금융·공공·유통 등 전 산업분야에 DB암호화 솔루션 구축 비상령이 내렸다.
지난해 발효된 개인정보보호법에 따라 DB암호화 솔루션 구축 기간이 5개월여밖에 남지 않은 상황에서 시스템 구축에 나선 금융, 공공 등 관련 기관·기업들이 성능과 비용 등의 문제로 고민에 빠졌기 때문이다. 특히 문제가 심각한 곳은 금융권이다.
5일 관련 업계에 따르면 최근 금융권 IT전문가들은 DB암호화 구축 문제를 두고 연일 고민을 거듭하고 있는 것으로 알려졌다.
업계 한 관계자는 “금융권에서 암호화를 두고 갑론을박을 벌이고 있다”면서 “기간계 시스템에 DB암호화를 구축하려면 엄청난 규모의 투자가 필요한데다 설치 후 성능저하 등을 우려해 선뜻 구축에 나서겠다는 곳이 없다”고 말했다.
개인정보보호법 준수를 위한 기술적·관리적 보호조치 기준을 명시한 `개인정보의 안전성 확보조치 기준`에 따르면 개인정보처리자는 인터넷 구간, 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유 식별정보를 암호화한 후 저장해야 한다.
◇예외는 없다 `최소한의 보안조치 서둘러야`=금융권이 DB암호화 도입을 망설이는 가장 큰 이유는 성능 저하 우려가 크기 때문이다. 계정계, 정보계 등 복잡하게 얽힌 업무시스템의 속성상 처리해야할 데이터가 방대하다. 때문에 DB암호화를 적용할 경우 성능이 급격히 하락할 가능성이 높다. 심각한 경우 시스템 자체가 중단될 우려도 있어 금융권은 직접 DB를 암호화하기 보다 DB 접근제어를 선호해왔다. 하지만 지난해 농협전산망 마비사건을 비롯해 현대캐피탈, 삼성카드 등 잇단 금융권의 개인정보 유출사고로 금융권이 보안 사각지대라는 평가를 받고 있는 만큼 성능저하를 이유로 고객정보 암호화를 미루기란 쉽지 않을 전망이다.
이에 따라 정부는 올 연말까지 가능한 많은 금융기관들이 보안조치를 강화하도록 유도할 방침이다.
한순기 행정안전부 개인정보과장은 “암호화를 구현하기가 여의치 않은 금융기관은 정부가 고시한 `위험도 분석기준`에 따라 암호화에 상응하는 조치를 충족시키면 된다”면서 “금융기관에 DB암호화를 구축할지, 위험도 분석기준에 따라 암호화에 상응하는 조치를 취할지 선택하도록 할 것”이라고 말했다. 또 한 과장은 “현재 `금융권 암호화 가이드라인`을 개발하고 있다”면서 “이달 중 금융권 암호화 가이드라인을 발간해 보다 많은 금융기관이 암호화 또는 그에 상응하는 조치를 완료할 수 있도록 적극 지원하겠다”고 강조했다.
◇농협, 금융권 1호 DB암호화 구축 사례될 것=현재 알려진 바에 의하면 산업은행, 중소기업은행, IBK기업은행 등의 차세대시스템 구축 프로젝트에 DB암호화가 포함돼 있다. 가장 먼저 총대를 멘 곳은 농협이다.
농협은 지난해 전산망 해킹사고 등으로 실추된 이미지 하락과 시스템 보완 압박으로 대형 금융권 중 가장 먼저 DB암호화 솔루션 구축에 나설 것으로 예측된다. 현재 농협은 DB암호화 솔루션 구매를 위한 BMT(성능테스트)를 실시하고 업체 선정 작업을 하고 있다. 농협 BMT에는 DB암호화 업체들이 거의 참여했으며 내달 초 사업자가 선정될 전망이다.
금융권 외 다른 업종도 활발한 움직임을 보이고 있다. 병원들도 내외부 압력으로 DB암호화 구축에 나서는 모양새다. 최근 서울대병원 암센터, 삼성의료원 등이 DB암호화 솔루션을 구축했으며 전북대병원, 현대아산병원 등이 솔루션 구축에 나선 것으로 알려졌다.
지난해 신세계백화점 고객정보 유출 사고를 겪은 백화점 등 유통업계는 일치감치 DB암호화 구축을 완료했다. 신세계백화점, 롯데백화점, 현대백화점 등 빅3는 DB암호화 솔루션을 구축, 가동 중이다. 이마트계열 유통업체 및 대형 대형마트들도 다량의 개인정보를 보유하고 있는 만큼 서둘러 올 연말 전에 암호화 솔루션을 구비한다는 전략이다.
이동훈 고려대학교 정보보호대학원 교수는 “개인정보보호법 계도기간이 지난 1분기로 종료된 데다 DB암호화 유예기간 만료일이 5개월 앞으로 다가오면서 DB암호화 솔루션 구입을 고려하는 고객들이 크게 늘어날 것”이라며 “하지만 법 적용에 떠밀려 자사 시스템 구축을 서두르기보다 안정성을 우선한 신중한 접근이 필요하다”고 말했다.
국내 DB암호화 업체 현황
장윤정기자 linda@etnews.com