개인정보보호를 위한 핵심 솔루션... DB 보안
관련법 개정으로 금융권, 통신사 등에서 수요 급증
매체제어 솔루션 도입도 필수... 개인의 정보보호 인식도 중요
 

이번에는 해커들이 기업 내부망을 해킹해 실제로 기업 데이터망을 건드릴 경우를 대비해 어떠한 보안이 필요한지에 대해 알아보자. 이런 경우 기업에서 필요한 보안솔루션은 DB 보안시스템이다.

특히, 최근 전자금융거래법이 개정되면서 은행에서 과실로 인해 개인정보가 유출되기만 해도 기업에서 손해배상을 해줘야 하는 상황이다. 즉, 인터넷쇼핑몰이나 금융권 등 고객 개인정보를 취급하는 모든 기업들은 사실상 DB 보안에 신경을 써야한다.

소만사 영업본부 유영선 이사는 “기업에서 개인정보를 소홀히 할 경우 큰 피해를 당할 수 있기 때문에, 기업에서도 고객 정보를 최대한 보호하고 각종 거래기록 및 로그를 확보, 관리하는 IT 컴플라이언스 추세가 두드러지고 있다. 관련 법규 제정으로 DB 보안시장이 공공시장과 금융ㆍ통신업계를 중심으로 확산될 것”이라고 말했다.

웨어벨리 손삼수 대표는 “DB 보안 솔루션은 데이터베이스를 운영하는 기업이라면 모두 필요하다. 고객 개인 정보를 대량으로 관리하는 유통업체 및 금융사고 위험에 노출되어 있는 금융기관뿐만 아니라, 기업내에서 중요 정보를 DBMS로 운영하는 모든 기업체에서 인가된 DB 사용자에 대한 통제와 관리를 위해 DB 보안 솔루션을 구축ㆍ운영해야 한다”고 강조했다.  

STG시큐리티 문재철 대표는 “DB 보안 솔루션은 핵심 정보를 DB에 보관할 때, 특정 필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지한다”며, “DB에 접근을 사전에 제어하거나 DB의 핸들링 내역 모두를 로깅함으로써, 언제, 누가, 어떤 작업을, 어떻게 했는지 사후 감사자료를 남겨준다”고 설명했다.
 

<향후 DB보안에 대한 시장 전망을 말해주고 있는 도표. 자료제공: KISA> ⓒ보안뉴스


올해 DB 보안시장은 관련 법규 재정을 통해 기업에서 고객의 개인정보를 관리해야 한다는 인식이 확산되면서 솔루션 시장도 함께 커질 것으로 업계 관계자는 내다보고 있다. 여기서는 가나다 업체순으로 DB 보안시장 전망과 솔루션별 기능에 대해 알아보도록 하자. 


<소만사(www.somansa.com)>
인터뷰: 영업본부 유영선 이사


<소만사 김대환 대표> ⓒ보안뉴스
DB 보안시장 최근 동향 및 올해 전망
2006년은 유난히 개인정보유출이 많았다. 쉴 새 없이 터져나온 주민등록번호를 비롯한  개인정보유출사고는 고객들의 법적 소송까지 불러왔다. 법은 경제적 손실 없이, 개인정보만 유출되어도 기업은 손해배상을 해야 한다는 판결을 내린 바 있다. 또한, 현재 전자금융거래의 법률관계를 명확히 하며 전자금융거래의 안전성과 신뢰성을 확보한다는 목적으로 전자금융거래법이 2007. 1. 1일부터 시행되었다. 이 외에도 개인정보보호를 비롯, 정보보호법안들이 제정의 문턱에 있다. 최근 DB 보안시장은 이러한 법규들과 맥을 나란히 하여 고객정보를 최대한 보호하고 각종 거래기록 및 로그를 확보, 관리하는 IT 컴플라이언스 추세가 두드러진다. 법규 제정으로 인하여 DB 보안시장이 공공과 금융통신업계를 중심으로 확산될 것으로 보인다.

국내 시장에서 활발하게 활동하는 DB보안 업체는
국내 DB 보안은 소만사의 DB-i, PNP시큐어의 DB 세이퍼, 웨어밸리의 샤크라의 3강체제이다. 외산업체로는 가디움의 SQL가드가 있다. DB 보안이 초창기 보안영역이라 기업들이 창립된 지 2~3년에 불과한데 비해, 소만사는 10년의 업력이 돋보이며 인원도 가장 많다. 소만사의 DB-i는 IT컴플라이언스 기능이 가장 뛰어나며, 개인정보유출전문 소송변호사를 영입, 전자금융거래법이나 개인정보보호법 등 법적 요구사항을 만족시키는 기능 및 데이터를 개발하고 있다.       

고객 개인정보보호를 위해 DB보안 솔루션은 어떤 역할을 하는가
DB-i는 고객정보가 축적되어있는 데이터베이스에서 들어가고 나가는 정보에 대한 기록을 남기고 보안하는 솔루션이다. 소만사 DB-i는 DBMS 중심이 아니라 고객정보 중심의 솔루션이라는 점에서 컨셉의 독특성이 있다. 다른 기업들이 오라클이나 인포믹스 등 몇몇 대형DBMS에 특화된 튜닝 업체에서 출발하여 DBMS의 특정구조에서 출발하여 특정 DBMS에 제한받는다면, 소만사 DB-i는 민감한 정보를 어떻게 지킬까하는 정보중심 관점에서 출발하여 정보의 저장방식이나 DBMS 종류에 따른 제한을 받지 않는다. 고객개인정보는 메인DBMS뿐 아니라 영업 관련 시스템 등 작은 부분에 분산되어 저장된다. 정보관점에서는 전체로 보아 작은 부분에 걸쳐 정보를 지켜줘야 보안의 가치가 있다. 





 

<소만사 DB-i 이미지> ⓒ보안뉴스


소만사 DB 보안솔루션에 대한 간략한 소개
DB-i는 국내 최다 8개 DBMS를 통합보안하는 솔루션이다. 일부 특정 DBMS에 한정된 기존제품과 달리, 오라클, DB-2, 사이베이스, 인포믹스, MSSQL, 테라데이터, MYSQL, 알티베이스의 8종류 DBMS를 보안한다. 특히, DB-i는 인포믹스, 알티베이스, 테라데이터의 유일한 보안솔루션이기도  하다. 이 외에도 콘솔과 애플리케이션 서버, 이메일, 메신저, P2P등 사외유출통로까지 한 번 더 시스템보안하며 초당 6만 트랜잭션, 하루 7억쿼리문 처리의 대용량 처리능력, 자체보안, 원격관리 분산관리기능을 보유하고 있다.

소만사 제품에는 DB 접근통제 기능이 있나
DB-i는 각 사용자에게 ID를 주고 계정기반으로 네트워크 인증을 거쳐서 사전 접근통제를 한다. 유동적인 IP를 통한 인증보다 훨씬 보안효과가 높다고 할 수 있다.
DB-i는 하루 7천만쿼리씩 쌓이고 있는 대형 네트워크에서 하루만에 보고서를 작성해내는 대용량처리, 통합검색, 주기검색, 스케줄링검색, 필터링 기능, and/or/not 등 논리연산자 검색기능을 보유하고 있으며, 그 검색기능을 활용, 시간대, 사용자별, DB별, 쿼리별 등 다양한 사용자정의 리포팅을 하고 있다. 또한, 메모리 DB 로깅지원, 세션감시및 재생기능, 텔넷 FTP 감시 및 저장기능을 가지고 있다.

DB 보안솔루션 제품들의 비용은 어느 정도인가
대상 CPU, 보안범위에 따라 달라진다.
 

어떤 기업에서 DB 보안솔루션을 도입하면 효과적인가
전자금융거래법에 해당하는 금융사들, 대량의 고객정보를 보유한 통신사, 건강정보보호법에 해당되는 의료기관들이 도입할 필요가 있으며 도입하지 않았을 경우 법적 책임을 질 수 있다.

현재 소만사 DB 보안솔루션을 도입한 주요 고객기업은
국민 대부분의 고객정보가 인터넷상에 퍼져나가는 것을 막아온 이름으로 경제 인구 대부분의 정보를 보유한 국내 최대은행, 통신사, 석유회사, 외국은행, 카드사, 포털사 등이 주요 고객층을 이루고 있다. 








<웨어밸리(www.warevalley.com)>
 

<웨어벨리 백용기 대표> ⓒ보안뉴스
DB 보안시장 최근 동향 및 올해 전망
국내 정보보호 산업 매출 전체 전망은 2005년도 6,967억원에서 2010년까지 연평균복합성장률(CAGR: Compound Annual Growth Rate) 13.21%로 지속적으로 상승하여 2010년에는 1조 2959억 원에 이를 것으로 전망된다. 특히, 애플리케이션 보안 분야(DB 보안분야 포함)는 그 중 가장 큰 매출액 증가가 예상되며, 2010년에는 1245억원 대에 이를 전망이다. 국내 DB 보안시장은 초기 단계를 지나 올 해 본격적인 성장기가 될 것으로 예상한다. 정보보호와 관련된 각종 법률 및 규제가 제정되고 있으며 이에 따라 금융 및 공공기관을 중심으로 내부 정보유출 방지에 대한 관심이 높아지면서 시장 규모가 성장할 것으로 기대한다. 그러나 관련 업체와 솔루션들이 다수 늘어나면서 경쟁은 더욱 치열해 질 것으로 예상되는 가운데 제품의 구축 레퍼런스 수 뿐만 아니라 규모 있는 대형 사이트에서 수년간 운영되고 있는 사례를 통한 제품 안정성 증명이 제품의 경쟁력을 좌우할 것이다.

국내 시장에서 활발하게 활동하는 DB 보안 업체는
웨어밸리(샤크라, 트러스티드오렌지), 펜타시큐리티(디아모), 피엠피시큐어(DB세이퍼) 등이다.

고객 개인정보보호를 위해 DB보안 솔루션은 어떤 역할을 하는가
기업-고객간의 정보 유통이 활성화되고 개방된 네트워크 및 시스템 활용이 확산됨에 따라 불법적인 고객 개인정보 유출 행위와 그 위협이 증가하고 있다. 이러한 상황에서 데이터베이스 불법 유출 및 사고의 70% 이상이 내부 사용자에 의해 발생하고 있다는 것이 금감원의 보고이다.
 
인가된 사용자들에 의해 발생하는 고객 정보 유출 방지를 위해서는 데이터베이스 접근정보를 로깅하고 사용자의 위반 행위에 대하여 감사, 분석 가능하며 데이터베이스 접근 및 작업 이력을 실시간으로 감시할 수 있는 DB 보안솔루션 구축이 필수 조건이라 할 수 있다. 또한, DB 보안솔루션은 고객 정보 유출에 대한 책임 소재를 명확히 할 수 있을 뿐 아니라 감사 기관의 요구 조건을 충족시키고 정보 이용의 건전성을 확보하여 궁극적으로 기업 신뢰도를 재고시킨다.
 

<웨어밸리 Chakra 이미지> ⓒ보안뉴스


웨어밸리 DB 보안솔루션에 대한 간략한 소개
2002년 국내 최초로 개발된 DB 보안솔루션 샤크라는 오라클을 비롯한 DB2, 사이베이스, SQL 서버 등 대다수 상용 DB를 모두 지원한다. 또한 스니핑 방식과 게이트웨이 방식을 동시에 지원하는 하이브리드 구성으로 SQL Result Data를 포함한 사용자 접근 정보를 실시간으로 감시, 차단 및 로깅하며 특히, 인가된 직원이 서버Side(콘솔 or Telnet)에서 직접 작업한 내용과 그 실행내역까지도 감시와 로깅이 가능하다. 일본을 비롯한 국내외 레퍼런스가 총 110여 곳으로 국내에 출시된 DB 보안 솔루션 중 최다 레퍼런스를 확보하며 국내 시장 점유율 1위를 차지하고 있다.
또한 한국정보통신기술협회(TTA)의 "Good Software", 한국산업기술진흥협회 신기술(KT마크), 조달청 우수제품, 제14회 다산기술상 등의 각종 수상 및 인증 획득으로 그 우수성을 인정받고 있다.

웨어밸리 제품에는 DB 접근통제 오디팅 기능이 있나
여러 가지 보안정책을 설정하여 상황에 따라 데이터베이스 접근을 제어 및 통제 한다. 정책에 위배되는 DB 접근을 시도가 있을 때에는 작업 강제 정지, SMS 통보, 이메일 전달 등의 경보가 작동된다. 보안 정책은 IP, DB 유저, HostName, 어플리케이션 등의 그룹 단위의 적용 설정이 가능하여 ‘특정 IP 대역만 접근 허용’, ‘특정 그룹의 테스트 계정에 대한 접근제어’ 등등의 유연한 통제 정책 설정이 가능하다.
 
또, 데이터베이스에 접속중인 세션 정보와 그 세션에서 수행되는 모든 SQL의 정보를 실시간으로 감시한다. 파일 생성, 수정, 삭제 명령 뿐 아니라 그 내용까지 SQL 수행결과에 대한 모든 정보를 로깅하며 Telnet, R-Login, R-command를  통한 시스템 작업 이력, Ftp 를  통한  파일/데이터  송수신  이력, Application (SQLPLUS 를  포함  다수  모두), Application Server/ Web Server/DB Link, OCI (Oracle Call Interface) Thick  드라이버, Java Thin  드라이버 등을 통해 요청된 모든 SQL, PL/SQL 을 100%  기록한다.
 
이처럼 데이터베이스에 대한 모든 작업 내역을 감시함으로써 ‘샤크라’는 종합적인  검색을  통하여  문제 발생시 실행된  명령  문장,  실행  시간,  실행 User 등을 추적하는  기능을  제공한다. 운영 중인 다른 종류의 데이터베이스에 대한 모든 현황은 하나의 통합 화면에서 실시간으로 제공된다.

어떤 기업에서 DB 보안솔루션을 도입하면 효과적인가
DB 보안솔루션은 데이터베이스를 운영하는 모든 기업에 필수이다. 고객 개인 정보를 대량으로 관리하는 유통 업체 및 금융사고 위험에 노출되어 있는 금융기관뿐 아니라 기업내 중요 정보를 DBMS 로 운영하고 있는 모든 기업체에서는 인가된 DB 사용자에 대한 통제와 감시를 위하여 DB 보안솔루션을 구축 운영해야 한다. 최근에는 환자 정보보호를 위한 입법이 추진되면서 의료기관에서의 요구도 높아지고 있다. 

현재 웨어밸리 DB 보안솔루션을 도입한 주요 고객기업은
금융감독원, 국민은행, 포스코, 삼성카드, 대한생명, 공군본부, 중앙대학교병원, 일본 NTT 데이터, 이쓰즈자동차 등 국내외 약 110여 곳이다.


 
<에스티지시큐리티(www.stgsecurity.com)>
인터뷰: 최진석 본부장


<STG시큐리티 문재철 대표> ⓒ보안뉴스
DB 보안시장 최근 동향 및 올해 전망
2006년 정보보호 실태조사에 따르면 국내 인터넷 이용자 10명 중 2명은 실제로 개인정보 피해를 입었다고 한다. 내부정보 유출을 통한 개인정보 침해 사례가 증가됨에 따라 기업 내 DB 보안에 대한 관심이 높아지고 있다. DB 보안시장은 지난 2006년에 이어 계속적인 상승세를 탈 것으로 예상되고 있으며, 개인정보유출 사고가 잇따라 발생하면서 그 수요가 크게 증가할 것으로 보인다.
 
또한, 개인정보보호법, 샤베인 옥슬리(Sarbanes-Oxley) 법안, 건강보험정보운용법(HIPAA: Health Insurance Portability and Accountability Act), 바젤(Basel)II 등과 같은 내부 보안 관련 법률 규정과 맞물려 정보유출에 민감한 공공기관, 금융기관, 학교, 일반 기업과 쇼핑몰 그리고 의료계 등 다양한 분야에서 DB 보안 제품 도입을 서두르고 있다. 이처럼 기업들의 투자가 꾸준히 이루어지면서, DB보안 시장은 2007년 크게 탄력을 받을 조짐이다.

국내 시장에서 활발하게 활동하는 DB 보안업체는
DB 보안은 크게 DB 사용자 접근제어 방식과 DB를 암ㆍ복호화 하는 방식으로 나뉘며 업체도 두 가지 방식으로 구분할 수 있다. 접근제어 방식에는 STG시큐리티, 웨어밸리, 바넷정보기술, 피엔피시큐어 등을 들 수 있고, 암호화 방식에는 펜타시큐리티, 이글로발시스템, 소프트포럼, 이니텍 등이다.

고객 개인정보보호를 위해 DB보안 솔루션은 어떤 역할을 하는가
DB 보안솔루션은 중요 정보를 데이터베이스에 보관할 때 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지한다. 또한, 데이터베이스 자체에 대한 모든 접근을 사전에 제어 로깅하는 방법 혹은 데이터베이스의 핸들링 내역 모두를 로깅함으로써 언제, 누가, 어떤 작업을, 어떻게 했는지 사후감사의 자료를 남겨준다.
 

<STG시큐리티 ToFAZ 이미지> ⓒ보안뉴스


STG시큐리티 DB보안솔루션에 대한 간략한 소개
STG시큐리티의 토파즈(Tomorrow Forensic & Access Control For Zen Of Security)는 기업의 핵심 정보 자산인 시스템과 데이터베이스에 접근하는 모든 사용자들의 접근을 통제하고, 인가자들의 모든 작업 활동 등을 실시간으로 감시ㆍ기록하여 사후 완벽한 감사자료를 제공할 수 있는 포렌직 솔루션이다.
 
토파즈는 시스템에 대한 접근 제어 및 감사를 위한 'ToFAZ for System' 모듈과 DB에 대한 접근제어 및 감사를 위한 'ToFAZ for Database' 모듈로 구분이 되어 있다. 이 두 가지 솔루션 모듈은 개별적으로 혹은 연계적으로 설치ㆍ운영이 가능하여 동시에 DB 보안과 시스템의 보안이라는 두 마리 토끼를 잡게 해준다.
 
토파즈는 기존의 포렌식 솔루션들을 한 단계 뛰어 넘어 실질적인 사용자의 활동 내용을 실시간으로 100% 로깅하고 감시할 수 있는 기능을 제공하며, 고객의 시스템과 네트워크의 환경에 맞게 자유롭게 설치할 수 있도록 다양한 구성방식(Sniffing 방식, Agent 방식, Gateway 방식)을 제공하는 유연한 솔루션이다.
 
또한, 기존에 상용화 되어 있는 IM(Identity Management 계정 관리) 솔루션과의 연동이 가능하여, 보안 관리자들이 보안정책 및 보안감사 로그 분석작업을 할 경우 실사용자를 중심으로 관리할 수 있게 하여 보안관리 업무를 용이하게 했다는 평가를 받고 있다. 특히, 모든 감사기록 데이터의 위ㆍ변조 방지를 위해 감사기록 데이터를 암호화하여 저장하거나 실시간으로 CD나 DVD에 저장할 수 있는 특화된 기능을 제공해 감사자료에 대한 무결성 방안을 이중으로 제공한다.

STG시큐리티 제품에는 DB 접근통제 오디팅 기능이 있나
ToFAZ의 Auditing 기능으로는 접근 IP 주소, 어플리케이션, DB User 계정, 시간대별 접근 통제 기능과 로컬 SQL Tool 및 SQL Net을 이용한 DB 접근제어 기능, 특정 DB Object(Table, Column)별 접근 통제 기능, 로컬 SQL Tool에 대한 완벽한 감사기능 제공, DB 세션 단위의 실시간 모니터링 및 감사기록 저장 기능, DB 트랜젝션별 성능 리포팅 제공 기능, DB 트랜젝션 성능 부하 임계값에 의한 경보제공 기능 등이 있다. 

어떤 기업에서 DB 보안솔루션을 도입하면 효과적인가
공공기관, 대형 제조기업, 통신기업, 금융기관, 학교, 쇼핑몰, 의료계 등 내부의 DB정보가 유출될 경우 많은 피해를 입을 수 있는 곳에서 DB 보안솔루션을 도입하면 효과적이다.

현재 STG시큐리티 DB 보안솔루션을 도입한 주요 고객기업은
공공기관은 국민건강보험공단, 건강보험심사평가원, 형사사법통합정보체계추진단, 금융권은 우리은행, 전북은행, 교보증권, 대우증권 등이 있다. 통신분야는 SK Telecom, KTF, LG Telecom, 의료는 일산병원, 교육은 광운대학교, 기타 Daum 이외 다수 기업이 도입해 사용하고 있다.

이외에도 앞에서 언급했던 각종 매체제어 솔루션들이 필요하다. USB 통제, 메일 필터링, 메신저 통제, 웹하드 통제 등 내부에서 외부로 정보가 나갈 수 있는 모든 매체들에 대한 통제도 고객 개인정보보호를 위해서는 필수적인 솔루션들이다. 이들 솔루션들은 많은 정보보호 업체에서 지원하고 있는 상황이다. 

한편, 지난해 9월 24일부터 개정된 주민등록범에 의해 타인의 주민번호를 도용해 온라인 회원가입을 하는 등 다른 사람의 주민등록번호를 부정사용하는 자는 3년 이하의 징역 또는 1000만원 이하의 벌금이 부과된다.

인터넷 검색기술이 발달하고 있는 반면, 웹사이트 운영자의 개인정보보호 관리가 전반적으로 부실한 가운데 노출된 개인정보의 양도 많을 뿐만 아니라, 이를 이용해 사이버 범죄를 저지르는 2차적인 피해가 계속 발생하고 있다. 사이트 관리자들은 위에서 언급된 보안서버와 DB보안 그리고 각종 매체제어 솔루션들을 기업에 맞게 도입해 철저한 관리를 해야 한다.

또한, 개인 이용자들도 자신의 개인정보를 지키기 위해 노력해야 한다. 자신의 PC를 항상 깨끗한 상태로 유지하기 위해서는 상용 백신을 설치하고, 그렇지 않으면  <보안뉴스>(www.boannews.com)나 각종 포털에서 지원하는 온라인 무료 백신을 하루에 한번 이상 사용하는 것이 필요하다. 그리고 MS보안패치 자동 업데이트 설정은 기본이고 <보안뉴스> ‘긴급경보’에서 제공하는 각종 긴급 사항들을 유심히 살펴 패치 적용을 신속하게 하는 것이 무엇보다 중요하다.

<개인정보보호를 위한 이용자 수칙>
1. 개인정보 제공은 필요한 경우에만 제공한다.
2. 개인정보 제공 시 개인정보보보호 방침을 반드시 확인한다.
3. 개인정보의 공개ㆍ비공개를 선택할 수 있는 경우 반드시 비공개를 선택한다.
4. 블로그, 게시판 등에 자신 및 타인의 개인정보를 함부로 게재하지 않는다.
5. 주기적으로 검색포털을 통해 자신의 이름, 주민번호, 핸드폰 등을 검색해 개인정보 노출 여부를 점검한다.
6. 자신의 개인정보가 노출된 사실을 발견했을 경우 해당 웹사이트 또는 검색포털 사이트 등에 삭제 요청 등 적극적으로 조치를 요구한다.    
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>