“기업 정보 보고(寶庫) DB를 지켜라”
상태바
“기업 정보 보고(寶庫) DB를 지켜라”
  • 데이터넷
  • 승인 2008.03.14 00:00
  • 댓글 0
이 기사를 공유합니다

DB 보안
대형 보안사고로 관심 급증 … 필수 보안 솔루션 ‘자리매김’ 기대

데이터베이스 보안(Database Security)이 관심을 모으고 있다. 2006년과 2007년 웹 애플리케이션 방화벽을 중심으로 한 웹 보안이 업계를 관통하는 화두로 각광받았다면, 2008년은 DB보안이 기업보안의 화두로 부상할 가능성이 높다. 각 DB보안 벤더들 역시 올해가 제2성장기를 맞이하는 기폭제가 될 것으로 예상하고, 기능 강화에도 박차를 가하고 있다. DB보안에 대해 살핀다.
|오현식 기자·hyun@datanet.co.kr|

DB보안이 다시 기지개를 펼 채비를 갖추고 있다. 내부자에 의한 정보유출은 물론 기업 경계면의 보안 솔루션을 우회해 침투하는 외부 공격으로부터 기업 핵심 자산인 DB를 보호하는 최종 지킴이로써 높은 성장세가 기대되는 시장이 바로 DB보안이다. 그렇지만, DB보안 시장은 높은 기대치에 걸맞지 않게 지난 몇 년간 소폭 성장에 그쳤다.
매년 정보보호 시장 조사를 실시하는 한국정보보호협회의 조사에 따르면, DB보안 시장은 지난 2005년 196억원에서 2006년에는 208억원의 시장을 형성하는데 그쳤다. 2007년에도 성장폭은 높지 않아 220억원에서 230억원의 시장을 형성하는데 그쳤다는 것이 업계의 평가다. 성장률 5% 미만의 서행을 이어간 것이다.
하지만, 2008년 DB보안은 다시금 재도약의 나래를 펼칠 수 있을 전망이다. DB보안 확산의 걸림돌로 지적됐던 부문들이 점차 실타래가 풀려나가고 있는 까닭이다. 나아가 정보 유출로 인한 기업 이미지 하락과 비즈니스에 심각한 피해를 맞이하는 사례도 점차 확산되고 있어 DB보안 시장의 성장을 예감케 하고 있다.

DB의 ‘최종 지킴이’
기업의 정보의 보물창고라 할 수 있는 DB. DB를 보호하는 최종 수문장인 DB보안 솔루션이 그동안 시장에서 외면 받은 까닭은 고객과 벤더의 눈높이 차이 때문이라고 할 수 있다. DB가 비즈니스에서 차지하는 비중이 높은 만큼 고객은 성능 저하는 절대 있어서는 안 될 일이라고 생각했던 반면, DB보안 제품은 보안 솔루션인 만큼 일정 정도의 성능 감소는 불가피했다. DB보안 솔루션이 고객의 기대치와 갖는 이러한 차이는 DB보안 시장이 등장 초기의 폭발적 성장과 같은 가파른 성장세를 잇지 못하고 2~3년간 성장 지체 상태를 보이게 하는 주요 요인이 됐다고 꼽힌다.
그렇지만, 고객과의 눈높이를 맞추기 위한 각고의 노력으로 인해 이러한 격차는 크게 줄어들었다고 DB보안 솔루션 벤더은 자신하고 있으며, 다수의 기업이 올해 안으로 기능과 성능을 한층 강화시킨 업그레이드 제품 출시 계획을 갖고 있다. 펜타시큐리티는 성능 저하를 유발하는 쿼리를 네트워크에서 자동으로 수정해 성능 저하를 방지하는 업그레이드 제품 출시를 계획하고 있으며, 이니텍 또한 지원 DB의 종류를 한층 확대함과 동시에 성능 또한 최적화시킨 솔루션을 1분기 내에 선보일 계획이다. 바넷정보기술의 경우에도 지원DB의 종류를 8가지로 확대하는 작업을 진행하고 있다.
이와 관련, 한병창 바넷정보기술 수석연구원은 “현재 DB보안 솔루션은 고객 요구의 85% 수준으로 올라선 것으로 판단된다”고 밝혔다.
DB보안 시장이 가파른 상승세를 잇지 못한 또 다른 요소는 보안의 초점이 아직도 외부로부터의 침입방어에 국한돼 있다는 점이다. 이에 따라 방화벽, IPS, 웹방화벽 등이 우선되고 DB보안 등의 솔루션은 후순위로 밀리고 있다.
물론 IPS 등 외부로부터의 침입을 방지하는 전통적 솔루션은 반드시 필요한 부문이다. 하지만, 외부 침입 차단이란 전통적 의미의 보안에 지나치게 편중돼 있다는 점이 문제로 지적된다. 보안은 하나의 허점도 발생하면 안 되는 분야다. 이러한 허점으로 인해 지켜야할 핵심 정보가 빠져나가거나, 악성 공격의 침입으로 인한 치명적 피해를 입을 수 있게 돼 여타 솔루션 도입을 무의미하게 만들 수 있다.
만의 하나라도 외부로부터의 최신 공격으로 방화벽이 뚫린다면? IPS가 돌파당한다면? 외부 침입에만 포커싱된 형태로는 이를 방어할 수 있는 제2, 제3의 방안이 존재하지 않는다. 더불어 내부자에 의한 악의적인 정보 유출에는 무방비나 다름없다.

기업 68% 내부 보안사고 경험
한 조사에 따르면, 기업의 68%가 외부 침입이 아닌 내부 활동으로 인한 보안사고를 경험했다. 내부자에 의한 정보유출은 피해 규모가 외부 공격에 의한 것보다 더욱 피해가 클 수 있어 더욱 위험하다. 기업의 사정을 잘 알고 있기에 유출하는 정보는 더욱 치명적인 핵심정보인 경우가 많다.
이와 유사한 조사 결과가 하나둘 소개되면서 외부로부터의 침입방지에 집중되던 보안의 패러다임은 점차 분산되고 있다. 최근 NAC(Network Access Control)에 대한 관심은 패러다임 변화를 보여주는 한 단면으로 고객의 인식이 변화하고 있음을 알려준다. 이러한 변화는 DB보안에게도 새로운 도약의 꿈을 심어주고 있다. 이를 반증하듯 최근의 프로젝트에서는 DB보안이 적은 규모라도 포함되고 있는 추세라는 것이 업계 관계자들의 전언이다.
최갑천 소만사 보안사업팀장은 “정부통합전산센터에 소만사 디비아이가 공급된 것은 DB보안이 보안 필수 솔루션으로 자리매김하고 있음을 보여주는 사례”라고 평가했다. 유창목 펜타시큐리티시스템 차장 또한 “2007년 80여개 사이트에 공급되는 등 DB보안 솔루션인 디아모의 성장세가 꾸준히 지속되고 있다”며 “DB의 중요성이 높아지는 만큼 DB보안 솔루션의 가능성은 무궁무진하다”고 전망했다.
DB보안 솔루션은 외부의 공격이 1차 관문이라 할 수 있는 방화벽이나 IPS를 돌파했을 때, 내부자에 의한 자료유출이 발생했을 때, 불법적인 정보유출을 방지하는 최종 지킴이다. 축구에 비유하면 DB보안 솔루션은 골키퍼라고 할 수 있는 것. 상상해 보라. 골키퍼가 없다면, 축구에서 얼마나 많은 골이 기록될까를.

옥션 사고, DB보안 날개(?)
2008년 2월 설 연휴에 즈음해 큰 사건이 일어났다. 국내 최대의 오픈 e마켓 중 하나인 옥션이 해킹에 노출된 것. 옥션은 관계당국에 신고(2월 4일)하고, 피해 확산 방지를 위해 비밀번호 변경/재설정을 당부하는 공지를 띄웠다. 비밀번호의 유출 가능성을 완전히 배제할 수 없을 뿐 아니라 주민등록번호, 휴대전화번호 등을 비밀번호로 사용하는 경우 개인정보 노출로 인해 사용하는 비밀번호가 유추될 가능성도 존재하기 때문이다.
해킹 방법으로는 SQL 인젝션, 스파이웨어가 포함된 이메일 스팸, 신종 웹해킹 등의 다양한 방법이 추론되고 있다. 추론에 그치는 까닭은 옥션 측이 수사중이라는 점을 들어 해킹방법이나 피해규모를 밝히지 않고 있기 때문이다. 그러나 공지가 이뤄질 정도로 대량의 고객 개인정보가 유출된 점을 볼 때 방법에 상관없이 최종적으로는 DB에 대한 해킹이 이뤄졌다는 것에 무게가 실린다.
업계의 한 관계자는 “대량의 개인정보 유출이 발생했다는 점에 미뤄보면 DB 해킹이 분명하며, DB보안의 미비가 이러한 대량 정보유출 사태를 불러왔다”며 “DB보안의 중요성을 일깨우는 사례”라고 지적했다.
옥션의 누출사고는 불붙던 DB보안 시장에 기름을 붙는 계기가 될 것으로 업계는 기대하고 있다. 특히 옥션은 2천만명(약 1천900만명)의 회원을 보유한 대형 사이트로 해킹사고로 인한 전사회적 파급효과가 적지 않을 것이라는 게 업계의 기대다.
실제로 또 다른 오픈마켓 기업 I사에서는 적극적으로 DB보안 도입에 나서고 있다. I사는 지난해부터 DB보안 솔루션 도입을 검토했지만, 그동안은 다소 미온적인 움직임을 보였던 것이 사실. 하지만, 누출사고 소식이 알려진 설 연휴 직후부터 각 DB보안 솔루션 벤더에 요청해 제안서를 수렴하는 등 도입 발걸음을 재촉하는 모습이다.
DB에는 다양한 정보가 담기며, 이러한 DB정보의 유출을 곧 기업의 흥망성쇠를 가늠할 수 있을 정도로 중요한 문제다. DB의 유출로 인한 직접적인 손실은 말할 것도 없고, 유출로 인한 기업 신뢰도 추락은 더욱 직접적 손실보다 몇 배나 큰, 돌이킬 수 없는 피해를 가져올 수 있다.
특히 최근 개인정보보호의 중요성에 대한 인식이 높아지고 있다는 점을 고려하면, 정보 유출로 인한 직간접적 피해 규모는 정보사회의 진화에 따라 눈덩이처럼 불어날 것이 분명하다.
한국정보보호진흥원(KISA)에 따르면, 2006년 개인정보 침해 관련 상담·신고건수는 2005년 1만8천206건에서 2006년 2만3천333건으로, 2007년에는 2만5천965건으로 증가하는 등 개인정보 관련 분쟁이 증가하고 있다. 이는 “이용자 스스로 자신의 개인정보 중요성에 대한 인식이 향상되고 있음을 반증하는 것으로 볼 수 있다”는 것이 KISA 측의 분석. 이처럼 개인정보에 대한 개인의 인식이 점차 확대되고 있어 DB 보안에 대한 중요성은 더욱 강조되고 있다.
이번 사고에서도 옥션의 미온적 대응에 대한 사용자들의 불만도 곳곳에서 감지되고 있다. 이들은 ▲메인창 공지가 아닌 팝업창으로 공지, 팝업 차단을 설정한 윈도XP 사용자의 경우에는 옥션의 정보유출 공지를 알 수 없게 한 점 ▲관계당국에 대한 해킹 신고와 공지 한 번으로 모든 책임이 완료된 것처럼 행동하는 옥션에 대한 분노를 표시하고 있다.
한 이용자는 “비밀번호와 계좌번호 등은 노출되지 않았다고 말하지만, 이 또한 지금은 믿기 어렵다”고 높아진 불신감을 전했다. 다른 이용자는 “옥션과 같은 대형 사이트에서도 고객정보 관리가 허술하다면, 중소 사이트에서는 보안은 말할 것도 없는 것 아닌가”라며 인터넷 기업 전체에 대한 불신까지 표출했다.
이에 각 DB보안 기업들은 이번 옥션의 유출사례가 DB보안 시장의 잠재력을 발현하는 계기가 될 수 있다고 판단하고 있다. DB보안에 무관심했거나, 혹은 DB보안을 고려하면서도 현실적인 이유로 도입을 미루고 있던 기업들을 고객으로 당겨올 수 있는 전환점이 될 수 있다는 것이다.

“2008년 300억 고지 넘는다”
기술 진화에 따른 성능 강화, 고객 인식 제고 등에 힘입어 DB보안 시장은 2008년 300억원 돌파할 것으로 업계는 전망하고 있다. 일부에서는 2007년 보다 100억원 이상 성장한 350억원 이상의 시장 형성도 가능하다는 장밋빛 전망까지 그리고 있다.
DB보안 시장의 성장을 그리는 또 다른 호재는 인증제품의 증가다. 현재 공공기관에 공급이 가능한 인증제품은 소프트포럼 ‘엑스큐어DB(Xecure DB)’, 신시웨이 ‘디그리핀(dGriffin)’, 펜타시큐리티시스템 ‘디아모(D’Amo)’, 피앤피시큐어의 ‘DB세이퍼(DB Safer)’ 등 4종이다. 인증제품수 부족을 논하기에는 적지 않지만, 세분화해 보면 얘기는 다소 달라진다. 4종의 DB보안 솔루션을 암호화 기반 제품과 접근제어 제품으로 분류하면, 각기 2종씩(암호화 기반 제품 : 디아모와 엑스큐어DB, 접근제어 제품 : 디그리핀과 DB세이퍼)으로 선택의 폭이 넓다고는 하기 어렵다. 바넷정보통신, 소만사, 웨어밸리, 이글로벌시스템, STG시큐리티 등에 더해 시만텍, 인그리안 등 외산 솔루션까지 다수의 솔루션이 저마다의 장점을 내세우며, 치열하게 경쟁하고 있는 시장 상황을 고려하면 더욱 그렇다.
그러나 이러한 상황은 다소 나아질 것으로 전망된다. 올 상반기 바넷정보통신 ‘미들만(Middlman)’과 소만사 ‘디비아이(DB-i)’, 그리고 이글로벌의 ‘큐브원(CubeOne)’ 등이 추가적인 보안적합성 인증을 획득할 것으로 예상되고 있다. 입맛에 맛는 솔루션을 선택할 수 있도록 공공기관의 선택폭이 넓어지는 것이다.
바넷정보통신, 소만사 등 국가보안성 검증 획득을 앞둔 기업들은 “공공기관에서의 DB보안 솔루션 도입이 다른 산업군에 비해 빠르지만, 시장은 아직 남아 있다”면서 “보안성검증 인증서가 발급되면 시군구 등 자치단체를 중심으로 공격적인 마케팅을 전개해 시장을 확보하겠다”는 자신감을 표시했다. 또한 이들은 “공공기관에서의 수요 증가는 민간 시장에서 DB보안에 대한 관심을 불러일으키는 효과도 있어 민간 시장에서의 시장 확대 효과도 기대할 수 있다”고 덧붙였다.
무엇보다 정보보호에 대한 필요성이 높아짐에 따라 기업 규제가 더욱 강화되고 있다는 점도 호재다. 보안 의무가 강화된 전자금융거래법 등의 개정에 따라 정보유출에 대한 기업의 책임이 강화되고 있기 때문이다. 국내 전자금융거래법은 제22조와 제26조를 통해 전자금융거래의 5년간 보관해야 함과 동시에 기록과 이용자 정보 유출 방지 등을 규정하고, 기록보관 미비시에는 1천만원 이하 과태료를, 정보유출시에는 5년 이하의 징역 또는 3천만원 이하의 과태료가 부과되도록 하고 있다.

암호화·접근제어 ‘각축’
시장 확대에 대한 기대감이 높아짐에 따라 이 시장을 노리는 기업들의 발걸음도 빨라지고 있다. 국내 DB보안 시장은 크게 암호화 기반 솔루션과 접근 제어 솔루션을 중심으로 발전하고 있다. 암호화 기반으로 접근하는 기업들은 소프트포럼, 이니텍, 펜타시큐리티 등이며, 접근제어 솔루션을 선보이고 있는 기업으로는 바넷정보기술, 소만사, 웨어밸리, 이글로벌, 피앤피시큐어, STG시큐리티 등을 들 수 있다.
접근제어 제품들은 DB에 대해 접근하는 모든 사용자를 인증하고, 활동을 통제함으로써 정보유출을 차단하는 방법을 구현하고 암호화 기반 솔루션들은 DB데이터의 전체나 혹은 특정 컬럼에 대한 암호화를 수행해 DB의 정보 유출을 방지하는 솔루션이다.
암호화 제품군에서는 펜타시큐리티의 디아모가, 접근제어 제품에서는 피앤피시큐어가 보다 앞서 있는 상황. 펜타시큐리티는 2004년 암호화 제품을 출시, 발빠르게 시장을 선점했다는 점이, 피앤피시큐어는 국가보안성검증을 보다 빠르게 획득하면서 공공시장을 공략할 수 있었다는 것이 시장 선도의 이유로 꼽힌다.
펜타시큐리티 유창목 차장은 “선점 효과라고 볼 수도 있지만, 사이트에 제품들을 실 적용시키면서 축적한 노하우는 보이지 않는 기술 격차”라고 설명하면서 “이러한 적용 노하우는 후발 기업들이 쉽게 따라오기는 어렵다”고 지속적인 시장 선도를 자신했다.
현재 시장 상황을 보면, 암호화 기반 제품들보다는 접근제어 기반 제품들이 보다 더 많은 시장을 가져가고 있는 상황이다. 이는 암호화 기반 제품들이 갖는 부하 때문이다. 암호화 방식은 DB 접근제어에서 통제하기 어려운 인가된 사용자에 의한 정보누출을 봉쇄할 수 있다는 점이 최대 장점이지만, 암복호화 수행에 따르는 부하로 인해 DBMS의 성능을 저하시키는 단점이 우려됐다.
반면, 접근제어 방식은 암호화 방식에 비해 DB의 부하가 적으며, 프록시, 인라인 게이트웨이 등으로 다양한 방식으로 적용이 가능하다는 장점이 있다. 인가된 사용자에 의한 정보 누출의 가능성이 존재하는 점은 단점으로 꼽히지만, 보안사고 발생 시 활용할 수 있는 감사 자료를 통해 보완할 수 있다. 이에 암호화 방식에 비해 접근제어 시장이 보다 빠르게 확산돼 온 것이 사실이다.
하지만, 암호화로 정보유출을 원천봉쇄하려는 움직임이 증가하고 있고, 더불어 DB 암호화 기술도 지속적으로 진화·발전해 암호화 영역의 성장도 지속되고 있다. 2~3년 전 접근제어와 암호화의 시장 점유율 비중이 8:2 비중이였다면, 최근에는 7:3 혹은 6:4 정도까지 좁혀진 것. 펜타시큐리티의 경우에는 2008년에는 암호화 솔루션의 점유율이 시장의 절반 수준까지 높아질 것으로 예측하고 있다.
유창목 펜타시큐리티 차장은 “DB 정보유출 사고를 원천적으로 근절하는 데에는 암호화가 최선이라는 고객의 인식이 점차 확산되고 있다”며 “이에 암호화 시장이 빠르게 성장할 것”이라고 예측했다.

전체 DB 암호화 만만치 않아
무엇보다 암호화 솔루션의 성능 강화는 시장 확산을 재촉하는 촉진제의 역할을 하고 있다. 이니텍, 이글로벌, 펜타시큐리티 등 암호화 솔루션 기업들은 기술발전에 따라 암호화로 인한 부하는 매우 적은 수준이라고 주장하고 있다. DB 암호화 적용시 부하 발생률은 5% 미만으로 세간의 오해와 달리 높지 않다는 것이다.
이글로벌 조돈섭 이사는 “암호화 적용 후 색인검색 시에도 이글로벌의 큐브원은 성능저하를 1% 이하로 억제하고 있다”며 “암호화로 부하가 발생한다는 것은 시장의 오해”라고 설명했다. 김은수 이니텍 본부장 또한 “최근 암호화 기술의 발전으로 일부만을 암호화 하는 것이 아닌 전사적인 전체 DB에 대한 암호화 적용 사례도 등장하고 있다”며 “이니텍 이니세이프를 이용해 전사 DB의 전체 암호화를 적용하는 삼성화재는 대표적인 사례”라고 평가했다.
DB보안 구현시 그룹웨어의 변경 등이 필요하지 않고, 또한 업무 중단도 최소화할 수 있다는 장점을 내세워 시장을 보다 빠르게 확산시킬 수 있었던 접근제어 솔루션의 기술 진화도 암호화 기반 기술의 발전에 결코 뒤지지 않는다. 다양한 방식이 혼재하던 접근제어 솔루션의 경우, 게이트웨이 방식과 스니핑 방식의 장점을 결합한 하이브리드 방식으로의 진화가 이어지고 있는 상황.
이를 통해 접근제어 솔루션은 단순한 DB 통제를 벗어나 전사적인 내부통제가 가능한 상황으로 발전하고 있다고 바넷정보기술, 피앤피시큐어 등 접근제어 솔루션 제품군을 선보이는 기업들은 밝혔다.
신용협동조합, 우리은행 등에 솔루션을 공급하면서 금융 DB보안 시장의 최강자로 떠오른 바넷정보기술 측은 “금융권 등 수많은 DB 트랜잭션이 발생하는 기업들에서는 DB 암호화 적용이 쉽지 않다”며 “일부에 대한 암호화는 가능하겠지만, 전체 DB의 암호화는 힘들어 접근제어는 꾸준히 인기몰이를 지속할 것”이라는 견해를 밝혔다.

DB보안의 패러다임을 바꾼다
2008년 DB보안 시장의 변수는 글로벌 기업이다. 이들은 지금까지의 국내 보안 시장의 동향과는 다른 개념의 제품들로 시장 공략에 대한 자신감을 표출하고 있다. ‘시만텍 데이터베이스 시큐리티3.0(Symantec Database Security 3.0, 이하 SDS3.0)’을 선보이면서 국내 DB보안 시장에 대한 적극적인 공략을 강화한 시만텍이 대표적. 시만텍의 SDS3.0은 암호화 제품과 접근제어 제품으로 양분되던 국내 DB보안 솔루션과는 달리 트랜잭션 분석에 의한 실질적인 차단과 사후 감사에 초점을 둔 제품으로 암호화나 접근제어 어느 쪽에도 속하지 않는 솔루션이다.
SDS3.0은 유저와 DB 사이의 모든 트랜잭션을 분석해 이상 여부를 확인함으로써 정보유출을 방지한다는 점에서 국내 DB보안 솔루션과 차별화된다. DB 사용 패턴을 인식해 정책을 위반하는 비정상적인 작업 활동을 모니터링하고, 이를 관리자에게 실시간으로 경고함으로써 DB 보안을 구현하는 것. 또한 DB 트래픽의 흐름을 모니터링해 관리자에게 경고하는 기능도 갖고 있어 신용카드, 주민등록번호 등과 같은 민감한 데이터 DB 데이터가 허용되지 않는 구간으로 유출되는 것을 방지할 수 있는 장점도 있다.
윤광택 시만텍코리아 부장은 “SDS3.0은 패턴에 의한 감지를 이용함으로써 DB부하 발생에 대한 우려가 전혀 발생하지 않을 뿐 아니라 승인 여부에도 상관없이 트랜잭션 분석을 수행하기에 실질적으로 DB보안을 구현하는 특징이 있다”고 강조했다.
다시 말해 암호화도 접근제어도 구현하는 것이 아니지만, 실시간 모니터링을 통해 정상 패턴과 정상 트래픽과 불법적인 이용을 구분하고, 이를 실시간 경고함으로써 DB 유출을 방지하도록 한다는 것이다. 더불어 SDS3.0은 시만텍이 자랑하는 휴리스틱스 기술을 적용해 축적되는 정보의 양이 많아질수록 오탐이 감소하고, 보안이 더욱 강화할 수 있는 것도 장점이다.
윤광택 부장은 “지금까지의 DB보안 제품에 속하지 않는 개념으로 생소해 초기 시장 개척에는 더 많은 노력이 필요할 것으로 예상되지만, 실제적인 보안 강화 효과가 뛰어나 빠르게 시장에 정착할 수 있을 것”이라고 말했다.
인그리안의 ‘데이타시큐어(DataSecure)’ 또한 DB보안 시장의 새로운 바람을 일으킬 것으로 기대된다. 데이터시큐어는 어플라이언스 기반의 암호화를 구현하는 것이 특징. 별도의 어플라이언스에서 암호화를 구현함으로써 암호화 적용시 DB서버의 부하 우려를 감소시키는 장점이 있다. 또한 DB뿐 아니라 파일, 도면 등도 암호화할 수 있어 활용도를 높일 수 있다.
데이터시큐어의 국내 공급을 담당하는 인솔시스 측은 “암호화 시 부하 감소 뿐아니라 데이터시큐어는 암복호화의 핵심이라 할 수 있는 키관리를 중앙집중화할 수 있어 관리의 용이성을 더욱 강화시키는 것도 장점”이라고 소개했다.
글로벌 기업의 시장 참여는 국내 DB보안 시장을 뒤흔들 수 있는 변수임과 동시에 시장 활력을 불어넣을 수 있는 요소도 함께 갖고 있다. 국내 보안 시장의 한 관계자는 “막강한 마케팅 능력을 갖고 있는 시만텍이 DB보안 시장에 참여하는 것은 강력한 경쟁자의 등장으로 우려되는 일이기도 하지만, 다른 한편으로는 DB보안에 대한 시장의 관심을 불러일으킬 수 있는 긍정적 측면도 있다”며 “글로벌 기업의 참여는 DB보안 시장의 성장잠재력이 높음을 의미하는 것으로 시장 선점을 통해 노하우를 축적하고 있기에 글로벌 기업과의 경쟁에서도 비교우위를 지켜나갈 수 있을 것”이라고 자신했다.

고객 인식 개선 ‘필수’
DB보안 시장이 2008년에도 지속적인 성장세를 지속하리라는 것은 분명하다. 그렇지만, 보다 높은 성장을 위해서는 몇 가지 전제조건을 충족해야 한다.
우선 첫 번째는 고객인식 개선이 요구된다. DB보안에 대한 인식개선이 이뤄지고 있지만, 아직도 부족하다는 게 대다수 DB보안 업체들의 전언이다. 보안 프로젝트의 상당수가 외부침입 방어만 주류를 이루는 경우가 많다는 것이다.
소만사 최갑천 팀장은 “DB보안에 대한 인식이 조금씩 개선되고는 있지만, 아직도 기업들은 내부에서의 정보유출보다는 외부로부터의 침입방어에만 주력하는 모습을 보이고 있다”며 “외부로부터의 침입방지 역시 정보유출을 막기 위함일 뿐만 아니라 내부로부터의 정보유출 문제 또한 보안사고의 큰 비중을 차지하고 있음을 명심해야 한다”고 인식개선을 요청했다.
또 다르게는 보안은 불편하지만, 반드시 필요한 부문이라는 데에 대한 고객의 인식 개선도 필요하다. 암호화 방식이든, 접근제어 방식이든 간에 보안 솔루션의 도입은 다소의 불편을 가져다 줄 수밖에 없다. 하지만, 이러한 불편이 보안사고로 인한 위험보다는 낫다는 인식이 필요하다는 것이다.
펜타시큐리티 유창목 팀장은 “조금의 성능저하도 발생하면 안 된다는 게 국내 고객들의 생각이지만, 보안 솔루션인 만큼 일정한 성능 저하는 감내해야 한다”며 “예를 들어, 암호화 방식의 도입의 경우에는 ‘DB부하가 5%를 넘으면 안 된다’는 전제를 다는 고객도 상당수인데, 0.1초가 걸리는 검색이 0.5초로 5배 증가했다고 해도 체감하기는 어렵다. 이러한 접근보다는 암호화 구축으로 발생하는 지연 수준이 비즈니스에 미치는 영향을 분석하고, 이것이 감내할 수 있는 수준인가, 아닌가를 판단하는 게 더욱 적절한 접근법”이라고 지적했다.
다른 한편으로는 고객 환경의 개선도 요구된다. e마켓 시장, 인터넷 포털, 온라인 게임 기업 등은 의외로 DB보안 보급이 뒤쳐져 있는 상황이다. 인터넷 의존도가 절대적일 뿐 아니라 다수의 고객DB를 갖고 있어 높은 보안이 요구되지만, 네트워크 경계단 보안 외에 DB에 대한 별도의 보안이 이뤄지지 않고 있다는 것이다.

현실적 한계 극복 ‘절실’
포털 등에서의 DB보안 외면에는 이유가 없는 건 아니다. 복잡한 네트워크 구조가 그 원인이다. DB보안 업체 관계자는 “몇 년 전 한 포털에서 DB보안을 검토했었지만, 스케일아웃 방식으로 수백대가 존재해 비용 부담이 너무 컸고, 네트워크 구조 또한 너무 복잡해 DB보안을 적용할 수 없었다”고 전했다.
이러한 상황은 지금도 마찬가지다. 인터넷 포털이나 온라인 게임, e마켓 플레이스 기업은 기술과 인터넷 환경의 급속한 발전과 함께 성장해 기업의 전사적 아키텍처에 기반한 시스템을 구축했다기보다 그때그때의 이슈에 급급해 시스템을 도입, 난해한 구조를 갖고 있는 경우가 대부분이다. DB보안 기업들이 고객에게 DB보안의 필요성을 실감케 할 수 있는 대형 이슈(옥션의 보안 사고)가 발생했음에도 시장의 급속한 성장보다는 점진적인 성장에 보다 더 무게를 두는 까닭도 여기에 있다.
이니텍 김은수 부장은 “DB보안 시장이 잠재력에 비해 성장이 더딘 까닭은 고객 환경, 대형 DB지원 등에 대한 기술적 한계 등의 현실적인 문제가 있었기 때문”이라며 “앞으로도 DB보안은 사라지지 않을 분야이지만, 고객의 인프라 환경과 인식 개선, 고객의 눈높이를 맞출 수 있는 DB보안 솔루션의 기능 개선 등이 지속적으로 이뤄져야 성장 곡선을 더욱 가파르게 할 수 있을 것”이라고 목소리를 높였다.

■ 옥션 정보유출, 보안 의식 경종
설 연휴, 더불어 영어몰입교육 등 대통령인수위원회가 쏟아내는 논란성 정책들, 삼성특검, BBK특검, 숭례문 방화사건 등 사회적 파장이 큰 대형 이슈로 인해 다소 묻혀버린 감이 있지만, 옥션의 정보노출 사건이 불러일으킬 수 있는 악영향은 적지 않다.
옥션이 공지를 통해 지적했듯 다수의 사용자가 여러 사이트를 하나의 ID와 비밀번호로 이용하고 있어 이를 통한 제2, 제3의 피해가 발생할 가능성이 높다. 동일한 ID와 비밀번호로 다른 사이트를 이용한다면 이들 사이트 역시 비밀번호를 변경이 요구되지만, 한 개인이 수십개 사이트에 가입해 있는 오늘날 이들 사이트를 모두 기억하고, 변경하는 이용자가 얼마나 되는가가 문제다.
초고속 인터넷의 보급으로 인해 인터넷 사용이 활성화된 지 10여년의 세월이 흐른 현재 어떤 사이트에 가입돼 있는지도 잘 모르는 사용자도 적지 않다. 이용하지 않는 사이트에 일일이 회원탈퇴를 신청하는 경우도 있겠지만, 흥미도의 변화로 인해 자연스럽게 이용을 안 하게 되고, 그러다보니 자연스럽게 사이트를 잊거나 회원탈퇴 여부가 혼동되는 경우도 있다.
물론 가입한 웹사이트를 확인해주는 서비스를 통해 자신이 가입된 사이트를 확인하고, 이를 찾아 비밀번호를 변경하거나 아예 회원탈퇴를 진행할 수 있다. 모든 가입자가 이러한 절차를 수행했다고 하더라도 여전히 문제는 존재한다.
주민등록번호 유출의 경우에는 확보한 주민등록번호를 이용해 재가입하거나 혹은 이용자가 변경한 비밀번호를 다시 해커가 변경해 사용하는 것도 가능하다는 점이 바로 그것이다. 주민등록번호 등의 개인정보를 확보했다면 이러한 변경은 식은 죽 먹기다. 나아가 지난해 사회적 골칫거리로 떠오른 전화사기(Voice Pishing)에 이용될 가능성도 충분하다.
언제 노출된 정보를 이용한 악성 활동이 시작될 것인가는 누구도 알 수 없다. 사용자들은 매일매일 가입한 웹 사이트를 들어가 도용을 체크해야 하고, 또 가입여부를 확인해주는 사이트에서 모르는 사이에 가입되는 사이트가 있는지의 여부를 체크해야 한다. 사용자들로서는 분통이 터질만한 일이다.
첫 발표 이후 옥션이 수사중임을 핑계로 피해내용, 피해범위, 해킹방법 등을 함구하고 있다는 점은 더욱 큰 문제다. 정말로 수사중이기에 그러는 것인지, 아니면 피해규모 조차도 파악되지 않는 것인지 알 수 없지만, 옥션은 수사중에 있음을 내세워 해킹발생 여부 이후에는 어떤 사실도 확인해주고 있지 않다. 이에 사용자 불안감은 더욱 높다.
2007년 3조억원 이상의 거래가 이뤄진 옥션은 2천만명에 가까운 회원정보를 보유한 대형 오픈마켓이다. 이 가운데 1%의 정보만 노출됐다고 해도 그 규모는 20만명, 10%라면 200만명에 달한다. 이용자 개인정보가 거래되는 암시장이 활성화됐다는 점을 고려하면, 우리나라 이용자들의 개인정보가 전세계를 떠돌며 언제 어디서든 악의적으로 활용될 수 있는 불안감은 지속될 수밖에 없을 것으로 전망된다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.