200억원대 예상, 금융 등 산업 전 분야로 확산중, 바젤II 등이 확산 요인
DB보안 시장은 올해를 기점으로 상승세를 탈 것으로 예상된다. 바젤II, 사베인-옥슬리 법안 등으로 인해 금융권에서 DB보안에 대한 관심이 높아지고 있고, 금융감독원과 정통부의 지침 등도 수요 확산에 일조할 것으로 보이기 때문이다. 여기에 최근 리니지 사태라던가, 국민은행의 고객정보 유출 등이 잇따라 발생해 DB보안의 중요성이 크게 대두되고 있는 분위기도 시장 확대의 긍정적인 요인으로 작용하고 있다. <편집자>
NC소프트 국민은행. 이 두 곳의 공통점은 최근 개인정보 유출로 소송으로까지 비화된 업체들이다. NC소프트는 올해 초 대규모의 주민등록번호가 유출되어 문제가 됐으며, 국민은행은 지난 3월 e-메일을 통한 개인정보유출 사건으로 현재 소송 중이다.
최근 인터넷 사용의 폭발적인 증가와 국가 차원의 전자정부 구축, 디지털 콘텐츠 사업 지원 등의 확대에 따라 정보에 대한 DB는 늘어가고 있다. 이렇게 DB는 증가하고 있지만 보호해야 한다는 인식은 매우 낮은 편이다.
관련 업계에서는 "그동안 DB에 대한 체계화된 관리, 보안은 거의 전무하다시피 했다. 외부로부터의 침입에는 민감한 반면 내부 인력에 대한 감시는 소홀했다"면서 최근 들어 DB보안에 대한 관심이 늘어가고는 있는 배경을 설명한다.
작년 70억에서 올해 200억대 형성할 듯
관련 업계에 따르면 지난해에 DB보안 시장은 당초 150억원 규모를 형성할 것으로 예상했지만 실제는 그 절반인 70억원에도 미치지 못했다. 하지만 올해는 상황이 다르다는 게 이 시장 관계자들의 한결같은 얘기이다. 작년 9월에 발표된 금융감독원의 전자금융거래 안정성 강화 종합 대책과 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보보호지침 등이 시장 확대에 큰 몫을 할 것으로 내다보고 있다.
올해 예상되는 총 시장 규모는 적게는 150억원에서 많게는 250억원에 이른다. 웨어밸리의 김병철 상무는 "금융감독원의 DB보안 지침에 따라 금융권에서 가장 활발하게 시장이 형성되고 있다"며, "작년이 시장을 알리는 해였다면, 올해는 실질적으로 시장이 커지는 시발점이 될 것"이라고 설명했다. 그는 이어 "비단 금융권에서만 관심을 갖고 시장을 키워나가는 것이 아니라 통신, 병원, 포탈, 제조 등 전 산업으로 점차 늘어나고 있다"고 시장 분위기를 전했다.
DB보안이란 데이터베이스 서버 내의 원천 데이터인 데이터베이스에 대한 보안의 방법을 말한다. 데이터베이스를 보호하는 방법은 방화벽이나 침입방지시스템, 바이러스 백신 등 전통적인 방법에 의해 일차적인 보호가 가능하지만, 날이 갈수록 진화되어 가는 기법의 해킹 또는 인가된 내부 사용자들에 의한 침입은 근본적으로 차단할 수 없다는 점에서 DB보안이라는 새로운 트렌드가 떠오르고 있는 것이다.
DB보안, 사용자 접근과 암ㆍ복호화 등 2가지
DB 보안의 방법은 데이터베이스 자체에 대한 모든 접근을 사전에 제어 로깅하는 방법 혹은 데이터베이스의 핸들링 내역 모두를 로깅함으로써 언제, 누가, 어떤 작업을, 어떻게 했는지 사후감사의 자료를 남기는 것이 일반적이다. 이러한 방법을 구체화 하는 것이 DB보안 솔루션이며, DB보안 솔루션은 중요 정보를 데이터베이스에 보관할 때 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지한다.
DB보안은 크게 DB 사용자 접근 제어 방식과 DB를 암/복호화 하는 방식으로 나뉜다.
접근제어 방식의 솔루션 공급업체는 웨어밸리, 바넷정보기술, 피엔피시큐어 등이 있다. 이들 업체는 DB에 대한 SQL(질의) 작업 시 별도 서버에서 가상계정이 부여된 사용자만 접근이 가능하도록 해 비인가자의 DB접근을 차단하며, 해당 로그정보의 저장·분석 기능이 탑재되어 있어 DB가 유출되더라도 추적이 가능하다.
웨어밸리의 샤크라(Chakra)는 데이터베이스의 접근을 실시간으로 추적하고 감시하는 데이터베이스 보안 솔루션. 데이터베이스 서버에 누가, 언제, 어디서, 어떤 데이터를 조회 또는 변경했는지 100% 기록한다. 따라서 데이터 유출 사고를 미리 방지할 수 있다.
웨어밸리 김병철 상무는 "이미 인가된 사용자가 접근할 수 있는 DB를 암호화하는 것보다 기록, 탐지, 감사에 초점을 맞춘 웨어밸리의 DB보안 솔루션은 써드파티 솔루션으로 성능저하 없이 DB에 생길 수 있는 사고를 사전, 사후 보안하는 것이 특징"이라고 말했다. 그는 특히 "샤크라는 패킷 스니핑 방식을 이용해 서버나 네트워크에 부하를 주지 않고 100% 쿼리를 로깅하며 침입탐지, 침입차단 및 후속조치를 가능케 하고, 트러스티드 오렌지는 종합적인 검색을 통해 문제 발생시 실행된 SQL 문장, 실행시간, 실행 유저 등을 추적하는 기능을 갖추었다"고 설명했다.
접근제어 방식-웨어밸리, 바넷, 피엔피시큐어 등
바넷정보기술은 '미들만(Middleman)'을 공급하고 있다. 내부 전산 정보의 유출·조작 등을 방지하기 위해 사전·사후 접근통제 기능을 제공하는 미들만은 게이트웨이 방식에 의한 DB접근제어 및 감사와 모니터링 시스템으로 내부사용자(IT부서직원 및 아웃소싱 업체 직원)에 의한 데이터 오남용 및 외부유출을 방지하는 솔루션이다.
바넷정보기술 CTO인 정기용 이사는 "미들만은 금융권에서 감사 등 필요성과 실무적인 요구에 의해 개발된 솔루션"이라며, "산업은행을 시작으로 금융, 공공, 학교 등으로 확산되고 있다"고 말했다
피앤피시큐어의 DB세이퍼(DB Safer)는 모든 DB 접속 요청이 DB 보안 게이트웨이를 통해 처리된다. 게이트웨이 방식만이 할 수 있는 보안기능으로 DB 서버에 명령을 입력하기 전에 DB세이퍼가 보안 정책에 따라 차단할 수 있다. 접속제어, 권한제어, SQL 감시 및 로깅, 보고서 등의 기능을 제공하며 바이패스 기능으로 네트워크 중단사태를 방지해 속도 문제도 해결해 준다.
피앤피시큐어의 박천오 사장은 "DB세이퍼는 로그 자체를 DB에 쌓으면서도 시스템에 부하를 주지 않는 것이 특징"이라고 강조했다. DB에 로그를 넣으면 하드웨어 성능이 급격히 떨어지는 것이 일반적인 현상인데 이를 해결했다는 것이다. 박 사장은 "DB보안을 적용하면 성능이 떨어지는 건 당연하지만 사용자가 느낄 만큼의 속도는 아니다"라고 말했다.
암호화 방식-펜타, 소프트포럼, 이니텍 등
암호화 방식의 솔루션 업체로는 펜타시큐리티, 소프트포럼, 이니텍 등이 대표적이다. 암호화방식은 DB 컬럼 단위로 선택적인 암호화를 통해 암/복호화 권한과 암호가 없는 사용자에 의한 정보 유출, 사후 해독을 차단하거나 DB에 PKI 기반의 암호화 및 전자서명을 적용해 특정 필드를 암호화해 DB를 보호한다.
펜타시큐리티는 DB보안 솔루션인 '디아모(D'Amo)'를 주력으로 내세우고 있다. 오라클 DB에만 적용이 가능한 이 솔루션은 기업내 DB보안 정책 수립 및 적용, 암호화된 컬럼에 대한 세분화된 접근 컬럼 및 부여 등의 기능을 제공한다.
이니텍의 '세이프(Safe) DB'는 데이터베이스에 저장된 데이터를 암호화하고 데이터베이스에 대한 접근을 제어함으로써 중요한 데이터를 보호할 수 있는 데이터베이스 보안 솔루션이다. 세이프 DB는 데이터베이스에 저장된 데이터를 암/복호화하기 위해 애플리케이션의 수정이나 별도의 개발 과정없이 데이터베이스에 추가 설치하는 과정만으로 중요 데이터를 암호화하고 간편하게 보안정책을 적용할 수 있는 것이 장점이다. 또한 허가된 사용자 이외에는 암호화된 정보에 접근할 수 없도록 했으며, 데이터베이스 관리자도 보안 관리자의 승인 없이는 암호화된 정보를 조회하거나 수정, 삭제할 수 없어 내부자에 의한 정보 유출을 방지할 수 있다. 키의 안전한 저장 및 관리를 위한 하드웨어 방식의 스마트카드도 지원한다.
이니텍의 보안사업부 이홍일 팀장은 "DB보안의 가장 큰 관건은 성능이다"며 "PKI 등은 강제사항으로 정부에서 설치를 권유하지만 기업의 주요 정보가 담겨있는 DBMS는 상당히 민감한 부분이라 강제사항이 적용된다 해도 성능 저하를 꺼려 고객들이 적용하는데 주저한다"고 설명했다. 또 그는 이에 따라 "이니텍은 성능에 가장 적은 영향을 미치는 제품을 개발하는데 초점을 맞추고 있다"고 설명했다.
접근제어 방식이 전체 시장의 70% 차지
한편 한국전자증명원은 미국 인그리안사의 하드웨어 일체형 DB 암호화 솔루션인 '데이터시큐어'를 시장에 공급하고 있다. 국내에서는 유일하게 하드웨어방식을 택하고 있다.
이 제품은 DB서버 뿐 아니라 애플리케이션 서버, 웹서버에 연동되며 인터넷 환경에서 데이터를 암호화된 상태로 전송, 저장한다. 보안 적용대상 서버의 플랫폼에 상관없이 설치가 가능하며 오라클, MS SQL, DB2, 사이베이스, 인포믹스 등을 적용할 수 있다. SAN, NAS 환경의 DB암호화도 가능하며 어플라이언스 타입이기 때문에 환경 변화에 따른 위험성도 최소화되고 다량의 애플리케이션/DB 서버와도 연동될 수 있다는 것도 장점이다.
한국전자증명원의 솔루션사업부 이정윤 차장은 "네트워크에 붙어 동작하는 데이터시큐어는 위치적으로 유연성, 호환성이 뛰어나다"며 "소프트웨어적으로 DB에 직접 설치되는 것이 아니라서 DB에 주는 부하가 적고, 속도가 떨어지지 않는다"고 설명했다.
DB보안 솔루션 시장에서는 접근제어 방식이 인기가 높은 것으로 나타났다. 업계 관계자들은 접근제어 방식의 제품들이 전체 DB보안 시장의 70% 이상을 차지하고 있다고 얘기한다.
이 같은 이유는 암호화방식의 DB보안 제품들은 암/복호화 과정에서 DB 자체의 성능을 저하시키기 때문이다. DB보안에 관심이 있는 사용자들은 이를 우려해 접근제어 방식을 채택하고 있다는 것이다. 또 내부보안의 해결 방안으로 감사, 감시 기능이 뛰어난 접근제어 방식이 선호되고 있는 것도 그 이유로 들 수 있다.
웨어밸리 김병천 상무는 "DB보안의 초점은 감시, 감사, 통제에 있다. 사용자가 인가되었는지 아닌지가 중요하다. 또한 최근에는 감사의 역할이 크게 부각되고 있다"며, 접근제어 방식이 시장에서 주류를 이루는 이유를 설명했다.
하지만 암호화방식의 DB보안 업체들은 이러한 의견에 반대되는 입장을 보이고 있다. 암호화방식은 각 컬럼별로 필요한 부분만 암호화하기 때문에 성능이 크게 떨어지지는 않는다는 주장을 펼치고 있다. 이의 근거로 최근 DB보안을 도입하려는 업체들이 암호화 방식 제품의 도입에 나서고 있다는 점을 내세우고 있다.
업체 난립, 가격경쟁 우려
DB보안 제품을 도입을 고려하는 기업들은 이 솔루션의 구현에 따른 리스크를 우려해 선뜻 구입을 결정하지 못하고 있는 것으로 나타났다. 이를테면 이 솔루션을 구현하려면 회사의 중요한 자산인 데이터베이스를 건드러야 하는데 이 과정에서 뭔가 예기치 않은 일이 발생할 것을 우려하고 있는 것이다.
만일 그 필요성은 인지하고 있더라도 어떤 제품을 선택해야할지, 자사에 맞는 솔루션은 무엇인지 선택하기가 쉽지 않다는 점도 시장 확대의 발목을 잡고 있는 것으로 드러났다. 업계의 한 관계자는 "무엇보다 먼저 정보를 보호해주는 바탕을 마련하고 성능과 안정성을 보장해줘야만 DB보안이 진정으로 확산될 수 있을 것"이라고 말했다. 이밖에 DB보안 시장 확대의 또 다른 걸림돌로는 DB보안에 대한 고객들의 인식이 부족하다는 점이 꼽혔다.
한편 DB보안 시장은 앞으로 시장 확대가 전망되면서 여기에 뛰어드는 업체들이 점차 늘어나고 있다. 업체의 한 관계자는 "업체들이 난립함에 따라 기술 보다는 가격경쟁이 벌어질 것으로 우려된다"면서 사용자들은 제대로된 기술과 서비스를 제공하는 업체들의 솔루션을 선정하는 지혜를 발휘해야할 것이라고 주문했다.
업체별 전략 및 솔루션
■ 웨어밸리
해외시장 공략 박차, R&D 비용 30%
올해 웨어밸리의 매출 목표액은 80억원. 이를 위해 웨어밸리는 R&D 인력 보강이나 제품 안정화 및 기능 발전에 노력을 게을리 하지 않고 있다. 웨어밸리 김병철 상무는 "전체 직원 30명 중 20명이 R&D 인력"이라며, "전체 매출의 30%를 R&D에 재투자하는 등 제품 개발에 노력을 아끼지 않고 있다"고 설명했다.
올해 주 타깃 시장은 금융권. 국민은행, 대한생명 등 대형 사이트 구축 경험을 바탕으로 이 시장을 적극 공략해 나간다는 방침이다. 또한 제조, 유통, 의료 등 전 산업군에 대한 영업 및 마케팅도 강화해 나갈 예정이다. 의료 부분에서도 의료정보보호법(HIPPA)에 따라 수요가 생길 것으로 판단되어 이 시장도 공략해 나갈 계획이다.
또한 올해는 해외시장 진출 노력도 병행해 나간다. 올해 수출 비중은 전체의 30%. 내년에는 이를 더욱 늘려 50%까지 확대하고 점차적으로 수출비중을 늘려나갈 방침이다. 현재는 유럽, 중동, 남미, 아프리카 등 다양한 나라와 협상 중에 있으며, 그 중 일부 지역에서는 총판 체제를 갖추고 본격적인 비즈니스를 시작하고 있다.
특히 일본시장에서는 좋은 결과를 나타내고 있다. 2004년 NST-Japan과 체결한 총판 체제가 안정적으로 확립되면서 수출호조를 보이고 있는 것. KDDI, 이스즈자동차 등 대형 업체에 제품을 공급한데 이어 올 상반기에 NTT, Dentsu, Tuka 등 일본 업체들과 연이어 제품 수주 계약을 체결했다.
웨어밸리의 DB보안 제품은 '샤크라'와 '트러스티드 오렌지'. 샤크라는 대용량 하이브리드 방식을 적용한 솔루션으로써, 스니핑(Sniffing) 방식과 게이트웨이(Gateway) 방식이 혼합되어 있다. 특히 이 제품은 데이터베이스 시스템에 접속하지 않고 데이터베이스를 모니터링하는 방법의 특허를 가지고 있으며, TTA GS인증, KT마크, 조달청 우수상품, 다산기술상 등을 수상한 솔루션이다. 트러스티드 오렌지는 데이터베이스 접근시 사전 등록된 내부 결재 과정을 거친 SQL만을 실행할 수 있도록 하는 사전 보안 감시용 툴이다.
■ 피앤피시큐어
유통망 강화, 올해 매출 목표 30억
2003년 'DB세이퍼'를 출시한 피앤피시큐어는 KTF, 서울대학교 등 70여개의 사이트를 확보하고 있으며, 금융과 관공서, 학교 등을 상대로 활발하게 영업을 진행해 나가고 있다. 올해 매출액은 30억원을 목표로 이를 위해 유통망을 크게 강화하고 있다.
DB세이퍼는 DB 접근에 대한 로깅과 접근제어를 동시에 실현하는 솔루션으로써, 기존 시스템 및 DB에 어떠한 소프트웨어 모듈 설치나 구성 변경없이 DB 보안 기능을 수행한다. 따라서 DB서버에 직접 접속하는 사용자의 물리적 위치에 관계없이 1대의 DB서버에서 중앙 집중식으로 관리할 있는 점이 특징이다.
■ 한국전자증명원
신제품 i110 출시, 올해 40억원 목표
한국전자증명원은 미국 인그리안사의 하드웨어 방식 제품인 데이터시큐어(DataSecure)를 시장에 공급하고 있다. 올해 DB보안 시장에서의 매출 목표는 40억원.
한국전자증명원은 데이터시큐어를 통해 중앙부처 및 금융권과 대기업 등 대형 트랜젝션이 발생하는 시장을 꾸준히 공략해 나갈 방침이다. 또한 최근에는 중소기업 및 학교 등을 공략할 수 있는 소규모의 제품(i110)을 출시하여 영업을 활발히 진행한다는 각오이다.
국내 유일한 하드웨어 방식의 DB 암호화 솔루션인 데이터시큐어는 네트워크에 붙어 동작하기 때문에 위치적으로 유연성 및 호환성이 탁월한 것이 특징이다. DB에 주는 부하가 적어 속도저하 걱정이 없으며, DB 서버뿐 아니라 애플리케이션 서버, 웹서버와 연동하여 인터넷 환경에서 데이터를 암호화된 상태로 전송, 저장이 가능하다.
한국전자증명원은 데이터시큐어의 업데이트를 꾸준히 진행하여 기밀성 및 무결성을 향상시키고, 가용성을 보장할 수 있도록 업그레이를 진행하는 한편, 부하 절감 및 암/복호화 성능개선에 초점을 맞추어 제품을 개발해 나갈 방침이다. 또한 곧 데이터시큐어의 4.3 버전이 새로이 출시될 예정이다.
■ 바넷정보기술
총판체제 및 맞춤식 DB보안 시스템 구축
지난해부터 공격적인 마케팅 및 영업을 펼치고 있는 바넷정보기술은 금융권을 주 타깃으로 삼고 있으며, 관공서로 점차 영역을 확대해 나가고 있다. 올해 매출액 목표는 30억. 목표 달성을 위해 총판 체제를 구축하고 지방 채널을 정비했다. 특히 시장의 다각화와 고객사별 맞춤 컨설팅을 통한 맞춤식 DB 보안 시스템 구축에도 적극 나서고 있다.
주요 고객사는 한국증권금융, 산업은행 등의 금융권과 경일대학교, 상주대학교 등 대학, 대구 달서구청 등 공공으로 그 영역을 점차 늘려가고 있다. 특히 지난 2월 완료한 LG카드 구축사례를 앞세워 시장 확대에 박차를 가하고 있다. LG카드는 스니핑과 게이트웨이 방식을 혼합한 하이브리드 방식으로 구축한 사례로 바넷정보기술의 기술력을 입증한 케이스이다.
이 회사의 주력제품은 '미들만'이다. DB보안의 개념이 태동한 금융권 실무의 필요에 의해 태어난 이 DB보안 시스템은 DB보안 관리자들이 고려해야 할 액세스 컨트롤(Access Control), Authentication, 로깅 & 모니터링, Auditing 등에 충실하다. 특히 TTA GS인증을 획득했으며, DB보안 관련 특허 등록이 되어 있다.
■ 펜타시큐리티시스템
70개 레퍼런스 사이트 확보, 이기종 지원 제품 출시 예정
지난 97년부터 공개키기반구조(PKI)를 포함한 암호 및 침입탐지시스템, 싱글사인온(SSO), 통합인증관리(EAM) 등 보안분야 솔루션을 개발 공급하고 있는 펜타시큐리티시스템은 지난 2004년 DB보안 솔루션인 디아모(D'Amo)를 개발하여 공공 및 금융권에 공급하고 있다.
주요 공급 사이트는 LG필립스, 기업은행, SK텔레콤, 산업자원부 등을 포함해 약 70여개에 이른다.
'디아모(D'Amo)'는 전체 DB 정보 중 기밀 데이터만 선택적으로 암호화해 기존 서비스의 성능을 유지하고 컬럼별로 서로 다른 암호키를 사용, 동일 내용의 원문들도 서로 다른 암호문을 생성할 수 있다는 장점을 갖고있다. 따라서 데이터 유출 시에도 한번 암호화된 데이터는 확인할 수 없어 기업 내부 보성을 크게 높일 수 있다.
일본과 동시에 출시된 2.0버전은 데이터 암호화 외에 접근제어 및 감사 기능을 강화했다. 접근제어는 DB 계정, IP, 응용프로그램, 시간대별 로그인 등과 암호화 컬럼 단위별 이중 제어가 가능하며 암호화되지 않은 컬럼을 추적, 선택적으로 DB 전체를 감시할 수 있다.
한편, 그동안 디아모는 오라클 DB에만 종속되어 타사의 DBMS와의 연동에 문제가 있는 것으로 알려졌다. 하지만 펜타는 이러한 단점을 보완하기 위해 꾸준히 노력하고 있으며, 조만간 이기종 DB간의 호환성을 해결한 제품을 출시할 계획이다. 펜타시큐리티는 우선 올 하반기 MS-SQL 서버를 지원하는 버전을 출시할 예정이다.
■ 이니텍
15개 사이트 확보, 공공ㆍ금융 집중 공략
금융권을 기반으로 영업력을 강화하고 있는 이니텍은 올해에도 공공 및 금융 등의 시장을 적극 공략할 방침이다. 삼성화재, 국정원, BC카드 등 약 15개의 고객사이트를 확보하고 있으며, 앞으로도 고객들의 다양한 요구를 적극 반영하여 최적의 기능과 성능을 구현할 수 있도록 노력해 나갈 계획이다.
최근 우리나라가 CCRA 가입이 확정됨에 따라 CC인증 획득을 위한 준비를 벌이고 있다. 아직 구체적인 가이드라인이 제시되지 않은 터라 구체적이진 않지만, 언제라도 이를 획득할 수 있도록 준비해 놓을 계획이다.
이 회사의 주력제품은 세이프DB로써 지난 2004년 하반기에 처음 출시됐다. 데이터베이스에 저장된 데이터를 암호화하고 데이터베이스에 대한 접근을 제어함으로써 주요한 데이터를 보호할 수 있는 보안 솔루션이다. 이 제품은 정책서버, 정책관리자, 에이전트 등으로 구성되어 있으며, 데이터베이스 사용자 관리의 이원화, 다양한 접근제약 조건 설정, 컬럼별 암/복호화 및 접근제어, 접근 로그 및 감사 기능 등을 포함하고 있다.