행정안전부는 `금융권 암호화 가이드라인`을 제작해 조만간 배포할 예정이다. 보다 많은 금융사가 DB암호화를 손쉽게 추진하도록 돕기 위해서다. 가이드라인이 나올 때까지 DB암호화를 미루고 있는 금융사도 적지 않다. 하지만 가이드라인은 어디까지나 지침서일 뿐 DB암호화를 하지 않아도 된다는 뜻은 아니다.
한순기 행정안전부 개인정보과장은 “금융사 대부분이 `돌다리`만 두드리고 있고 실제로 암호화를 추진하는 곳은 없다”며 “가이드라인은 법의 테두리 안에서 편리한 방식을 알려주는 것이기 때문에 이제는 본격적으로 DB암호화를 검토해야 한다”고 충고했다.
DB암호화 전문업체 관계자들은 DB암호화 프로젝트를 추진할 때 가장 염두에 둬야 할 것은 이상과 현실을 명확히 구분해야 하는 점이라고 말한다. 가격과 성능, 보안성, 애플리케이션 무(無)수정 등 여러 가지를 고민하지만 실제로 이 모든 요건을 갖춘 솔루션은 없다는 얘기다.
조돈섭 이글로벌시스템 이사는 “애플리케이션을 전혀 수정하지 않고 성능 저하도 없으면서 보안성까지 갖춘 솔루션은 세상에 없다”며 “DB암호화 업체가 마치 이런 제품이 있는 것처럼 고객을 선동하는데 이런 말에 현혹돼서는 안된다”고 강조했다. 그는 보안성과 성능 등 여러 요소 중 가장 초점을 맞출 부분을 정한 다음 솔루션을 선정해야 한다고 말했다.
조 이사는 DB암호화 솔루션을 보안 제품으로 바라보는 시각부터 바꿔야 한다고 말했다. 겉으로 보기에는 보안 제품이지만 DB암호화 솔루션은 철저히 DB 제품이라는 게 그의 설명이다. 이에 따라 제품을 선택하고 프로젝트를 추진할 때 반드시 DB관리자가 참여해 의견을 공유해야 한다고 조 이사는 강조했다.
이의길 코마스 부장은 벤치마크테스트(BMT) 중요성을 언급했다. 그는 BMT를 할 때 실제 운영 환경과 거의 유사한 환경을 구성해 테스트를 진행해야 한다고 강조했다. 그래야만 실제로 솔루션이 적용됐을 때 발생할 수 있는 문제점을 최소화할 수 있다는 설명이다.
이 부장은 “현존하는 모든 DB 종류와 버전을 모두 암호화할 수 있는지, 구축이 간편하며 유지보수 편의성이 높은지 등도 고려해야 한다”며 “API나 플러그인, 풀 테이블 등 여러 방식 DB암호화 솔루션을 면밀히 검토해 자사에 가장 적합한 솔루션을 선택해야 한다”고 충고했다
안호천기자 hcan@etnews.com
