“개인정보 유출 위험 없이 안전한 테스트 데이터 사용해야”

[보안뉴스 김태형] 올해 초 국내 주요 카드사에서 사상 최대의 고객정보가 유출되는 사건이 발생했다. 특히 이번 고객정보 유출 사건은 카드사의 이상거래탐지(FDS) 시스템 개발을 위한 외주 업체 직원의 소행으로 밝혀졌다.

이로 인해 정부의 개인정보 유출에 대한 처벌 규정이 강화됐으며 그동안 비용 및 관리문제 등으로 등한시 되었던 개발, 테스트, 교육 시스템 등 비운영 시스템에 대한 보안문제들이 사회적 이슈가 되었다.

특히 이와 관련된 테스트 데이터(Test Data) 보안과 이를 안전하게 변환해 주는 솔루션에 대한 관심이 높아지고 있다. 

이와 관련 테스트 데이터 변환 솔루션 전문기업 바넷정보기술의 한병창 기술연구소 소장은 “테스트 및 개발 시스템의 보안문제는 전산관리자들의 가장 큰 고민이며 다양한 데이터들을 개발과 교육, 유지보수 목적으로 개발자 및 DB운영자들이 자유롭게 테스트할 수 있어야 업무 효율성과 생산성이 보장된다. 하지만 정보보호 측면에서 보면 그동안은 이와 같은 개발 시스템의 보안이 가장 취약했다”고 설명했다.

일부에서는 DB접근제어와 DB암호화를 활용해도 된다고 생각하겠지만, 실제로 개발계의 접근제어는 쉽지 않을 뿐만 아니라 암호화가 되어 있어도 개발을 위한 애플리케이션은 복호화 키를 가지고 있기에 근본적으로 데이터를 변환하지 않으면 안된다는 것.

이러한 문제는 테스트 데이터 변환 솔루션이 해결해 줄 수 있다. 즉 실제 DB에서 테스트 데이터를 추출하고 이 중에서 개인정보관련 데이터를 변환해 테스트 DB로 활용함으로써 개인정보 유출 위험 없이 안전한 테스트 DB구축이 가능하다는 것.

한 소장은 “이러한 사실은 대부분 기업 내부적으로 인식은 하고 있으나 현실적 문제, 즉 비용이나 시간, 인력 문제로 인해 그동안 많이 소홀했다. 그러나 최근 금융권에서 많이 도입하고 있다. 현재 바넷정보기술은 60여곳의 고객사를 확보하고 있다”면서 “카드사 정보유출 사고 이후 금감원에서도 테스트 데이터 변환 솔루션 사용을 권고하고 있고 캐피탈사, 저축은행, 대부업체로 확대 적용할 것을 권고하고 있어 앞으로 테스트 데이터 변환 솔루션은 온라인 비즈니스를 하는 기업으로 점차 확대될 것으로 기대하고 있다”고 말했다.

금감원 전자금융감독규정을 보면, 개발 테스트 시 이용자 정보의 사용을 금지하고 있다. 다만 사용이 불가피한 경우에는 이용자 정보를 변환하여 사용하고 테스트 종료 시에는 즉시 삭제하도록 규정하고 있다.

이 외에도 개인정보보호관리체계인증(PIMS)이나 정보보호관리체계인증(ISMS)에서도 실제 운영 데이터 복사에 대한 사전허가 절차 수립, 시험완료 후 시험시스템에서 즉시 삭제, 개발데이터 복사 및 사용이력 감시 등을 규정함으로써 시험 데이터 보안에 대한 중요성을 강조하고 있어 향후 적용대상이 확대될 전망이다.

한병창 연구소장은 “개발 테스트 데이터에 대한 보안을 강화하기 위해서는 이처럼 실 데이터를 변환해 보안성을 강화해야 한다. 그러기 위해서는 테스트 데이터 변환 솔루션을 활용해야 한다. 특히 테스트 데이터 변환 솔루션은 DBA와 개발자, 그리고 SW QC 등에게 SW개발 및 테스트, 품질검사 등의 목적에 알맞게 변환해 즉시 제공한다”고 덧붙였다.

한편 바넷정보기술은 지난 2000년 설립되어 2003년 DB접근제어 솔루션을 시작으로 관련 제품을 개발·공급하고 있다. 특히 지난 2009년 테스트 데이터 변환 솔루션을 개발했으며 2011년 농협 전산망 마비 사건 이후부터 개발 테스트 데이터 보안이 이슈가 되면서 지속적인 성장세를 이어가고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>