12.15
주요뉴스
뉴스홈 > 솔루션 리뷰
[솔루션리뷰] 차세대 DB암호화 솔루션 ‘페트라 사이퍼’DB암호와와 접근제어 통합관리

   
▲ 페트라 제품 패키지

[컴퓨터월드] 개인정보 유출사고가 빈번하게 발생하면서 개인정보 보호의 필요성이 점차적으로 높아지고 있다. 특히 개인정보보호법 개정안에 따라 2015년 말까지 주민등록번호와 같은 개인 식별번호에 대한 암호화가 필수 사항이 되면서, 많은 공공기관과 민간 기업들은 DB에 저장된 개인정보를 보호하기 위해 DB암호화 및 접근제어 솔루션을 도입하고 있다. 

이처럼 보안 솔루션은 날로 중요성이 부각되고 있지만, 정작 제대로 구축되고, 또 활용되고 있는지에 대해서는 의문의 여지가 많다. 아무리 강력한 자물쇠를 만들어 현관문에 달아놨다 하더라도 열쇠를 화분에 놓고 다니거나 복제를 많이 해서 아무에게나 막 나눠준다면 그 자물쇠는 제 역할을 다 할 수 없다.

DB암호화와 접근제어 시스템이 구축된 많은 사례 중에는 앞선 자물쇠 사례처럼 암호화를 해 놓고서 누구나 복호화 할 수 있도록 함으로써 제대로 그 기능을 다하지 못하는 곳이 의외로 많다. DB암호화는 많은 노력이 들어가는 보안 시스템이다. 특히 대량의 데이터를 보유하고 있거나 다수의 트랜잭션이 발생하는 대형 시스템에 대해 암호화를 구축하려면 천문학적인 비용이 들어간다. 그렇게 많은 비용을 들여서 암호화를 해놓고, 전혀 보안에 도움이 되지 않는 생색내기 용도로 쓴다면 매우 불행한 일이 아닐 수 없다. 

DB암호화 보안기능 저해 

DB암호화의 보안기능을 저해하는 원인을 살펴보면, 먼저 DB암호화와 DB접근제어가 같이 구축됨으로써 DB암호화의 접근통제 기능이 무력화 된다는 점이다. 

DB암호화에서 암호화된 개인정보에 대해 복호화 권한을 통제하는데, 일반적으로 특정 IP에 대해서만 복호화 할 수 있도록 한다. 그런데 DB에 접속하는 모든 사용자의 IP는 접근제어 솔루션을 경유하는 과정에서 DB접근제어 IP로 치환되게 되는데, 이렇게 되면 DB암호화 시스템은 모두 동일한 IP로 복호화를 요청하는 것으로 밖에는 인식할 수 없어 실제 접속한 사용자의 IP 기준으로 통제를 할 수 없게 된다. 결국 DB접근제어 시스템을 거친 모든 사용자에게 복호화 권한을 허용할 수밖에 없고 그에 대한 통제를 DB접근제어 시스템에 의존할 수밖에 없다.

일반적으로 내부의 모든 사용자는 DB접근제어를 거치도록 우회방지 조치를 취하면서 DB접근제어 솔루션을 구축하게 되는데, 이럴 경우 99.9%의 사용자에게 DB암호화 시스템은 아무런 통제를 못하고, DB접근제어를 우회하여 접근하는 극히 드문 경우에만 통제를 할 수 있는, 비용 대비 효과가 거의 없는 보안시스템으로 전락하게 된다.

다음으로는 DB암호화 솔루션에 충분한 통제 기능이 없는 경우다. 개인정보를 암호화 하는 이유는 오직 필요한 사람이나 시스템만 복호화 할 수 있도록 통제를 함으로써 보호하려는 목적이 있다. 그런데 DB에 저장된 개인정보는 대부분 DB에 로그인 한 사용자를 통해서 유출되므로 DB에 접속이 허용된 사용자에 대해서 통제가 필요한데, DB 접속한 후 일정량 이상의 개인정보를 복호화 할 수 없도록 하거나, 복호화 할 경우 경보를 보내 보안 관리자가 인지할 수 있도록 하는 등의 통제 기능이 필요하다. 

좀 더 발전된 형태라면, 개인정보를 복호화 하려는 모든 SQL은 승인을 거친 후에 처리를 하거나, 사후 소명을 하도록 결재 시스템과 결합될 필요도 있다. 이런 통제 기능을 제공하지 못하는 DB암호화 솔루션을 사용한 경우 효율적인 접근통제를 수행할 수 없다. 

   
▲ 신시웨이는 페트라 사이퍼에 DB암호와와 DB접근제어를 연동시켰다

DB암호화와 DB접근제어 연동 

이런 문제점들을 인식한 신시웨이는 DB암호화 솔루션인 페트라 사이퍼(Petra Cipher)와 DB접근제어 솔루션인 페트라(Petra)를 연동할 수 있도록 함으로써, 페트라 사이퍼에 DB접근제어 기술을 적용한 강화된 통제 기능을 제공한다. 

하지만 경우에 따라서는 신시웨이의 DB암호화 솔루션을 선택하고, DB접근제어는 타사의 솔루션을 선택하는 경우가 있지만, 이런 경우에도 DB암호화의 통제기능은 유지될 필요가 있다. 이때를 위해 페트라 사이퍼는 DB사용자 인증기능을 제공한다. 

DB암호화에서 인증 기능이란, DB사용자가 DB에 접속해 최초로 복호화나 암호화를 시도할 경우 개인에게 부여된 ID(사번, 이메일 계정 등) 및 패스워드를 입력하도록 하는 것으로, 이런 인증 과정을 거친 후에야 복호화나 암호화가 가능하다. 

이후 수행하는 SQL에 대한 통제는 인증된 사용자의 ID 기준으로 통제를 하게 된다. DB접근제어에 의해 치환된 IP를 기준으로 통제를 하는 것이 아니라 개인별로 부여된 ID를 기준으로 암호화된 정보에 대한 접근을 통제함으로써, 페트라 사이퍼는 DB접근제어 솔루션의 종류에 상관없이 통제 기능을 제공할 수 있다.

또한, 페트라 사이퍼는 OTP 등 다양한 인증방식을 지원하는 확장 메커니즘을 갖고 있다.

   
▲ DB암호화 인증 기능

DB암호화와 접근제어 통합 관리 

DB암호화 솔루션과 DB접근제어 솔루션은 공통으로 사용해야 할 메타 정보가 있다. DB에 접근하는 내부 사용자 및 DBMS에 대한 정보 관리가 그것이다. 

솔루션을 공급하는 회사는 DB암호화와 DB접근제어를 별개의 영역으로 구분하지만, 솔루션을 운영하는 고객사의 관점에서 보면 다같이 DB에 저장된 개인정보를 보호하기 위한 솔루션일 뿐이다. 두 솔루션에 DB사용자와 DBMS 정보를 별도로 관리한다면 이중적인 관리 부담을 안게 된다. 또한 이중화 구성을 하게 되면 동일한 사용자를 최소 4개의 시스템에서 각각 입력해야 한다. 

이런 불편을 해소하기 위해 페트라 사이퍼와 페트라는 DB사용자 정보, DBMS 정보를 공유하여 사용할 수 있도록 했으며, 중앙 마스터를 통해 관리하고 각 시스템에 자동으로 배포하는 기능을 제공해 편의성을 향상시켰다.

또한 모니터링 기능을 통해, DB암호화와 접근제어를 통합으로 관리할 수 있도록 했으며, 경보 발생현황도 한 곳에서 모아 관리하도록 했기 때문에 관리자의 부담도 최소화했다. 

   
▲ DB암호화와 접근제어를 통합으로 관리할 수 있다

대량 데이터 복호화 시 경보 

페트라 사이퍼는 개인정보에 대해 복호화 권한이 없는 사용자가 복호화를 시도하거나, 대량의 개인정보를 복호화 하려고 하는 경우, 보안 관리자 등에게 경보를 발송하는 기능을 제공한다. 경보는 경보 규칙을 통해 보안 요건에 맞게 정의할 수 있으며, 경보를 수신하는 관리자도 다수로 정의할 수 있다. 그리고 경보 메시지는 관리자 화면에 전송되거나 관리자의 이메일로 해당 내용을 전송할 수 있다. 

   
▲ 권한 없는 사용자의 접근이 감지됐을 때 경고 화면

권한이 없는 사용자가 개인정보를 접근하려고 할 때 ‘encrypt reject’라는 경보가 발생하고, 해당 메시지가 관리자 화면에 나타난다. 경보 메시지에는 개인정보에 접근한 사용자의 IP, DB계정 등의 정보를 포함하고 있으므로 손쉽게 DB사용자를 알아볼 수 있다. 그리고 동일한 내용이 이메일을 통해 미리 지정된 이메일 주소로 발송되도록 할 수도 있다. 

관리자 화면으로 경보를 전송 받기 위해서는 관리자 단말기에 페트라 클라이언트(Petra Client)를 설치해야 하며, 설치된 페트라 클라이언트를 통해 DB암호화 및 DB접근제어에서 오는 모든 경보를 통합적으로 수신할 수 있다.

DB에 저장된 개인정보 보호조치를 위해 구축하는 DB암호화 및 DB접근제어 시스템을 다른 관점에서 봐야 할 때가 점점 다가오고 있다. 지금까지는 솔루션의 관점에서 양자를 구분하고 전혀 별개의 시스템으로 인식했지만, 보안성을 강화하고 관리의 편의성 및 일관성을 높이기 위해 두 가지 솔루션은 통합되거나 최소한 연동할 수 있도록 구축돼야 한다. 

궁극적으로 DB암호화와 DB접근제어 솔루션의 구분은 없어지고, ‘DB보안 솔루션’이라는 하나로 통합된 카테고리로 묶어서 공급되고 구축될 것으로 전망되는데, 이런 관점도 솔루션 선택 시 반드시 고려돼야 한다.

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오