데이터베이스관리시스템(DBMS) 보안에 대한 금융권의 관심이 높아지고 있다.
그동안 고객의 신용 및 신상 정보 유출, 해킹, 내부 횡령 및 유용 등 금융 사고를 겨냥해 PC보안 솔루션과 공인인증서 채용 등으로 서비스 및 사내 보안성 강화에 나서왔던 금융권들이 최근 들어 전산시스템의 핵심 토대인 DBMS로 시야를 확대하고 있다.
이는 외부 해킹보다 내부에서 발생하는 금융사고에 대한 체계적인 감독시스템이 필요하다는 판단에 따른 것이다. 금융감독원에 따르면 전체 금융사고 가운데 약 60%가 내부 직원에 따른 것으로 분석되고 있다. 금융기관들은 각종 PC보안 솔루션과 보안 감시체계를 구축했지만 여전히 내부 통제 시스템을 넘나 드는 사고의 개연성을 안고 있는 실정이다. 금융권은 최근 들어 DB에 별도의 서버를 적용, DB 접근 권한을 삼중화하고 호출된 DB와 사용자 로그를 추적, 분석할 수 있도록 하는 DB 보안에 관심을 집중하고 있다. 정보 시스템의 최하단인 DB접근에 대한 사전, 사후 모니터링을 통해 보다 견고한 보안관리 체계를 마련하겠다는 전략이다.
이미 올 초 국민은행과 금융감독원이 접근제어 방식의 보안 솔루션을 적용했으며 산업은행도 지난 5월 DB 접근방식을 삼중화해 DB 보안시스템을 가동하고 있다. 또 기업은행·수출입은행·키움닷컴 등은 현재 DB 암복화 방식을 적용한 시스템을 구축중이다.
관련 업계는 현재는 은행권을 중심으로 도입이 확산되고 있지만 향후 카드·증권 등 고객 정보와 거래 트랜잭션이 빈번한 제 2금융권, 그리고 통신·국방 등 분야로 확산될 것으로 예상하고 있다.
이에따라 관련 솔루션 업계의 움직임도 활발하다. DB보안은 크게 DB 사용자의 접근을 제어하는 방식과 DB 자체를 암·복호화하는 방식으로 나뉜다. 접근제어 방식의 경우 웨어밸리·바넷정보기술 등 업체들이 포진하고 있다. 이들 업체는 DB에 대한 SQL(질의) 작업시 별도 서버에서 가상계정이 부여된 사용자 만 접근이 가능하도록 해 비인가자의 DB접근을 원천 차단하며 해당 로그정보 저장·분석 기능이 탑재돼 DB가 유출되더라도 추적이 가능한 솔루션을 공급하고 있다.
또 최근에는 펜타시큐리티 등이 DB 컬럼 단위로 선택적인 암호화를 통해 암복호화 권한과 암호가 없는 사용자에 의한 정보 유출과 사후 해독을 차단하는 ‘암복호화 방식’의 솔루션을 공급하기 시작했다.
이정환기자@전자신문, victolee@