| 공공, 부실한 DB암호화 제품 도입...혈세만 낭비! | 2007.09.17 | |
속도 30%저하, 인덱스 암호화 및 색인검색 되지 않아 국정원 보안적합성 필한 제품도 문제 발생...검증작업 필요 국내 시장 점유율 가장 많은 제품에서 성능-보안성 문제 발생
개인정보보호 문제가 불거지면서 공공기관에는 DB 암호화 솔루션 도입 필요성이 제기되기 시작했다. 네트워크와 웹 애플리케이션 취약점을 이용한 공격이나 혹은 내부자에 의한 DB 유출을 막기 위해서 필요한 솔루션이 바로 DB 암호화 솔루션이다. 가장 말단에서 DB전체가 유출됐다 하더라도 이것을 사용할 수 없도록 해주는 역할을 한다. DB암호화 솔루션 결함 많아 구축후 사용도 못해 일반기업은 물론이고 공공기관에서 DB보안 암호화 솔루션 도입은 초기 단계다. 몇몇 행자부 시군구 쪽에 해당 솔루션이 도입됐다고 한다. 하지만 문제는 이들 기관에서 도입한 DB 암호화 솔루션에 결함이 많아 구축 후에도 제대로 사용을 못하고 있다고 한다. 또한 인사DB를 관리하는 모기관에서도 구축 한 후에 시스템이 느려지고 제대로 암호화도 되지 않는 등 여러 가지 문제가 발생해 곤란을 겪고 있다고 한다. 한편 KT도 이와 유사한 이유로 구축후에 사용도 못하고 해당 솔루션을 철수시킨 바 있다. 결함이 존재하는 솔루션을 도입했다는 이유로 담당자가 곤혹스러운 상황에 처한 바 있다. 행자부 시군구 6개 기관에 들어간 DB암호화 솔루션도 거의 못쓰고 있는 실정이어서 대책회의가 열릴 정도이고 산자부 산하 모 기관도 도입후 1년이 넘도록 사용도 못하고 있는 상태다. 국정원 보안적합성 필한 제품에도 문제있어 사실 행정자치부는 이와같은 문제점 때문에 DB보안 도입 프로젝트를 미루고 있다. 행자부 내부에서는 보안 규정 때문에 자체적으로 DB암호화를 해야 함에도 불구하고 기존 제품들의 문제점으로 인해 도입에 신중을 기하고 있다. 이에 행자부와 건강보험공단 등 개인정보보호에 민감한 기관들은 규정대로라면 국정원 보안적합성을 필한 제품만을 사용해야 함에도 불구하고 예외적으로 보안적합성을 필하지 않은 제품이라도 성능에 이상이 없다면 사용을 하겠다는 방침까지 세우고 있을 정도다. 그만큼 국내 DB 암호화 보안 솔루션들에 문제가 많다는 것을 알 수 있다. 특히 국정원 보안적합성을 필한 제품까지도 성능에서 문제가 발생해 도입을 고려한 기관들은 상당히 난감한 상황에 처해있다. 이는 국정원 보안적합성검증제도에 따른 암호모듈검증 또는 정통부 ‘정보시스템의 구축.운영 기술지침’을 필하거나 준수 하더라도 성능과 DB관련기능을 보증 하는 것은 아니라는데서 문제의 원인이 있다. 현재 DB 암호화 제품을 도입한 기업이나 기관에서는 상당한 불만을 표시하고 있으며 이러한 문제점은 지난 9월 5일 개최된 ISEC 2007에서도 거론됐던 문제들이다. 속도저하-인덱스 비암호화-색인검색 안되는 등 문제 많다 그럼 구축을 했다가 전혀 사용하지 못하고 있는 DB 암호화 솔루션에는 어떤 문제점들이 있을까. 우선 문제의 DB 암호화 제품을 사용하면 온라인 서비스 속도가 30% 이상 저하된다. 즉 시스템에 강한 부하를 발생시켜 원활한 서비스가 되지 않는다. 실례로, 모 테스트에서는 10만건 이라는 매우 적은 딜리트 쿼리(Delete Query)를 수행 시킨 결과 DB 암호화로 인한 락킹(Locking) 때문에 검색이 불가능할 정도의 문제점이 드러난 경우도 있다. 이렇게 되면 온라인 서비스에는 치명적이다. 그래서 포털이나 금융기관은 DB 암호화 제품 도입을 꺼리고 있는 상황이다. 속도저하 문제뿐만 아니라 DB는 테이블과 인덱스에 존재한다. 그렇다면 양쪽 모두를 암호화해야 함에도 불구하고 문제의 제품들은 데이블만 암호화하고 인덱스는 암호화하지 않고 있다는 점이다. 또 인덱스를 암호화 하면 색인검색이 안된다는 결함도 있다. 덤프 명령어 사용하면 DB 그대로 볼 수 있어 관련 전문가들은 “이렇게 되면 덤프라는 명령어로 인덱스를 조회하면 암호화됐다 하더라도 데이터가 그대로 보인다”며 “시스템 유저들이 덤프떠서 다 볼 수 있다면 내부자에의한 정보유출을 막을 수 없다는 결론”이라고 말했다. 실제로 차세대를 준비하고 있는 신협중앙회에서 이러한 문제점이 발생해 제안된 제품의 교체를 검토하고 있다고 한다. 즉 제대로 암호화가 안되고 있다는 것이 문제점으로 지적된 것이다. 인덱스에 대한 암호화가 돼 있지 않은 것은 국내 제품뿐만 아니라 외산들도 마찬가지라고 사용자들은 말한다. 특히 국정원 보안적합성을 받고 국내 시장 점유율이 가장 큰 제품에서 이러한 문제가 발생하고 있어 사용자들의 불만이 더욱 커지고 있다. 또 하나, DB 암호화는 한번 구축하면 다시 구축하기가 어렵다는 점이다. 암·복호화가 엄청난 시간이 걸리기 때문에 한번 구축하면 전체 시스템을 다 교체하는 차세대 구축시기까지는 어쩔 수 없이 떠 안고 가야 한다는 것. 즉 도입 전에 꼼꼼히 살펴보지 않고 무턱대고 DB암호화 솔루션을 도입했다면 이를 교체하는데 많은 시간이 걸릴 뿐만 아니라 무중단·실시간 암·복호화가 안되면 다시 교체하기도 힘들다는 점이다. 보안적합성 필했더라도 검증작업 꼭 필요! 국정원 보안적합성을 필한 제품이면서 국내 80% 이상의 시장 점유율을 자랑하는 제품과 일부 제품들에서 발생하는 문제점을 요약해보면, 30% 이상의 시스템 부하로 인한 현격한 속도저하와 인덱스 부분의 암호화가 안된다는 점, 실시간 암호화가 안된다는 점 등을 들 수 있다. 국민의 혈세를 사용해 전혀 사용하지도 못하는 보안솔루션을 도입한 것은 틀림없이 해당기관 담당자의 잘못이다. 하지만 DB암호화 구축 이라는 사업이 초기 단계이고, DB암호화 제품이 갖는 보안제품이지만 DB제품이라는 특수성 인식이 일반화 되지 않았던 현실을 감안해 보면 관련 제도에 의해 도입하고 어려움을 겪는 선의의 피해자인 것도 사실이다. 하지만 이제부터라도 ISEC2007 컨퍼런스에서 지적한 문제점들과 실제 도입실패 사례들을 도외시 하고 적극적인 검증작업 없이 행정편의 위주로 제품을 도입 한다면 혈세 낭비라는 비판을 면할 길이 없을 것이다. 한편 이와같은 결함을 숨기고 공공기관이나 기업을 상대로 영업을 하는 행위는 사용자를 기만하는 행위이다. 한편 국정원도 보안적합성을 필한 제품에 이러한 하자 있다면 당연히 다시 검사를 해 성능에 문제가 있다면 인증을 취소해야 하는 것이 맞다. 일부 공공기관에서는 제품 성능 테스트를 하지 않고 무조건 보안적합성을 필한 제품만을 도입하려는 경향도 있다. 기관 보안담당자와 DB관리자의 적극적인 검증이 필요한 부분이다. 금융권과 포털에서도 DB암호화 제품 문제점 인식 금융기관이나 포털 등 주요 온라인 서비스 기업들에서도 DB암호화 문제로 어려움을 겪고 있다. 특히 금융권은 DB암호화 솔루션을 도입했다 하더라도 시스템에 부하가 걸리면 사용할 수 없다. 이러한 문제점을 알고 있는 금융감독원도 DB 암호화 솔루션에 대해 권고만 할 뿐이지 강제하지를 못하고 있다고 관계자는 말했다. DB암호화 제품은 DB관리자가 선택해야 맞다! 한편 모 관계자는 “DB암호화 솔루션은 절대로 보안담당자 혼자 제품 선정하면 안되고 DB관리자가 해야 한다”며 “그 이유는 DB 암호화 솔루션이 DB서버에 설치되고 서비스 기능면에서 영향을 미치기 때문”이라고 설명했다. 즉 DB 암호화 제품 선정은 보안담당자와 함께 최종적으로 DB 관리자가 해야 한다는 점. 공공기관은 GS인증이나 보안적합성을 필한 제품이라 하더라도 최소 5년 이상은 사용해야할 솔루션에 대해 보다 엄격한 검증을 한 후에 도입하는 자세가 필요하다. 한편 국정원도 이전 절차가 간소했던 시절에 발급한 보안적합성 제품에 대해 보안성에 문제가 없도록 새로이 바뀐 검증제도하에 테스트를 거쳐 이러한 제품들이 공공기관이나 일반기업에서 마음놓고 도입해도 무방한지 검증을 하는 것이 마땅하다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
