한 유출 가능성을 줄이는 것이라고 볼 수 있다. 최근 악의적 접근으로 DB를 Down한다든지, DB를 삭제한다든지, 캐시 정보를 업데이트하여 개인적 이익을 취한다거나, 중요정보를 수집 및 불법거래하고 암암리에 유통시켜 스팸이나 보이스 피싱으로 돌아오는 2차, 3차 피해가 발생하고 있는 것이 현실이다. 이에 따라 수집되는 개인정보에 대해 조금 더 적극적인 보호가 필요한 시점이며, 개인정보보호법 시행에 따라 법적인 보호조치도 적극 강구해야 한다. \r\n국내 기업의 DB 관리 실태 \r\nIT가 발전하면서 많은 제품 및 솔루션들이 쏟아지고 있다. 사실 외부 해킹을 방어하기 위해 방화벽을 구축해야 한다는 것은 누구나 알고 있다. 하지만 방화벽이 있다고 하더라도 해킹을 막을 수 있다(?)고는 볼 수 없다. 완전한 보안은 물리적인 단절이라고도 얘기한다. 하지만 우리는 PC, 스마트폰이 생활화되었고, 통신으로 연결되어 시간·장소와 관계없이 인터넷에 접속하고 필요한 정보를 수집·활용한다. 그렇기 때문에 더욱 데이터에 대한 가치가 높아지고 있는지도 모른다. 데이터에 대한 가치가 높아진다는 것은 보안의 필요성이 더 높아진다는 것과 같은 얘기가 된다. 한 포털 사이트의 경우 수많은 DB를 보유하고 있지만, 최근 스마트폰 문자 및 음성채팅 애플 하나로 한 개의 DB에서 초당 90,000 쿼리를 발생시키고 있으며, 지속적으로 늘어나고 있다. 그만큼 사용자가 많고 보안에 대한 필요성 또한 높아지고 있다는 것이다. \r\n\r\n 일반적으로 보안의식을 갖고 있는 회사들도 많이 있지만 그렇지 않은 회사들이 더욱 많은 것 같다. 기본적으로 기업내 보안을 위해서는 인력부터 구성되어야 하나 보안담당자조차 없는 경우도 있고, 보안을 하고는 있으나 어떻게 할지는 모르고 필요하다고하는 제품만 구입하고 제대로 활용하지 못하는 경우도 많다. 물론 최근에는 개인정보보호팀을 꾸리고 보안에 대한 의식변화를 위해 노력하는 회사들도 상당수다. 산재되어 있는 데이터베이스에서 개인정보를 파악하고, 개인정보 DB를 통합해 체계적으로 관리하는 등 한 단계씩 개선해 가고 있다. 하지만 그런 기업들은 일부에 그치고 대다수 회사들은 어떻게 보호를 해야 하는지 무엇을 어떻게 해야 하는지 방향조차 못 잡고 있다. \r\n\r\n 요즘은 제품이라는 얘기보다 솔루션이라는 얘기를 많이 하게 된다. 제품은 구매해서 쓰면 되지만, 솔루션은 제품 그대로만 사용하면 효과가 떨어진다. 기업환경을 파악하고 기업환경에 맞는 적합한 제품으로 구성하여 최적의 환경으로 활용함으로써 효과를 극대화하는 것이 솔루션이다. 제품의 기능이 중요한 것이 아니라, 기업환경에 맞도록 잘 구성하는 것이 더욱 중요한 것이다. \r\n\r\n 보안 솔루션을 비롯해 IT 제품들이 무수히 많지만, 서로 경쟁하듯 기능 하나하나에 치중하는 것은 사용자들이 보는 포인트가 너무 기능 위주로 되어 있기 때문이다. 물론 제공될 수 있는 기능이 중요하긴 하지만, 많은 기능 중에 우리에게 가장 잘 맞는 옷을 고르는 것이 더 중요한 것이다. 운동할 때, 외식할 때, 쇼핑할 때, 결혼식갈 때 항상 같은 옷을 입지는 않는다. 각기 그에 맞는 옷을 입듯이 보안 솔루션도 각 기업이 갖고 있는 다양한 환경과 데이터 구조에 맞도록 적합하게 구성하는 것이 필요하다. 보안에는 정도 즉, 정답은 없다고 볼 수 있다. 단, 가장 정답에 가까운 환경을 구성하기 위해 노력하는 것이다. \r\nDB 보안을 위한 3가지 대책 \r\nDB 접근제어 및 감사 \r\nDB보안은 크게 3가지로 볼 수 있다. 첫 번째는 DB 접근제어 및 감사로 DB에 접근하는 모든 경로 즉, Web/WAS를 통한 서비스적인 DB 접속과 원격 및 툴을 통한 직접적인 DB 접근에 대해 완벽히 보고 모두 기록하는 것이다. 이를 통해 원격 및 툴에 대한 DB 접속은 인증을 통해 통제하여 어떤 경로의 접근에 대해서도 DB 작업 인지 및 통제하는 구성으로 DB에 대한 관리 및 보안체계를 갖추는 방법이다. \r\n\r\n DB 암호화 \r\n두 번째는 DB 암호화로 Plug-in 및 API와 같은 구성방식이 있지만, 중요한 정보에 대해 암호화하여 불법적 유출을 막는 것이다. \r\n\r\n DB 취약점 진단 \r\n세 번째는 DB 취약점진단이다. 일반적인 웹, 서버, 네트워크 취약점 진단 툴은 보편화되었으나 DB 취약점진단은 아직 다른 진단 툴들에 비해 보급이 많이 확산되지 못했다. DB 구축이 한 번 진행되면 수년 동안 거의 손을 대지 않는 현실에 비춰볼 때 운영 DB의 취약점은 무엇이고, 어떤 부분을 보완해야 할지를 가이드를 받아 보는 것도 필요한 부분 중에 하나다. \r\n\r\n DB 보안을 일상에 비유해 보면, DB 접근제어 및 감사는 아파트에 CCTV 및 출입통제 등을 설치하는 경비체제와 유사하다. 일반적으로 아파트에서는 차량부터 통제하고, 외부차량은 경비실을 통해 출입이 가능하다. 그리고 아파트 동 입구에는 출입통제가 되고, 집 현관에는 자물쇠 또는 디지털 도어록을 통해 통제된다. 즉, 여러 단계를 거쳐 인증된 사람만이 출입하도록 통제된다. 그리고 아파트 입구, 담장 부근, 주차장, 엘리베이터 등에 설치된 CCTV에서는 모든 사람의 이동을 감시하고 수상한 움직임에 대해서는 바로 조치하며, 문제가 생기면 그 시점으로 돌려 누군지 잡아낸다. 심지어 집안에서도 감시한다. 아파트가 서버라면, 몇동 몇호에 위치한 우리 집은 DB라고 가정해 볼 수 있다. 집 앞에 우유, 신문배달, 우편함의 우편물, 등기, 택배, 가스 검침 등 사람이 움직이며 집을 오간다. \r\n\r\n 조금 유사하긴 하지만 DB의 조금 다른 면이라면, 정상적인 서비스를 위해 누군가는 집안까지 들어왔다가 간다는 것이다. 즉, 데이터를 갖고 나가는 점이 조금 다르다. 따라서 정상적인 접근인지 비정상적인 접근인지를 파악해야 하고 전체가 복사되거나 대량으로 유출되면 안 된다는 것이다. 데이터의 서비스 목적과 보안 목적이 서로 상충하다보니 서비스를 막기도 그렇다고 열어두기도 어려운 위치에 있는 것이 DB이다. 또한, DB를 안전하게 잠그다보면 자물쇠 숫자만큼 키가 많아지고 집을 드나들기가 불편해진다. 즉, 서비스가 늦어지는 문제가 발생하기도 한다. 하지만 하나의 선택으로 모두 해결할 수는 없다. 원활한 성능 및 서비스를 보장하면서 보안 수위를 높일 수 있도록 하되, DB 접근제어 및 감사, DB 암호화, DB 취약점진단 및 조치가 함께 이루어져야 좀 더 안전한 DB가 될 수 있는 것이다. \r\n주기적인 관리가 DB 보안의 핵심 \r\n기업 환경에서 시기적으로 도입만을 목적으로 하는 것이 아니라 운영 환경을 잘 파악하고 그 환경에 맞는 제품으로 적합하게 구성해야 하며, 구성 이후에는 주기적으로 운영·관리하면서 보안성을 높여가는 것이 중요하다. 구축해 놨으니 우린 안전하다고 생각하면 오산이다. 시간이 지나다보면 서비스가 점차 확대되고, 그만큼 보안 구멍이 커지게 마련이다. 체계적인 관리와 프로세스를 수정·보완하면서 점차적으로 안전하게 관리하는 것이 필요하다. 그리고 통제를 강화하는 것만이 해법이 아니라 소속된 직원 한명 한명이 기업 자산의 가치를 인지하고 보안의 필요성을 공감하는 일이 선행되어야 한다. 본인 PC부터 암호를 걸고 주기적으로 암호 변경 관리하는 것을 시작으로 하나씩 실천하고 확대될 때 전사적인 보안의식을 통해 내부 시스템에 대한 보안이 확대되고 보유한 DB 서버 관리, 계정 관리, 데이터 관리가 효과적으로 이루어질 수 있다고 생각한다. \r\n\r\n 개인정보보호법안 통과는 되었으나 제도적으로 기업 환경에 맞도록 좀 더 상세한 가이드라인이 나와야 할 것 같다. 기업 환경이 고려되지 않은 상태에서 너무 문구 중심으로 서술하듯이 전달하게 되면 해석이 서로 틀릴 수 있고 맞다 틀리다 의견도 분분하게 된다. 좀 더 명확한 지침서 및 해설서를 통해 기업환경에서 데이터를 어떻게 운영·관리해야 하며, 보호해야 하겠다는 것을 인지할 수 있도록 가이드도 제시하고 홍보하는 일이 필요하다. 기업뿐만 아니라 개인들도 정보에 대한 가치의 소중함을 인지하고 보호하고자 하는 마음가짐을 가져야 하며, 개인정보를 사고파는 비윤리적인 행태가 사라질 수 있도록 의식의 변화가 선행되어야 하는 것이다. \r\n<글 : 이 용 우 웨어밸리 영업본부 부장(ywlee@warevalley.com)> \r\n[월간 시큐리티월드 통권 제173호(sw@infothe.com)] \r\n<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지> |
|
 |
