내부자 기업정보 유출 사고, DB보안으로 해결하라
DB암호화·접근제어로 정보 유출 방지 … 속도 저하·표준 미비·경쟁 심화 등 걸림돌
제 1부 DB보안 주요 솔루션 현황 및 시장 동향
제 2부 DB보안 기술 동향
최근 빈번하게 발생하고 있는 내부자에 의한 기업정보 유출 사고로 기업과 개인이 막대한 피해를 입는 사례가 속출하며 비즈니스 핵심 인프라인 데이터베이스(Database) 보안에 대한 관심이 급속히 증가하고 있다.
DB보안 솔루션은 중요 정보를 데이터베이스에 보관할 시 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지할 수 있게 해준다. 최근 금융권 등에서는 내부자에 의한 고객 명단, 패스워드 등의 유출로 인한 금융사고를 방지하기 위해 DB보안 솔루션 도입을 검토중이라 관련 시장의 전망도 밝은 편이다.
특히 개인정보보호법의 발효를 앞두고 DB보안 솔루션은 기업의 선택 사항이 아닌 기업의 존폐를 결정지을 필수 사항으로 떠오르게 될 전망이다. 하지만 DB보안 솔루션은 일정한 형태의 표준이 없이 다양한 형태의 제품이 난립, 고객들이 어떤 제품을 선택해야하는지 정확한 기준이 모호하다. 또한 속도저하, 기존 시스템과의 호환성 등 아직 해결해야할 문제가 산적해 있다.
DB보안을 위한 제품들은 어떤 것들이 있으며 어떻게 활용하는 것이 좋을지 관련 업체들의 제품과 사업현황을 통해 살펴본다. <편집자>
제 1부 DB보안 주요 제품 현황 및 시장 동향
시장 선점위한 DB보안, 제품 출시 봇물
개인정보보호법 시행으로 도입 열기 ‘후끈’…
올해 약 150억원 시장 형성 기대
허가받지 않은 사용자의 DB 접근을 제한하고 내부자에 의해 DB가 유출됐다 하더라도 DB를 활용하지 못하도록 접근제어, 암호화, 감사를 수행하는 DB보안 솔루션이 최근 개인정보보호법의 발효와 맞물려 주목을 끌고 있다. 특히 최근 빈번하게 발생하고 있는 고객정보유출 사고로 인해 전자상거래 포털사이트, 공공기관 등이 DB보안 솔루션 도입을 속속 추진하고 있다.
이에 따라 데이터 베이스의 속도저하를 우려해 DB의 접근제어, 감사 등을 수행하는 제품과 일부를 암호화하는 소극적인 DB 보안 솔루션부터 DB 자체를 통채로 암호화하는 솔루션, 네트워크와 연동한 하드웨어 일체형, 개인 PC용 DB보안까지 다양한 DB보안 제품들의 출시가 봇물을 이루고 있다. 그러나 기업의 중요 자산인 민감한 DB를 다루고 있기 때문에 DB 보안 솔루션에 대한 고객들의 접근은 조심스러운 편이다. 필요성을 인지하고 있지만 어떤 제품을 선택해야할지, 자사에 맞는 솔루션은 무엇인지 선택하기가 쉽지 않다는 것.
이에 DB보안 솔루션을 어떻게 활용해야 좋을지, 각 제품들은 어떤 특징을 갖고 있으며 내게 맞는 솔루션은 무엇인지, 관련 업체들의 시장 동향을 통해 DB보안 솔루션의 가이드 라인을 제시해본다.
|장윤정 기자·linda@datanet.co.kr|
인터넷 사용의 폭발적인 증가 및 국가 차원의 전자정부 구축, 디지털 콘텐츠 사업 지원 등의 확대에 따라 중요 정보에 대한 DB는 갈수록 쌓여가고 있다. 하지만 이런 DB들이 어떻게 관리되고 있을까?
관련전문가들은 “DB를 전문적으로 관리하는 인원도 부족하고 개인정보 보호 인식 부족 등으로 실상 DB에 대한 체계화된 관리, 보안은 거의 전무하다시피 했다”며 “특히 그간 외부로부터의 침입에는 민감해 해킹, 웜 등을 방지하기 위한 방화벽, IPS 등의 도입에 열을 올렸으나 내부 사용자를 단속함에 있어 거의 신경쓰지 못한 실정”이라고 언급한다.
각종 조사에 따르면, 조직 내에서 발생하는 정보 침해 사고의 70% 이상이 내부자에 의해 발생하는 것으로 분석되고 있다. 한국산업기술진흥원 조사에 따르면 조직 내 산업기술정보 유출자의 90% 이상이 현직/퇴직 사원이 차지하고 있다. 또 경찰청 집계에 따르면 내부자에 의한 정보유출 및 해킹 등의 범죄건수는 지난 2000년 278건에서 2001년 7천595건으로 급증했으며 그 이후에도 2배 이상씩 해마다 급격히 증가하는 추세다.
관련 전문가들은 “네트워크나 IT 시스템 보안에 국한된 것이 아니라 기업 전체의 정보보호를 위한 보안체계가 시급하다”며 “특히 내부 사용자들을 단속할 수 있는 특화된 정보보호 제품이 필요하며 기업 주요 정보, 고객 개인정보 등과 같은 외부 유출이 우려되는 DB를 보안할 수 있는 전용 보안 제품이 시급하다”고 언급하고 있다.
기업중요 자산 1호 DB를 보안하라
그동안 국내 보안시장을 주도해왔던 것은 해킹 및 바이러스 등의 외부침입에 효과적으로 대응할 방화벽, VPN 등의 외부침입 방지장치였다. 하지만 빈번하게 발발하고 있는 금융권 등에서의 횡령, 고객 DB유출 등 내부자 정보유출 사고는 해당 기업을 금전적 손실뿐만 아니라 고객의 불신, 기업이미지 하락 등 돈으로 환산할 수 없는 막대한 피해를 입게 한다.
국내에서도 피해사례는 갈수록 증가하는 추세다. 지난해 2월 은행 전산망 조작으로 거액의 인출 사건이 일어났으며 쇼핑몰 등의 해킹으로 10만명의 개인정보가 유출된 사고도 있었다. 또 지난 3월에는 대형 쇼핑몰의 데이터 유출 사고로 주요 일간지에 사과광고를 게재하는 등 사고가 잇따르고 있다. 특히 기업의 데이터베이스는 조직내에서 필요로 하는 정보를 체계적으로 축적하여 그 조직내의 이용자에게 필요한 정보를 제공하는 정보서비스 기관의 심장부에 해당된다. 따라서 데이터베이스에 대한 해킹이나 내부 사용자에 의한 누출은 기업의 신뢰성에 심각한 손상을 입혀 기업의 이미지 하락을 물론 금전적인 피해까지도 이어진다. 정부에서도 잇따른 정보 유출 사고로 인해 개인정보보호법 발효를 앞당길 조짐이다. 올 하반기로 예정돼 있던 개인정보보호법은 연초 예상보다 빨리 시행될 계획이며 이에 따라 사고 발생시 집단소송, 피해보상 등이 겹쳐진다면 기업에 막대한 손실을 일으킬 위험이 있다.
이미 가까운 일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션들이 속속 구축되고 있는 실정이며 미국, 유럽 등에서도 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 등으로 기업, 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보리스크에 대한 대비를 촉구하고 있다. 업계의 전문가들은 “완벽한 보안이란 불가능하며 결국 정보의 누출은 불가피할지 모른다”며 “따라서 정보가 누출될 수 있는 가능성을 최소화하며 설혹 누출되더라도 피해를 최소화할 수 있도록 시스템적인 보완이 필수다”고 언급하고 있다.
그렇다면 기업의 주요 자산인 데이터베이스를 보호할 수 있는 DB보안 솔루션이란 무엇일까?
DB보안 솔루션은 중요 정보를 데이터베이스에 보관할 시 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지하는 솔루션이다. DB보안은 크게 DB 사용자의 접근을 제어하는 방식과 DB 자체를 암·복호화하는 방식으로 나뉜다.
접근제어 방식의 경우 웨어밸리, 바넷정보기술, 피엠피시큐어 등 업체들이 포진하고 있다. 이들 업체는 DB에 대한 SQL(질의) 작업시 별도 서버에서 가상계정이 부여된 사용자만 접근이 가능하도록 해 비인가자의 DB접근을 원천 차단하며 해당 로그정보 저장·분석 기능이 탑재돼 DB가 유출되더라도 추적이 가능한 솔루션을 공급하고 있다.
또 최근에는 펜타시큐리티, 위즈메카 등이 DB 컬럼 단위로 선택적인 암호화를 통해 암복호화 권한과 암호가 없는 사용자에 의한 정보 유출과 사후 해독을 차단하는 ‘암복호화 방식’의 솔루션을 공급하기 시작했다. 또 소프트포럼, 이니텍, 케이사인, 한국전자인증 등은 DB에 PKI 기반의 암호화 및 전자서명을 적용해 특정 필드를 암호화하는 솔루션을 제공하고 있다. 나아가 파수닷컴 등은 기존 문서보안 솔루션을 응용해 개인 PC에 DB를 저장할 때 암호화하고 이를 로그관리할 수 있는 DB보안 솔루션 등도 내놓고 있어 DB보안은 다각도에서 접근이 이뤄지고 있는 추세다.
데이터베이스 SI 사업에서 쌓인 노하우를 바탕으로 DB보안에 접근하는 웨어밸리, 바넷정보기술 등은 DB에 대한 이해와 노하우를 기반으로 직접적인 암호화보다 접근제어, 감사 등에 특화된 제품으로 DB보안 시장에 접근하고 있다.
네트워크 및 서버 단계에서 DB에 대한 접근을 통제하는 솔루션인 DB 접근제어 솔루션은 DBMS에 부하를 주지 않고 SQL을 실시간 감시할 수 있도록 패시브 모드, 인라인 모드, IP포워드 모드 등으로 보안을 적용, DB보안에 필수적으로 발생할 수밖에 없는 속도저하를 최소화할 수 있다는 장점이 있다. 또한 사전 정보 접근 통제 및 사후 정보보호 감시체계로 구성되며 인가된 사용자를 어떻게 통제하고 감시할 것인가에 초점을 맞추고 있다.
웨어밸리(대표 손삼수)의 ‘샤크라(Chakra)’는 데이터베이스의 접근을 실시간으로 추적하고 감시하는 데이터베이스 보안 솔루션이다. 데이터베이스 서버에 누가, 언제, 어디서, 어떤 데이터를 조회 또는 변경했는지 100% 기록함으로써 데이터 유출 사고를 미리 방지하는 데 초점을 맞췄다. 또 사전접근통제용 ‘트러스티드 오렌지(TRUSTED Orange)’도 보유하고 있다.
웨어밸리 컨설팅 본부 김병철 본부장은 “이미 인가된 사용자가 접근할 수 있는 DB를 암호화하는 것보다 기록, 탐지, 감사에 초점을 맞춘 웨어밸리의 DB보안 솔루션은 써드파티 솔루션으로 성능저하 없이 DB에 생길 수 있는 사고를 사전, 사후 보안하는 것이 특징”이라며 “샤크라는 패킷 스니핑 방식을 이용해 서버나 네트워크에 부하를 주지 않고 100% 쿼리를 로깅하며 침입탐지, 침입차단 및 후속조치를 가능케 하고 트러스티드 오렌지는 종합적인 검색을 통해 문제 발생시 실행된 SQL 문장, 실행시간, 실행 유저 등을 추적하는 기능을 제공한다”고 설명했다.
웨어밸리는 기존 고객들인 금융권을 중심으로 샤크라, 트러스티드 오렌지를 공급하며 SMB용 어플라이언스 형태의 제품도 오는 6월중 출시할 계획이다.
바넷정보기술(대표 이창하)의 ‘미들만(Middleman)’은 내부 전산 정보의 유출·조작 등을 방지하기 위해 사전·사후 접근통제 기능을 제공한다. 게이트웨이 방식에 의한 DB접근제어 및 감사와 모니터링 시스템으로 내부사용자(IT부서직원 및 아웃소싱 업체 직원)에 의한 데이터 오남용 및 외부유출 방지 솔루션. 특징으로는 중요한 DB 작업은 온라인상으로 책임자의 승인 후 작업이 실행되도록 하며, 이 경우 모든 작업이력은 로그 DB에 저장한다. 기타 조회작업에 있어서는 개인별 조회건수, 다운로드 허용여부 등을 내부 보안정책에 따라 선택할 수 있는 옵션 기능을 내재하고 있다. 또 개인별 ID 관리를 통해 DB에 대한 사전접근을 통제하고 사고 발생 후 모니터링 및 이력관리 기능으로 원인을 추적, 분석할 수 있다.
한국증권금융에 미들만을 공급한 바넷정보기술은 올해 일본 시장 진출 등도 고려하며 금융, 공공, 통신, 제조 등 데이터베이스를 보유한 모든 회사들을 타깃으로 영업을 강화할 방침이다.
바넷정보기술의 김덕형 이사는 “태생자체가 금융권 현장에서 실무적인 요구에 의해 개발된 제품이어서 일반 연구소에서 이론적인 접근을 통해 개발된 제품이 가지는 한계성을 극복 가능한 것이 미들만의 장점”이라며 “금융권 마케팅은 직판에 주력하고, 비 금융권은 일반 및 공공기관을 분류하여 전문영업채널 구축을 통한 영업력 극대화를 통해 국내시장 석권을 목표로 하고 있다”고 언급했다.
역시 게이트웨이 방식의 권한제어 솔루션인 피앤피시큐어(대표 박천오)의 ‘DB세이퍼(DB Safer)’는 모든 DB 접속 요청이 DB 보안 게이트웨이를 통해 처리되며 게이트웨이 방식만이 할 수 있는 보안기능으로 DB 서버에 명령을 입력하기 전에 DB세이퍼가 보안 정책에 의해 차단이 가능하다. 접속제어, 권한제어, SQL 감시 및 로깅, 보고서 등의 기능을 제공하며 바이패스 기능으로 네트워크 중단사태를 방지해주며 속도 문제도 해결해 준다.
피앤피시큐어의 박천오 사장은 “DB세이퍼는 오라클 커넥션을 유지하면서 사용자가 모르게 처리, 로그 자체를 DB에 쌓으면서도 시스템에 부하를 안 가게 하는 것이 특징이다”며 “DB에 로그를 넣으면 하드웨어 성능이 급격히 떨어지는 것이 문제인데 그 문제를 해결했다. DB보안을 적용하면 성능이 떨어지는 건 당연하지만 사용자가 느낄 만큼의 속도는 아니다”라고 언급했다. 피앤피시큐어의 DB보안 제품은 현재 오라클 DBMS 중심이지만 싸이베이스, MS SQL 등을 제공하는 제품을 3/4분기에 개발할 예정이다. 또 텔넷보안을 강화시키는 신제품도 개발중이다. 서울대, 기획예산처, 성남시청, 파주시청 등의 레퍼런스를 보유하고 있는 피앤피시큐어는 관공서 등 공공 기관을 타깃으로 집중 영업하며 금융권 고객도 강화, 올해 약 18억원 이상의 매출을 올린다는 방침이다.
DB 자체 암호화로 안전보장 ‘OK’
하지만 DB에 가능한 부하를 최소화하면서 DB의 사전 접근 제어, 사후 감사 등을 통해 DB의 안전한 사용을 보장하는 컨셉도 좋지만 만약 DB가 유출됐을 시에는 접근제어 솔루션 만으로는 해결할 수가 없다. 이에 DB자체를 암호화, 데이터 유출시에도 안전을 보장할 수가 있는 DB암호화 솔루션도 속속 출시되고 있다. DB 자체를 암호화하는 솔루션은 해킹 및 내부 사용자의 DB 유출시에도 DB의 불법적인 사용을 차단할 수 있다는 점에서 각광받고 있다.
지난해 초반부터 제품을 출시, 선발업체로 기반을 다진 펜타시큐리티(대표 이석우)는 DB보안 솔루션인 ‘디아모(D’Amo)’를 올해의 주력사업으로 레퍼런스 확보에 박차를 가할 방침이다. 오라클 DB에 적용 가능한 디아모는 기업내 DB보안 정책 수립 및 적용, 암호화된 컬럼에 대한 세분화된 접근 컬럼 및 부여 등의 기능을 제공하며, 타사보다 풍부한 고객사 지원 노하우를 내세운다.
DB내 주요 데이터를 컬럼 단위로 암호화해 성능 저하를 최소화하며 총 16단계의 암호화 작업으로 암호화 설정 및 제거 작업 중 에러가 발생되면 자동 롤백 또는 수정 후 작업이 진행되기 때문에 기업의 연속성을 보장할 수 있다. 또한 디아모는 DB에 직접 탑재돼 설치가 간단하다는 것이 장점이며 장비와 네트워크 구성 변경 등의 기존 시스템 변경이 전혀 없다.
펜타시큐리티 기술지원팀 이종의 부장은 “지난해보다 올해 DB보안에 대한 고객들의 문의가부쩍 늘어 올 하반기쯤되면 본격적으로 DB보안 시장이 꽃을 피울 수 있을 것”이라며 “DB보안의 성격이 아니면서도 DB보안 기능이 가능하다고 언급하는 업체들이 많아 업체간 난립, 출혈 경쟁 등이 우려된다. 고객들이 제품 성능을 신중히 살펴보고 선택해야할 것”이라고 조언했다.
펜타시큐리티는 최근 공정거래위원회와 정읍시청에 디아모를 공급한 것을 비롯해 기업은행, 수출입은행 등 금융권과 경찰청, 부패방지위원회, 서울시청, 울산시 교육청, 그리고 서울대학교 등 다수의 고객사를 확보하고 있다.
지난 3월 DB보안 사업을 위해 설립된 위즈메카(대표 오영섭)은 미국 프로테그리티의 ‘시큐어닷데이터(Secure.Data)’의 총판이다.
시큐어닷데이터는 필드 및 사용자 레벨에서의 보안 감사 정보를 제공하며 DB관리와 보안 관리의 권한분리, 테이블내 특정 컬럼의 암호화, 접근제어, DB 접근에 대한 감사 로그, 키관리, AES, 3-DES 등 국제 표준 암호화 알고리즘 적용 등이 특징이다. 또한 오라클 DB뿐만 아니라 MS SQL, DB2, 사이베이스, 인포믹스, 테라데이타 등 거의 모든 시중에 나와 있는 DBMS를 지원할 수 있다. 솔라리스, 윈도, 리눅스, NCR 등 운영체계도 모두 지원한다. 시큐어닷데이터 역시 DB에 직접 엔진이 창착되지만 애플리케이션에서 암호화를 적용해도 인덱스를 타고 내려오기 때문에 성능 저하를 5% 내외로 안정화시킨 것도 장점으로 내세운다.
위즈메카의 오영섭 사장은 “시큐어닷데이터의 특성은 성능과 안정성으로 글로벌한 노하우가 보장된 제품”이라며 “오라클 등 DBMS의 사상과 함께 개발됐기 때문에 오라클 등의 업데이트가 이뤄지면 소스 코딩 없이 바로 커스트마이징 해줄 수 있어 적용이 손쉽다”고 언급했다. 또 그는 “가격은 다소 비싸지만 제품의 품질과 AS 측면에서 결코 떨어지지 않는 제품이다”며 “혹여라도 DB에 영향을 주지 않는지 걱정하는 고객들을 위해 부분적으로 적용시켜가며 검증되면 전사적으로 도입하는 것을 권유하고 있다”고 덧붙였다.
위즈메카는 현재 대주주이자 주요 리셀러인 퓨처인포넷을 비롯해 리셀러를 모집중이다. 향후 리셀러 중심으로 판매할 계획이며 주요 고객 대상의 타깃마케팅으로 인지도를 높이는데 우선 주력할 방침이다.
PKI 암호화로 한층 강화된 DB 보안 ‘약속’
이처럼 DB의 특정 부분을 컬럼 단위로 암호화시키고 DB 자체에 직접 탑재되는 디아모, 시큐어닷데이터와는 조금 다르지만 역시 DB암복호화를 통해 DB를 보안하는 제품을 출시하고 있는 소프트포럼, 이니텍 등의 제품도 서서히 세력을 넓혀가는 중이다. 주로 PKI 기반의 암호화를 수행하던 업체들에서 암호화 기법에 대한 노하우를 적용시켜 제품 출시를 서두르고 있는데 이 제품들은 DB와 별도로 서비스 서버 등에서 DBMS와 연동해 DB암복호화를 수행하는 것이 특징이다.
소프트포럼(대표 김상철·정현철)은 ‘엑스시큐어(Xecure)DB 스탠더드’와 ‘엑스시큐어 DB 엔터프라이즈’ 두 종류의 제품을 구비하고 있다. 엑스시큐어 DB는 애플리케이션과 연동해 데이터 암복호화를 수행하는 방식의 DB암호화 제품이며 엑스시큐어 DB 엔터프라이즈는 DBMS와 연동해 데이터 암복호화를 수행하는 방식의 DB 암호화 제품이다. 이 제품은 애플리케이션 수정이 필요 없어 적용이 간편하나 애플리케이션 서버와 DB서버 간 구간 암호화를 고려해야 한다.
DBMS와 연동한 DB 암/복호화, 전자서명, 검증 기능, 데이터의 선택적 암/복호화, 전자서명, 검증 기능, PKI를 이용한 관리자 인증, 키 관리 기능, 암/복호화에 관련된 키의 안전한 관리, 암/복호화 응답 성능 증대를 위한 캐시 기법 구현 등이 엑스시큐어 DB 시리즈의 장점이다.
소프트포럼도 PKI 등에서 쌓은 노하우와 기술력을 접목시켜 자사의 DB보안 솔루션 ‘엑스시큐어(Xecure)DB 엔터프라이즈’에 접목시킬 계획이다. 소프트포럼 아이덴티티 솔루션 개발팀 심문수 팀장은 “현재 기존 엑스시큐어 DB 엔터프라이즈의 제품외에도 ‘시큐어 DB 스탠더드’ 버전 업그레이드 출시를 위해 DB전문업체와 공동개발한 제품이 곧 발표될 것”이라며, “공공 기업 금융기관 등 전 기관에 걸쳐 폭넓게 영업할 방침”이라고 밝혔다. 또 소프트포럼은 삼성카드, 롯데카드, 금융결제원, 국세청, 서울교통카드, 모디아 등에 엑스시큐어 DB를 공급, 올해 레퍼런스를 전방위로 넓혀갈 계획이다.
지난해 10월에 출시된 이니텍(대표 김재근)의 ‘세이프(Safe) DB’는 데이터베이스에 저장된 데이터를 암호화하고 데이터베이스에 대한 접근을 제어함으로써 중요한 데이터를 보호할 수 있는 데이터베이스 보안 솔루션이다. 세이프 DB는 데이터베이스에 저장된 데이터를 암/복호화하기 위해 애플리케이션의 수정이나 별도의 개발 과정 없이 데이터베이스에 추가 설치하는 과정만으로 중요 데이터를 암호화하고 간편하게 보안정책을 적용할 수 있는 것이 장점이다.
또한 허가된 사용자 이외에는 암호화된 정보에 접근할 수 없도록 함으로써 보안을 강화했고, 데이터베이스 관리자도 보안관리자의 승인 없이는 암호화된 정보를 조회하거나 수정, 삭제할 수 없어 내부자에 의한 정보 유출을 방지할 수 있다. 키의 안전한 저장 및 관리를 위한 하드웨어 방식의 스마트 카드도 지원한다. 아직 오라클 버전만을 지원하지만 곧 사이베이스와 인포믹스 지원용으로 업그레이드할 방침이다. 한편 이니텍은 기존에 보유한 ‘이니세이프(INISAFE) DB 프로텍터(Protector)’ 제품과 새로 출시한 세이프 DB를 연동해 시너지를 높일 방침이다.
이니텍의 보안사업부 이홍일 팀장은 “DB보안의 가장 큰 관건은 성능이다”며 “PKI 등은 강제사항으로 정부에서 설치를 권유하지만 기업의 주요 정보가 담겨있는 DBMS는 상당히 민감한 부분이라 강제사항이 적용된다 해도 성능 저하를 꺼려 고객들이 적용하는데 주저한다”고 언급했다. 또 그는 “이에 따라 이니텍은 성능에 가장 적은 영향을 미치는 제품을 개발하는 한편 대형 레퍼런스 확보에 가장 큰 주안점을 둘 예정”이라고 언급했다.
올해 말경 출시 예정인 케이사인(대표 최승락)의 ‘케이사인 시큐어(KSignSecure)DB’는 DB 암호화를 위해 성능적인 측면을 고려한 대칭 키 사용 및 키 관리 안전성 확보를 위해 키 프로파일 관리 목적의 PKI 기술을 조합, 사용함으로 성능적, 보안적 수준을 강화한 제품이다.
케이사인 시큐어 DB는 개인정보보호를 위해 개인별 키 프로파일 관리를 통해 개별적 개인정보 접근 통제에 따른 프라이버스 보안 기능을 제공하며 필드별, 정보별 암호 키를 별도 사용할 수 있도록 함으로 암호 키 파괴 및 노출에 대한 피해를 최소화할 수 있다.
또한 암호화 키의 안전성 보장을 위해 주기적인 키 갱신 처리에서 다수의 키를 사용하고 사용되는 키의 갱신 주기의 분산화 처리로 인한 성능적으로 발생하는 문제점을 미연에 해결할 수 있는 메커니즘을 제공할 계획이다.
케이사인 구자동 연구소장은 “비교적 후발로 출시되는 만큼 차별화된 요소를 갖기 위해 케이사인은 PKI, EAM, SSO 등 기존 제품들과 결합된 기능의 좀더 견고한 보안솔루션으로 출시, 기술력으로 승부할 것”이라며 “개인정보보호법이 시행될 하반기와 맞물려 제품을 출시하고 우선 공공 기관 등을 중심으로 영업한다는 방침”이라고 언급했다. 또 그는 “케이사인 시큐어 DB는 데이터 암호화키는 제공 서비스 외부에 노출되지 않고, 데이터 암/복호화 시점에만 인가된 자에게 해당 암호 키를 제공하기 때문에 안전한 암호화 관리가 가능하다”며 “특히 데이터를 필드(컬럼)보다 미세한 로우(레코드)별로 암/복호화를 시킬 수 있어 성적 등 같은 종류의 데이터에 대해 권한별로 데이터 접근허용 범위를 다양화할 수 있는 것이 장점”이라고 강조했다.
네트워크·PC단위의 DB보안까지 책임진다
한편 S/W타입의 DB보안 솔루션이 주류를 이루고 있는 가운데 한국전자증명원(대표 이재동)은 美 인그리안사의 하드웨어 일체형 DB 암호화 솔루션 ‘데이터시큐어’를 출시, 판매하고 있다.
이 제품은 DB서버 뿐 아니라 애플리케이션 서버, 웹서버에 연동되며 인터넷 환경에서 데이터를 암호화된 상태로 전송, 저장한다. 보안 적용대상 서버의 플랫폼에 상관없이 설치가 가능하며 오라클, MS SQL, DB2, 사이베이스, 인포믹스 등을 적용할 수 있다. SAN, NAS 환경의 DB암호화도 가능하며 어플라이언스 타입이기 때문에 환경 변화에 따른 위험성도 최소화되고 다량의 애플리케이션/DB 서버와도 연동될 수 있다는 것도 장점이다.
데이터시큐어는 FIPS 지원과 리던던시 지원의 ‘i211, i215, i221, i225’의 4가지 형태의 모델이 있으며 최상위 모델인 i225는 기가비트 인터페이스를 지원한다.
한국전자증명원의 솔루션사업부 박태희 과장은 “하드웨어 형태의 제품이라 네트워크에 붙어 동작하기 때문에 위치적으로 유연성, 호환성이 뛰어나다”며 “소프트웨어적으로 DB에 직접 설치되는 것이 아니라서 DB에 주는 부하가 적어 속도 저하 걱정이 없다. 특히 기가비트급 성능을 제공하는 하이엔드 모델도 있어 전체 네트워크 속도 저하를 우려하는 고객들의 걱정도 덜었다”고 언급했다.
한국전자증명원은 금융, 통신, 대기업, 공공 등에 활발히 영업중이며 상반기까지는 우선 인지도를 알리는데 주력하며 하반기부터 본격 기술력으로 승부한다는 방침이다.
또한 문서보안 솔루션을 주력으로 시장에 공급하던 파수닷컴(대표 조규곤)은 최근 자사의 문서보안 솔루션 기술을 활용해 DB보안에 접목시킨 솔루션을 공급중이다.
파수닷컴은 파일전달 솔루션 랩소디, 문서전달 솔루션 FSD를 응용해 파일 생성시의 암호화, 사용내역, 로그관리 등의 기능을 제공한다. 한마디로 개인용 PC에 저장할 때 암호화할 수 있도록 지원하는 파수닷컴의 솔루션은 쇼핑몰 등에서 택배사나 아웃소싱 업체로 DB를 넘겨주고 받을 때 DB가 유출될 수 있는 가능성을 최소화하기 위해 개발됐다.
로그로 남겨야 하는 일련번호, 형태, 일시, 목적, 행위를 한 사람의 소속 및 성명, 전달 받을 자, 파기 일자의 7가지 항목에 대해서 관리할 수 있도록 제품을 공급중이며 DRM의 원천 기술을 응용해 DB에 적용시킨 것이 특징이다.
파수닷컴의 사업부 김규봉 부장은 “DB를 조회하는 사용자를 통해 유출되는 경우가 많아 이에 대비하기 위해 개발된 파수닷컴의 DB보안 솔루션은 경쟁사들이 갖지 못하는 ‘추적관리기술’이 파수닷컴의 장점이다”라며 “파수닷컴의 제품은 외부에서 사용시 자동으로 로그가 남는 특징으로 외부 유출을 방지하고 외부 유출시 이에 대한 추적이 가능하다”고 언급했다.
파수닷컴은 중소기업들이 요구가 많기 때문에 가격정책은 유연하게 가져갈 예정이다. 기존 랩소디 서비스의 ASP 서비스와 맞물려 DB보안 솔루션도 ASP 서비스를 개시, 고객들이 초기에 큰 투자비용 없이 구축가능토록 ASP형 서비스를 준비중이다. 쇼핑몰, 유통업체, 운수업체, 숙박업, 학원 등을 주 타깃으로 영업하고 있는 파수닷컴은 최근 고객들의 문의가 줄을 이어 올해 DB보안과 관련해 10억원 이상의 매출을 올릴 수 있을 것으로 기대하고 있다.
올해 약 150억원 시장 형성 기대
이처럼 다양한 방식의 DB 보안 솔루션들이 격돌을 벌이고 있는 가운데 올해 국내 DB보안 시장은 약 150억원 이상의 시장을 형성할 전망이다. 본지의 조사에 의하면 국내 주요 DB보안 업체들은 약 200억원 가량의 예상매출액을 제시했지만 다소 부풀려진 경향이 크고 전체 보안 시장 규모 등을 감안할 때 DB보안에 대한 도입이 활발하다면 약 150억원 가량의 시장 형성을 기대할 수 있을 것으로 전망된다.
지난해 고작 20억~30억원대의 시장을 형성했던 것에 비하면 엄청난 성장을 기대하는 것인데 이에 대해 업계의 관계자들은 개인정보보호법 발효에 대한 기대심리와 도처에서 발생되고 있는 보안 사고로 기업들의 경각심이 고조돼 DB보안에 대한 요구가 갈수록 커지고 있기 때문에 기대해 볼만한 수치라고 언급한다.
DB보안 제품을 출시하고 있는 업체들은 공공, 금융 등이 우선 주 고객으로 떠오를 전망이라고 이구동성으로 언급하고 있다. 특히 금융 기관의 요구가 강하며 공공과 통신 등 고객서비스를 우선하는 곳에서도 DB보안에 대한 필요성이 대두되고 있다.
한 업계의 관계자는 “올해는 DB보안 암호화의 원년이 될 것”이라며 “대다수의 업체들이 금융권을 타깃으로 주로 생각하지만 고객의 정보를 취급하는 모든 곳이 고객이 될 수 있다. 따라서 시장은 엄청나다”고 언급했다.
지금까지 국내 DB 보안은 암호화나 인증 또는 접근통제 방식 등의 기술적 관점에서 논의돼 왔다. 그러나 데이터베이스는 조직의 가장 내부에 존재하는 정보이고 이미 인가된 사용자들만 접근할 수 있다는 것을 기본 조건으로 한다. 즉 DB 보안이라는 개념이 일반적인 보안의 의미가 아니라 데이터베이스 관리자 등의 인가된 사용자들의 작업 내역에 대한 감사, 내부 사용자들의 자료 유출 방지 등의 의미로 초점이 맞춰져야 한다는 것이다.
따라서 DB보안은 기술적 관점이 아닌 경영적, 조직적, 프로세스적 관점으로 논의돼야 한다. 보안 담당자와 외부 침입 방시 시스템이나 DB 암호화, 인증시스템 등의 기술적 인프라에 대하여 논하는 하부적인 방식이 아니라 CEO 또는 CIO가 기업 정보자산에 대한 보안 전략을 수립하고 그에 따른 조직을 운영하고 업무 절차를 수립한 후 효율적인 보안 임프라를 구축하는 전사적 체제의 보안 방식으로 운영돼야 한다는 것.
업계의 전문가들은 “문제가 있는 것을 고객들이 알지만 일단 효과가 눈에 보이는 부분부터 치중하는 경향이 있다. DB보안을 안했다고 윗선에서 지침이 내려오는 것도 아니라서 일선에서 DB보안은 IPS 등과 같은 눈에 보이는 보안제품보다 밀리는 경향이 있다”며 “IPS나 방화벽 등을 설치하는 이유도 궁극적으로는 서버의 데이터베이스를 보안하기 위한 것이다. DB보안은 기업의 핵심이다”고 언급하는 등 경영자들의 DB보안에 대한 각성을 촉구하고 있다.
국내에서도 DB보안 시스템이 단지 DB에 대한 접근을 막는 한정적인 의미에 멈출 것이 아니라 기업의 가장 근간이 되는 중요 정보자산에 대한 궁극적인 보호와 건전한 운영을 위한 전사적인 경영 전략과 그에 따른 시스템 운영의 방식으로 인식되어야 할 것이다. 그리고 그런 움직임은 이미 고객들로부터 시작돼 올해 국내 DB보안 시장은 개화의 원년으로 향후 지속적인 성장이 기대되고 있다.
인지도 확보·고객 마인드 전환 관건
하지만 DB보안 솔루션은 아직 정형화된 표준이 없고 SI성으로 진행되는 경우가 많다. 또 DB에 보안을 걸면 어떤 방식으로 적용시키든 적용전보다 시스템의 속도가 느려지기 마련이다. 따라서 속도저하를 꺼리는 관리자들에 의해 DB보안 솔루션 도입이 쉽게 이뤄지지는 못한다. 한 업계의 관계자는 “DB보안 솔루션을 제공하는 업체들은 고객들의 속도와 편이성을 최우선으로 고려해야한다. 절대 사용자에게 불편을 줘서는 안된다”며 “정보를 보호해주는 바탕위에서 성능과 안정성이 보장돼야만 DB보안이 진정으로 확산될 수 있을 것”이라고 언급했다.
또 기존 애플리케이션을 얼마나 수정해야 하는지 기존 시스템과의 호환성 등도 걸림돌이 되고 있으며 무엇보다 DB보안에 대한 고객들의 인식이 부족하다는 점이 DB보안 확산의 근본적인 문제라고 지적한다. 관련 전문가들은 “개인정보에 대해 보안해야하는 필요성은 공감하지만 그 정도가 약하다”며 ”주요정보는 반드시 암호화해서 저장해야하며 권한에 따른 접근제어가 반드시 필요할 것“이라고 언급하고 있다.
그러나 가장 큰 문제는 DB보안의 시장 활성화를 기대하며 무분별하게 진입하고 있는 업체들의 난립이다. 앞서 살펴본 것처럼 DB보안은 데이터베이스에 접근하는 방식이 여러 가지이고 다양한 형태의 제품이 공존하고 있어 제품 선택에 고객들의 혼란이 우려된다. 따라서 고객들은 자사의 상황을 우선적으로 파악한 후 자사의 형태에 가장 적합한 제품을 고르는 현명한 선택이 요구되고 있다. 즉 시스템 성능을 최우선으로 고려하고 있는 고객이나 내부 사용자에 대한 정보 유출의 가능성이 낮다고 판단된다면 예방적 의미로 접근제어, 사후 감사 솔루션 등이 적합할 것이다.
반면 아웃소싱 업체를 많이 활용하고 있거나 다양한 사용자들이 DB에 접근할 가능성이 있다면 DB자체를 암호화하는 솔루션 등이 적합하다. 공급 업체들도 자사의 제품이 최고라는 식으로 선전하기 보다 고객 상황을 먼저 살피고 이에 적합한 제품을 공급, 시장 자체를 키워나가려는 노력이 선행돼야할 것이다.
현재 대부분의 기업은 중요 데이터에 대한 데이터베이스 의존도가 증가하고 있으며 주요 정보에 대한 침해사고 및 도용, 악용사례가 늘어나는 추세다. 고객정보, 금융정보 등 정보 유출시 심각한 피해가 발생할 수 있으며 이는 기업 이미지 추락으로 이어져 금액으로 환산할 수 없는 피해를 입히게 된다.
따라서 이런 문제를 해결하기 위해 DB에 대한 전문적이고 강력한 보안 솔루션의 필요성이 대두되는 것이다. DB보안은 주요 DB의 유출을 방지하고 고객의 신뢰성을 향상시키며 기업 정책 및 가이드라인을 만족시키는 솔루션으로 그 유용성이 점차 증대될 전망이다
