실생활 ‘문단속’ 관점으로 살펴 본 IT 보안
\r\n
[시큐리티월드=보메트릭코리아 이문형 지사장] 지난해 초 온 나라를 떠들썩하게 했던 카드사와 통신사의 정보 유출사고 등으로 개인정보보호 및 기업의 IT 보안 체계에 대한 사회적 관심이 고조됐다. 이제 IT 보안은 대량의 데이터를 보유한 대기업만의 문제가 아니라 비즈니스 경쟁력을 키우고 싶은 중소기업과 소중한 개인정보를 지키고자 하는 개인들에게도 민감한 이슈로 떠올랐다.
\r\n\r\n\r\n\r\n| \r\n .jpg)
|
이처럼 대부분의 기업과 개인들이 IT 보안의 중요성은 확실하게 인지하고 있으나 실제로는 어떻게 보안을 실현해야 할 지 복잡하고 어렵게 느끼는 경우가 많다. 제대로 된 전략을 수립하기 위해서는 우선 해당 개념을 확실히 이해하고 목표를 명확히 해야 한다. 이에 효과적인 보안 대책 마련의 첫걸음으로써 실생활에 대한 비유를 통해 IT 보안의 개념과 목표를 좀 더 쉽고, 명확하게 살펴보고자 한다.
\r\n
\r\n
\r\n
우리는 일상생활에서 자신을 포함한 가족의 생명과 재산을 보호하기 위해 각종 보안장치를 사용하고 있다. 가장 기본적인 보안 장치는 출입문 단속이다. 최근 필자도 집 현관문을 최신식 도어록으로 교체했다. 온 가족이 하나의 비밀번호만 외우면 각자 언제든 직접 들어올 수 있고, 열쇠를 잃어버릴 염려도 없어졌다.
다만 집에 자주 놀러 오는 막내의 친구들은 우리 집 비밀번호를 아는 것 같다. 가급적 주기적으로 비밀번호를 바꾸려고 노력하는 편이나 이전 번호와 헷갈려 애를 먹은 적도 있다.
가끔은 비밀번호를 누를 때 나는 번호 별 소리가 달라 외부인들이 알아챌 것 같은 우려가 들기도 한다. 또 한번은 건전지를 제때 갈아주지 않아 잠금 장치가 제대로 동작하지 않으면서 골머리를 앓은 적도 있었다. 최근에는 도둑이 출입문 자체를 떼어내고 침입한 경우도 있다고 들어 출입문 보안에 대한 불안감은 여전하다.
\r\n
\r\n
일상생활에서 살펴본 추가 보안장치의 필요성
\r\n
이러한 이유로 많은 이들이 복도에 추가적인 보안 장치를 설치한다. 필자의 집은 개인주택이라 출입문과 거실 사이에 현관문이 하나 더 있다.
여기에는 더 최신식의 도어록을 달아놓았다. 잘못된 번호를 여러 번 누를 경우 아예 문이 잠겨버린다. 이와 더불어 CCTV도 달아놓아서 외부인의 출입을 수시로 감시하고 있다.
하지만 이렇게 한다고 해도 각종 배달원들이나 검침원 및 수리원 등 외부인들이 집에 들어오기 마련이다.
그래서 마지막으로 안방에 금고를 설치하기로 했다. 얼마 전 받은 보너스로 어떻게 재테크를 할까 고민하다가 골드바가 좋다고 해 몇 개 사두었다. 결혼할 때 집사람에게 선물한 다이아몬드 반지도 안방 옷장 두 번째 서랍에 깊숙이 넣어두었는데 같이 보관하는 것이 좋을 것 같아 얼마 전 TV에서 본 개인금고를 하나 장만했다. 새로 구입한 금고는 가구처럼 깔끔하고 시크하게 생겨서 안방에 잘 어울렸다. 금고 열쇠는 필자와 필자의 집사람만 갖고 있으니 집사람만 조심하면 안전하다는 우스갯소리를 하기도 했다.
이렇게 골드바와 반지 말고도 외환과 집문서 등 중요한 서류들까지 금고에 넣어놓고 나니 한결 마음이 놓인다. 왜 지금까지 금고를 생각하지 못했는지 모르겠다. 철제로 되어있어 크고 무겁고, 가격도 높아 다소 부담스럽게 느껴졌던 것 같다. 돈 이외에도 안전하게 보관해야 할 것들이 많다는 것을 이제야 깨달았다.
\r\n
\r\n
중요도에 따른 보안대책 마련
\r\n
앞의 이야기에서 힌트를 얻어 각 파트별 해당 솔루션이 무엇인지 이미 눈치 챈 독자가 있을지도 모르겠다. 먼저 출입문 단속은 각종 패스워드, DRM 및 키보드 보안 등이며, 복도 보안은 다양한 방화벽, 망분리, VDI, 네트워크 보안 장비들이다. 마지막으로 안방 금고가 바로 암호화 솔루션이다.
\r\n
현재 국내에서 시중에 나와 있는 기업 보안을 위한 제품은 300여 종류가 넘는다. 그 동안 많은 기업들이 각종 출입문 단속과 복도 보안제품(경계보안 솔루션)을 구매하고 적용하는데 대부분의 IT 예산을 써왔다. 그러나 작년에 발생한 카드 3사의 고객 데이터 유출 사건 등에서 출입문과 복도는 너무도 쉽게 뚫릴 수 있고, 외부인이 마음만 먹으면 우리 집 안방까지 들어와 마음껏 활개를 칠 수 있음을 알게 되었다.
\r\n
따라서 이제는 각종 중요 재산을 금고에 넣음으로써 최종적인 보안대책을 마련해야 할 순서다. 지금까지 업무 속도저하, 구축 기간의 장기화, 소스코드의 변경, 규제 변경 시 재구축 등의 번거로움을 이유로 기피했다면, 지금까지의 문제를 개선한 새로운 암호화 방법을 검토해 보라고 강력히 권장하고 싶다.
또한 데이터베이스뿐만 아니라 로그정보 및 각종 계약서에도 민감한 개인정보가 포함돼 있기 때문에 최근에는 암호화를 적용하는 데이터의 범위 또한 확대되고 있다. 뿐만 아니라 고객의 개인정보와 함께 기업의 업무기밀 또한 철저하게 보호돼야 할 대상이다.
제조기업의 각종 도면이나 병원의 의료 영상, 다양한 이미지, 녹취록 등 비정형 데이터에 대한 보호 방안으로 암호화 솔루션이 검토되고 있으며, 점차 그 수요가 증가하고 있다.
비정형 데이터를 안전하게 보호하기 위해서는 오라클, SQL 서버, DB2와 같은 여러 종류의 데이터베이스는 물론 비정형 데이터까지도 지원해 줄 수 있는 엔터프라이즈급 솔루션이 필요하다. 보메트릭은 파일 단위 암호화 솔루션을 통해 일반적인 텍스트 데이터뿐 아니라 로그파일, SNS, 이미지 등 비정형 데이터까지 암호화할 수 있도록 지원한다.
\r\n
\r\n
암호화 키 관리의 중요성
\r\n
여기서 잠시 앞의 사례로 돌아가 보자. 지난 주 금고의 돈이 조금씩 사라진 것을 발견하고 부인에게 물어봤으나 모른다고 했다. 열쇠관리를 필자와 집사람만 하기 때문에 문제가 없다고 생각했는데 알고 보니 막내아들이 엄마가 열쇠를 부엌 찬장에 두는 것을 알고 가끔 금고에 손을 댔다고 한다.
이것이 내부인에 의한 데이터 유출이며, 그래서 중요한 것이 바로 암호화키의 관리이다. 암호화된 데이터와 이를 해독할 수 있는 열쇠인 암호 키를 동일한 장비에서 관리하는 것은 금고 앞에 열쇠를 걸어 놓는 것과 동일하기 때문이다. 공격을 의도한 자가 계정을 획득하면 데이터와 암호 키를 동시에 확보하고 유출시킬 수 있다. 따라서 별도의 키 관리 정책에 따라 특별 관리를 해야 한다.
\r\n
보메트릭 키 매니지먼트(Vormetric Key Management)는 키 관리만을 위한 별도의 하드웨어 시큐리티 모듈 어플라이언스 형태로 제공돼, 암호화와 키 관리 영역을 확실히 구분하고, 내·외부 공격자가 암호화 데이터와 키를 동시에 탈취하지 못하도록 막는다.
\r\n
\r\n
기업별 환경에 맞는 보안 전략 설립
\r\n
다행인 것은 점차 많은 기업에서 암호화 키 관리의 중요성을 인지하고 있으며, 암호화 키 관리의 수요가 꾸준히 증가하고 있다는 점이다. 기업들은 현재 직면해 있는 각 비즈니스 환경을 고려해 자사에 맞는 보안 전략을 세워야 한다. 앞서 살펴본 3가지의 보안 영역과 각 단계가 중요하다.
하지만, 각 기업마다 중점을 두고 도입해야 할 보안 종류에 대한 우선순위가 다를 수 있는 만큼 전략적인 계획이 요구된다. 최종적으로는 보다 종합적인 시각에서 현재 보안 체계를 면밀히 살펴보고, 부족한 부분을 새롭고 검증된 기술로 끊임없이 보완해 가는 자세가 필요하다.
\r\n
[글_보메트릭코리아 이문형 지사장]
\r\n
[월간 시큐리티월드 통권 217호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
