피앤피시큐어 / ‘DATACRYPTO’

[컴퓨터월드] 빅데이터에 대한 관심이 커지면서, 정형 데이터뿐만 아니라 비정형 데이터들이 많이 발생하고 있으며, 이 데이터는 검색/가공 등을 통해 다양한 분야에서 널리 쓰이고 있다. 따라서, 개인정보를 보호하는 영역이 데이터베이스뿐만 아니라 파일 등과 같은 비정형 데이터 영역으로 확장되어야 할 필요성이 제기되고 있다.


비정형 데이터 암호화의 필요성
데이터 암호화라면 일반적으로 DB 암호화를 생각한다. 또한, DB 암호화를 도입했기 때문에 안전할 것으로 생각하지만, 여전히 개인정보 유출사고는 일어나고 있으며 잠재적인 위험도 여전히 존재하고 있다.

DB 암호화를 하더라도 다른 경로를 통한 개인정보 유출은 가능하며, 실제로 많은 개인정보 유출사례가 발생하고 있다. 대표적인 유출 사례는 다음의 그림과 같다.

▲ 로그파일을 통한 개인정보 유출 사례

개인정보가 저장된 데이터베이스는 DB 암호화를 통해 안전하게 저장될 수 있다. 하지만, 데이터베이스를 사용하는 업무프로그램의 데이터베이스 작업 내용과 이력을 남기는 로그파일에 개인정보가 기록돼 있으며, 이 로그파일에 대해서는 어떠한 안전장치도 없다. 이런 경우에는 직접 데이터베이스를 해킹하지 않더라도, 로그파일을 통해 개인정보를 획득할 수 있다. 만약, 로그파일을 암호화 했다면 비록 로그 파일이 도난당했더라도 개인정보 유출로는 이어지지 않을 것이다.

이런 유형의 피해를 발생시킬 수 있는 것은 로그 파일 뿐만이 아니다. 콜센터의 녹취 파일과 개인정보가 포함된 문서를 스캔한 이미지 파일 등 그 대상은 주변에 널려 있다. 비단 개인정보뿐만 아니라 자동차 설계도, 반도체 설계도, CAD 등 유출이 되었을 때 피해 규모를 산정할 수 없을 정도의 주요 정보들이 아무런 보안조치 없이 방치되고 있는 것이 지금의 현실이다.

DB 보안 전문업체 피엔피시큐어가 개발한 비정형 데이터 암호화 솔루션 'DATACRYPTO'는 실시간 파일 암호화 제품으로, 어플리케이션의 수정 없이 간편하게 설치해 개인정보보호법 등 컴플라이언스를 준수할 수 있도록 해준다. 파일이 암호화되므로 비정형 데이터를 안전하게 보호할 수 있다.


개인 정보 암호화 적용 기간
개인정보보호법 제24조의2(주민등록번호 처리의 제한) 및 개인정보보호법 시행령 제21조의 2(주민등록번호 암호화 적용대상)에 따라 전자적인 방법으로 보관하는 주민등록번호에 대해 암호화 조치를 해야 한다. 주민등록번호 보유량에 따라 100만 명 미만은 2016년까지, 100만 명 이상은 2017년까지 조치를 완료해야 한다.


암호화 주요 적용 대상
- 개인정보보호법 제24조 및 개인정보보호법 시행령 제19조 등의 “고유식별정보”가 포함된 로그 시스템
- 개인정보가 포함된 이미지, 녹취 및 영상 데이터를 저장하고 있는 시스템
- 대외 기관과 통신을 위하여 표준 전문을 활용하여 개인정보를 전송하는 대외계 시스템
- 내부 결재를 위하여 개인정보를 가진 첨부파일을 포함하고 있는 전자 결재 시스템
- 빅데이터 솔루션으로 추출된 개인정보가 포함된 빅데이터 시스템
※ 기존DB 암호화제품으로 암호화가 지원되지 않는 비정형 데이터에 파일 암호화 설치 필요


DATACRYPTO의 주요 특징

▲ DATACRYPTO 구성도

위의 DATACRYPTO 구성도와 같이 중앙에서 원격 통제를 위한 DATACRYPTO Manager를 이용해 DBMS 또는 파일 서버의 실시간 암·복호화 기능을 수행할 수 있다.
실시간 파일 암호화 솔루션인 DATACRYPTO의 주요 기능은 아래와 같다.

▲ DATACRYPTO의 주요 기능


DATACRYPTO 특장점
1) 복호화 권한 제어
비정형 데이터 암호화 파일 복호화 권한은 사용자의 정보 취급과 등급에 따른 제어가 필수적으로 적용되어야 안전성이 보장될 수 있다. 시스템 계정으로 로그인 한 사용자는 접속한 계정에 대한 권한을 부여받아 암호화된 파일을 열어 볼 수 있다. 즉, OS 공용 계정이라 할 수도 있는 시스템 계정을 이용해 실제 사용자가 누구인지도 모르고 복호화 권한을 획득할 수 있는 것이다.

따라서 별도의 인증 절차를 통해 OS 계정과 별도로 사용자를 식별할 수 있는 보안 계정으로 DATACRYPTO는 암·복호화를 수행해 더욱 강력한 접근제어 정책 적용이 가능하다.

2) 정보 취급 등급과 데이터 마스킹
암호화 파일에 대한 복호화 권한 제어만으로도 파일에 대한 안전성은 보장된다. 하지만, 복호화 권한이 있는 모든 사용자가 중요 정보를 동등하게 볼 수 있다는 것은 보안 측면에서 합리적이지 않다. 파일은 복호화 할 수 있더라도 중요 정보에 대해서는 사용자의 정보 취급 등급에 따른 제어가 필요하다.

예를 들어 주민등록번호가 포함된 파일이라면, 정보 접근 등급에 따라 파일의 전체 내용을 보거나 주민등록번호를 제외한 내용만 보도록 통제할 수 있어야 한다.

정보 접근 등급에 따른 통제의 한가지 방안으로 데이터마스킹은 적절한 방안이라 볼 수 있다.

3) 손쉬운 적용 방안
기존 애플리케이션의 수정없이 애플리케이션에서 신규 저장되는 파일을 커널 레벨에서 암/복호화를 수행하고 온라인 실시간 암호화를 할 수 있어 적용이 용이하다는 특징을 갖고 있다.


구축 사례
DATACRYPTO는 현재 은행, 증권, 보험, 캐피탈 등 금융권에 공급되고 있다. 금융권의 다양한 환경에서 안전하고 효과적으로 개인 정보를 보호할 수 있으며 컴플라이언스를 충족시키는 최적의 보안 솔루션으로 인정받고 있는 것이다.

현재는 데이터(정보)의 중요성을 누구나 다 잘 알고 있는 IT 시대이다. 데이터의 보호 영역을 DB로만 국한할 것이 아니라 파일 등 비정형 데이터도 안전하게 보관할 수 있는 방안을 마련해야 한다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지