2024-03-29 14:30 (금)
“DB암호화 제품 도입규격, 좀 더 엄격해 져야”
상태바
“DB암호화 제품 도입규격, 좀 더 엄격해 져야”
  • 길민권
  • 승인 2014.01.03 16:56
이 기사를 공유합니다

강희창 대표 “규격 미달 제품 도입은 예산 낭비...신중한 선택 필요”
개인정보보호법 시행 이후 가장 뜨거웠던 보안솔루션 중하나가 바로 DB암호화 솔루션이다. 해당 법에도 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 않도록 암호화 등 안전성 확보에 필요한 조치를 해야 한다고 명시하고 있으며 안전성 확보에 필요한 조치를 하지 않아 개인정보 분실·도난·유출·변조 또는 훼손당했을 경우 2년 이하의 징역 또는 1000만원 이하의 벌금을 부과한다고 명시한 때문이다. 이에 국내 DB암호화 솔루션 대표 주자인 이글로벌시스템 강희창 대표(사진)를 만나 2013년 DB암호화 시장 현황과 2014년 전망에 대해 들어봤다.
 
강희창 대표는 “2013년 DB암호화 시장은 2012년에 비해 기대 이상의 시장 확대가 이루어진 것은 아니다. 여전히 암호화 및 그에 상응하는 조치를 해야 하는 기관과 기업들이 상당수 미흡한 상태에 있어 걱정”이라며 “특히 제조나 유통 분야는 암호화에 있어 침체기이며 그나마 금융권에서 금감원 가이드라인이 발표되면서 암호화에 대한 이슈가 커지고 있다”고 말했다.
 
더불어 “망법 적용 사업자들은 ISMS를 통해 암호화 요구가 있어 올해 기대를 해 봄직하지만 지난해 공공분야 IT 예산이 축소되면서 공공분야 암호화 사업이 크지 못했는데 올해 기대를 하고 있다. 하지만 쉽지만은 않은 상황이며 올해 금융분야도 큰 사업들이 없어 걱정이긴 하다”고 덧붙였다.
 
지난해 암호화 시장은 총 350억 이상의 시장이 형성된 것으로 조사됐으며 이중 이글로벌시스템은 약 85억 이상의 시장 점유율을 확보하고 있으며 올해 50% 이상 증가할 것으로 예상하고 있다.
 
특히 올해 DB암호화 시장 성장의 관건은 금융분야다. 1금융권의 DB암호화 스타트가 언제 본격화될지에 따라 시장 성장의 견인차 역할을 할 것으로 업계는 보고 있다.
 
지난해까지 금융분야에서 캐피탈, 보험, 증권 쪽은 타 금융권에 비해 DB암호화를 적극적으로 전개한 편이다. 생명보험사들은 50% 정도, 증권사들도 메이저들은 60% 정도 DB암호화를 도입한 상태다. 한편 1금융권에서 DB암호화 기지개가 언제 펴질지 업계는 촉각을 곤두세우고 있다.
 
한편 DB암호화를 도입한 곳들 중에서도 내용상 부족한 곳과 규격미달 제품 도입도 많다는 지적도 나왔다. 강 대표는 “DB암호화 규격미달 문제가 수면 아래 깔려있다. 도입은 했지만 규격미달이 많다는 것이다. 금감원 가이드라인을 보면 국가인증 제품만 도입하도록 했지만 CC인증을 받지 못한 제품들을 도입한 곳도 많고 암호화 대상을 최소화한 곳도 많다. 주민번호와 패스워드만 한 곳들이 있는데 망법을 적용하면 계좌번호, 카드번호까지도 암호화를 해야 하지만 상당수 그렇지 못한 경우가 많아 문제가 될 수 있을 것”이라고 지적했다.
 
특히 금융권의 모바일 거래가 확대되면서 모바일을 통해 들어오는 구간까지 암호화 이슈가 크게 발생하고 있다. 이에 대한 대책도 금융권이 적극적으로 대처해야 할 부분이라는 지적도 나오고 있다.
 
암호화 제품 성능에 대한 문제 제기도 눈여겨 볼 만하다. 강 대표는 “DB암호화 제품 중에 암호화 키를 복호화할 때 DB관리자를 막을 수 있어야 한다. 일부 제품은 그 부분에서 오류가 발생한다”며 “복호화 요청이 왔을 때 인가자인지 아닌지, 인가자 조건이 맞는지 통제하지 못하면 무용지물이다. 인가자 조건이 맞다면 키 사용해서 복호화하고 아니면 거부하는 것이 DB암호화의 중요한 역할이다. 해커가 인가자 계정을 획득해 들어왔을 때 이를 차단할 수 있어야 하는데 이 부분에 대한 성능미달 제품들을 도입하는 것은 예산만 낭비하는 꼴”이라고 강조했다.
 
또 그는 “일부 솔루션은 DB 스타트를 하기 위해서 모두 복호화 해야 한다. 그러면 암호화 안했을 때와 같은 수준이다. DB관리자나 다른 사용자들이 모두 복호화된 내용을 볼 수 있게 된다. 이럴 경우 해커가 파일을 복사해 갈 때는 상관없지만 DB를 통해 복호화된 상태에서 DB탈취를 시도하면 보안이 안되는 것이다. 이러한 제품들을 도입한 곳은 보안 위협에 안전할 수 없다”고 말했다.
 
즉 편법을 사용해 암호화 하는 것은 눈 가리고 아웅이란 지적이다. 특히 사용자들은 암호화 규모를 최소화하려고 하지만 ISMS 의무 적용 300여개 사업자들 그리고 은행을 비롯한 금융권들은 암호화 적용에 있어 규격에 맞는 제품 선정과 장기적인 안목을 가지고 암호화 규모를 정해 준비해야 할 것으로 보인다.
 
이글로벌시스템의 대용량 DB암호화 전문 솔루션 큐브원(CubeOne)은 사실상 대용량 DB암호화 분야에서는 독보적인 영역을 구축하고 있으며 현재 대형 통신사, 대형 공공기관, 그룹사, 금융기관, 교육기관 등에 도입돼 성능을 인정받고 있다.
 
강희창 대표는 “지난해 큐브원으로 85억 정도의 매출을 올렸다. 올해는 100억 매출을 넘길 것으로 예상한다”며 “암호화의 근본 이유는 유출시 계정이 쉽게 풀려서 평문으로 사용되는 것을 막기 위한 것이다. 이러한 내용들이 각종 가이드라인에 충분히 언급됐으면 한다. DB 스타트하면 통제가 안되는 제품 도입은 전혀 보안이 된다고 할 수 없다. 안전한 알고리즘, 사용권한 통제, 키 기밀성 이 세가지 조건이 충족되는 제품이 시장에 정착될 수 있도록 법적 기준들이 좀 더 명확해 지길 희망한다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★