개인정보보호 관련 법·규제 강화로 DB암호화 시장 ‘파죽지세’

주민번호 및 금융권 비정형 데이터 암호화 조치 강화
보안담당자, “개인정보보호 강화 위해 DB암호화 도입 가장 필요”
한국보메트릭·한국오라클·파수닷컴 등 PIS FAIR 2016에서 DB암호화 관련 강연

[보안뉴스 김태형] 최근 본지가 보안담당자들을 대상으로 한 설문조사에서 보안강화를 위해 도입할 예정인 개인정보보호 및 정보보안 솔루션 가운데서 ‘DB암호화’ 제품이 가장 많은 응답을 차지했다. DB암호화 솔루션은 개인정보를 수집하고 저장하는 사이트 등에서 데이터를 안전하게 운용할 수 있게 해준다. DB를 암호화해 관리하는 것은 물론 인증받은 관리자만 접근할 수 있게 통제한다.

이는 개정 개인정보보호법으로 인해 지난 1월 1일부터 주민등록번호를 보관하는 개인정보처리자가 의무적으로 중요 정보를 암호화해야 하기 때문이다. 또한, 올해 말까지 국내 주요 금융회사들도 주민등록번호 등을 암호화해야 하는 가운데 관련한 보안사업도 본격 확대될 전망이다. 이는 잇따른 개인정보 유출사고로 사용자들이 개인정보보호에 대한 경각심을 갖게 됐고 개인정보가 유출될 경우 기업 이미지에도 큰 타격이 발생할 수 있기 때문이다.

또한, 지난 2014년 8월부터 시행된 개인정보보호법 개정안에 의하면, DB 유출사고 발생 시 최대 5억원의 과징금이 추징된다. 또한, CEO 등에 대한 징계권고 제도가 신설되어 개인정보처리자의 대표자 및 책임 있는 임원이 처벌을 받게 되는 등, 개인정보보호 관련 법 규제가 한층 강화됐다.

올해 시행된 개정 개인정보보호법에 의하면, 보관하고 있는 주민등록번호 규모가 100만명 미만인 기업은 올해 말까지, 100만명 이상인 기업은 2017년 말까지 주민등록번호를 암호화하도록 규정하고 있다.

금융권에서는 주민등록번호 암호화 조치 의무화 대상 기업들에게 DB뿐만 아니라 주민번호가 포함되어 있는 로그, 이미지, 녹취, 영상파일까지 암호화 조치를 하도록 했다. 이에 기존 개인정보보호법 준수를 위해 DB암호화만 했던 기업들은 이제는 접근제어 등으로 보호해 왔던 이미지, 로그파일, 녹취, 영상파일 등의 비정형데이터도 오는 2017년까지 암호화를 해야 한다.

이에 대해 탈레스의 자회사인 한국보메트릭 이문형 지사장은 “최근 금융감독원의 권고로 기존 DB암호화만 했던 금융기관들이 로그파일, 음성 및 이미지 파일 등과 같은 비정형데이터에 대한 암호화를 확대 적용해야 하기 때문에 올해 금융기관 암호화 시장의 활성화를 기대한다”고 말했다.

이어서 그는 “파일로 저장되는 비정형 데이터에 주민등록번호가 포함돼 있다면 이제 의무적으로 암호화 조치를 필수적으로 해야만 한다. 보메트릭은 파일 암호화 솔루션을 제공하고 있어 금융기관과 공공기관을 중심으로 암호화 시장을 확대해 나갈 방침”이라고 강조했다.

보메트릭은 암호화, 키관리, 접근통제, 감사 등의 포괄적 데이터 보안기술을 하나의 플랫폼으로 제공해 고객이 더 쉽고 빠르고 안전하게 데이터를 보호할 수 있도록 지원하고 있다. 보메트릭의 데이터 시큐리티 플랫폼(Vormetric Data Security)에는 △보메트릭 트랜스페어런트 인크립션(Vormetric Transparent Encryption) △보메트릭 키 관리(Vormetric Key Management) △보메트릭 토큰화 및 동적인 데이터 마스킹(Vormetric Tokenization with Dynamic Data Masking) △보메트릭 클라우드 인크립션 게이트웨이(Vormetric Cloud Encryption Gateway) △보메트릭 애플리케이션 인크립션(Vormetric Application Encryption) 등이 있다

이와 같은 보메트릭 데이터 시큐리티 플랫폼은 데이터베이스, 클라우드 및 빅데이터 환경 등 여러 인프라 환경에 존재하는 정형 및 비정형의 대용량 데이터를 효과적으로 보호하는 솔루션이다. 탁월한 확장성 및 고성능을 자랑하는 데이터 시큐리티 플랫폼은 데이터 암호화와 키 관리, 접근통제, 권한 및 역할 관리, 감사 등 데이터 보안에 필요한 모든 기술을 포괄적으로 제공한다.

또한, 오라클은 기업 데이터베이스 내의 개인정보를 암호화 저장해 개인정보를 안전하게 보호하고 각종 법률 규제 준수를 위해 ‘ASO(Advanced Security Option)의 TDE(Transparent Data Encryption)’를 바탕으로 한 암호화 기능을 제공한다. 특히, 최고 성능과 안정성을 제공하는 오라클의 DB 암호화 솔루션 ‘ASO(Advanced Security Option)’은 DBMS 커널에서 암호화 및 복호화를 진행하기 때문에 다른 DB 암호화 솔루션과 비교했을 때 응용프로그램의 성능 저하 및 변경을 최소화할 수 있으며, 암호화를 위한 서비스 다운타임(Downtime)도 최소화할 수 있다. 뿐만 아니라 DBMS를 통한 자동 암·복호화로 관리 포인트가 최소화된다는 장점도 지니고 있다.

파수닷컴의 DB암호화 솔루션 ‘솔리드베이스(Solidbase)’는 파수닷컴의 DB접근제어 솔루션 ‘페이스(Face)’를 통해 DB보안을 강화할 수 있도록 하고 있다. 솔리드베이스는 데이터베이스에 포함된 중요정보를 안전하게 보호한다. 특히, 페이스와 함께 사용하면 DB암호화를 통한 데이터베이스 자체에 대한 보호와 DB 유통 경로를 차단하고 데이터를 암호화하기 때문에 내부 권한자에 의한 정보 유출을 방지하고 DB보안을 한층 더 강화할 수 있다.

한컴시큐어의 DB암호화 솔루션 ‘제큐어DB(XecureDB)’은 정보유출 시에도 데이터 기밀성을 보장하는 DB암호화 솔루션으로, 국정원에서 안전성을 검증한 알고리즘을 사용해 인덱스를 암호화하기 때문에 고성능·안전성을 보장하는 것이 특징이다. 특히, 데이터베이스관리 시스템(DBMS, Database Management System)을 독립적으로 운영·관리해 시스템 과부하를 줄인 점이 강점이다. 한컴시큐어 측은 올해 DB암호화 시장에 집중할 방침이다.

또한, 케이사인의 통합 데이터베이스 보안 솔루션 ‘케이사인 시큐어DB(KSign SecureDB)’는 데이터 암호화, 접근제어 및 로그감사를 통해 기업 내 중요 데이터를 보호한다. 특히 DBMS 및 OS 제약사양 없이 설치가 가능하고 파일 및 이미지의 암호화가 가능하며, 컬럼 단위로 암호화해 DB유출을 방지하고 세분화된 접근제어 기능을 제공하는 것이 특징이다.

이와 관련 케이사인 구자동 부사장은 “케이사인은 공공부문 사업을 지속적으로 확대해 나가고 있다. 지난해 DB 암호화 솔루션 매출은 2014년 대비 약 20~25% 성장했으며, 올해에도 이와 비슷한 성장세가 지속될 것으로 기대하고 있다”면서 “최근 개인정보보호법 강화나 금융권 비정형 데이터 암호화 조치의 영향으로 DB암호화 시장은 더욱 탄력을 받을 것이다. 다만 예산 반영이나 고객들이 이러한 상황을 인지해야 하기 때문에 비정형 데이터의 파일 암호화 시장은 내년즘 본격적으로 열릴 것으로 전망한다”고 말했다.

펜타시큐리티 통합 데이터 암호화 솔루션 ‘디아모(D’Amo)’는 지난 2004년에 국내 처음 출시한 암호화 솔루션으로서 2,900여건의 데이터 암호화 구축 레퍼런스를 보유하고 있으며 지난 2013년부터 의료영상에 대한 보안 솔루션을 제공하고 있다. 또한, 애플리케이션, 시스템, 네트워크 등 각 계층 데이터를 보호하며 시스템 전체에 적용 가능한 6가지 암호화 방식과 14종 컴포넌트로 고객 환경에 적합한 데이터 암호화 플랫폼을 제공한다.

특히, 넌액티브엑스(Non-ActiveX), 넌플러그인(Non-Plugin) 기반 웹 표준 보안 솔루션과 판매시점관리(POS), 병원관리 시스템, 의료 영상 등 다양한 분야에 최적화된 폭넓은 데이터 암호화를 지원한다. 아울러 최근에는 SAP 암호화 솔루션 D’Amo for SAP(디아모 포 에스에이피)가 국내 처음으로 ABAP Add-On Deployment 인증을 획득해 HANA DB를 위한 암호화 지원을 공식적으로 인정받았다.

이글로벌시스템 ‘큐브원(CubeOne)’은 API, Plug-In 방식을 모두 지원하는 암호화 솔루션이다. 특히, 대용량 DB암호화 기술이 우수한 것으로 평가받고 있어 금융사나 유통사에서 많이 도입하고 있다.

▲ 국내·외 주요 DB암호화 업체 및 제품(업체명 가나다순)

젬알토(세이프넷)의 암호화 솔루션 ‘데이터시큐어(DataSecure)’는 정형·비정형 데이터를 포함한 전체 데이터에 대한 통합 암호화 플랫폼을 제공한다. 여기에는 △플러그인 방식의 ‘프로텍트DB(Protect DB)’ △API 방식의 ‘프로텍트앱(Protect APP)’ △‘토큰화(Tokenization)’ △SAP 암호화 ‘SAP시큐어(SAPSecure)’ △파일 암호화 ‘프로텍트파일(Protect File)’ △오라클 TDE 키관리 ‘TDE 커넥터(TDE Connector)’ 등이 포함된다.

이 외에도 신시웨이의 ‘페트라 사이퍼(Petra Cipher)’는 암복호화 호출 코드를 재구성하고 접근제어 솔루션 페트라와 연동하면 접근제어와 암호화를 한번에 구성할 수 있다는 장점이 있으며, 이니텍의 ‘세이프DB(SafeDB)’는 최적화된 암호화 성능과 키 관리로 강력한 보안을 제공하며 다양한 업무 환경에 따른 지원방식을 제공한다.

이처럼 DB암호화 솔루션은 다양하다. 하지만 무엇보다 중요한 것은 해당 조직이나 기업의 DB 양이나 특성, 그리고 업무와 시스템 환경에 따라서 적절한 암호화 방안을 강구해야 한다는 점이다. 아울러 암호화 키관리나 접근제어 시스템을 함께 사용해야만 보다 안전한 DB보안을 구축할 수 있다.

한편, 오는 6월 9일부터 10일까지 양일간 공공기관과 민간기업의 CPO(Chief Privacy Officer: 최고개인정보책임자)와 개인정보처리자, 보안담당자들 4,000여명 이상이 대거 참가하는 ‘2016 개인정보보호페어(PIS FAIR 2016)’에서 한국보메트릭과 한국오라클, 파수닷컴 등에서 DB암호화와 관련된 강연을 진행할 예정이라 관심이 모아지고 있다.

한국보메트릭의 김현준 이사는 ‘개인정보 유노출 사례로 알아보는 개인정보 위협과 기업의 대응방안’을 주제로 DB암호화 이슈에 대해 강연한다. 또한, 한국오라클의 노형준 부장은 ‘심층 방어 아키텍처를 통한 최적의 DB 보안 구축’이라는 주제로, 파수닷컴의 강봉호 본부장은 ‘효과적인 개인정보 비식별화 및 암호화 방안’을 주제로 강연에 나서 DB 접근제어를 비롯한 DB 보안 강화대책을 구체적으로 소개할 예정이다.

개인정보보호 관련 주무부처인 행정자지부, 방송통신위원회, 개인정보보호위원회가 공동 주최하는 ‘PIS FAIR 2016’는 올해로 6회째를 맞는 국내 최대 규모의 개인정보보호 컨퍼런스로, 공공분야와 민간분야를 아우르기 위해 양일에 걸쳐 ‘CPO워크숍’과 ‘온라인 개인정보보호 컨퍼런스’로 나누어 진행된다.

개인정보보호 관련 법제도와 기술 트렌드, 구축사례 등에 대한 풍성한 강연은 물론 개인정보보호 솔루션 전시, 그리고 참관객들에게 ‘개인정보보호 실천가이드 v.6’가 무료 배포되는 이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[김태형 기자(boan@boannews.com)]

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)