기업의 가장 핵심적인 정보자산은 바로 데이터베이스(DB)라고 말할 수 있다. 기업에서 필요로 하는 정보를 제공하기 위해 체계적으로 축적하고 있는 DB는 기업 정보 시스템의 심장부이며, 고객정보 등 기업의 모든 중요 정보가 보관되고 있는 곳이다. DB보안 솔루션은 바로 이러한 DB를 보호하기 위해 등장한 개념으로 조금씩 그 영역을 확대해 나가고 있다. 국내 DB보안 시장을 살핀다.
| 오현식 기자·hyun@datanet.co.kr |
오늘날 기업에 있어서 DB는 생명과도 같다. 기업의 모든 중요 정보 자산이 축적된 곳이 바로 DB다. 인체에 비유하면, DB는 기업 정보자산의 심장부로 기업 구성원들은 IT 네트워크망이란 핏줄을 통해 DB의 필요 정보를 공급받아 비즈니스 활동을 수행한다. 하지만, 그동안 IT 보안에서 DB 자체에 대한 보호는 다소 소홀했던 것이 사실이다.
지금까지 IT 보안은 기업과 외부의 경계단을 보호하는데 치우쳤다. 방화벽 등 네트워크 경계단에서 위협을 차단함으로써 핏줄인 네트워크망와 심장부인 DB를 한꺼번에 보호하고자 했던 것이다. 그렇지만, 오늘날 IT 시스템이 더욱 고도화되고, 이를 노리는 공격들 또한 한층 더 정교화되면서 기존의 경계단 보안은 한계를 드러내고 있다.
보안 솔루션 구축구간을 피해 진행되는 우회공격이나 기업 내부 종사자 또는 파트너사에 의한 내부 정보 유출에 취약점을 갖게 되는 것이다. 다양한 DB를 보유하면서 하나의 정보가 다양한 DB에 분산 저장되면서 DB에 대한 보안 관리는 더욱 어려워지고 있다.
DB보안은 바로 이러한 필요성에서 출발한다. 기업 핵심 자산의 최종 지킴이로써 내부자에 의한 정보유출은 물론, 기업 경계면의 보안 솔루션을 우회해 침투하는 외부 공격으로부터 DB를 보호하는 것이다.
관련 기업 규제가 강화되는 컴플라이언스 이슈도 DB보안에 대한 관심을 증대시키는 요인으로 작용, DB보안에 대한 필요성을 더욱 부각시키고 있다. 미국에서는 금융기관을 대상으로 고객 데이터의 기밀 보장을 요구하는 ‘그램-리치-빌리 법안(Gramm-Leach-Bliley Act)’, 의료 정보의 철저한 보안을 규정한 ‘HIPAA(Healthcare Insurance Portabi lity and Accountability Act)’ 등이 마련돼 고객 정보의 보호를 촉구하고 있고, 일본에서도 또한 개인정보보호법이 실행돼 각종 내부보안 솔루션들이 속속 구축되고 있다.
우리나라의 경우에도 고객정보유출에 대한 기업의 책임범위를 확대시킨 ‘개인정보보호법’이 국회 통과를 목전에 두고 있어 개인정보보호는 기업의 핵심 과제로 떠오른 상태다. 고객 정보가 들어있는 DB에 대한 철저한 보호가 요구되는 것이다.
더불어 개인정보보호에 대한 인식이 개선되고 있다는 것도 기업들에게 DB 보호를 최우선 과제로 꼽게 하는 부문이다. 과거 개인정보보호 인식이 부족했던 이용자들의 개인정보 중요성 인식이 향상되고 있어 고객DB 유출사고가 기업 이미지에 치명적 손상을 줄 수 있기 때문. 한국정보보호진흥원(이하 KISA)에 따르면, 2006년 개인정보 침해 관련 상담·신고건수는 2만3천333건으로 2005년 1만8천206건 보다 28% 증가했다.
특히 지난해 이용자 동의없는 개인정보 수집과 관련한 민원이 2천565건으로 전년(2005년 1천140건)에 비해 크게 늘어났다(전년대비 125% 증가). 또 개인정보 미파기 관련 민원 역시 전년대비 75%의 증가를 나타냈다(2005년 152건 → 2006년 266건). 동의없는 개인정보 수집과 개인정보의 미파기 등의 관련 민원 증가는 “이용자 스스로 자신의 개인정보 중요성에 대한 인식이 향상되고 있음을 반증하는 것”이라고 KISA 측은 분석했다.
이와 관련, 지난해에는 동의없는 개인정보 제공으로 인한 손해배상 사례도 보고됐다. 인천 아파트 입주 예정자인 김 모씨가 자신의 개인정보를 아파트 내장재 기업에 제공한 건설사를 상대로 개인정보분쟁조정위원회에 손해배상을 신청한 것.
개인정보분쟁조정위원회는 “피신청인이 계약자의 개인정보에 대한 일련의 보호조치 없이 관행적으로 제 3자에게 개인정보를 제공 또는 사용하도록 허락한 것은 불법행위에 해당한다”며 30만원의 손해배상을 결정했다.
손해배상의 규모가 큰 것은 아니지만, 개인정보보호에 대한 이용자들의 인식변화를 잘 보여주는 사례로 평가되며, 개인정보보호법이 발효 시 이러한 분쟁과 보상 또한 더욱 증가할 것으로 전망된다.
지난해 200억원대 시장 형성
지난해 DB보안 시장은 200억원 내외의 시장을 형성했다는 것이 업계의 중론이다. KISA의 조사 결과에 따르면, 2006년 DB보안 시장은 전년(2005년 196억원) 대비 6.1% 성장한 208억원의 시장을 형성한 것으로 평가됐지만, 일각에서는 KISA의 집계가 다소 부풀려진 경향이 있다면서 이의를 제기하고 있고, 실제 국내 DB보안 시장은 높게 잡아도 200억원 달성이 어려울 것으로 분석하는 의견이 좀 더 우세하다.
200억원 내외에서 엇갈리는 주장을 차치하고, 공통되는 의견은 DB보안 시장이 폭발적인 성장세를 보이고 있지는 못하다는 것이다. 개인정보보호에 대한 관심 증대와 더불어 최근 빈번하게 발생하는 보안 사고로 DB보안에 대한 관심이 커지고 있지만, 이러한 관심이 실제 수요로는 쉽사리 연결되지 못하고 있는 것이다.
DB보안 확산을 위한 환경이 형성되고 있음에도 불구하고 폭발적 성장이 일어나지 않는 까닭으로는 우선 뿌리깊게 자리하고 있는 보안 제품의 도입 경향을 들 수 있다.
아직까지도 고객들은 보다 직접적인 효과를 볼 수 있는 방화벽, IPS 등 전통적인 경계면 보안 솔루션 도입이 우선시하고 있는 것. 물론 방화벽 등의 경계면 보안 솔루션은 기업보안의 가장 기초적인 부문으로써 결코 소홀히 해서는 안 될 부문이지만, 경계면 보안 솔루션에 대한 지나친 편중현상으로 인해 타 분야의 보안 구축이 잘 이뤄지지 않는 문제가 존재한다고 지적된다. 이로 인해 네트워크 경계단 솔루션의 중복투자 발생은 물론, 필요부문에 대한 투자가 이뤄지지 않아 전사적 보안 수준 향상이 요원하다는 것이다.
아울러 DB보안 수요를 결정적으로 끌어올릴 수 있는 규제법안인 개인정보보호법이 당초 예상보다 늦게 입법화되는 상황도 DB보안 확산의 걸림돌로 작용한 것으로 평가된다. 개인정보보호에 대한 중요성 증가로 개인정보보호법은 2005년 하반기 입법화가 예상됐지만, 정치 일정에 밀리면서 올해로 공이 넘어온 상황이다.
폭발적 성장을 이뤄내지는 못하고 있지만, 여전히 DB보안은 정보보호 시장에서 가장 주목받는 분야의 하나로 여겨지고 있다. 보안 시장을 이끌 화두로 웹 보안, NAC 등과 함께 DB보안, 개인정보보호가 빠짐없이 언급되는 것.
안랩코코넛이 지난해 말 보안담당자들을 대상으로 한 설문조사에서는 웹 관련 보안 솔루션들의 뒤를 이어 내부정보 유출방지(14%)와 DB보안(12%)이 도입을 필요로 하는 보안 서비스로 꼽혔으며, 안티바이러스 솔루션 개발 기업인 뉴테크웨이브의 조사에서는 DB보안에 직접적인 영향을 미치는 개인정보보호(응답률 34.6%)가 올해 보안 시장의 최대 화두로 예상됐다. 이처럼 DB보안은 꾸준히 주목받고 있는 보안 시장의 유망주라 할 수 있다.
업계는 DB보안 시장의 점진적인 성장을 기대하고 있다. 국내 보안 시장의 전체 규모나 경계단 보안에 치우치는 기업들의 보안 제품 구매 패턴을 감안할 때 폭발적 성장은 어렵겠지만, DB보안에 대한 고객들의 요구가 높아지고 있고, 개인정보보보호법 등 DB보안 확산의 기폭제가 될 관련 법규 제정이 예정됨으로써 지속적 성장을 기대할 수 있다는 것이다. 이와 관련, KISA 측은 국내 DB보안 시장이 2011년 268억원 규모로 성장한다는 전망을 밝혔다. DB보안 시장이 매년 5% 이상의 견실한 성장세를 이어간다는 것이다.
접근제어·암호화 방식 ‘각축’
DB보안은 크게 두 가지 방식으로 구현된다. 하나는 DB에 대한 접근을 통제함으로써 정보유출을 차단하는 접근제어 방식이며, 다른 하나는 DB데이터에 대한 암호화를 통해 DB의 정보 누출을 방지하는 방법이다.
웨어밸리, 피엠피시큐어, 신시웨이(엑셈), 피앤피시큐어, 소만사, STG시큐리티, 바넷정보기술 등이 접근제어 방식의 DB보안 솔루션 기업. 별도 서버에서 가상계정이 부여된 사용자만 DB 이용을 가능하게끔 하는 제어 방법을 통해 비인가자의 접속을 차단, DB보호를 구현하는 방법이 바로 접근제어 방법이며, 대부분 해당 로그정보 저장·분석 기능을 탑재해 DB 유출 시에도 내부 감사용으로 활용할 수 있는 기능을 제공하고 있다.
암호화 방식의 DB보안은 이니텍, 펜타시큐리티, 소프트포럼 등이 제공하는 솔루션이 속한다. 암호화 방식은 DB 컬럼 단위의 선택적인 암호화를 통해 권한이 없는 사용자에 의한 정보 유출과 사후 해독을 차단하게 되며, DB에 PKI 기반의 암호화 및 전자서명을 적용해 특정 필드를 암호화하는 방식이 주로 이용되고 있다.
공급 기업의 측면에서 보면, 교육, SI 등 DB 관련 사업을 진행했던 기업들은 DB 사업 진행 과정에서 축적된 노하우를 통해 DB 접근제어 방식으로 접근하고 있으며, PKI 등의 사업을 진행했던 기업들은 암호화 방식으로 구분된다고 할 수 있다.
데이터베이스 SI 사업에서 쌓인 노하우를 바탕으로 DB보안에 접근하는 웨어밸리, 바넷정보기술 등은 DB에 대한 이해와 노하우를 기반으로 직접적인 암호화보다 접근제어, 감사 등에 특화된 제품으로 DB보안 시장에 접근하고 있다.
이들 두 방식은 각기 장단점을 지니고 있다. 우선 DB 접근제어 방식의 솔루션은 사용하고 있는 DBMS의 부하를 최소할 수 있다는 점이 최대 장점으로 꼽힌다. 패시브 모드, 인라인 모드, IP포워드 모드 등 다양한 방식으로 적용이 가능하다는 점도 이점이며, 보안사고 발생 시 활용할 수 있는 사후 감사 자료를 제공하기도 한다. 반면, DB 접근제어 방식은 인가된 사용자에 의한 정보 누출의 가능성이 존재하는 점이 단점으로 지적된다.
암호화 방식은 DB 접근제어에서 통제하기 어려운 인가된 사용자에 의한 정보누출을 봉쇄할 수 있다는 점이 최대 장점이다. DB 내의 정보를 암호화해 제공함으로써 정보노출의 가능성을 보다 낮출 수 있는 것이다. 하지만, 암호화 방식은 암복호화 수행에 따르는 부하로 인해 DBMS의 성능을 저하시킬 수 있는 단점이 있다.
이러한 장단점으로 인해 이 두 방식은 상호보완적 관계를 맺고 있다고 여겨지지만, 두 DB보안 솔루션이 동시 적용된 사례는 아직 존재하지 않는다. 가격적인 부담과 함께 두 가지 DB보안 구현이 주는 부하 증가란 문제가 남아 있기 때문이다. 또 DB보안에 대한 인식이 확산되고는 있지만, 두 가지 방식을 모두 요구할 정도로 고객 인식이 높아지지 않았다는 점도 동시 구현사례를 발생치 않게 하는 요인이다.
이와 관련, 김은수 이니텍 부장은 “이니텍의 경우에도 양 솔루션의 상호 보완적 관계로 인해 접근제어 방식의 DB보안 기업과의 제휴를 추진하기도 했지만, 시장 제반적 상황을 고려할 때 아직은 이르다고 판단돼 제휴는 잠시 멈춰진 상태”라고 전하기도 했다.
현재 DB 암호화 시장의 대부분을 차지하는 것은 접근제어 방식이다. 접근제어 방식은 DB보안 시장의 약 2/3 가량을 차지하는 것으로 추정되고 있다. 접근제어 방식이 DB 암호화 방식에 비해 보다 손쉽게 적용할 수 있기에 이 방식이 주류를 이룬다고 볼 수 있다. 더불어 DB 컬럼 단위로 DB 데이터 자체의 암호화를 수행하는 방식은 고객 환경에 대한 이해를 바탕으로 추가적인 커스터마이징 작업이 요구되는 난점이 존재, DB 접근제어 방식이 보다 각광받고 있는 것이다.
물론 암호화 방식도 꾸준히 영역을 넓혀나가고 있다. DB 암호화 방식은 접근제어 방식보다 정보누출 방지란 본연의 목표 달성에 보다 가깝게 다가설 수 있다는 장점을 바탕으로 꾸준히 영역을 넓혀나가고 있는 것. 더불어 DB보안 사업의 노하우가 축적되면서 커스터마이징을 능력이 개선되고 있고, 성능 개선도 꾸준히 이뤄지고 있어 높은 보안성을 요구하는 금융권을 중심으로 시장이 확산되고 있다.
이니텍, 펜타시큐리티 등 암호화 방식의 DB보안 솔루션을 공급하는 기업들은 2006년 암호화 방식의 적용이 점차 증가해 전체 DB보안 시장의 40%까지 점유할 수 있을 것으로 자신하고 있다.
성능 향상, 제 1금융권 확산 기대
DB보안의 최대 시장은 공공과 금융권으로 나타나고 있고 또 고객서비스를 우선으로 하는 통신사들의 도입도 이어지고 있다. 높은 보안성을 우선으로 하는 고객을 중심으로 시장이 형성되고 있는 것. 금융권에서는 대한생명, 대우증권, 신한생명, 삼성화재 등이 DB보안 솔루션을 도입한 것으로 알려지고 있으며, SK텔레콤, KTF, LG데이콤 등도 DB보안 솔루션을 도입, 고객 정보 보호에 만전을 기하고 있다.
공공기관으로는 금융감독원, 서울지하철공사, 공무원연금관리공단을 비롯해 한국수자원공사, 사학연금관리공단, 조달청, 대한적십자, 대검찰청, 한국도로공사 등이 DB보안 솔루션을 도입한 상태다. 이러한 확산에 힘입어 대학과 병원, 일반 기업 등으로 DB보안 도입이 확산되고 있다.
특히 웨어밸리가 국민은행에 자사의 DB보안 솔루션인 ‘샤크라’를 공급, 제 1금융권 공략의 교두보를 확보함으로써 시장 전망을 더욱 밝게 만들었다. 보안성은 물론 높은 성능까지 요구하는 특성으로 인해 이 시장에서의 레퍼런스 확보가 시장에 미치는 파장은 적지 않다. 그동안 DB보안 솔루션은 보안 강화를 위해 금융권에서의 도입이 기대됐지만, 수많은 트랜잭션으로 인한 성능 이슈로 제 1금융권에는 쉽게 도입되지 못했던 것이 사실이다.
하지만, 웨어밸리가 제 1금융권 레퍼런스를 확보함으로써 이 시장의 DB보안 활성화가 기대되는 것이다. 더불어 DB보안 솔루션 자체의 성능도 향상돼 DB보안 기업들은 금융권 공략을 최우선 과제로 설정하고 있다.
웨어밸리 측은 “스니핑과 IP포워딩을 혼용하는 하이브리드 방식 적용으로 대용량 트랜잭션 감사는 물론 능동적 접근제어가 가능하다”며 “성능관리 툴에서 발생하는 과도한 부하를 제거, 금융권의 높은 트랜잭션도에도 전체시스템 안정성을 확보하고 있다”고 설명했다.
소만사는 “소만사 디비아이는 8종류의 이기종 DBMS, 50대에 달하는 DB서버에서 일일 3천만건의 DB트랜잭션을 처리하는 국내최대규모의 통신사에 공급, 운영될 정도”라며 제품의 성능을 전하고 있기도 하다. 나아가 접근제어 방식에 비해 부하 문제가 제기되는 암호화 솔루션 기업들도 기술 발전으로 성능 이슈를 해소했다고 자신하며 금융권 공략을 자신하고 있다.
삼성화재에 공급을 이뤄내며 제 2금융권 교두보 확보에 성공한 이니텍은 “삼성화재 구축 경험으로 DB보안 적용에도 부하를 최소화시켜 성능 문제를 발생시키지 않는 노하우를 확보했다”면서 “제 2금융권에 적용된 기술력을 기반으로 올해 제1금융권 교두보 확보에 주력하겠다”는 의사를 밝혔다.
한편, DB보안 시장은 꾸준한 성장이 기대되지만, 위험요소도 분명히 존재한다. 우선, DB보안이 주목받으면서 경쟁 심화의 양상을 보이고 있다는 것이 첫 번째 위험요소다. DB보안 시장에는 현재 다수의 기업이 뛰어들 태세를 갖추고 있는 것. DB보안 시장에 신규 진입을 노리는 기업은 이미 알려진 것만도 모니터랩 등 3~4개 이상에 이르고 있다. 점진적 성장이 예상되는 DB보안 시장에서 다수의 기업 참여가 자칫 가격 경쟁으로 나아갈 수 있어 우려를 낳고 있는 것이다.
또 다른 위험요소는 고객 인지의 개선이 더디게 진행되고 있다는 점이다. DB보안이 국내에 소개된 지도 3~4년이 지나가고 있지만, 중요자산인 DB에 접근한다는 측면에서 고객들의 두려움은 여전히 존재하고 있다고 지적된다. 또 DB보안 기업들의 노력에도 불구하고 방화벽, IPS 등 경계면 보안 솔루션을 선호하는 경향 역시 여전히 존재하고 있다. DB보안 기업으로써는 눈에 보이지 않는 이러한 장벽을 넘어서야 하는 과제가 존재하는 것으로 DB보안의 필요성 알리기가 요구되고 있다.
