[컴퓨터월드] 올해 초 발생했던 카드사 개인정보 유출사고는 온 국민들의 공분을 사기에 충분했다. 사상 최대 규모의 피해자가 발생했고, 피해내역도 개인정보에서부터 금융정보에 이르기까지 많은 항목들이 유출됐기 때문이다. 이로 인해 카드사 사장단이 대국민사과를 한 것도 모자라 일제히 사퇴하게 되는 진풍경이 연출되기도 했다.

그러나 사고가 발생한 지 불과 두 달 만에 우리나라는 또다시 개인정보 유출사고로 큰 진통을 겪었다. 국내 대형 통신사 홈페이지가 해킹당해 수많은 고객들의 정보가 유출됐기 때문이다. 반복되는 개인정보 유출사고로 인해 국민들의 불안감은 더욱 커져만 갔고, 고객정보를 보관하고 있는 기업들에 대한 불신감도 높아만 갔다.

이처럼 개인정보 유출사고가 반복되자 이를 더 이상 두고 볼 수 없다며 DB산업계가 한 자리에 모였다. 그리고 개인정보 유출사고의 신속한 사태 수습 및 재발 방지를 위해 DB기업의 역할과 책임을 담은 결의안을 발표하면서, DB보안 강화를 위해 ‘데이터 보안 인증’을 활성화시킬 필요가 있다는 목소리를 냈다. 이를 통해 국내 DB보안 수준을 전반적으로 향상시킬 수 있다는 이유에서다. DB보안을 강화시켜줄 것으로 기대되고 있는 ‘데이터 보안 인증’에 대해 알아본다.

‘데이터 시대’의 도래

무선 네트워크와 모바일 기기의 발달, 클라우드 컴퓨팅의 발전과 빅데이터의 활용 등으로 인해 그 어느 때보다 데이터가 중요해지는 시기가 도래했다. 사용자들은 언제 어디서나 데이터를 생성하고 있으며, 기업들은 사용자들이 생성한 데이터들을 수집해 새로운 제품과 서비스를 개발하는데 이용하고 있다. 데이터가 우리 시대에 있어 비즈니스를 창출하는 주요 원천이 되고 있는 것이다.

이처럼 데이터의 중요성이 높아지면서, 기업들은 더 많은 데이터를 수집하고 분석하려 하고 있다. 이전까지는 주로 개인정보에 관한 인적사항들을 수집하는 것이 대부분이었다면, 이제는 취미나 관심사, 정치적 성향 등 조금이라도 다양한 분야의 데이터를 수집하기 위해 노력하고 있다. 수집한 정보들을 토대로 고객들에게 맞춤형 제품과 서비스를 제공함으로써, 매출 증대와 비즈니스 영속성을 추구할 수 있기 때문이다.

그 결과 기업들이 보유하게 되는 데이터의 양은 점점 늘어나게 됐으며, 수집한 데이터를 처리하고 보관하는 방법에 대해서도 많은 고민을 하게 됐다.

데이터 보안 중요성 높아져

데이터가 비즈니스의 원천이 되고 있는 만큼, 기업들이 보유하고 있는 많은 양의 고객 데이터를 노리는 범죄 행위도 점차 증가하는 추세에 있다. 지난 2008년 발생한 온라인 쇼핑몰 사이트 해킹사건을 비롯해 정유사, 금융사, 커뮤니티 등 고객정보를 다수 보유하고 있는 기업들의 고객정보가 유출되는 사고가 발생했으며, 올해도 이미 카드사와 통신사가 보유한 고객정보가 유출되는 사고가 발생했다.

데이터 유출 사고가 발생하면 정보가 유출된 고객뿐만 아니라 기업도 많은 피해를 입게 된다. 고객들의 신뢰도 하락으로 인해 기업 이미지가 손상을 입게 되고, 이는 곧 영업력과 매출에도 타격을 줄 수 있기 때문이다. 그렇기 때문에 기업들은 이러한 손실을 방지하기 위해서라도 보유하고 있는 데이터를 안전하게 지킬 수 있도록 노력해야 했다.

이런 추세를 반영하듯 지난 2011년 개인정보보호법도 제정되며 데이터 보안에 대한 필요성이 한층 높아지게 됐다. 데이터 보안 문제는 더 이상 고려의 대상이 아닌 필수 요소가 된 것이다.

보안 관리 역량 강화

데이터 보안이 점차 중요해지자 기업들은 전산 인프라 보호에 집중했던 보안 방식에서 벗어나 DB보안에도 많은 관심을 갖게 됐다. 그리하여 DB접근제어나 DB암호화와 같은 DB보안 솔루션들을 도입해 운영하고 있다.

그러나 문제는 단순히 보안 솔루션만을 도입했다고 해서 모든 것이 해결되는 것은 아니라는 것이다. 실제로 해킹사고나 내부자 소행으로 인해 데이터 유출사고를 겪은 기업들도 보안 솔루션을 도입하고 운영했지만, 프로세스 절차를 무시했거나 정상적으로 기능하는지 관리하지 못했기 때문에 사고가 발생했던 것으로 드러났기 때문이다.

DB보안 수준을 강화시켜 줄 수 있는 방법으로 ‘데이터 보안 인증’이 주목받고 있는 이유가 여기에 있다. 보안 솔루션을 도입했더라도 그것이 어떻게 운영되고 있으며, 또 추가적으로 취약점이 발견되지는 않는지 등을 확인하고 보완할 수 있게끔 하는 것이기 때문이다. 즉, 기업들의 보안 관리 역량을 강화하는 것에 목적이 있다.

DB보안 기술요소 전반 심사

데이터 보안 인증은 한국데이터베이스진흥원에서 시행하는 ‘데이터 품질 인증’에 속하는 하나의 종목으로, 공공·민간에서 구축·활용 중인 DB를 대상으로 접근제어, 암호화, 작업결재, 취약점분석 등 DB보안에 대한 기술요소 전반을 심사하여 인증한다.

공공·민간에서 △행정 및 업무지원 △의사결정 및 정책지원 △지식 활용 및 제공의 목적으로 구축·운영되고 있는 DB의 보안 체계가 주요 심사 대상이다.

데이터 보안 인증은 대상 DB의 데이터 보안 체계의 수준에 따라 크게 1레벨부터 4레벨까지 인증이 부여된다.

1레벨은 접근제어에 대한 것으로, DB접근에 대한 행위를 기록·관리하여 비인가 사용자에 대한 DB접근을 제어하는 단계다. 2레벨은 암호화에 대한 것으로, 개인정보 및 기밀정보를 암호화여 정보 유출에 대비하는 단계이다. 3레벨은 DB작업의 정당성을 확보하기 위해 작업결재를 수행하는 단계이며, 4레벨은 DB의 취약점을 다각적으로 분석하여 보완하는 단계다.

이들 수준은 상위 레벨로 갈수록 하위 레벨의 수준 내용 충족을 전제로 하고 있다. 예를 들어 3레벨 수준으로 인증 받았다면 1레벨과 2레벨의 수준은 이미 달성한 것으로 볼 수 있는 것이다.

기밀성, 무결성, 가용성 추구

지난 2012년 처음 시행된 데이터 보안 인증 심사의 목적은 보안 관리 역량 강화에 있다. 그 수준으로는 선별적인 접근 체계를 만들어 비인가된 개인이나 시스템에 의한 접근과 이에 따른 정보 공개 노출을 막는 기밀성, 정당한 방법에 의하지 않고는 데이터가 변경될 수 없음을 의미하는 무결성, 사용자가 업무 서비스를 필요로 할 대 그 서비스의 연속성을 보장할 수 있는 가용성 원칙이 잘 지켜지고 있는지 확인하는 것을 목표로 하고 있다.

그러나 지난 1월 발생한 카드사 고객정보 유출사고의 원인이 잘못된 보안 솔루션 적용이 아닌 내부 사용자에 대한 통제 실패와 보안윤리의식 부족으로 인한 것임이 드러났듯이, 향후에는 이를 보완하면서도 컴플라이언스 대응 및 책임추적성까지 할 수 있는 방향으로 규정이 강화될 예정이다.

현업에 종사하는 전문 심사원의 진단

자신들의 데이터 보안 수준에 대해 진단해보고 싶은 기관 및 기업들은 한국데이터베이스진흥원에 무료 진단을 신청하면 된다. 한국데이터베이스진흥원은 매년 15곳의 기관 및 기업을 대상으로 무료 진단 지원을 시행하고 있다. 상반기와 하반기 각 1회씩, 연간 2회에 걸쳐 진단 심사 지원을 받고 있으며, 심사를 희망하는 곳은 홈페이지 공고가 나간 이후 접수하면 된다.

심사를 신청했다고 해서 모두 무료 진단을 받을 수 있는 것은 아니다. 한국데이터베이스진흥원에는 심사를 신청한 곳이 보유한 DB의 내용과 그 중요도에 따라 우선순위를 정하고 진단 심사를 지원한다.

현재 데이터 보안 심사를 맡은 심사원은 9명으로, DB업계에 종사하고 있는 전문가들로 구성돼 있다. 또한 심사원보도 8명으로, 총 17명의 전문 인력이 심사를 담당하고 있다.

심사 모형은 데이터 품질 인증과 동일하게 구성되며, 심사 기간은 실사 1주일, 보고서 작성 1주일로 2주일이면 최종 심사가 완료된다. 심사를 요청한 곳은 심사 이후 기준에 못 미친 곳이 있는 것으로 확인됐을 경우, 이를 보완하고 개선하여 다시 한 번 심사를 요청할 수 있다.

심사를 받고 어느 정도 수준인지 확인됐을 경우 별도로 인증을 신청할 수 있다. 인증은 단순 심사와 달리 데이터 보안 인증 수수료가 부과되며, 다시 심사를 진행하여 통과했을 경우 최종적으로 인증이 부여된다. 인증의 유효기간은 1년이며, 이후 재심사를 통해 인증을 갱신할 수 있다.

보안 관리 발전 모습 추구

국내에서 데이터 보안 인증을 받은 곳은 현재 5개 기관밖에 되지 않는다. 시행한 지 채 2년이 되지 못했기 때문인 이유도 있지만, 보안 현황 공개 자체를 꺼리는 경향이 많기 때문이다.

그러나 한 번 심사받고 인증을 획득한 경우에는 차후 인증을 갱신하기 위한 방안으로 보안 관리가 발전되는 모습도 기대할 수 있다. 1레벨의 인증을 획득한 곳이라면 차후 인증을 갱신할 때 다시 1레벨 인증 심사를 받는 것이 아닌, 2레벨 인증 심사를 통해 조금 더 보안 수준을 향상시킬 수 있기 때문이다.

또한 인증을 획득한 곳은 보유하고 있는 데이터가 안전하게 보관되고 있다는 것을 대외적으로 알릴 수 있어 이미지를 제고할 수 있는 기회도 얻을 수 있다. 뿐만 아니라, 심사를 통해 수준 진단을 평가받은 곳은 차후 DB품질대상에 출품할 수 있다. 여기서 우수성이 확인될 경우 미래창조과학부장관상이나 한국데이터베이스진흥원장상 등을 수상할 기회도 부여된다.

제도 확대 시행 기대

데이터 보안 인증이 수준 진단을 통해 보안 관리 역량을 강화할 수 있도록 하고 있지만, 아직까지 이를 이용하는 곳은 많지 않다. 그러나 DB산업계에서도 이에 대한 확대 시행을 추진하려 하고 있으며, 심사를 담당하는 한국데이터베이스진흥원에서도 세미나와 컨퍼런스, 무료 교육 등을 통해 널리 알리려고 하는 만큼, 데이터 보안 인증은 점차적으로 확대될 전망이다.

또한 한국데이터베이스진흥원에서는 기업 및 기관들의 인증 획득 유도를 위해 추가적인 이점을 부여하는 것을 제도화할 수 있도록 계획하고 있다. 가령 기업의 경우 인증을 획득했을 때 신용평가 시 더 높은 점수를 획득하도록 하는 것이나, 기관의 경우 경영평가 시 가점이 부여될 수 있도록 하는 것 등이다. 이를 통해 자율적으로 인증을 획득하고, 또 인증 갱신을 위해 보안 관리 역량을 강화할 수 있도록 하겠다는 것이다.

데이터 보안 인증에 대한 상세 정보는 데이터 품질관리 인증센터 홈페이지(http://www.dqc.or.kr)나 한국데이터베이스진흥원에서 발간한 ‘데이터베이스 보안 가이드라인’ 서적을 참조하면 된다.

최근 정보보안에 있어서 상대적으로 안전하다고 여겨졌던 다수의 금융기관을 비롯해 대형 온라인 쇼핑몰, SNS 서비스 기업들이 대량의 개인정보를 유출당하면서 데이터베이스 보안이 새롭게 주목받고 있다.

특히 개인정보보호법이 시행되면서 데이터베이스 암호화, 접근제어, 작업결재 등과 같은 데이터베이스 보안 기술들이 필수불가결한 요구사항이 되고 있다.

이에 한국데이터베이스진흥원은 정보시스템 운영 조직이 자체적으로 체계적인 데이터베이스 보안 구축을 실현할 수 있도록 지원하기 위해 ‘데이터베이스 보안 가이드라인’을 발간했다.

‘데이터베이스 보안 가이드라인’은 데이터베이스 보안의 개념적인 정의에서부터 구체적인 기술 도입과 진단 방법에 이르기까지 실무자로 하여금 데이터베이스 보안의 이해도를 높일 수 있도록 구성됐다.

데이터베이스 보안 구축 과정을 기획-설계-구축-운영으로 구분하고 각 단계에서 접근제어, 암호화, 작업결재, 취약점 분석과 같은 기술요소들을 도입하고 운영하기 위해 어떠한 계획과 활동이 필요한지 상세히 수록되어 있다.