기업의 통합보안시스템구축, 데이터베이스 보안에서 출발해야
[한국오라클 데이터베이스 사업부 노형준 부장. 사진] 지난 해 1월, “KCB(코리아크레딧뷰) 신용정보업체에서 직원에 의해 1억 건이 넘는 개인정보가 유출됐다”는 언론 보도에 전 국민이 혼란에 빠졌다. 국내 대표적인 카드 3사에서 약 1억 4백만 건의 정보가 유출된 것이다. 이 정도의 숫자라면 우리나라 성인 인구의약 55%에 달하는 사람들의 개인정보가 유출된 셈이니 개인정보는 이제‘개인’ 정보라기보다 ‘공유’ 정보에 가까워졌다.그후 1년 여가 지난 시점에서 과연 국내 기업들의 IT 보안대책은 얼마나 강화됐을까? 혹자는 ‘이미 많은 개인정보가 노출된 상황에서 보안이 무슨의미가 있겠는가, 소 잃고 외양간 고치기일뿐이다’라고 말하기도 한다. 그러나 지금이야 말로 기존의 실수를 반복하지 않도록 철저한 준비가 필요한 때이다.
어떻게하면 개인정보 및 소중한 기업정보들을 지키기위한 보안시스템을 가장 완벽하게 구축할 수있을까? 가장 좋은 방법은 통합보안시스템을 구축하는 것이다. 통합보안시스템은 운영체제, DB, 그리고 응용프로그램 등 모든 계층에 대해 보안을적 용함으로써 개인정보를 포함한 모든 소중한 정보가 어떤 경로를 통해서도 유출되지 못하도록 지원한다. 또한 이는 제한된 내부자원이 남용되지 않도록 하는 최선의 방책이다.
[그림1] 각 시스템 단에서 발생 가능한 데이터 유출
그러나 실제로는 시간적, 물질적, 자원적인 제한으로 한번에 통합보안시스템을 구축하지는 못하는경우가 많다. 따라서 무엇을 먼저 해야 할지에 대한 선택의 문제가 따를 수밖에 없다. 이러한 경우 프랭클린코비의 ‘성공하는 사람들의 7가지 습관’ 중 ‘소중한 것을 먼저하라’는 항목이 유용하게 적용된다.
2011년 8월 발간된 IDC보고서에 의하면, 규제대상이 되는 민감한 정보의 67%가 데이터베이스에존재하며, 그 정보는 2년마다 2배씩 늘어나고 있다고 발표했다. 또한 버라이즌에서 2012년 6월 발간한 정보유출보고서에 의하면, 대규모 사업체에서 발생하는 데이터유출 레코드건수의 98%는 노출된 데이터베이스서버로부터 발생한다고 밝혔다. 이러한 결과들은 통합보안시스템을 구축하는과정에서 데이터베이스보안을 가장 우선적으로 고려해야 함을 잘 보여준다.
‘보안’은 곧 모순(矛盾)이다. 정보를 빼내려는 자와 이를 보호하려는 자의 싸움이다. 기업들은 이러한 창과 방패의 싸움에서 방패가 이길 수 있는, 또는 지더라도 최대한 오래 버티기 위한 최선의 방법을 취해야 한다. 이를 위해 ‘Defense-in-Depth’ 데이터베이스 보안전략이 필요하다. 즉, 하나의 강력한 방어막으로 중요한 정보를 보호하는 것이 아니라 여러겹의 방어막을 구축해 설령 하나의 방어막이 무너지더라도 여러겹의 방어막으로 추가적인 보호를 통해 중요한 정보를 최대한으로 보호하자는 취지다.
데이터베이스보안은 크게 사전예방(Preventive), 모니터링/감지(Detective), 그리고 관리보안(Administrative) 등 세개의 카테고리로 나눌 수 있다. 이중에서 사전예방은 정보의 유출자체를 미리 차단하기 위한 방법으로 데이터암호화와 변조 및 접근제어를 포함한다. 모니터링/감지부분은 정보유출과 관련된 행위를 감시하기 위한 방법으로 실시간 감시 및 사후추적기능을 포함한다. 마지막으로 관리보안부분에는 정기적/비정기적관리를 통해 보안시스템을 안정되게 유지하기 위한 방법으로 설정사항 및 위험사항검사, 패치자동화 등의 기능이 여기에 포함된다.
특히 사전예방단계에서 암호화 뿐아니라 데이터를 실시간 변조해서 보여주는 리덕션(Redaction) 기능을 함께 적용하면 ‘기본적이지만 가장 중요한’ 데이터보안을 실현할 수 있다. 실시간 데이터 변조 또는 디스플레이마스킹이라고도 불리는 리덕션은 꼭 필요한 사용자에게는 민감한 데이터 전체를 보여주고, 그렇지않은 사용자에게는 데이터의 일부 또는 변조된 데이터를 보여줌으로써 불필요한 정보노출을 최소화할 수 있다.
2011년 8월 발간된 IDC보고서에 의하면, 규제대상이 되는 민감한 정보의 67%가 데이터베이스에존재하며, 그 정보는 2년마다 2배씩 늘어나고 있다고 발표했다. 또한 버라이즌에서 2012년 6월 발간한 정보유출보고서에 의하면, 대규모 사업체에서 발생하는 데이터유출 레코드건수의 98%는 노출된 데이터베이스서버로부터 발생한다고 밝혔다. 이러한 결과들은 통합보안시스템을 구축하는과정에서 데이터베이스보안을 가장 우선적으로 고려해야 함을 잘 보여준다.
‘보안’은 곧 모순(矛盾)이다. 정보를 빼내려는 자와 이를 보호하려는 자의 싸움이다. 기업들은 이러한 창과 방패의 싸움에서 방패가 이길 수 있는, 또는 지더라도 최대한 오래 버티기 위한 최선의 방법을 취해야 한다. 이를 위해 ‘Defense-in-Depth’ 데이터베이스 보안전략이 필요하다. 즉, 하나의 강력한 방어막으로 중요한 정보를 보호하는 것이 아니라 여러겹의 방어막을 구축해 설령 하나의 방어막이 무너지더라도 여러겹의 방어막으로 추가적인 보호를 통해 중요한 정보를 최대한으로 보호하자는 취지다.
데이터베이스보안은 크게 사전예방(Preventive), 모니터링/감지(Detective), 그리고 관리보안(Administrative) 등 세개의 카테고리로 나눌 수 있다. 이중에서 사전예방은 정보의 유출자체를 미리 차단하기 위한 방법으로 데이터암호화와 변조 및 접근제어를 포함한다. 모니터링/감지부분은 정보유출과 관련된 행위를 감시하기 위한 방법으로 실시간 감시 및 사후추적기능을 포함한다. 마지막으로 관리보안부분에는 정기적/비정기적관리를 통해 보안시스템을 안정되게 유지하기 위한 방법으로 설정사항 및 위험사항검사, 패치자동화 등의 기능이 여기에 포함된다.
특히 사전예방단계에서 암호화 뿐아니라 데이터를 실시간 변조해서 보여주는 리덕션(Redaction) 기능을 함께 적용하면 ‘기본적이지만 가장 중요한’ 데이터보안을 실현할 수 있다. 실시간 데이터 변조 또는 디스플레이마스킹이라고도 불리는 리덕션은 꼭 필요한 사용자에게는 민감한 데이터 전체를 보여주고, 그렇지않은 사용자에게는 데이터의 일부 또는 변조된 데이터를 보여줌으로써 불필요한 정보노출을 최소화할 수 있다.
[그림2] 민감한 데이터에 대한 리덕션 적용예시
데이터에 대한 자유로운 접근 및 수정이 가능한 막강한 권한을 갖고 있는 내부자위협에 대한 대응책도 요구된다. ‘특권사용자’ 즉, DBA(Data Base Administrator) 또는 이에 준하는 권한을 가진 사용자라 하더라도 중요 데이터에 대한 접근을 통제하고, 각 업무에 따라 접근권한을 분리해야 한다. 즉, 인사데이터는 인사업무를 관장하는 사람만이 볼 수 있어야 하고, 재무데이터는 재무업무를 관장하는 사람만 볼 수 있도록 해야 한다. 이때 데이터베이스의 핵심운영 단위인 커널(Kernel)에서 접근제어를 적용하면 어떠한 우회경로를 통한 불법적인 접근도 차단할 수 있다.
데이터베이스보안시스템 혹은 더 나아가 통합보안시스템구축을 완료했다면 이제 잘 운영하는 것이 중요하다. 기업들은 모니터링솔루션을 통해 애써 구축된 보안시스템이 문제없이 운영되고 있는지 확인할 수 있다. 전사적 통합감사(Audit) 시스템을 이용하면 조직의 전사감사자료를 중앙집중적으로 모니터링함으로써 가능성있는 보안사고를 사전에 파악할 수 있다. 또한 보안사고발생시, 신속한 원인규명을 통해 시기 적절하면서도 효과적인 대처가 가능하다.
데이터베이스보안시스템 혹은 더 나아가 통합보안시스템구축을 완료했다면 이제 잘 운영하는 것이 중요하다. 기업들은 모니터링솔루션을 통해 애써 구축된 보안시스템이 문제없이 운영되고 있는지 확인할 수 있다. 전사적 통합감사(Audit) 시스템을 이용하면 조직의 전사감사자료를 중앙집중적으로 모니터링함으로써 가능성있는 보안사고를 사전에 파악할 수 있다. 또한 보안사고발생시, 신속한 원인규명을 통해 시기 적절하면서도 효과적인 대처가 가능하다.
[그림3] 감사정책의 중앙관리를 위한 통합모니터링 환경구축
지금까지 공유정보가 된 개인정보의 이야기로부터 시작해 개인정보를 포함한 소중한 기업정보들을 보호하기 위한 ‘통합보안시스템’과 그중 핵심을 이루는 데이터베이스 보안에 대해 살펴보았다. ‘천리 길도 한걸음부터’라했다. 더 이상 우리의 소중한 개인정보가 공유정보가 되지 않도록 데이터베이스 보안솔루션 도입을 통해 ‘보안을 향한 제대로 된 한 걸음을 내딛도록하자’는 말로 이 글을 마친다.
<★정보보안 대표 미디어 데일리시큐!★>
[글. 한국오라클데이터베이스 사업부 노형준 부장 hyeongjoon.noh@oracle.com]
<★정보보안 대표 미디어 데일리시큐!★>
[글. 한국오라클데이터베이스 사업부 노형준 부장 hyeongjoon.noh@oracle.com]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
