한동안 전국을 떠들썩하게 한 대규모 개인정보 유출 사건 이후로 정부와 업계는 사후 처리와 후속 대책 마련에 분주한 모습이다.
올해부터 시행되는 개인정보보호법 시행령 개정안은 주민등록번호 보관 규모가 100만명 미만인 기업은 올해 말, 100만명 이상인 기업은 2017년 말까지 각각 주민등록번호를 암호화하도록 규정했다. 이에 따라 대형 금융사, 통신사, 유통사 등 많은 기업이 보안 체계를 정비해야 한다.
최근 몇 년 추이를 살펴보면 이른바 `경계 중심 데이터 보안(perimeter-oriented data security)`은 점차 시대에 뒤떨어진다.
경계 중심 보안은 모든 입구와 출구에서의 접근을 제어, 네트워크를 보호하는 기술이다.
방화벽이나 필터 기술을 이용하는 방법을 말한다. 비즈니스 구성이 단순하고 직선형이던 이전 시대에는 이러한 보안이 적합한 효율 방식이었다.
현재는 비즈니스 구조가 복잡하고 더 많은 외부 조직과 연결돼 있어서 이것만으로 부족하다.
문제는 현재 기업 가운데 명확하게 정의된 `경계`가 없다는 점이다. 이것은 공공 부문이나 일반 기업이나 모두 마찬가지다. 현재는 공급사나 고객과 직접 내부로 연결되는 사례가 많아졌다. 비즈니스 모델은 데이터 보유를 제외한 모든 개발과 운영 부문을 제3자 회사에 아웃소싱하는 추세로 변한다.
새로운 서비스에 걸맞은 디지털화 계획도 빠른 진화가 필요하다. 매번 변화하고 추가되는 각 서비스에 따라 재구성하기 어렵기 때문에 데이터 보안도 플랫폼화가 적합하다.
데이터 보안 플랫폼은 정보가 자체로 보안 요구 사항을 알도록 진화해야 한다. 보안이 기본 데이터베이스(DB) 중심으로 이동해야 한다.
경계 보안에만 치우친다면 데이터 보안에 오히려 역효과를 낼 수 있다. DB는 전사 차원의 정보 인프라 핵심 구성 요소다. 여기서 데이터가 유출될 경우 피해 규모는 심각할 수밖에 없다. 이에 따라서 DB에 대한 보안을 최우선으로 하여 점검하는 것이 곧 정보유출 방지 전략 핵심이다.
이러한 접근 방법은 기업이 조직 내 네트워크 내에 직접 나타나는 위협을 줄이면서 데이터 보안 요구 사항 실행을 가능하게 해 준다. 통제 수준이 확대되는 부가 혜택도 얻을 수 있다.
데이터 가용성도 확대된다. 민감한 정보나 중요 데이터는 기업에서 적절히 활용하고 싶어도 원본 그대로는 활용될 수 없을 때가 많았다.
국내 금융기관은 자체 보안 시스템을 갖췄다 하더라도 신용정보회사 등 외부 업체와 정보를 교환한다. 대외 연계 시스템이 취약하면 고객 정보가 유출될 수 있어 근본적인 BD 암호화가 중요하다.
여전히 많은 은행과 대형 카드사들이 방대한 양의 DB에 대한 암호화 솔루션과 도입 방식 등을 놓고 쉽게 결정하지 못하고 있다.
암호화 도입으로 인한 성능 저하, 구축 기간, 예산 등 우려되는 부분이 많기 때문이다.
개인정보 유출에 대한 불안감이 높아진 상황에서 기업은 데이터 보안 체계에 대한 사회 신뢰를 회복해야 한다.
서비스 다변화와 사용자 증가에 따라 더욱 복잡해지는 기업 시스템 구성 정보 관리를 위해 더욱 안전하고 효율 높은 통제 방안에 대한 고민이 필요하다. 데이터 중심 통합 보안 전략이 좀 더 근본적이면서도 기업 경쟁력을 강화하는 보안 전략이 될 수 있다.
mailto:hyungbae.lee@oracle.com
