Q. 요즘 개인정보보호 강화로 인해 DB 서버 등에 암호화나 기타 보안솔루션을 도입해 보안을 강화하고 있는데 SQL 및 개인정보를 보유하고 있는 DB라면 우선적으로 어느 부분을 강화해야 하는지 궁금하다. 기본적으로 체크해야 할 사항이 있다면 어떤 것들이 있는가?



A-1. SQL 및 개인정보를 보유하고 있는 DB라면 우선적으로 어느 부분을 강화해야 하는가? DB암호화 구축 시 고려사항으로는 크게 4가지가 있다. 성능점검, 개인정보 사용 이력로깅, DB접근제어와 암호화 연동, 블록단위 암호화 제품 설치 시 고려사항이 있다.

첫 번째, 성능점검을 고려해 가장 많이 하는 방식으로는 플러그인(Plug-In) 방식이다. 기존 프로그램 수정이 API방식에 비해 적어 구축이 용이한 방식이다. 다만 DB서버에 암·복호화 모듈이 설치되므로 DB서버의 성능저하가 발생한다. 성능이 매우 중요한 요소가 되는 환경에서 플러그인 방식을 고려하는 경우에는 반드시 조회성능을 점검하는 벤치마킹테스트(BMT)를 수행해 최적의 솔루션을 선택해야 한다.

두 번째, 개인정보 사용 이력 로깅은 안전행정부에서 고시한 ‘개인정보의 안정성 확보조치 기준의 8조 1항에 해당하는 조항으로 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속 기록을 6개월 이상 보관 관리하여야 한다는 조항이 있다. 접속기록의 보관·관리할 수 있는 방식을 고려해야 한다.

세 번째, DB접근제어와 DB암호화 연동은 DB접근제어와 DB암호화가 서로 연동하도록 구성된 제품을 선택해야 한다.

네 번째, 블록단위 암호화 제품 설치 시 고려사항은 DB암호화 솔루션은 크게 컬럼단위로 데이터를 암호화하는 방식과 DBMS블록, 혹은 파일블록 단위로 암호화하여 저장하는 방식으로 구분할 수 있다. 블록단위 암호화 제품은 설치가 용의하고 성능저하가 적으며 관리가 편리하다는 장점이 있어 금융권, 병원 등에서 많이 고려하고 있는 방식이다. 하지만 DBMS에 로그인한 후에 해당 암호화된 블록의 내용을 조회하면, 평문을 볼 수 있어서 DB사용자별로 암·복호화 통제가 불가능한 한계가 있다.

이를 보완하기 위해서는 DB접근제어 시스템과 결합하여 구축하는 것이 일반적이다. 파일 단위 유출에 대해서는 블록단위 암호화 기능에 의해서 보호가 되고, DBMS 내부에서의 정보 유출은 DB접근제어 시스템에서 대응하는 구성이다.
(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

A-2. 기업 또는 기관에 보유하고 있는 개인정보(내부 및 외부 고객포함)가 가장 많이 모여 있는 곳이 DBMS서버이므로 이에 대한정보보안 적용이 급선무이며 이 때 가장 먼저 고려되어야 하는 것이 개인정보 데이터에 대한 암호화 및 접근통제 적용이다. 또한, 암호화 및 접근통제 솔루션 등을 도입할 때 우선적으로 점검해 보아야 할 것은 해당 솔루션을 도입했을 경우 현행 개인정보보호 법규를 충족하며, 보유하고 있는 개인정보의 유출 가능성을 낮출 수 있다.

아울러 기본적으로 이루어져야 할 사항으로 내부적인 관리 계획부터 명확하고 체계적으로 이루어져야 한다. 개인정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함되도록 문서작성이 이루어져야 하며, PC보안, 개인정보 암호화, 접근권한 통제, 감사기록 등 개인정보와 관계되어 있는 모든 것들이 체크가 이루어져야 한다. 암호화 프로젝트 진행 시 전제사항으로 철저한 프로젝트 관리와 협력을 통해 명확한 요구사항을 도출하여 안정적 구축서비스를 제공하는 것이 핵심 적 성공요소라고 파악한다.

암호화 프로젝트 성공조건으로는 다음과 같은 조건이 선행되어야 한다.
업무협조 체제 : 구축수행 전 단계에 걸쳐 계속적으로 토의, 검토, 합의, 결정, 전파되어야 할 사항에 대해 담당자들과 원활한 업무협조체계 구축, 구축수행 시 필요한 각종 정보를 적시에 제공

적극적인 참여 및 지원 : 구축의 원활한 진행을 위해 관련부서 및 업무담당자의 프로젝트 팀 참여와 지원이 절대적으로 필요, 분야별 업무 담당자의 절대적인 협조 필요

대상 및 범위의 명확화 : 구축의 대상 및 범위에 대한 명확한 정의 및 결정, 상호간의 구축범위 및 수행업무에 대한 공동 이해 도출, 기 운영 중인 운영관리 솔루션과의 긴밀한 협조를 통한 연동방안 도출

철저한 프로젝트 관리(공급사) : 품질 및 일정 등에 대한 관리와 구축추진 경과에 대한 정기적, 비정기적 보고, 각종 정보 및 업무에 대한 철저한 보안 및 비밀 준수

환경의 명확한 이해(공급사) : 프로젝트 적용 대상과 개인정보보호 대상의 명확한 식별, 법규 준수를 위한 구축 및 운영방안 제공DB의 데이터를 암호화할 수 있는 방식은 컬럼 암호화 방식과 블록 암호화 방식으로 나눌 수 있다. 컬럼 암호화 방식은 암·복호화 위치에 따라 Plug-In, API, Hybrid 등의 방식이 있으며, 블록 암호화 방식은 TDE, 파일 암호화 방식이 있다.
(조돈섭 이글로벌시스템 이사/alex@eglobalsys.co.kr)
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>