컴플라이언스 준수를 위한 DB보안의 중요성

보안 규정에 대한 인식 개선 이뤄져야

오늘날 기업을 운영함에 있어서 데이터베이스는 가장 전략적이고 중요한 자산이다. 데이터베이스에는 고객 정보를 비롯하여 영업 정보, 경영 정보, 재정 정보 등 매우 기밀한 기업 정보들이 저장되어 있고, 이러한 정보를 기반으로 여러 가지 전략과 계획을 수립하고 있다. 현재 데이터베이스 보안 솔루션 시장이 국내·외적으로 크게 형성되진 않았지만 향후 연 평균 두 자리 수 이상의 성장률을 기록할 것으로 전망하고 있다. 이에 포티넷은 DB보안 및 웹 보안 등 새로운 영역에 진입함으로써 진정한 엔드-투-엔드 보안 솔루션 벤더로서의 비전을 실현하고 있다.

데이터베이스는 중요한 정보를 담고 있기 때문에 주요 선진 국가의 정부에서는 각 기업이 보유하고 있는 데이터베이스를 보호하고 감시하도록 강조하는 일련의 의무 규정(Compliance)을 마련하여 시행하고 있다.

또한 매해 이러한 규정들은 그 숫자가 급증하고 있어서 기업의 IT 담당자들은 관련 규정 준수 및 해당 규정을 대비하는 각종 보고서 작성 등을 비롯하여 과도한 업무량에 부담을 느끼기 시작했다. 특별히 미국, 일본, EU 등에서 부각되고 있는 최신 규정들은 다음과 같은 이슈들을 커버하고 있다.

특별히 민감한 정보에 접근하는 것에 대한 감시
금융 기록 (Financial record)의 변경에 대한 감사
내부에서의 과도한 정보 접근의 남용에 대한 보호
명확하고 포괄적인 보고서를 통해 규정을 만족하고 있다는 것을 증명

이러한 각국의 준수 규정과 관련된 중요한 이슈는 기업들의 컴플라이언스 준수가 단순한 선택의 문제만이 아니라는 것이다. 특히 미국은 몇 년 전에 발생했던 대형 에너지 회사인 엔론(Enron)의 분식회계 사건이 전대 미문의 대형 사고였음을 인식하고 이와 같은 상황이 재연되는 것을 엄격히 통제하고자 하는 대대적인 움직임을 보여 왔다.

또한 기업이 다루는 모든 중요 데이터들이 점점 더 집적화되고 있고 또 이러한 데이터가 인터넷이라는 오픈된 공간에 노출될 수 있는 개연성이 높아짐에 따라 미국 정부는 기업들에게 위의 규정들을 반드시 지킬 것을 의무화하기 시작했다.

예를 들어 SOX 규정을 지키지 않고 관련된 보고서의 생성이나 SOX 준수에 대한 증명을 첨부하지 못할 경우, 재무 보고서를 공개하지도 못할 뿐만 아니라 해당 기업의 C-level 임원들은 심지어 법정 구속과 일정한 기간을 구형 받을 수도 있다.

반면 국내의 경우 아쉽게도 정도의 강제성을 부여하고 있지는 않은 듯 하나, 최근 몇 년에 걸친 대형 보안 사고(GS 칼텍스 사건, 옥션 사건, (구)하나로 통신 정보 유출 사건 등)의 여파로 인해 이러한 규정에 대한 인식 개선이 이루어지고 있다고 봐야 할 것이다.

데이터베이스 보안 관련 시장 및 기술 동향

현재 국내외 및 국내 시장에서 판매되고 있는 대부분의 데이터베이스 보안 솔루션 업체들은 아래의 기능들을 보유하고 있다.

데이터 베이스 암호화
데이터 베이스 접근 제어
내부 사용자들의 비 정상적 사용에 대한 감시 및 관리
데이터 베이스 취약점 분석
데이터 베이스 관리 특권 남용에 대한 관리
데이터 베이스 및 관련 플랫폼 공격 보호
데이터 베이스 행위 감시 및 포렌식
권한 변경에 대한 추적 및 관리
각종 규정(Compliance)에 대한 지원
설치의 단순화 및 중앙 집중 관리 기능 부여
성능 저하 최소화

국내의 데이터 베이스 보안 시장의 특성은 1) 다수의 경쟁력 있는 로컬 벤더가 시장 주도 2) 암호화 및 접근제어 기능 대세 3) 대다수가 커스터마이징 SI성 프로젝트 등으로 설명할 수 있다.

즉 DB 자체를 암호화해서 혹시 발생할 지도 모를 유출의 경우에도 대비하겠다는 것과 DB 자체에 대한 접근을 효율적으로 통제해서 사전에 차단하는 것을 그 목표로 하고 있는 것이다.

이에 비해 외산 DB 보안 제품은 접근 행위의 관리 및 감사, 규정의 준수, 권한 남용의 차단, 권한 변경의 추적, 취약점 분석, 보고서 작성 등의 기능을 중시하고 있다.

이러한 국내 DB보안 제품의 특성은 문화적인 차이에서 기인한다고 볼 수 있다. 즉 서양에서는 일반적인 범죄의 차단은 원천적으로 봉쇄할 수 없기에 시스템을 통하여 최소화를 구현한다는 원칙을 갖고 있다.

범죄를 저지르면, 반드시 그에 대한 대가를 철저하게 치뤄야만 하는 사회적인 문화와도 그 맥락을 같이한다.

시장의 규모와 관련해서는 아직까지 데이터베이스 보안 솔루션 시장이 크게 형성되고 있지는 않은 것으로 판단된다.

하지만 다양한 유형의 일련의 공격 사건 및 정부로부터의 규정 강화 움직임, 기업 신뢰도 실추, 금전적인 손해 등이 맞물리면서 관련 시장은 향후 연 평균 두 자리 수 이상의 성장률을 기록할 것으로 전망하고 있다.

또한 일반적으로 데이터베이스는 웹 서버와의 연동을 통해서 정보의 조회 및 기록을 진행하게 되므로 웹 방화벽과의 연동 또한 주요한 이슈로 등장하게 될 것으로 전망된다.

포티넷은 네트워크 보안시장에서의 성공에 힘입어 DB보안 및 웹 보안 등 보안이 필요한 새로운 영역에 진입함으로써 진정한 엔드-투-엔드 보안 솔루션 벤더로서의 비전을 실현하고 있다.

특히 포티DB는 정부에서 준수를 의무화하는 각종 규정에 대해서 충분한 지원을 하도록 설계가 가능하다.

즉 포티DB를 구축함으로써 SOX, PIC-DSS, HIPPA 등의 각종 규정 준수가 가능하다. 이는 매우 정밀하고 효율적인 감시 기능(DAM, Database Acti vities Monitoring)을 통하여 혹시라도 발생할 수 있는 대량의 데이터의 유출에 대비할 수 있는 기본적인 기능을 지원하고 있다.

앞에서 논의한 바와 같이 기업이 아무리 데이터베이스의 유출을 잘 대비한다고 하더라도 악의적인 마음을 가진 내부 사용자들의 소행을 예방하기란 쉽지 않다. 보다 중요한 것은 7.7 DDoS 사태에서 배운 것처럼 임의의 보안 사고를 사후에 막아서 해결하는 것 보다는 사전에 방지하는 사전적 보안 관리가 더욱 시급하다는 것이다.

<글 : 이상준 포티넷 코리아 지사장(sjlee@fortinet.com)>

[월간 정보보호21c 통권 제112호(info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)