1. DB보안 솔루션 시장 규모와 전망
개인정보보호를 위한 최선의 대안, DB 보안에 ‘시선집중’
지난 4월 인터넷 쇼핑몰 옥션이 해킹사고로 인해 전체 회원의 약 60%에 해당하는 1,081명의 개인정보가 유출되는 사상 최대의 피해사고가 발생했다. 옥션의 개인정보 유출 사고로 인해 피해를 입은 옥션 회원 2만3천여명이 집단으로 손해배상 청구소송을 현재 진행중이며, 옥션은 이번 사고로 인해 기업 이미지 하락 및 신뢰 추락으로 인해 금액으로 환산할 수 없는 손해를 입었다.
옥션 사고에 연이어 780명의 가입자를 두고 있는 LG텔레콤의 고객 정보도 해킹에 의해 실시간으로 인터넷에 유출돼 엄청난 파문을 일으켰다. LG텔레콤은 고객 정보를 평문화해 전송함으로써 보안조치가 전혀 되어 있지 않은 것으로 드러나 기업 이미지에 타격을 입었다.
또 각종 조사에 의하면 조직 내에서 발생하는 정보 침해 사고의 80% 이상이 내부자에 의해 발생하는 것으로 드러나고 있으나 사고의 60% 이상이 발견되지 않아 기업의 주요 정보가 모르는 사이에 유출되고 있어 이에 대한 보완책 마련이 심각한 상황으로 드러났다.
이렇게 고객 정보 유출로 인한 유형무형의 피해는 기업의 존폐를 좌우할 정도로 대형 사건으로 이어지고 있다.
기업의 DB는 조직내에서 필요로 하는 정보를 체계적으로 축적해 그 조직내의 이용자에게 제공하는 정보서비스 기관의 핵심부에 해당된다. 따라서 DB에 대한 해킹이나 내부 사용자에 의한 누출은 기업의 신뢰성에 심각한 손실을 입혀 기업의 이미지 하락은 물론 금전적인 피해까지도 이어진다.
따라서 고객 정보, 기업 주요 정보 등이 보관된 기업 비즈니스 핵심 인프라 데이터베이스(DataBase) 보안이 기업 투자의 1순위로 떠오르고 있다.
가까운 일본에서는 이미 몇 년전부터 개인정보보호법이 실행돼 DB보안 솔루션은 물론 각종 내부자를 보호할 수 있는 솔루션들이 구현되어 있는 상황이다. 미국, 유럽 등에서도 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 등으로 기업, 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보리스크에 대한 대비를 촉구하고 있다.
정부에서도 잇따른 정보유출 사고로 인해 그간 표류해왔던 개인정보보호법의 발효를 행안부 주도로 오는 9월 국회에 상정, 앞당길 조짐이다. 따라서 점진적으로 성장해왔던 국내 DB보안 관련 솔루션 시장은 올해를 기점으로 큰폭의 성장을 기대하고 있다.
기업 중요자산 1호, ‘DB를 보안하라’
한국정보보호산업협회(KISIA)가 내놓은 ‘2007 국내 정보보호 시장 및 동향보고서’에 의하면 DB암호화와 접근제어 솔루션을 합쳐 지난 2007년 국내 DB보안 시장은 약 190억원대를 형성한 것으로 조사됐다. KISA는 올해 국내 DB보안 시장이 약 접근제어 약 198억원, 암호화 약 42억원으로 총 약 240억원대의 시장을 형성할 것으로 전망했다. 또 오는 2012년까지 접근제어 시장은 연평균 약 12%의 성장률을 보이며 약 325억원, 암호화는 8.5%의 성장률로 약 54억원, 총 379억원대의 시장을 형성할 것으로 전망했다.
가까운 일본에서는 이미 몇 년전부터 개인정보보호법이 실행돼 DB보안 솔루션은 물론 각종 내부자를 보호할 수 있는 솔루션들이 구현되어 있는 상황이다. 미국, 유럽 등에서도 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 등으로 기업, 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보리스크에 대한 대비를 촉구하고 있다.
업계의 전문가들은 “완벽한 보안이란 불가능하며 결국 정보의 누출은 불가피할 수 있을지도 모른다”며 “따라서 정보가 누출될 수 있는 가능성을 최소화하며 설혹 누출되더라도 피해를 최소화할 수 있도록 시스템적인 보안이 필수”라고 언급하고 있다.
그렇다면 기업의 주요 자산인 DB를 보호할 수 있는 DB보안 솔루션이란 어떤 것일까?
DB보안 솔루션은 중요 정보를 데이터베이스에 보관시 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않은 내부자에 의한 불법적인 정보유출을 방지하는 솔루션이다.
펜타시큐리티 유창목 수석컨설턴트는 “정보보호의 궁극적인 목표는 저장하고 있는 DB내의 중요 데이터를 내외부 공격으로부터 안전하게 보호하는 것”이라며 “방화벽, IPS, 안티 DDoS 솔루션 등 각종 보안솔루션들도 결국 기업의 주요 자산이 저장된 DB를 보호하기 위한 방어수단”이라고 강조했다.
DB를 보호하는 방법은 크게 데이터베이스 암호화(Data Encryption), 인증 및 접근제어(Authentication & Access Control), 감사(Audting) 등 3가지로 구분할 수 있다.
국내 DB보안 솔루션은 이 3가지 방법을 각기 적용해 크게 DB 사용자의 접근을 제어하는 방식과 DB 자체를 암․복호화하는 방식으로 나뉘며 감사 기능에 특화된 외산제품 등 국내에서 현재 공급중인 DB보안 제품수는 약 15개 이상에 이른다.
특히 접근제어 방식의 제품들이 주를 이루며 웨어밸리, 피앤피시큐어, 바넷정보기술, 소만사, 모니터랩, STG시큐리티, 신시웨이 등 업체수도 가장 많다. DB 자체를 암․복호화하는 제품은 펜타시큐리티, 이글로벌테크놀로지, 소프트포럼, 이니텍 등이 있다. 또 포티넷, 시만텍 등의 외산 제품들은 침입 탐지와 감사 기능 등이 특화된 DB보안 제품으로 컴플라이언스 이슈 등에 대응하기 위해 적합한 장점으로 활용되고 있는 추세다.
금융․공공․통신 등 주 타깃
DB보안 솔루션은 지난 2004년경부터 국내에 소개되며 특화된 시장을 형성하기 시작했다. 하지만 계속 표류하기만 하는 개인정보보호법과 DB보안을 적용하면 시스템이 느려진다는 약점 등으로 크게 확산되지는 못했다.
특히 DB보안을 가장 필요로 하는 통신, 포털, 게임, 인터넷 사업자 등에서 시스템 가용성을 이유로 도입을 주저하고 있는 형편이다. 그러나 최근 발생한 일련의 개인정보 유출 사건 등으로 인해 개인정보보호법의 제정이 빨라질 것으로 예상되는 동시에 업체들도 DB보안이 발들의 불로 떠올랐다.
그간 DB보안을 가장 많이 도입한 산업군은 금융과 공공, 제조 등이다. 나아가 DB보안업체들은 이미 개인정보보호법이 발효돼 있는 일본 등으로도 진출, 상당한 성과를 올리고 있다.
비교적 일찍, DB보안 초기부터 사업을 시작한 웨어밸리, 피앤피시큐어, 바넷정보기술, 펜타시큐리티 등은 국민은행, 우리은행, 경남은행, 광주은행, 대한생명, 금융감독원, 대우증권, 삼성카드, 한화증권, 한화손해보험, 삼성증권, 현대카드, 교보생명, BC카드 등의 주요 금융권과 정부통합전산센터, 교육인적자원부, 국세청, 해군본부, 국민건강보험공단 등의 공공 시장에 DB보안을 공급했다.
또 포스코, 현대중공업 등과 롯데닷컴, 인터파크 등의 인터넷 사업자와 서초케이블, 하나로텔레콤 등의 통신사업자 등도 DB보안 솔루션을 도입해 활용하고 있으며 도입을 검토하고 있는 통신, 제조 업체들도 상당수다.
해외시장쪽에서도 웨어밸리, 펜타시큐리티, 등은 이미 일본시장에서 좋은 평가를 받으며 실질적인 수익을 얻고 있으며 피앤피시큐어, 소만사, 이글로벌시스템, 모니터랩 등도 일본 시장 진출을 준비, 조만간 결실을 얻을 수 있을 것으로 기대하고 있다.
웨어밸리 손삼수 사장은 “그간 금융권에서는 내부자의 의한 고객 명단, 패스워드 등의 유출로 인한 금융 사고를 방지하기 위해 DB보안 솔루션을 전사적으로 도입, 적용해 왔다”며 “최근에는 시스템 가용성을 보장하기 위해 어플라이언스 형태의 제품, DB마스킹 등 접근제어와 암호화 솔루션이 결합, 진화하고 있어 그간 도입을 주저해왔던 통신과 인터넷 사업자 등에서도 도입 움직임이 활발하다”고 밝혔다.
또 초기에는 오라클 등 국내에서 많이 사용하는 DB 중심으로 DB보안이 적용돼 왔으나 최근에는 오라클은 기본이고 MS SQL, 사이베이스, 알티베이스, 큐브리드 등 대다수 상용 DB를 지원하는 추세다. 관련업체들은 신규 및 기능 강화로 출시하는 제품 등에도 지원 DB를 꾸준히 늘려간다는 계획이다.
특히 올 하반기 DB보안 시장을 뜨겁게 달구고 있는 이슈는 CC인증 획득이다. 기존까지는 국정원 보안적합성평가만으로도 공공기관 등에 납품할 수 있었으나 내년 5월부터는 CC인증을 받지 않으면 공공기관 납품이 불가능해졌다. 따라서 CC인증을 먼저 받아 공공기관 등을 선점하려는 업체들의 치열한 러시가 시작된 것.
현재 접근제어쪽에서는 웨어밸리, 피앤피시큐어 등이, 암호화쪽에서는 펜타시큐리티 등이 선두권을 형성하고 있으나 CC인증을 먼저 받는 업체가 이 순위를 뒤집을 수도 있을 것으로 전망되고 있다. 이니텍, 모니터랩, 소만사 등 다수의 업체들이 이미 CC인증 평가계약을 체결하고 올 하반기경 CC인증을 획득을 준비중이다.
시스템 가용성 확보․고객 마인드 전환 ‘관건’
그러나 뭐니뭐니해도 DB보안을 적용하는데 있어 가장 걸림돌이 되는 것은 DB보안을 적용하면 시스템이 느려진다는 부분이다. 아무리 DB보안 기술이 진화해도 DB에 보안을 걸면 적용전보다 시스템의 속도가 느려지기 마련이다.
이에 따라 시스템 가용성 확보와 사용상의 편리성 제공 등의 문제를 해결하는 것이 DB보안을 확산시키는데 있어 가장 시급한 부분이라는 지적이다.
시만텍코리아 윤광택 부장은 “DB보안 솔루션을 제공하는 업체들은 고객들의 속도와 편이성을 최우선으로 고려해야한다”며 “정보를 보호해주는 바탕위에서 성능과 안정성이 보장돼야만 DB보안이 진정으로 확산될 수 있을 것”이라고 언급했다.
또 기존 애플리케이션을 얼마나 수정해야하는지, 기존 시스템과의 호환성 등도 해결해야하며 무엇보다 DB보안에 대한 인식을 확산시키는 부분이 DB보안 솔루션들이 넘어야할 산이라고 관련전문가들은 지적한다.
포티넷 이상준 지사장은 “고객들 대부분이 개인정보에 대해 보안해야하는 필요성은 공감하지만 그 정도가 약하다”며 “주요 정보는 반드시 암호화해서 저장해야하며 권한에 따른 접근 제어가 반드시 필요할 것”이라고 밝혔다.
또한 더 나아가 DB보안은 접근제어냐, 암호화냐 등의 기술적인 관점뿐만 아니라 DB관리자 등 인가된 사용자들의 작업 내역에 대한 감사, 내부 사용자들의 자료 유출 방지 등의 전사적인 보안 체제위에서 구동되어야한다.
소만사 유영선 본부장은 “DB보안은 기술적 관점이 아닌 경영적, 조직적, 프로세스적 관점으로 논의돼야한다”며 “외부 침입방지 시스템이나 CEO, CIO가 기업 정보자산에 대한 보안전략을 수립하고 그에 따른 조직을 운영, 업무 절차를 수립한 후 효율적인 보안 인프라를 구축하는 등의 전사적 체제의 보안 방식이 도입돼야 한다”고 지적했다.
즉 DB보안 솔루션이 단지 DB에 대한 접근을 막는 한정적인 의미에 멈출 것이 아니라 기업의 가장 근간이 되는 중요 정보자산에 대한 궁극적인 보호와 건전한 운영을 위한 전사적인 경영 전략, 그에 다른 시스템 운영의 방식으로 인식되어야한다는 지적이다. 그리고 그런 움직임은 이미 고객들로부터 시작돼 올해를 기점으로 본격적인 성장을 계속할 전망이다.
관련전문가들은 기업의 주요 정보자산 1순위인 DB를 보호하기 위한 DB보안은 기업에서 반드시 필요로 하는 보안 솔루션으로 폭발적이지는 않지만 점진적으로 꾸준히 성장을 지속할 것이라고 예견하고 있다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr