최근 금융권을 중심으로 다양한 기법의 해킹 시도 및 피해 사례가 증가하고 있어 사회적으로 큰 파장을 불러일으키고 있다. 이같은 기업재난은, 기업의 존립을 위협한 정도로 큰 파장을 불러 일으킨다는 점이 특징이다.
대형 보안사고들과 개인정보보호법 시행으로 인해 보안에 대한 국민적 관심이 어느 때보다 높은 이때, 소프트포럼(대표 김상철, www.softforum.com)이 보안관리자들을 위한 “안전한 DB보안을 위한 기업 보안 관리자가 고려해야 할 5가지 수칙”을 4월21일 내 놓았다.
이 안전수칙을 통해 고객의 개인정보보호를 위한 DB보안을 어떻게 하면 보호할 수 있을까 하면서, 막연한 고민에 빠져 있을 기업 보안 관리자들 뿐만 아니라 개인정보를 다루고 있는 금융권, 공공기관, 교육기관, 병원 등 모든 분야 보안 관리자들의 고민을 돕고자, 이같은 수칙을 내놓았다는 설명이다.
소프트포럼 SW사업본부 박원규 전무는 “기업 보안 관리자가 해킹 사고를 사전에 대비하기 위한 앞선 정보력과 지속적인 관심을 놓지 않도록 해야겠지만, 이러한 관리자의 역할에 협조할 수 있는 안정적이고 체계적인 보안 기업과 함께 고객정보보호를 위한 방어전략을 세우고, 이행해 나가는 것도 좋은 방법 중 하나가 될 것이다”라고 조언했다.
1. 법에서 규정하는 사항은 반드시 확인하라.
오는 9월 30일에 시행 예정인 개인정보보호법에서 어떤 부분이 변화 되는지, 새롭게 준수해야 하는 사항은 무엇이 있는지 반드시 확인해야 한다.
법규 이외에 업계의 특성에 따라 다양한 보안 가이드가 속속 나오고 있는 실정이며 이 또한 사전에 확인한다면 언제라도 생길 수 있는 보안 허점을 충분히 예방할 수 있다.
Tip) 법 규정을 확인하고 거기에 맞는 유효한 보안 방법을 찾는 것은 아무리 뛰어난 보안 관리자라 해도 그리 쉬운 일이 아니다. 하지만 이럴 때 일수록 유명 보안기업의 컨설턴트를 적극 활용해 보자. 일부 보안기업에서는 무상 점검 서비스도 제공하니 1석 2조.!!
2. DB암호화 솔루션은 필수!!!
최근 여러 보안 사고의 주요 원인으로 지적된 것과 같이 DB암호화 솔루션은 이제 필수로 자리 잡는 분위기이다. DB보안을 위해 기존에 제시된 다양한 솔루션이나 시스템이 있지만, 만약의 경우, DB 정보가 유출이 되더라도 해당 데이터를 지킬 수 있는 유일한 방법이기도 하다.
Tip) 암호화 제품이면 다 동일한 것인가? 좋은 DB암호화 제품은 어떤 것인가?
가장 손쉬운 방법은 국정원이 검증한 국가암호지정제품임을 확인 하는 것이다. 이는 이미 공공기관 도입시 필수 조항으로 자리잡았다. 등록 제품은 IT보안인증사무국( http://service2.nis.go.kr/ )에서 확인할 수 있다. 일반기업의 경우에는 국정원이 인증한 암호 알고리즘을 사용하는 제품인가 여부를 확인 하는 것이 좋다.
3. DB보안 제품은 두마리의 토끼를 잡아야 한다!?
DB보안 제품 선택 시에는, 보안성 만큼이나 고려되는 것이 제품의 성능과 안정성이다.
많은 기업, 기관들이 보안성 보다는 성능과 안전성에 대한 고민으로 DB보안 제품 도입을 망설이는 경우가 더 많다. 더욱이 대용량 시스템의 경우에는 성능을 만족시키는 제품을 찾는 것이 어렵다.
Tip) 보안담당자로써는 안전한 선택을 할 수밖에 없다. 대용량 DB에 적용한 경험이 많은 제품(보안기업)을 선택하자. 대용량 DB에 적용한 경험이 많은 제품일수록 성능 저하의 문제 해소와 안정적인 운영에 대한 노하우를 확보하고 있을 확률이 높다.
4. 유지보수 계약은 필수!! 형식적인 점검은 NO!~
비용적인 측면을 고려하여 유지보수 계약을 하지 않는 경우가 있는데 DB보안은 시스템은 어떤 보안 시스템 보다 관리가 중요한 시스템이다. 시스템 변경과 새로운 기술적 위협에 대해서 지속적으로 안내를 받을 수 있는 곳이라면 더욱 좋을 듯 하다.
Tip) 보안제품 선택시 사전에 유지보수에 대한 충분한 여력이 있는지 확인하는 것이 장기적인 시스템 안정성 측면에서 바람직한 선택이라고 할 수 있다.
5. 보안 트랜드를 지속적으로 모니터링 하라.
보안은 예방에 모든 목적이 있다. 법에서 정하는 보안규정을 준수하는 것도 중요하지만 급박하게 변화하는 해킹 위협에 능동적으로 대처하기 위해서는 보안관리자가 자신만의 보안정보망을 갖추는 것이 필요하다.
Tip) 해당 기업이 도입한 보안 제품 공급사에 보안컨설턴트가 존재한다면 그들이 큰 도움을 줄 수도 있다. 또한 관련 업체들간의 보안담당자 커뮤니티가 많이 존재하니 활동을 통해 정보를 얻는 것도 큰 도움이 될 수 있다.
<재난포커스(http://www.di-focus.com) - 유상원기자(goodservice@di-focus.com)>