오늘날 일반에게는 기업에서의 IT 보안, 그 중에서도 데이터 보안이 이미 잘 정비되어 있거나 준비 중에 있는 것으로 알려져 있다. 하지만 불행하게도 아직 심심찮게 신문 지상에 대형 보안 이슈가 계속 등장하는 것이 현실이다. 기업 내부적으로는 점점 보안이 강화됨으로 인해서 “업무 효율성의 저하, 보안 비용 상승 및 복잡성 증가” 등의 부작용이 나타나고 있는 실정이다. 따라서 회사 전체의 보안을 책임지는 CISO(chief information security officer) 또는 CIO(chief information officer) 입장에서는, 보안과 업무 효율성 간에 잘 균형 잡힌 보안 체제를 구축하는 것이 매우 중요한 과제가 되고 있다. 특히 핵심 업무에 오픈 플랫폼 컴퓨팅 환경을 사용하는 기업에서는, 이러한 대형 보안 사고에 큰 경각심을 느끼고 깊은 고민과 보안 투자를 검토 중에 있다.
IT 보안 전략의 수립은, IT 전반에 걸친 종합적인 측면에서 수립하되 실제 적용은 단계적으로 시행하는 것이 보안 강화와 효율성 측면에서 훨씬 유리하다. IBM의 보안 전략은, “사람, 데이터, 애플리케이션, 하드웨어 및 인프라” 전체를 망라하는 보안 프레임워크를 가지고 융합적으로 문제를 대처하는 쪽으로 접근하고 있다. (참조: IBM 보안 프레임워크 구성)
이렇게 상호 연관된 부문을 통합 관리함으로써 보안 강화에 수반되는,
? 업무 복잡성은 최소화,
? 비용 상승은 최소화,
? 중복 규제도 최소화 하면서 효율적인 보안 시스템의 구축이 가능하도록 하고 있다.
여기에서는 위의 5 가지 항목 중 “사람, 애플리케이션, 하드웨어 및 시설물” 과 같은 일반적인 항목 보다는, 컴퓨터 운영 플랫폼의 특성에 따라서 큰 차이를 나타내는 데이터 보안에 대해서 간략히 짚어 보고자 한다.
위에서 언급한 데이터 보안은 크게 3 가지 기능 요소로 이루어져 있다.
첫째는 데이터 접근 통제 기능으로 사용자 ID 및 사용자 별 권한을 관리하는 것 이다.
둘째는 데이터 암호화 및 키 관리 기능으로 “DB, 파일, 테이프 및 네트워크” 데이터를 암호화하고 암호화 키를 안전하게 관리하는 것 이다.
셋째는 데이터 접근에 대한 모니터링 및 감사 기능으로 구성되어 있다.
“데이터 접근 통제”에서는 각 사용자를 역할 별로 세분화해서 권한 관리를 하는 것이 핵심적인 기능이다. 오픈 컴퓨팅 환경과 달리 메인프레임 환경에서는 사용자 권한 관리가 태생적으로 매우 정교하게 관리되고 있다. 오픈 환경에 있는 “ROOT” 라고 하는 슈퍼 ID가 존재하지도 않으며, OS가 기본적으로 “시스템 관리자, 운영자, 업무 그룹, 개별 사용자” 등으로 사용자를 세분화 하여서 권한 관리를 통제하고 있다. 이렇게 함으로써 내부자에 의한 데이터 훼손이나 누출 가능성을 최소화 하고 있는 것 이다. 예를 들면, 메인프레임 환경에서는 시스템 최고 관리자라 할 지라도, 온라인 가동 중에 독단적으로 특정 디스크를 초기화하는 등의 행위는 구조적으로 막혀 있다.
“데이터 암호화 및 키 관리”는 업무 중요도에 따라서 적합한 암호화 방식을 적용하는 것이 핵심이다. 하드웨어의 급격한 발달로 현재 시중에는 다양한 암호화 방식이 나와 있지만, 암호화 대상 업무에 적합한 방식을 선택해야 한다. 암호화 방식에 따라서는 적용 후에 갑작스런 성능 저하나 장애가 발생될 수 있으므로, 충분한 시간을 갖고 소규모 업무에서부터 점점 큰 업무로 이행해가는 적용 절차도 중요한 고려 사항이다. 메인프레임에서는 국제적으로 표준화된 암호화 루틴(T-DES, AES 등)을 하드웨어 칩에 탑재하여서 암호화를 수행하는 방식을 채택하고 있다. 이렇게 함으로써 보안과 성능 문제를 한꺼번에 해결하고 있다. 주요 사례로써 미국 최대 이동 통신사인 버라이전(Verizon)의 DB 암호화 성공 사례를 보면, (주1)
? 전사적인 적용에 소요된 기간은 2 년
? 시범 사업부터 점점 큰 규모의 업무에 단계적으로 적용
? 메인프레임 하드웨어 칩 기반의 암호화 방식 채택
? 기존 애플리케이션의 수정이 필요하지 않은 암호화 방식 채택
? 연관 부서 및 공급 업체와의 긴밀한 협조가 중요한 성공 요소임을 보여주고 있다.
“데이터 접근 모니터링 및 사후 감사 장치”에서는 실시간 모니터링과 완벽한 기록물 관리가 핵심 기능이다. 이 기능이 있다는 것 만으로도 부적절한 데이터 접근을 미리 차단해주는 효과가 있다. 예를 들면, CCTV가 달려 있다는 것 만으로도 범죄 가능성을 줄여주는 효과가 발생되는 것과 같다. 메인프레임은 오픈 환경과 달리 태생적으로 다수의 사용자가 함께 시스템 자원을 사용한다는 가정하에 만들어진 시스템이어서, 기본적으로 데이터 접근 기록을 남기지 않고는 누구도 접근할 수 없으며, 보존된 기록물에 대한 접근도 강력한 통제 하에 이루어지고 있다.
컴퓨터 플랫폼에 따른 데이터 보안의 차이를 비교한 자료를 보면, 각 IT 업체가 서로 자기방식이 우수하다고 주장하고 있어서 객관적인 판단이 용이하지 않다. 하지만 실제 “보안에서 오픈 아키텍처 보다 독자적인 아키텍처가” 훨씬 우월하다는 것은 거의 상식에 준하는 사실이다. 이는 윈도우 보안 사고와 맥OS 보안 사고를 비교해보면 쉽게 이해가 된다. 실제로 근래 미국 Forrester 연구소에서 조사한 자료에 의하면, 데이터 보안 등급은 “메인프레임, 유닉스, 맥OS, 리눅스, 윈도우” 순위로 발표되고 있다. 이러한 이유로 대형 금융 회사를 비롯한 많은 세계적인 기업에서 중요한 데이터는 여전히 안전한 메인프레임에 저장하고 있다.