[CIO BIZ/핫이슈]DB, 보안 패러다임 변화의 중심에 서다

관련 통계자료 다운로드 정보보안과 DB보안

정보통신기술(ICT)을 비즈니스와 분리해 생각할 수 없는 것이 현재 경영 환경이다. 기존 제조 와 중공업 기업의 성장 과정에 비해 ICT기업의 발전 속도와 규모를 생각해보면 실감할 수 있다. 이제 2차 산업 기업과 ICT기업의 경계가 모호해지는 융복합의 시대로 향하고 있다. ICT 도입 확대에 따라 보안 영역도 전방위로 넓어지고 있다.

기업이 그동안 IT서비스에 투자해 많은 이익을 창출 할 수 있었다. 반대급부로 돈이 모이는 곳에는 그것을 방해하거나 훔쳐 가려는 개인이나 세력들이 생겨나기 마련이다. 기존 불특정 타깃에 자기 과시로 이뤄지던 공격이 이제는 돈을 목적으로 고정 타깃으로 변하고 있는 셈이다. 공격도 성공할 때까지 끊임없이 이어지고 있다. 최근 몇 년 사이 기업과 공공의 피해가 급속도로 증가 하고 있다.

◇데이터 유출 위험 증가=데이터 유출은 단순히 유출에서 끝나지 않는다. 해킹한 개인정보를 이용해 타인 명의로 불법대출이나 불법카드론을 받는데 악용할 수 있다. 보이스피싱이나 스팸메일과 같은 불법광고에도 악용한다.

역대 개인정보 해킹은 금융 거래 등 제2의 금융 피해를 목적으로 하는 경우가 많았다.

미성년자의 개인정보는 향후 피해를 예측하기 어렵다는 지적도 있다. 이 때문에 최근 주목받는 분야가 중요하고 민감한 개인 정보를 담고 있는 데이터베이스(DB)의 보안이다.

점차 지능화되는 사이버 공격 대비책으로 네트워크 보안이나 애플리케이션 보안과 같은 경계 방어만으로는 부족하다. 최근 많은 해킹 사건들로 입증됐다. 이미 우리에게 중요한 자산이 된 많은 정보를 보호할 수 있는 최후의 보루로 DB보안이 각광받는 이유다.

◇DB 보안 어떤 방법이 있는가=기존 네트워크 보안이나 시스템 보안만 잘하면 안전한가. 현재 네트워크나 시스템 측면에서 방화벽·안티 바이러스·침입탐지 시스템 등을 구축하고 적절하게 잘 운용하고 있다면 데이터는 안전하다고 판단하는 기업이나 기관이 많다. 그러나 이는 섣부른 판단이다.

합법적이든 불법적이든 DB 계정과 패스워드만 습득한다면 누구나 DB에 접속해서 기밀 데이터를 조회하고 변경, 파괴하는 것이 가능하다. 이에 대비하기 위해 DB보안이 필요하다. DB보안에는 접근제어·암호화·작업결재·취약점 관리 등의 측면에서 갖춰져야 한다.

접근제어 측면에서 DB를 보호할 수 있는 첫 번째 방법은 정보를 담고 있는 DB에 접근할 수 있는 권한을 선별적 또는 차등적으로 부여해 부정한 정보 접근을 막는 것이다. 이는 데이터가 외부로 유출되거나 시스템 장애가 발생하면 사고 발생 시점의 사용자 접근 이력과 DB 작업이력을 조회해 누가, 언제, 어디서 공격했는지 찾아내는 데 절대적인 역할을 한다.

암호화 측면에서는 내부 직원과 같이 충분한 권한을 가진 자가 정상적인 접근으로 정보를 획득했다 하더라도 이를 범죄에 사용한다면 어떻게 할 것인가. 이를 대비해 통상적으로 정보를 암호화해 암호를 풀지 못하면 정보 자체의 열람을 할 수 없도록 한다. 행정적인 절차로 작업 내용이 정당한가를 엄격하게 확인하고 작업을 진행하는 방법도 필요하다.

취약점 관리 측면에서는 DB에 내재된 취약점을 지속적으로 제거, DB의 보안 수준을 향상시킨다. 모의 해킹, 내부 보안 감사 등으로 다양한 DB취약점을 도출할 수 있다.

◇정부 차원의 다양한 지원=예산과 인력부족 탓으로 DB 보호 조치를 미루게 되면 수습할 수 없는 위험에 빠질 수 있다.

우선 DB보안 전문가로 무료 진단을 신청해볼 수 있다. 한국DB진흥원은 매년 신청을 받아 DB보안의 현황 수준 파악과 부족한 점을 보완할 수 있도록 무료 진단 사업을 진행한다. 이러한 사업을 활용하면 현재 운영 중인 DB의 보안상 취약점을 도출할 수 있다. 연말에는 우수 기관을 선정해 시상하고 선행 사례를 전파하는 등 DB보안 전파도 추진한다. 문화체육관광부는 올해 4월 데이터베이스에 대한 인증 제도를 제도화하고 시행 전담기관으로 한국DB진흥원을 지정하는 등 DB보안 도입을 촉진시키고 있다.

신혜권기자 hkshin@etnews.com