암호화 VS 접근제어, 치열한 한판 `승부`

DB보안 솔루션은 데이터베이스를 보안하는 독특한 보안 솔루션이다. 허가받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도 유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 것이 DB보안 솔루션의 목적이다.

이러한 목적을 수행하기 위해 DB보안 솔루션은 DB의 접근을 제어하는 방식의 접근제어 솔루션과 DB 자체를 암호화해 DB를 보안하는 방법의 크게 2가지 방식이 서로 시장에서 대결하고 있다. 또 최근에는 누가 DB에 접근하고 어떤 작업을 수행했는지 해당 로그 정보 저장 및 분석 등이 가능한 감사 기능에 특화된 제품들도 출시, 적용되고 있다.

따라서 고객들은 여러 형태의 제품의 장단점을 꼼꼼히 따져 자사의 시스템에 가장 적합한 모델을 선택, 적용해야하는 지혜가 요구되고 있다.

시스템 가용성 보장으로 각광받는 접근제어

먼저 접근제어 솔루션의 특징을 살펴보면 접근제어 방식의 경우 DB에 대한 SQL(질의) 작업시 별도 서버에서 가상 계정이 부여된 사용자만 접근이 가능하도록 해 비인가자의 DB 접근을 원천 차단하며 해당 로그 정보 저장 및 분석기능으로 DB가 유출되더라도 추적이 가능한 솔루션이다.

즉 감시 대상인 DB에 대한 접근제어를 통해 권한이 부여된 사용자만 접근이 가능하도록 구성, 실시간 감시와 차단 및 접근 이력을 기록해 기록된 자료의 재분석을 통해 기존 시스템에 부하를 주지 않는 것이 접근제어 솔루션의 특징이다. 따라서 시스템과 네트워크에 부하를 주지 않기 때문에 시스템 가용성을 중시하는 금융, 통신, 포털 등의 고객들에게 각광받아왔다.

소만사 유영선 본부장은 “접근제어 방식의 DB보안 솔루션은 타 시스템에 영향을 주지 않아 전체 시스템의 안정성을 확보할 수 있는 것이 가장 큰 장점”이라며 “따라서 대형 트랜잭션이 오가는 금융, 포털, 대기업 등에서 선호돼왔으며 제품수도 가장 많다”고 밝혔다.

이처럼 피앤피시큐어, 웨어밸리, 소만사, 바넷정보기술, 신시웨이 등 대부분의 DB보안 솔루션이 접근제어에 속한다.

하지만 접근통제 방식의 경우 DBMS의 성능을 보장할 수 있고 운영이 간편하다는 장점을 가지는 반면 데이터를 암호화하지는 않는 관계로 접근통제 우회 공격시 평문이 외부에 그대로 노출되는 단점을 가지게 된다.

이런 단점을 극복하기 위해 등장한 DB암호화는 DB에 직접적으로 암호화를 걸기 때문에 해킹이나 내부 사용자에 의한 DB유출시에도 DB를 안전하게 보호할 수 있다.

DB 자체 암호화로 뛰어난 보안성 보장

DB암호화는 펜타시큐리티, 이글로벌테크놀로지 등이 제공하는 DB를 컬럼 단위로 선택적인 암호화를 통해 암복호화 권한과 암호과 없는 사용자에 의한 정보 유출과 사후 해독을 차단하는 ‘암복화 방식’, 그리고 소프트포럼, 이니텍 등의 PKI 기반의 암호화 및 전자서명을 적용해 특정 필드를 암호화하는 방식 등이 있다.

DB암호화 방식은 DB가 유출돼도 암호화된 형태의 데이터이기 때문에 안전하지만 DBMS에 직접 설치 운영되기 때문에 DBMS의 성능에 큰 영향을 줄 수 있어 고객사들이 도입을 망설이는 경우가 많다. 따라서 DB암호화 방식은 DB 전체에 대한 전사적인 도입보다 반드시 지켜야만 하는 중요 데이터 중심으로 부분적인 도입에 그치는 경우가 대부분이었다.

하지만 최근에는 시스템의 가용성을 보장하면서도 강력한 암호화를 통해 DBMS를 보호하기 위해 양쪽의 기능 및 성능이 서로 접점을 찾아 접목되가는 하이브리드 형태로 진화하고 있는 양상이다.

여기에다 기존 보안 솔루션들마저 DB보안 솔루션에 결합되는 등 하이브리드형 솔루션까지 잇따라 등장하는 등 DB보안 솔루션의 변신 폭이 갈수록 확대되고 있다.

피앤피시큐어는 최근 데이터마스킹 기능을 추가한 신버전 ‘DB세이퍼’를 출시했다. 이 제품은 기존 제품에 암호화를 대체하는 데이터 마스킹 기능을 삽입, 보안성을 제고한 게 특징이다. 소만사도 자사의 `디비아이` 솔루션에 데이터 마스킹 기능을 추가, 안정성을 높였다.

피앤피시큐어 박천오 사장은 “데이터 마스킹은 실질적으로 DB를 암호화하거나 복호화하는게 아니라 권한이 없는 사용자가 DB에 접근하면 암호화된 형태로 보여지는 솔루션”이라며 “실제 암호화가 이뤄지지 않기 때문에 성능이 저하되지 않으면서 암호화와 비슷한 수준의 보안성을 제공할 수 있어 고객들이 선호하고 있다”고 밝혔다.

또 그는 “기존의 권한통제가 암호화 수준이 낮다는 고객들의 불만이 많아 데이터 마스킹을 개발, 적용하게 됐으며 최근에는 거의 모든 접근제어 솔루션들이 데이터 마스킹 기능을 삽입하는 추세”라고 덧붙였다.

DB보안은 컨버지드 형태로 진화중

암호화 DB보안 솔루션의 대표적인 업체인 펜타시큐리티는 최근 ’디아모(D’Amo) SG 게이트웨이‘를 출시했다. 이 제품은 DB 암호화 솔루션과 서버가 일체된 제품으로 DB성능 저하 문제를 크게 개선했다.

펜타시큐리티 유창목 수석컨설턴트는 “기존 제품이 소프트웨어 형태라 속도가 느리다는 고객들의 불만이 있어 모든 쿼리를 빠르게 처리하는 할 수 있는 하드웨어 일체형 제품을 개발했다”며 “특히 성능 이슈 해결을 위해 패킷 분석 기능이 첨가됐는데 패킷 분석이 접근 제어 제품이 갖고 있는 기능을 제공하기 때문에 성능 저하 없이 접근제어의 장점과 암호화의 뛰어난 보안성 등 양쪽의 기능을 모두 제공하게 됐다”고 강조했다.

한편 기존 제품과 DB보안을 결합시킨 제품들도 속속 출시되고 있다.

이니텍은 최근 개인정보유출방지 통합 신제품 ‘이니세이프 인포 스위트(INISAFE-InfoSuite)’를 출시했다.

이 제품은 기존 DB 보안 솔루션인 ‘이니세이프(INISAFE)-DB’에다 PC, 서버, e-mail, 네트워크 보안 등 각종 보안 솔루션을 결합시킨 하이브리드형 제품으로 보안 시스템의 관리를 통합적으로 수행할 수 있는 장점을 지니고 있다. 또 모니터랩도 자사 웹 방화벽 제품과 DB보안 제품을 통합시킨 어플라이언스형 DB보안 솔루션을 조만간 출시할 계획이다.

이렇게 접근제어 솔루션과 암호화 솔루션의 장점이 결합된 하이브리드형 DB보안 제품의 잇따른 출시 등으로 DB보안 솔루션은 보다 고객의 만족을 향상시킬 수 있는 솔루션으로 진화되어갈 전망이다.

전자신문인터넷 장윤정 기자linda@etnews.co.kr