[DB보안-5]“DB보안, 기업니즈 갈수록 커질 것”

DB보안, 2012년 약 325억 원의 시장규모로 성장 예측

DB보안이 올해 하반기 보안 키워드로 작용한데에는 GS칼텍스 개인정보 유출사건의 힘이 컸다. 이에 ‘GS칼텍스 사건을 통해 본 DB보안’을 시작으로 내부정보가 유출됨에 따른 위험성과 그 심각성 등을 다루었다. 이는 이번 장에서 다룰 ‘DB보안, 왜 필요한가?’를 도출해 내기 위한 것이었다고 여긴다. 그렇게 DB보안 기획글을 마무리 짓는 이번 장을 통해 DB보안이 왜 필요한지를 다음과 같이 알아본다. 아울러 DB보안 제품과 업체를 소개한다. - 편집자 주 -

<순서>

1. GS칼텍스 사건을 통해 본 DB보안

2. 정부, 내부정보유출의 심각성 인식하다

3. 내부정보유출솔루션의 정립 및 소개

4. DB관리와 DB보안의 문제점

5. DB보안, 왜 필요한가?

개인정보보호를 위한 다양한 법령 시행, 산업기술의 유출방지 및 보호에 관한 법률 시행령 등의 법 제도적 이슈와 함께 고객정보의 보호 이슈 및 첨단 기술의 외부 유출 방지를 위한 기업의 노력 등의 요인에 의하여 DB보안 시장의 규모는 점진적으로 확대될 것으로 전망된다.

‘한국정보보호진흥원, 2007 국내 정보보호산업 시장 및 동향 조사’ 에 따르면 DB보안은 2012년에 약 325억 원의 시장규모로 성장해 연평균 12.0%의 성장률을 보일 것으로 예측된다.

■ 우회접속 및 네트워크 통한 DB 유출 가능

정상적인 보안시스템을 거치는 상황에서는 권한 있는 자만이 개인정보에 접근할 수 있고, 누가 어떤 정보에 접근했는지 기록되며 비정상적인 접근은 차단된다.

이에 김대환 소만사 대표는 “실제로는 보안시스템을 피해갈 수 있는 강력한 방법이 존재”한다며, “바로 텔넷이나 FTP를 통한 우회접속과 네트워크를 통한 유출이 합쳐지는 시나리오”라며 다음과 같이 설명했다.

고객정보DB에는 거의 모든 기업이 보안시스템을 설치하고 있다. 그러나 보안시스템 자체를 통과하지 않고 고객정보DB에 접근한다면 어떻게 되겠는가? 접근한 후 그 정보를 인터넷망으로 유출시켜버린다면 어떻게 되겠는가? 접근 및 유출의 흔적조차 남지 않는 상황이 생길 수 있다.

보안시스템을 우회했기 때문에 고객정보에 대한 접근단계에서 보안이 유명무실해졌고 서버에서 바로 유출시켜버림으로써 귀중한 고객정보는 인터넷의 바다에 떠다니게 된다.

또한 김대환 대표는 “개인정보보호에 있어 최악의 상황은 개인정보의 인터넷망으로의 유출이다. 이는 모든 보안조치가 종료되는 속수무책의 상황이므로 반드시 막아야 한다”며 DB보안의 필요성을 언급했다.

■ DB보안제품, 시스템 성능 영향 최소화 하는 요구조건 만족시켜야

박원규 소프트포럼 소프트웨어사업본부장은 “대부분의 데이터는 DB시스템에 그냥 평이한 형태로 저장되어 있고 DB시스템 자체의 접근 제어를 사용해 데이터를 보호하고 있다. 그러므로 DBA는 모든 데이터에 접근할 수 있게 된다”며, “내부자의 정보유출의 피해가 심각한 이때에 데이터의 이러한 보호는 개선되어야 할 것”이라고 말했다.

이어 박원규 본부장은 “이를 개선하는 방법 중에 가장 선호되는 것이 데이터를 암호화하여 저장하는 것이다. 그래서 많은 기관이나 업체들이 데이터를 암호화 하여 저장하려는 노력을 하고 있다”고 말한 뒤, “그러나 데이터를 암호화해 저장하려면 관리적인 권한 분리와 함께 키에 대한 안전하고 간단한 관리가 필요하고 더 나아가 시스템에 주는 성능의 영향은 최소화해야 하는 요구조건들을 만족 시켜야 하는 문제들이 발생하게 된다”고 지적했다.

아울러 이와 관련 김범 웨어밸리 이사는 DB보안의 필요성에 대해 “데이타베이스는 재무정보, 자산정보, 고객 정보 등 기업의 가장 중요한 정보가 저장 관리된다. 국내의 개인정보보호법을 비롯해 국제적으로 수많은 IT 컴플라이언스(Compliance)는 DB 침입 위협이나, 데이터의 무결성을 해치는 행위에 대해 대응할 수 있는 기술적 조치를 요구하고 있다”며, “방화벽ㆍIDSㆍIPS 등은 기업의 인프라를 보호하지만, DB 작업 내역이나 내부 인가자에 대한 무분별한 조회ㆍ변경은 제어하지 못한다. 누가, 언제 기밀 데이터를 조회하고 변경하는지, 비정상적으로 유출되는 데이터 작업은 없는지 DB 작업을 실시간으로 감시하고 통제하기 위하여 DB 보안 시스템은 필수로 구축돼야 한다”고 말했다.

또한 윤영필 펜타시큐리티 부장은 “요즘과 같이 모든 데이터가 DB시스템을 이용해 관리되는 경우, 데이터 보안을 위한 기술적 보안 요구사항이 바로 DB보안에 대한 요구사항”이라며, “요즘 사회적인 이슈가 되고 있는 개인정보보호와 기업 기밀정보의 유출 등도 데이터가 보관되어 있는 DB시스템을 통한 유출 사고이기 때문에 DB보안은 개인정보보 보호와 기업 정보 보호의 필수 요구사항”이라고 말했다.

인터넷의 발달로 e-비즈니스를 비롯한 전자상거래 등이 활성화 되고 다양한 정보의 교환과 공유 등이 아주 편리해져서 산업의 발달에 도움을 주고 있지만 보안이라는 해결해야 할 큰 문제가 대두되고 있다. 현재까지 많이 고려되고 구축되어온 보안은 통신상의 보안(Session protection)과 시스템의 접근 제어(Access Control)에 관계된 내용이 대부분이고 궁극적으로 저장되는 가장 중요한 데이터는 그냥 평문 상태로 저장되는 형태의 보안이 대부분이었다. 그러나 금전적으로는 시스템의 해킹으로 인한 피해보다 중요한 정보의 유출로 인한 피해가 더 크다. 경쟁사의 중요한 정보를 노리는 산업스파이나 이에 매수된 내부 직원에 의한 경쟁력 있는 노하우의 유출, 그리고 서비스하는 고객들의 개인 신상의 중요한 자료들의 유출 등에 의한 피해가 더 크다는 얘기이다.

즉 데이터에 대한 접근 관리 통제, 데이터에 대한 접근 내역 감사 등이 필요한 것이다. 또한 이러한 요구사항은 각 분야별 법규와 최근 상정된 개인정보보호법 등을 통해 강제되고 있는 만큼 DB보안에 대한 기업의 요구사항은 앞으로 더욱 커질 것이다.

◆ DB보안 관련 업체 및 제품(업체명 기준, 가나다 순)

-바넷정보기술(www.banet.co.kr) Middleman

-세이프넷코리아(www.safenet-inc.com) DataSecure

-소만사(www.somansa.com) DB-i

-소프트포럼(www.softforum.com) XecureDB

-신시웨이(www.sinsiway.com) dGriffin

-웨어밸리(www.warevalley.com) ChakraㆍTrusted OrangeㆍCyclone

-이글로벌시스템(www.eglobalsys.co.kr) CubeOne

-위즈디엔에스코리아(www.weeds.co.kr) DB-TRACE

-펜타시큐리티(www.pentasecurity.com) D’Amo

-포티넷코리아(www.fortinet.co.kr) FortiDB

-피앤피시큐어(www.pnpsecure.com) DB Safer

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)