DB관리자 '보안' 몰라! 보안관리자 'DB' 몰라!

DB암호화, 시장은 크고 제품은 없다!

무조건 다된다는 식의 과장광고 사라져야 한다!

공공-금융 등 DB암호화 중요성 인식...적당한 제품없어 난감

데이터베이스 보안은 기업의 중요 데이터를 보호하는 최종 방어막이라고 할 수 있다. 결국 기업은 중요 정보에 대한 유출을 막기 위해 보안을 하는 것이다. 이를 위해 IPS도 설치하고 IDS도 설치하고 방화벽과 서버보안 등 여러 가지 보안시스템들을 구축한다.

하지만 이런 여러 가지 보안시스템을 구축했음에도 불구하고 데이터 유출이 계속해서 발생하면서 이제 기업들은 데이터 보안에 관심을 보이고 있다. 한편 개인정보보호 문제가 불거지면서 공공기관에서는 진즉부터 데이터베이스 보안의 중요성을 인식하고 구체적인 고시도 하고 있는 상황이다. 

DB보안의 중요성이 부각되고는 있지만 현재 여러 가지 문제점들이 노출되고 있다. 우선 DB보안에 대한 관리주체가 명확하지 않다. 이러한 문제는 DB관리자가 정보보호에 대해 잘 모르고 있고 보안 총괄책임자도 DB에 대해 잘 모르고 있는데서 발생한다.

DB관리자는 '보안'을 모르고, 보안담당자는 'DB'를 모른다

DB유출의 대부분이 내부자에 의해 발생하면서 DB관리자에 대한 통제가 이루어져야 한다. 이를 보안팀에서 적절히 통제하지 않으면 DB관리자도 모르게 혹은 고의로 DB가 유출되는 상황이 발생하게 된다.

모 기관 보안담당자는 “DB관리자가 DB통제권을 가지고 있다. 하지만 현재 DB관리자를 보안담당자가 통제하지 못하고 있다. 대부분 기업이나 기관에서 발생하고 있는 현실”이라며 “DB관리자도 외부 유혹에 빠져 악의적 사용자가 될 수 있기 때문에 이를 철저히 관리하는 것이 중요하다”고 강조했다. 

또한 일부 기업에서는 DB관리를 아웃소싱으로 관리하는 기업도 있다. 이런 상황에서 보안 관리가 되지 않는다면 정보유출이 쉽게 이루어질 수 있다.

접근제어 솔루션에도 ‘홀’은 있다

그렇다면 접근제어를 통해 통제하면 되지 않을까. 전문가들은 “접근제어시스템도 취약점이 있을 수 있기 때문에 완벽하다고는 할 수 없다”고 지적한다.

모 보안담당자는 “현재 국내에 나와있는 접근제어 제품들에는 대부분 작은 취약점들이 존재한다”며 “DB에 대하여 전문적인 지식을 가지고 있는 악의적인 내부자가 이 취약점을 이용해 DB에 접근해 정보를 가져가는 것은 간단하게 이루어질 수 있다”고 말하고 있다. 

이런 상황에서 DB를 보호하는 최후 방법은 암호화 방법이다. DB가 유출됐다하더라도 암호화를 통해 이를 무용지물로 만들어야 한다는 것이다.

DB암호화 제품, 실시간 암호화· 성능저하... 문제

하지만 이 부분에도 문제가 많다. 국내 DB암호화 제품 가운데 상당수가 실시간 암호화가 안될 뿐만 아니라 성능저하로 인해 도입후에도 제대로 사용할 수 없을 정도로 기술적 문제가 심각한 상황이다.

학계에서는 DB암호화를 의무화해야 한다고 주장하고 있지만 현실적으로 어려움이 많다. 행정자치부 등 일부 기관에서 국정원 보안적합성 테스트를 통과한 모 업체 DB암호화 제품을 사용했다가 제대로 사용도 못하고 혈세만 낭비한 사실만 보더라도 아직 기술적으로 미비한 점이 많다는 것을 알 수 있다.

이에 현재 정보통신부는 국내 DB보안과 관련하여 정책의 표준화 및 지침을 만들려고 준비하고 있는 중이다. 또 행정자치부에서는 보안적합성을 필한 제품에 문제점이 있다는 것을 인식하고 대책마련에 부심하고 있다.

또한 대용량의 DB를 보유하고 있는 큰 사이트나 금융권도 DB암호화 도입을 고려하고는 있지만 현재까지 상용화된 대부분의 DB암호화 제품들이 실시간 암호화와 인덱스 암호화로 인한 부작용이 많기 때문에 도입에 대해 회의적인 분위기다.

한 기관 보안담당자는 “대용량 사이트들은 현재 나와있는  DB암호화 제품에 대해 국정원의 통제가 제대로 이루어지지 않고 있다”며 “DB암호화와 관련해서는 아직까지 CC인증체계가 없어 제품의 선정에 어려움이 많다. 보안적합성 검토필이 실업무 적용시 반드시 안정성을 보장하는 것은 아니다”고 지적했다.

DB암호화를 위해서는 정책을 세워라

효율적인 DB보안을 하기 위해서는 DB관리자나 보안관리자가 보안에 대한 지식이 있어야 하며 상호 협력체제를 가져야 한다. 우리 회사에 가장 적합한 정책을 완벽하게 수립한 후 DB암호화를 해야 한다는 것이다.

테이블의 접근권한과 SQL실행권한을 설정하는 접근제어에 대해서는 어떤 정책을 세우고, 감사로그 항목은 어떻게 결정할 것인지 등 에 대한 정책을 수립한 다음 DB암호화 제품을 도입하는 것이 바람직하다.  

즉 DB암호화를 도입하기 전, 내부적으로 접근제어를 어떻게하고 어떤 정보를 암호화 할 것인지, 비인가자와 인가자를 어떻게 구분할 것인지, 그리고 실제 암호화 도입후 어떻게 운영할 것인지에 대한 사전계획이 명확히 수립되어 있어야 한다는 것이다. 전문가들은 이러한 사전 계획이 없다면 암호화의 성공적 도입은 실패할 것이라고 말한다.

DB암호화 제품, 과장광고 사라져야 한다!

특히 DB암호화 제품을 판매하는 업체에서는 불필요한 과장 광고를 자제해야 한다. 제품 카달로그 특성상 안되는 부분까지 언급하기는 곤란하겠지만 직접 담당자와 도입을 위해 상담을 할 때는 솔직하게 말하는 것이 도리다. 제품 특성상 지원되지 않는 사항과 발생할 수 있는 문제점에 대해서는 충분히 설명하고 부작용을 최소화시킬 수 있도록 가이드를 제시하는 것이 바람직하다.

모 기관 담당자는 “DB암호화 솔루션을 한번 잘못 도입하면 다시 구축하는 것은 거의 불가능하다. 또 비용도 만만치 않기 때문에 업체에서 도입시에는 어떤 문제점들이 발생할 수 있다는 것을 솔직하게 말해주는 것이 도리일 것”이라고 말했다.

또 다른 담당자는 “숨긴다고 해서 문제가 해결될 수는 없다. 만약 한 기관에서 DB암호화 제품을 도입해 문제가 생겼다면 이것은 입 소문을 통해 DB암호화 제품 못쓰겠다는 식으로 이야기가 퍼져 DB보안 시장이 신뢰성을 잃고 전체에 악영향을 미칠 수 있을 것”이라고 지적했다.

한 건 실적을 올리는 것이 중요한 것이 아니라 이런 식의 비도덕적 행위는 해당 시장 전체를 죽이는 행위에 불과하다는 것을 업체는 인식을 해야 한다.

DB설계시 ‘보안’ 고려하지 않아 문제

또 하나 문제점으로 지적되고 있는 부분은 바로 DB설계 개발시 문제점이다. DB를 개발할 때 전혀 보안을 고려하지 않고 모델링과 설계를 하기 때문에 문제가 발생한다고 한다.

모 전문가는 “우리나라는 DB 인덱스의 주요키를 주민번호나 카드번호, 계좌번호 등 실제로 암호화해야 할 대상들을 키로 정의하고 있다”며 “또한 테이블에 대한 정규화가 제대로 되지 않아 이러한 암호화 대상들이 중복으로 저장되어 외국에 비해 암호화를 해야 할 대상이 많아 문제”라고 지적하고 있다.

즉 개발하기 전에 DB보안을 위해 거기에 맞게 모델링 설계를 해야 한다는 것이다. 또 일부에서는 DB암호화를 패스워드 암호화로만 생각하고 있다. 전문가들은 패스워드 암호화는 기본이고 테이블 암호화와 인덱스 암호화까지 완전하게 이루어져야 진정한 DB암호화가 된 것이라고 말하고 있다.

또한 DB보안의 중요성을 따지자면 70%는 접근제어가 차지할 것이고 나머지 30%가 암호화가 담당해야 한다. 1차적으로 접근제어를 통해 DB접근을 통제해야 하고 최후 수단으로 암호화가 이루어져야 한다는 것이다. 

물론 몇몇 불완전한 암호화 제품에 대해서는 도입전 BMT를 통해 확실하게 검증한 다음 맞지 않는 다면 과감히 거절해야 한다.

출처 : 보안뉴스