개인정보보호 인식 확산, 금감원·정통부 지침 등으로 시장 탄력
내부자에 의한 정보유출 사고가 빈번하게 발생하면서 사내 보안관리 체계를 강화하고 각종 보안 솔루션을 활용해 핵심 정보를 지키려는 노력이 강화되고 있다.
서버보안, 계정 및 접근권한관리, 문서보안 솔루션 등으로 내부보안 시스템을 마련해온 기업들은 최근 들어 중요 정보가 모여 있는 데이터베이스(DB)의 직접적인 보호 방안으로 DB보안 솔루션에 관심을 보이고 있다.
이유지 기자 yjlee@infotech.co.kr
내부 망에 위치해 외부에 노출되지 않는 데이터베이스(DB)는 그동안 원활한 서비스를 위한 성능 관리에만 초점이 맞춰졌을 뿐, 자체적인 보안에는 크게 신경을 쓰지 않은 채 DBMS(데이터베이스관리시스템)에서 제공하는 관리 기능에 의존해 왔다. 또한 수많은 업무와 사용자가 서로 연관되어 다른 형태의 역할과 권한으로 얽혀있는 DB에는 보안 정책을 일관적으로 정의할 수 없는 등 근본적으로 보안 관리에 어려움이 있었다.
따라서 주요 정보가 모여 있는 DB는 보안상의 취약성을 내포해 왔는데, 최근 개방적인 네트웍과 시스템 활용이 일반화되고 이를 활용한 서비스가 확대되면서 이에 대한 위협이 더욱 심각해지고 있어 DB보안의 중요성은 나날이 커지고 있다.
DB는 외부에 의해 직접적인 공격이 가해져 정보가 유출되는 사례는 드문 반면, DB 관리자에 역할과 권한이 집중돼 있어 '관리자가 마음만 먹으면' 또는 '관리자의 소홀'로 인해 언제든지 정보 유출 및 악용이 이뤄질 수 있다는 문제가 제기되고 있다.
현재 대부분의 DB 관리자는 시스템 및 데이터 운영 및 관리, 보안 관리까지 전담하고 있으며, 관리자의 관리 소홀이나 의도적인 불법 접근을 시도하는 내부 전산 운영자나 개발자, 아웃소싱 협력사 직원에 의해 사용자 계정과 권한이 노출될 경우 쉽게 정보 유출이 이뤄질 수 있는 위험성을 내포해왔다. DB를 효과적으로 보호하는 방안으로 '내부 단속'이 가장 중요한 이슈로 떠오르고 있는 것이다.
DB보안 관심 확대, 정부시책도 긍정적 영향 미쳐
최근 접근이 쉬운 내부자에 의한 침해 사고나 아이디와 패스워드를 도용해 불법적으로 접근, 정보를 빼내는 사례가 빈번하게 나타나면서 기업들은 전문 보안 솔루션을 활용해 자체 보안 체계를 수립하려는 움직임을 보이고 있다.
가장 먼저 관심을 나타내고 있는 산업은 단연 민감한 정보를 보유하고 있는 금융기관. 고객의 신상 및 신용정보 유출, 횡령 및 유용, 해킹 등 금융 보안 사고를 겨냥해 다양한 솔루션을 도입해 보안 강화에 나서온 금융기관은 최근 DB에까지 시야를 넓히며 관련 보안 솔루션을 적용하는 것을 적극적으로 검토하고 있다.
이미 몇몇 은행과 증권사, 보험사들이 관련 솔루션을 도입하기도 했으며, 동종 산업군 전체로 관심이 확산되면서 제품 테스트를 진행하는 사례가 늘어나고 있다. 이는 지난해 실시한 금융감독원의 감사와 관련 지침이 내려진 영향도 크다.
또한 전자정부 시행 등으로 고도의 지식정보 사회를 구현하고자 추진하고 있는 정부 및 공공기관에서 '정보시스템 구축기술 가이드라인'에 주요 데이터 암호화 및 접근통제 항목을 명시하는 등 솔루션 확산에 탄력을 주고 있다. 여기에다 최근 개인정보보호에 대한 사회적 관심이 높아지고 있고 기업 내부에서도 주요 정보 자산을 보호하려는 요구가 커지면서 DB보안 시장 성장에 긍정적인 영향을 미치고 있다.
따라서 DB보안 시장은 금융 및 공공 시장과 통신사, 대학 등 개인정보를 보유하고 있으며, 이를 기반으로 서비스를 수행하는 산업 전반으로 확산될 것으로 보인다.
다양한 솔루션 등장, 업계 움직임 활발
이러한 시장 흐름에 따라 최근 다양한 방식으로 구현된 DB보안 솔루션이 시장에 출시되고 있으며, 관련 사업을 하는 업체들도 속속 늘어나고 있다.
사실 DB보안 기술은 그 수준과 방식에 차이는 있겠지만 최근 개발된 기술이 아니라 1980년대부터 개발된 것으로 알려져 있으며, 2000년대 초반 전문 솔루션이 시장에 소개되기도 했다. 하지만 인식이 낮아 시장에서 별다른 호응을 얻지 못했다. 일부 업체에서 외산 솔루션을 선보였지만 수요 부족으로 일찌감치 사업을 포기하기도 했다.
현재 DB보안 제품을 내놓고 사업을 펼치고 있는 업체들은 금융 IT사업을 펼쳐왔거나 DB 관련 사업을 해온 업체 또는 보안업체들이 주류를 이루고 있다. 주요 업체로는 바넷정보기술, 소프트포럼, 웨어밸리, 이니텍, 한국전자증명원, 피앤피시큐어 등을 들 수 있다.
이들 업체는 올해부터 시장이 크게 활성화될 것으로 보고 채널 영입 등 본격적인 사업화 준비를 벌이는 한편, 금융 및 통신사, 공공기관들에 적극적으로 제품을 소개하고 있다.
현재 시장에 나와 있는 DB 보안 전문 제품은 DB 암호화 솔루션과 접근제어, 모니터링 및 감사 솔루션 등이다. 이러한 솔루션은 ▲시스템 운영과 보안 관리 업무, 역할 및 권한을 분리하고 ▲DB 내 정보 자체를 암호화 하거나 ▲접근제어를 수행하도록 해 접근권한 관리체계를 강화하고 ▲접근기록을 저장해 행위 로그를 남기고 이를 분석하는 기능을 수행한다.
하지만 하나의 제품이 이 모든 기능을 포괄하지는 않고 있어 각각의 솔루션은 상호보완적으로 운영된다. 현재 나와 있는 솔루션은 기본적으로 접근제어 기능은 모두 제공하지만 암호화와 감사 솔루션은 각각의 전문 기능을 중심으로 제공되고 있다.
암호화 솔루션, DB 자체에 강도 높은 보안성 제공
DB 암호화 솔루션은 DB의 테이블이나 컬럼 단위로 저장된 데이터를 암호화하고 DB 접근을 권한에 따라 제어함으로써 중요한 정보 자체를 보호하는 솔루션이다. 현재 소프트포럼의 '제큐어(Xecure) DB', 이니텍의 '세이프(Safe) DB', 펜타시큐리티의 '디아모(D'Amo)'와 한국전자증명원에서 공급하는 '데이터시큐어(DataSecure)' 등이 해당된다.
암호화 솔루션은 크게 소프트웨어와 하드웨어로 나뉘는데, 현재 국산 제품은 모두 소프트웨어로 구현되어 있다.
소프트웨어 제품은 적용 및 구성 방식에 따라 애플리케이션 API와 DBMS 플러그인 또는 에이전트 방식으로 구분된다. 애플리케이션 API는 가장 먼저 구현되었지만, 애플리케이션 수정을 거쳐 DB에 설치된다는 면에서 보안성은 높지만 설치 및 관리에 사용자 불편과 부담을 준다는 면에서 최근에는 프로그램 수정이 필요 없는 플러그인 또는 에이전트 방식으로 옮겨지고 있다.
하드웨어 방식은 한국전자증명원에서 공급하는 미국 인그리안의 '데이터시큐어'가 현재 유일하다. 지난달 이 제품을 국내에 정식 출시한 한국전자증명원은 이 제품이 네트웍에 설치되어 DB 서버에 부하를 줄 수 있는 소프트웨어의 단점을 해소했으며, 오라클, MS SQL, DB2 등 DBMS 플랫폼에 관계없이 지원할 수 있다는 점을 장점으로 내세우고 있다.
소프트웨어 방식의 솔루션도 컬럼 단위의 선택적인 암호화 적용 기능으로 성능 저하 요인을 최소화 하고 있다. 이들 암호화 솔루션은 모두 DB 접근제어 기능과 암호화된 컬럼에 대한 감사 로그 생성, 백업 및 복구 기능을 지원한다.
현재 소프트포럼이나 이니텍, 한국전자증명원의 플러그인 방식 솔루션이나 하드웨어 솔루션은 적용 사례는 없으며, 펜타시큐리티의 '디아모'만이 지난해부터 활발한 영업으로 이미 다양한 산업군에 적용되어 있다.
접근제어 및 감사 솔루션, 실시간 감시 및 로깅 강점
접근제어 및 모니터링/감사 솔루션은 DB 액세스 관리 통제와 DB의 실시간 감사(Auditing)에 그 목적을 두고 있는 솔루션이다. 설치 시에 애플리케이션을 변경할 필요가 없고 DB에서 운영되는 정보 자체를 암호화하는 것이 아니기 때문에 사용자 부담이 비교적 적어 이 분야의 업체별로 다양한 적용사례를 보유하고 있다.
구현 방식으로는 크게 네트웍 패킷 스니핑과 게이트웨이 방식으로 나뉘는데, 스니핑 방식은 웨어밸리의 '샤크라(Chakra)'가, 게이트웨이 방식은 피앤피시큐어의 'DB 세이퍼(Safer)'와 바넷정보기술의 '미들만(Middleman)'이 대표적이다.
스니핑 방식의 솔루션은 DBMS에 접속하지 않고 네트웍 상의 TCP/IP 패킷을 스니핑 해 SQL.NET 패킷만을 선택해 분석, SQL 및 사용자 정보를 실시간 추출해 저장한다. 패시브 모드로 구성되어 보안시스템 자체에 문제가 생겨도 DB 운영에 영향을 미치지 않으며, 설치 시에 DB 환경을 변경할 필요가 없다. '누가 언제 어디서 무엇을 어떤 애플리케이션으로'에 해당하는 다양한 업무와 사용자/시간대별로 로깅 기록을 세부화해 기록하며, 이상 행위 발생 시 추적과 통계, 분석이 가능하다.
이 솔루션은 추적 및 감사에 전문성을 갖고 있어 '사후 통제'용일 뿐 능동적인 보안 지원이 약하다는 지적에 따라 웨어밸리는 현재 게이트웨이 옵션을 추가하고 있다.
게이트웨이 방식의 제품은 사용자 PC와 DB 사이의 네트웍 상에 구성되어 DB에 접근하는 모든 세션에 대한 접근통제와 로깅 및 감사 기능을 제공한다. 하지만 모든 패킷이 게이트웨이 장비를 거치기 때문에 대용량 작업 처리 시 서비스 지연 우려와 시스템 장애 발생 부담을 안고 있어 개발 업체의 기술 수준이 중요하다.
피앤피시큐어의 'DB 세이퍼'는 게이트웨이뿐 아니라 스니핑 방식도 동시 지원하고 있다. 하지만 한층 높은 보안 수준과 관리 편의성 면에서 향후 인라인 게이트웨이 방식이 대세가 될 것으로 보고 이를 집중적으로 시장에 소개하고 있다. 이 제품은 인라인 방식의 경우 DBMS나 클라이언트 설정 변경이 필요하지 않으며, 모든 SQL에 대한 실시간 감시 및 로깅을 감시해 로그 및 통계 보고서를 생성한다. 또한 DB 서버 숫자와 관계없이 중앙에서 집중 관리한다.
바넷정보기술의 '미들만'도 클라이언트와 DB 사이에 전용 '미들만' 서버를 설치해 클라이언트에서 DBMS에 접속하는 사용자의 허가되지 않은 접근을 통제하고 모든 접속 기록을 로깅해 분석한다. 각 업무 담당자별로 DB 액세스 툴(M-Client, Golden, Toad 등) 및 DB 작업종류(DML, DCL, DDL 및 I,S,U,D)의 허용여부를 선택하여 운영할 수 있으며, 주요 작업마다 승인 프로세스를 거친 후 SQL이 실행되어 사전 통제에 효과적이다. 또한 클라이언트로 접속하여 작업하고 있는 모든 세션 정보는 미들만 매니저에서 실시간으로 모니터링 한다.
DB 접속 제어 솔루션 사전 보안 체계 보장
바넷정보기술과 웨어밸리는 또한 보안 개념을 접목한 DB 툴인 '미들만 클라이언트'와 '트러스티드 오렌지(Trusted Orange)'를 보유하고 있다. 웨어밸리의 '트러스티드 오렌지'는 DB 성능관리 솔루션으로 잘 알려진 '오렌지'의 별도 버전이다.
이들 솔루션은 권한이 부여된 사용자 인증과 접근통제, DB 성능관리를 함께 지원한다는 면에서 근원적인 DB 관리의 요구사항을 충족하고 있다.
기업 내 사용 DB 툴을 표준화해 적절한 DB 액세스 프로그램 개발과 SQL 작성, 튜닝을 지원하는데, SQL 작업 수행 이전에 사용자에 부여된 권한계정으로 DB 접근관리를 수행하며 해당 결재 프로세스를 밟아 SQL을 실행하기 때문에 사전 보안 체계를 보장한다. 이들 제품은 저마다 보유한 매니저와 연동해 사전 및 사후 통제를 수립할 수 있다.
DB 성능 저하 및 관리포인트 증대 우려가 확산 걸림돌
DB보안을 적용하기 위해서는 기존의 시스템의 변경이나 부하 없이 검증 가능한 DB 보안 체계를 구성해야 하며, 기존 업무와 조직 변경을 최소화하면서 통제 프로세스를 구현해야 한다. 또한 서비스 역할 비중이 높은 DB는 적용 후 성능 저하와 솔루션 자체의 장애 시의 대책도 마련되어 있어야 한다.
DB 관리자들이 적용 시 가장 우려하는 것도 바로 이러한 점인데, 초창기의 DB보안 기술은 시스템 변경이나 성능 저하 현상이 두드러지거나 보안 솔루션을 적용한 후 DB 관리보다 보안 관리 포인트가 늘어나는 불편함을 겪기도 했다.
최근 DB보안 출시되고 있는 제품은 이러한 단점을 크게 해소했으며, 앞으로 지속적인 보완이 이뤄질 것으로 보인다.
주요 공급업체 전략
바넷정보기술
작년 5월 솔루션 '미들만'을 출시해 산업은행과 한국증권금융 등에 적용했다.
현재까지는 직접 영업을 벌이고 있지만 앞으로 금융권을 제외한 일반기업과 관공서는 전문 협력업체들과 제휴해 영업력을 극대화할 방침이다. 현재 협력업체를 타진하고 있고 지방 6개, 수도권 3개 총판을 선정할 예정이다. 올해 30개 사이트 적용을 목표로 하고 있으며, 10~15억원의 매출을 기대하고 있다.
웨어밸리
올해가 '샤크라' 제품의 매출 확대 원년이 될 것으로 보고 활발한 사업을 벌이고 있다. 직접영업과 채널을 통한 간접영업을 병행하는 것을 기본으로 상반기 중 협력업체망 구축을 완료할 예정이며, 현재 샤크라의 총판을 담당한 업체를 찾고 있다.
올 초 서울특별시 지하철공사 및 국민은행, 금융감독원, 한국무역정보통신, 대우증권 등에 공급한 실적을 바탕으로 금융 및 공공 대상 영업을 강화할 방침이다.
상반기 중 '샤크라'의 게이트웨이 신제품을 출시하며, 현재 지원 플랫폼인 오라클 외에 사이베이스, DB2, MS-SQL 등으로 적용 DB를 확대한다. 또한 기존의 윈도우즈 환경 뿐만 아니라 유닉스 환경도 지원할 계획을 갖고 있다.
개인정보보호와 관련된 움직임이 활발한 일본 등 해외 수출을 포함해 올해 '샤크라'와 '트러스티드 오렌지' 제품으로 50억원의 매출을 기대하고 있다. 일본 시장에는 올 들어 이스즈 자동차 등 5개 업체에 샤크라 제품을 공급한 바 있다.
이니텍
지난해 8월 기존 DB보안 솔루션을 보완, 강화해 DBMS 플러그인 방식의 '세이프 DB'를 새로 출시했다. 이 제품을 주력으로 가장 수요가 많을 것으로 예상되는 금융 시장을 대상으로 영업을 강화하며, 점차 목표 시장을 확대할 전략이다.
'세이프 DB'의 지속적인 성능 향상을 벌일 예정이며, 향후 게이트웨이 제품 개발도 염두에 두고 있다. 올해 이 사업 분야에서 10억원 내외의 매출을 기대하고 있다.
소프트포럼
현재 DB보안 제품 '제큐어 DB'를 업그레이드하기 위해 DB전문업체에 아웃소싱 작업을 진행하고 있다.
타 암호화 솔루션과 영업을 병행하고 있으며, 올해 DB보안 사업으로는 5억원의 매출을 예상하고 있다.
펜타시큐리티
지난해 초 '디아모'를 내놓고 본격적인 사업을 시작한 후 기업은행, LG필립스, SK텔레콤, 산업자원부, 서울대학교 등 15개의 사이트를 확보했다. 이같은 성과를 바탕으로 올해 채널을 통해 대대적인 시장 확산을 꾀할 방침이다.
현재 내부적으로 올해 100개 사이트에 '디아모'를 적용하는 '디아모 100 캠페인'을 실시하고 있다. 매출 목표는 50억원(협력사 및 해외매출 제외)이다.
피앤피시큐어
2003년 12월 접근제어 및 감사 솔루션으로 'DB 세이퍼'를 출시하고 지난해 활발한 영업을 벌여온 피앤피시큐어는 KTF, 서울대학교 등 10여곳에 제품을 공급했다. 핵심 기술 개발에 집중하고 기타 보완 기술 및 영업은 모두 아웃소싱하는 체제를 유지하고 있으며, 현재 KWISE와 애플SI에서 총판을 담당하고 있다.
올해 DB보안 시장이 불붙어 내년 크게 성장할 것이라고 기대하고 있으며, 현재 DBMS 지원 플랫폼을 확대하고 특화 기능을 개발하는 등 제품 업그레이드 작업을 진행하고 있다.
올 매출 목표는 20억원이다.
한국전자증명원
지난해 말 미국 인그리안과 '데이터시큐어' 제품의 국내 총판 계약을 맺고 1월부터 사업을 시작했다. 설치 및 관리가 간편하고 성능이 뛰어난 하드웨어 일체형 제품이라는 강점을 부각하며 시장을 공략할 예정이다. 현재 보유한 서울 및 지방(충청, 대구경북, 광주전남) 협력업체를 추가 확대할 예정이며, 제품을 알리기 위한 상반기 솔루션 세미나도 계획하고 있다.
이 제품으로 올해 최소 30억원의 매출을 거둔다는 목표를 세우고 있다.
퓨쳐인포넷
개인정보 유출 방지 정보보호 사업 진출
퓨쳐인포넷은 데이터베이스 정보보안 솔루션 공급업체인 위즈메카에 대주주로 참여하여 국내 정보보호시장에 진출키로 했다.
미국에 본사를 두고 있는 Protegrity사의 데이터베이스 암호화 및 보안 정책 관리 솔루션(Secure.Data)의 한국 총판인 위즈메카가 공급하고 있는 데이터베이스 보안 솔루션은 세계적으로 유명한 대형 포탈사이트, 금융권, 일반 기업, 통신 사업자 등 전 산업 분야에 공급되어 그 성능과 안정성이 검증된 제품이다.
퓨쳐인포넷의 이정희 대표는 "지금까지의 정보보호는 주로 외부 침입자에 대한 대비책으로써 방화벽, 서버보안, 네트웍 보안, PC 보안, IDS, IPS 등으로 이루어져 왔으나, 이제는 내부자 보안 중요성이 매우 강조되고 있다."면서 "이러한 환경적 요구에 적합한 최고의 솔루션을 공급함으로써 국내 시장을 선점 하는 것을 물론, 원시자료의 암호화를 통하여 중요정보의 보호는 물론 정보 누출 시에도 그 피해를 최소화 하여 고객에게 최고의 만족도를 제공할 것"이라고 말했다.