SAP, CRM고객관리시스템 등 애플리케이션이 개인정보보호의 사각지대라는 지적이 대두되고 있다. ‘DB내 개인정보’를 보호하는 방법은 이제까지는 ‘DB암호화’와 ‘DB방화벽(DB접근통제솔루션)’ 두가지였다. ‘DB암호화’는 ‘DB내 개인정보’ 자체를 암호화하며 ‘DB방화벽’은 쿼리툴을 경유해 ‘DB내 개인정보’에 접근하는 것을 통제한다.
 
◇DB암호화와 DB방화벽의 한계=한편 DB보안 전문가들은 ‘DB암호화’와 ‘DB방화벽’ 모두 ‘애플리케이션을 통한 개인정보오남용과 유출’에는 보호대책이 될 수 없다고 지적한다.
 
그 이유는 무엇일까. 바로 DB암호화가 보호대책이 될 수 없는 이유는 애플리케이션의 복호화 권한 때문이다. 애플리케이션은 업무상 복호화권한을 가지고 있다. 따라서 암호화된 ‘DB내 개인정보’는 애플리케이션단에서는 평문으로 화면에 노출된다. 최종조회자가 애플리케이션을 경유하면 개인정보를 복호화해서 볼 수 있기 때문에 그렇다.
 
한편 DB방화벽이 보호대책이 될 수 없는 이유는 애플리케이션 IP만 식별하고 그 뒤에 있는 수많은 최종조회자의 IP를 식별하지 못하기 때문으로 전문가들은 지적한다.
 
애플리케이션은 ‘DB내 개인정보’를 가져와 업무에 활용할 권한을 가진다. 즉 사전에 정의된 권한에 따라 접근통제를 수행하는 ‘DB방화벽’은 애플리케이션이 ‘DB내 개인정보’에 접근하는 것을 막을 수가 없다.
 
또한 DB방화벽은 애플리케이션 뒤에 있는 수많은 최종조회자의 접근기록 대신 오직 애플리케이션의 접근기록만을 식별한다. 다시 말해 최종조회자 천명이 각각 한번씩 개인정보에 조회한 것인지, 최종조회자 단 한명이 천번을 조회한 것인지 DB방화벽으로는 밝혀낼 수 없는 것이다.
 
◇개인정보보호의 사각지대, 애플리케이션=애플리케이션 관련 개인정보 유출사고는 지속적으로 발생하고 있다. 실제 2011년 모통신사에서 애플리케이션을 경유해 DB에 접근해서 주민번호를 한번에 1~2건씩 조회하는 것을 무한반복하는 방식으로 수백만건의 개인정보사고가 발생한 바 있다.
 
또 모보험사 지점장이 퇴사하면서 애플리케이션을 통해 DB에 접근해 자기 지점에서 가입시킨 고객정보를 모두 조회·출력해 경쟁사로 이직한 사건 그리고 모정수기 영업담당자가 역시 애플리케이션을 통해 DB에 접근해 고객명단을 유출한 후 경쟁사에게 수억원을 받고 판매한 사건도 발생했다.
 
범죄가 지능화되면서 사각지대로 남아있는 애플리케이션이 주타깃이 되고 있는 상황이다. 많은 내부자와 범죄자들이 현재 DB암호화와 DB방화벽으로 둘러싸인 ‘DB’ 대신 ‘애플리케이션’을 노리고 있다고 전문가들은 지적한다.  
 
더욱이 법규준수를 위해서도 애플리케이션 보호조치는 필수로 인식되고 있다. 소상공인을 제외한, 일정수준 이상의 조직은 개인정보보호법 준수를 위해 애플리케이션을 포함한 개인정보처리시스템에 접근통제와 로그축적, 이상징후통제를 수행해야만 한다.  
 
또한 정보통신망법상의 개인정보 사용내역에 대한 사용자 통지규정을 만족하기 위해서도 개인정보가 어떻게 애플리케이션에서 조회, 활용되는지 추적하고 로그를 철저히 남겨놓은 후 연 1회씩 사용자에게 통보해야 한다. 이에 따라서 선도적인 업체들은 애플리케이션을 통한 개인정보유출사고에 대한 대응책을 차분히 적용해나가고 있는 중이다.   

LG전자 정보보안팀 김재수 팀장은 “LG전자는 웹애플리케이션서버를 경유한 개인정보유출사고의 심각성을 먼저 인식하고 2010년도부터 투자를 지속해왔으며 해외사업장에도 2011년부터 애플리케이션 보호조치를 확대해왔다”라고 말했다.
 
◇SAP, 개인정보보호에 취약한 상황=특히 SAP와 같은 외산 패키지애플리케이션은 국내에 국한된 추가개발이 불가능하므로 개인정보보호법 준수 보안기능을 자체적으로 적용하기 어렵다.
 
최일훈 소만사 연구소장은 “SAP는 라이선스 문제로 여러 사람이 한 계정을 사용하는 경우가 많기 때문에 최종사용자 추적성이 떨어지는 것이 가장 큰 문제”라며 “SAP 자체에서 축적하는 애플리케이션 로그만으로는 개인정보 이상징후 추적이 불가능하다”고 지적했다.  
 
SAP는 제조회사의 근간시스템이다. 다시 말해 SAP가 개인정보보호에 있어 취약하기 때문에 SAP를 사용하는 제조업체는 개인정보보호법, 정보통신망법 위반가능성 및 개인정보유출 가능성이 높다고 전문가들은 우려하고 있다.
 
모 보안전문가는 “SAP는 기업의 근간시스템이고 외산이어서 투자금액이 많게는 1조원까지도 달한다. 그런데 SAP를 보안하는데는 투자금액의 0.1%도 쓰지 않고 있는 것이 지금 기업의 현실”이라며 “모광고의 ‘차값이 얼마인데, 엔진오일을 아끼느냐?’라는 카피가 떠오른다. 고가의 근간시스템을 그 위상에 맞는 수준으로 보안하고 있나를 돌아볼 때다”라고 강조했다.
 
애플리케이션을 통한 개인정보보호는 개인정보보호의 사각지대를 없애는 일이다. DB내 개인정보 보호방법이 DB암호화와 DB방화벽(DB접근통제솔루션) 외에 애플리케이션 보호까지 확대되어야만 개인정보보호체계가 완성될 수 있을 것으로 보인다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com