아주대학교의 DB보안 구축 운영 노하우

DB보안 도입! 법·규제 준수 및 보안 강화 一石二鳥

[시큐리티월드 김태형] 경기도 수원시에 위치한 4년제 사립대학인 아주대학교는 공과대학으로 출범한지 8년 만에 종합대학으로 승격했고 뒤이어 의과대학을 설립하고 법학 전문대학원 인가를 받는 등 성장을 거듭해 왔다. 아시아가 세계의 중심이 되는 21세기에 아시아를 리드하는 최고의 대학이 되겠다는 이념을 담고 있는 ‘아주대학교’는 개교 이래 인간존중·실사구시·세계일가를 대학 이념으로 추구해 오고 있다.

현재 1만여 명의 재학생들과 300여명의 교수·교직원들로 구성돼 있는 아주대학교는 졸업생, 재학생, 연구원 등을 포함해 수 십 만 건에 이르는 개인정보를 보호하기 위해 학내 전산시스템의 보안을 강화하는 등 강화된 개인정보보호법 준수를 위해 많은 노력을 하고 있다.

아주대학교는 사내 전산망 보안을 위해 웹 방화벽, IPS, VPN 등의 보안 시스템을 갖추고 있었으나 최근 데이터 자산 가치가 높아지면서 중요 데이터를 불법 취득하려는 공격이 증가했다.

이에 아주대학교는 DB보안 강화의 필요성을 느꼈다. 또한 아주대학교는 개정 개인정보보호법의 발효 및 정보통신망법의 강화로 인한 컴플라이언스 준수를 위해 DB보안 체계를 업그레이드해야 했다. 따라서 아주대학교는 지난 2012년부터 DB암호화 솔루션을 시작으로 DB접근제어, 감사솔루션을 연이어 도입하고 효과적으로 운영하고 있다.

DB보안 시스템 도입 이유
지난해 아주대학교는 교육부와 안행부의 개인정보보호 실태조사를 받았다. 대체로 좋은 평가를 받았지만 위탁업체에 대한 개인정보보호 교육이 미흡하다는 지적을 받고 작년부터 위탁업체에 대한 개인정보보호 교육을 시작했다. 또한 VPN 도입이 필요하다는 지적에 따라 VPN을 도입하는 등 보안 강화를 위해 신속하고 적극적으로 대응해왔다.

이와 관련 아주대학교 중앙전산원 조우철 씨는 “학교는 구성원이 다양하기 때문에 VPN을 도입하기란 쉽지 않다. 하지만 보안의 중요성이 더 크다고 판단해 전산담당 직원들의 안전한 DB접속을 위해 VPN을 도입했다. 또 ERP 접속자에 대한 VPV는 향후 도입할 계획”이라고 설명했다.

DB보안 솔루션 선택 과정

지난 2012년부터 DB보안의 필요성과 개인정보보호법 이슈로 DB암호화부터 DB접근제어, 감사솔루션까지 도입한 아주대학교는 시스템에서 구동되는 애플리케이션이 굉장히 많은 편이다. DB암호화 등 DB보안 솔루션을 도입하면서 가장 고려한 부분은 수많은 애플리케이션에 영향을 주지 않고 성능 이슈가 없어야 한다는 것이었다. 그래서 여러가지 DB보안 솔루션을 비교한 후 적합한 DB보안 솔루션을 선택하게 됐다.

이와 관련 조우철 씨는 “아주대학교에 가장 적합한 제품으로 오라클의 DB암호화 솔루션과 DB접근제어 솔루션을 선택해 도입하게 됐으며 그 이후에 감사를 위해 오라클 오딧 볼트를 구매했다. 보안 솔루션을 적용했음에도 불구하고 애플리케이션의 성능에 전혀 영향을 주지 않아 만족하고 있다”며, “기존 시스템에 보안 솔루션을 추가했음에도 학생들은 물론 직원들조차 전혀 알아차리지 못할 정도로 시스템 부하가 없고 DB성능 저하가 없어 감사 솔루션을 추가 구매하게 됐다”고 말했다.

즉 오라클의 DB보안 솔루션이 비싸지만 안정성이 높고 성능이 좋아 보안 기능 적용 후에도 부하가 없기에 이를 선택했다는 것이다. 뿐만아니라 오라클의 DB보안 솔루션은 오라클 데이터베이스 11g의 옵션 형태로 제공된다. 따라서 추가적인 에이전트 설치나 응용프로그램 수정이 필요 없는 것도 한몫했다. 개발 과정에 소요되는 시간과 비용을 대폭 절감할 수 있다는 것도 장점이다.

오라클 감사솔루션은 아주대학교가 제일 마지막으로 도입한 솔루션이다. 개인정보보호법의 개인정보접속 기록관리 의무화와 학사 행정시스템의 주요 업무에 대한 감사를 위해 도입했다.

DB보안 구축을 통해 얻은 성과
아주대학교는 DB암호화 시스템 ‘Oracle Advanced Security’ 및 내부자 위협 통제 솔루션인 ‘Oracle Database Vault’를 도입해 교내 학생 및 교직원들의 신상정보, 성적, 연구실적 등을 암호화하고, 중요 데이터에 대한 불필요한 내·외부 접근을 제한함으로써 철저한 데이터 보안 체계를 정립했다. 또한 데이터베이스 운영체제의 핵심 단위인 커널(kernel) 자체에서 암호화 기능 및 접근 통제를 수행해 보안 효과는 높이는 한편, 데이터베이스 성능 저하를 최소화했다.

DB보안 구축을 통해 얻은 성과
아주대학교는 DB보안을 도입함으로써 로그인 접속 기록 및 중요 정보 접근 기록 관리를 보다 효율적으로 할 수 있게 됐다. 누가, 언제, 어디서, 어떤 작업을 수행했는지 모니터링할 수 있게 되면서 비허가자의 모든 접속을 파악하고, 인가자의 모든 활동을 감시할 수 있게됐다.

또 감사솔루션 도입으로 대학교 학사 행정 업무의 핵심인 수강신청 기간 동안 발생할 수 있는 신청누락 사항 등에 대해서도 시스템 오류인지 학생 실수로 인한 것인지 명확한 책임 소재 규명이 가능해졌다. 뿐만아니라 성적 조작과 같은 악의적인 접근도 방지할 수 있어 효과를 거두고 있다. 원격으로 감사 데이터를 수행해 운영시스템 성능에 미치는 영향이 최소화됐으며 감사 데이터의 자동 수집·관리, 중요 통제 대상의 접근 모니터링, 실시간 경고 및 감사 보고서 생성이 가능해져 시스템 관리가 용이해졌다.

아주대, 보안강화를 위한 향후 계획

아주대학교는 보안강화를 위해 내년엔 개인정보영향평가를 받을 계획이다. 조우철 씨는 “최근 IT환경에서 보안은 더욱 중요해지고 있다. 이제는 보안을 의무적으로 하기 보다는 전체적인 리스크 감소의 수단으로 보고 투자 관점에서 접근하는 것이 중요하다. 아주대학교는 이러한 관점에서 보안강화를 위한 투자를 확대해 나갈 계획”이라고 강조했다.

[김태형 기자(boan@boannews.com)]
[월간 시큐리티월드 통권 218호 (sw@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)