DB암호화는 보안의 필수 요소로서 그 중요도는 점차 높아질 것
최근 빈번하게 발생하는 정보유출 사고들은 기업에게 커다란 금전적인 손실을 주고 있다. 이에 정부에서도 개인 정보보호 조치를 의무화하는 등 관련 규제들을 강화하고 있다. 이러한 가운데 DB암호화는 기업의 성공적이고 안전한 비즈니스를 유지하도록 하는 보안의 필수 요소로서 그 중요성을 더해가고 있다.
오늘날 거의 모든 조직-기업, 정부, 학교, 의료기관 등은 데이터를 DB에 저장한다. 저장된 데이터 가운데 특히 개인정보와 관련된 데이터는 그 가치가 높아 주요 공격 대상이 되곤 한다. 국내외를 막론하고 DB 침해사고로 인한 피해는 기하급수적으로 증가하고 있고 주민등록번호나 신용카드번호와 같은 개인정보의 유출은 커다란 금전적 손실을 야기하고 있다.
최근의 개인정보 유출사고들은 백만건 단위는 기본이고 여러 사이트를 동시에 해킹해 천만건 단위의 개인정보를 침해한 사건도 발생하고 있다. 이에 따라 정부에서도 정보통신망법 개정과 그 시행령을 통해 개인정보의 암호화를 포함한 보호조치를 강화하도록 하고 있다.
이러한 조치는 지침이나 권고를 넘어선 강력한 것으로 이를 위반할 경우 법률에 따른 형사처벌이나 벌금 등의 행정처분이 부과될 수 있다. 실제로 지난 3월 발생한 개인정보 유출사고의 경우, 대표이사 및 보안담당자가 기소되기도 했다. 이제 DB에 대한 실제 위협과 더불어 법률 준수의 두 가지 측면에서 DB보안은 기업의 원활한 비즈니스의 유지와 발전을 위해 더 이상 미룰 수 없는 최우선 과제가 된 것이다.
DB 보안의 전략적 접근
DB보안은 쉽지 않은 과제이다. 한 리포트에 따르면 DBA는 DB보안을 위해 5% 미만의 시간을 투자하는데다가 대부분은 어느 DB, 테이블, 혹은 컬럼에 중요 데이터를 저장하고 있는지 모르고 있다. 또한 90% 이상의 조직에서 두 가지 이상의 DBMS를 사용하고 있으며 이와 연동되는 애플리케이션의 수도 수십에서 수천 개나 되기 때문에 단순히 한두 개의 보안 시스템 설치나 보안규정 강화로만 해결될 수는 없는 문제이다. 따라서 성공적인 DB보안을 위해서는 암호화, 접근제어, 감사, 안전한 설정, 운영·개발·테스트 환경의 분리 등 이 모든 사항을 종합적으로 고려한 전략적인 접근이 필수적이다.
DB암호화
DB암호화는 이러한 전략적 접근의 핵심요소로서 어떠한 DB보안 대책도 DB암호화를 제외하고는 완벽해질 수 없다고 할 수 있다. DB암호화는 구축방식에 따라 크게 API 방식, Plug-In 방식과 Hybrid 방식으로 구분할 수 있는데 각 방식별 특징 및 고려사항은 표 1과 같다.
성공적인 DB암호화를 위해 DBMS, 암호화할 데이터의 종류, 애플리케이션과의 호환성 등을 종합적으로 고려해서 이행계획을 수립하고 추진해야 한다. 각 방식이 장단점을 가지고 있기 때문에 적용 환경에 따라 적합한 방식을 주요 방안으로 선택하고 기타 방식으로 보완하는 것도 충분히 매력적인 구축 방식이 될 수 있다.
주요 DBMS에 대해서는 Plug-In 제품을 사용, 적은 자원 투입으로 암호화를 적용하고 마이너한 DBMS나 특정 업무에 대해서는 API 방식을 적용하는 것이다. 실제로 최근에는 적용의 용이성, 구축 후 유지보수의 편리성 등으로 인해 Plug-In 방식을 주력으로 대부분 구축이 되고 있으며 필요에 따라 API 방식과 Hybrid 방식을 결합하여 사용하는 경우도 있다.
한 사례로 A그룹사는 정보통신망법 준수를 위해 웹 서비스와 관련된 개인정보를 보호하고자 DB암호화 프로젝트를 추진했다. Oracle과 MS-SQL Server로 이루어진 DBMS에 대해 Plug-In 방식의 DB암호화를 적용하여 Primary key로 사용되는 주민등록번호 1,000만건과 일반 컬럼에 저장된 주소 1,000만건을 암호화하고 비밀번호 300만 건에 대해서는 일방향 암호화를 적용했다. 동시에 암호화에 따른 성능저하를 최소화하기 위해 기존 SQL를 수집하고 최적화 작업을 병행하여 기존의 서비스에 영향 없이 성공적으로 프로젝트를 마무리 지었다.
이제 DB암호화는 보안의 필수 요소로서 그 중요성을 더해가고 있다. 올바른 DB암호화 방식과 이에 적합한 솔루션, 적용 노하우를 보유한 조직 등을 충분히 고려, 성공적인 DB암호화를 수행하여 고객의 정보보호와 더불어 컴플라이언스 준수를 동시에 달성했으면 한다.
<글 : 이충우 펜타시큐리티시스템 사업기획부 부장(bazle@pentasecurity.com)>
[월간 정보보호21c 통권 제119호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)