DB보안, 내부 ‘DB관리자’ 통제 안되면 무용지물!

DB보안프로젝트시 DB관리자에 끌려가서는 안된다

행정자치부는 올해말 행정기관 IT 시스템 구축시 강제화할 DB보안 표준안 지침서를 완료하고 내년부터 강제화할 것이라고 밝혔다. 한편 인터넷 기업과 금융권 등 민감한 개인정보를 취급하는 기업에서도 DB보안에 상당한 신경을 쓰고 있고 향후 개인정보보호법이 발효되면 DB보안에 대한 공공과 기업의 관심은 더욱 증폭될 것으로 보인다.

하지만 문제는 국내 DB보안 전문가가 없다는 것이다. 행자부 관계자도 “국내 DB보안 전문가가 없어 문제”라며 “DB관리자는 보안에 대해 모르고 있고 보안관리자는 DB를 몰라 원활한 DB보안 프로젝트가 안된다”고 지적했다. 

모 기업 관계자는 “기업내에서 DB관리자의 권한이 보안담당자보다 크다. 그래서 DB보안 프로젝트도 대부분 보안관리자가 주도하기보다는 DB관리자 주도로 되고 있다”고 밝혔다.

여기서 문제는 바로 DB관리자에 대한 통제가 안되고 있다는 점이다. DB보안의 근간은 내부자를 통제하는데 있다. DB를 관리하는 자에 대한 통제가 명확하게 이루어지지 않는다면 아무런 소용이 없기 때문이다. 

또 다른 DB보안 기업 관계자는 “DB보안 프로젝트를 위해 기업에 들어가 보면 DB관리자들이 싫어하는 경우가 많다”며 “DB보안 프로그램이 자신들을 통제하려는 의도가 있다고 생각한다”고 말해 원활한 보안 설정이 안되고 있음을 시사했다. 

한마디로 말해 DB관리자들은 통제받는 것을 싫어하고 두려워하고 있는 것이다. 이들은 항상 보안담당자에게 “니들이 DB를 알아? 모르면 우리가 하는데로 따라와”라는 식이다.

한편으로 생각하면 보안담당자의 역량부족이라고도 할 수 있다. DB보안 프로젝트 때문에 DB관리자와 대화를 하다보면 DB를 잘 모르기 때문에 DB관리자에게 주도권을 빼앗기기 일쑤다. 그래서 결국 DB관리자가 하자는 대로 따라가 버리는 터무니없는 결과가 되고 만다. 정작 통제를 해야 할 대상에 대한 통제가 제대로 이루어지지 않게 된다.

한 관계자는 “처음에 DB보안 프로젝트로 시작했던 것이 DB관리자의 입김이 작용하면서 결국 DB성능분석 프로젝트로 흘러가는 경우가 많다”며 “보안담당자들의 DB에 대한 이해도가 절실하다”고 지적했다.

확인한 바에 따르면, 이러한 문제점 때문에 모 통신사 대기업에서는 DB관리자가 모르게 DB보안 프로그램을 설치해놓고 사용하고 있다고 한다. DB보안 프로그램을 설치한다고 법석을 떨면 틀림없이 DB관리자가 관여하게 되고 결국 처음 의도했던 내부자 통제가 제대로 이루어질 수 없기 때문에 몰래 설치했다고 한다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>