클라우드·빅데이터·모바일 환경에서도 가장 중요한 것은 정보를 안전하게 보호하고 효율적으료 사용할 수 있도록 하는 것이다. 특히 이 환경에서는 정보의 안전한 유통이 더욱 중요한 요인이 되는데, 비즈니스 복잡성이 높아지기 때문에 물리적인 인프라에 상관없이, OLTP와 OLAP 업무 관계 없이 자유롭게 데이터가 실시간으로 이동하면서 업무에 활용될 수 있어야 한다.
단일 데이터는 어느 지점에서 활용해도 단일한 값을 가질 수 있도록 글로벌 싱글 인스턴스(GSI)가 유지돼야 하며, 철저히 사용 권한과 활용할 수 있는 범위 내에서만 데이터에 접근할 수 있어야 한다.
암호화, 키관리 병행돼야 완벽한 보안
데이터 보호를 위해 가장 먼저 생각할 수 있는 것은 데이터 암호화다. 암호화된 데이터는 유출되도 데이터가 가진 의미를 알 수 없기 때문에 데이터를 가장 안전하게 보호할 수 있다. DBMS 솔루션에는 옵션으로 데이터 암호화 기능이 제공되고 있으며, DB 커널에 내장된 암복호화 솔루션을 사용해 쉽고 간편하게 사용할 수 있다.
오라클은 DB보안 제품군이 성신여자대학교에 공급돼 ‘오라클 DB보안이 비싸고 성능이 느리다’는 오해를 풀게 됐다고 강조한다. 성신여대는 오라클의 DB암호화, 접근제어, 감사 솔루션을 도입해 웹 환경에 기반한 주요 학사시스템의 보안을 강화했다.
오라클의 항변에도 불구하고 오라클, IBM, MS RDBMS 시스템에서 제공하는 암호화 솔루션은 성능저하가 일어나고, 국산 솔루션에 비해 상대적으로 가격이 높은 편이다. 국산 암호화 솔루션은 고객환경에 맞춰 유연한 커스터마이징과 경쟁력 있는 가격으로 제공된다. 펜타시큐리티, 이글로벌, 케이사인 등 DB 암호화 선두기업들은 암호화 성능을 개선할 수 있도록 전용 아키텍처를 적용하고, 부분암호화 등을 사용해 필요한 분야에만 암호화를 적용할 수 있도록 한다.
암호화는 데이터를 암호화한 후 암호화 키와 함께 전송하기 때문에 키관리가 매우 중요하다. 고도의 암호화 알고리즘을 사용해 암호화한 데이터라 해도 암호화 키가 함께 유출되면 쉽게 복호화할 수 있기 때문이다.
세이프넷, 보메트릭 등 암호화 전문 솔루션 기업들은 키관리 어플라이언스를 별도로 제공하면서 암호화된 데이터를 더욱 철저히 보호할 수 있도록 한다. 보메트릭은 OS에서 암호화를 수행하기 때문에 정형/비정형 데이터에 상관없이 암호화가 가능하며, 클라우드 서비스 사업자인 버추스트림과 파트너십을 맺고, 클라우데라와 제휴를 통해 하둡 환경에서의 데이터 보호 전략을 강화했다.
빅데이터 보호 위한 기술 시급
빅데이터 환경에서 DB 암호화는 확실한 해법이 될 수 없다. 대용량 데이터를 암호화하는 것은 불가능할 뿐 아니라 실시간 분석이 생명인 빅데이터에 맞지 않다. 따라서 빅데이터에서는 데이터에 대한 접근관리를 통해 데이터를 보호하는 것이 더 안전하다. 오라클의 DB보안 솔루션 중 ‘데이터베이스 볼트’는 DBA를 포함한 모든 데이터 사용자에 대한 강력한 접근제어 환경을 제공하며, 직무분리를 통해 내부 보안사고를 막는다.
DB보안 분야에서도 토종 솔루션이 강세를 갖고 있으며, 강력한 DB보안 기술을 해외에 적극 알리고 있기도 하다. 신시웨이는 DB보안, 접근제어, 데이터 마스킹의 3가지 기술을 통합 제공해 DB에 대한 보다 완벽한 보호환경을 제공하며, 바넷정보통신은 DB접근제어와 감사기능을 강화해 금융권의 데이터 보호 요건을 만족시킨다.
DB암호화와 접근제어는 정형데이터를 위한 기술이며, 비정형 데이터에 대해서는 제한적으로 적용될 수밖에 없다. 비정형데이터, 특히 빅데이터 분석 환경을 보호하기 위한 기술도 시급한 상황이지만, 아직 뚜렷하게 부상하는 기술은 없다. 다만 데이터가 화면에 출력되는 값을 변형시키는 데이터 마스킹 기술이 데이터를 다루는 사람들에 의한 유출을 막을 수 있는 방법으로 제안되고 있다.
한편 빅데이터 환경에서 비정형 데이터 중 파일 데이터를 보호할 수 있는 DRM이 재조명 받고 있다. DRM은 활용될 수 있는 범위가 한정적이었으며, 시장 성숙도가 높아 새로운 수요를 찾기가 어려운 상황이었다. 그러나 개인정보유출사고가 급증하고, 파일 형태의 중요정보 유출사고가 늘어나면서 다시 부상하고 있다. 국내 DRM 전문기업 파수닷컴, 소프트캠프, 마크애니 등은 빅데이터와 개인정보보호법 준수를 위한 DRM의 새로운 수요를 기대하고 있으며, 클라우드와 모바일 환경을 위한 새로운 기술을 지속적으로 제안하고 있다.
파수닷컴은 모바일 환경에서 유통되는 문서에 DRM을 제공하는 ‘파수 모바일 솔루션’과 함께 클라우드에서 공유되는 데이터를 보호할 수 있는 ‘디지털퀵’을 제공한다. 디지털퀵은 퍼블릭 클라우드 서비스를 통한 협업 환경에서 중요한 정보가 유출되지 않도록 DRM 기술을 적용하는 것으로, 드롭박스 공유 파일에 대한 DRM 보안 서비스를 지원하는 것을 시작으로, 차츰 적용범위를 넓힐 방침이며, 글로벌 시장에서 먼저 성과를 보이겠다는 계획이다.
권한 가진 사람에 의한 정보유출 심각
정보보안에서 매우 중요하게 고려해야 할 사항 중 하나가 권한을 가진 사람에 의한 정보유출을 차단하는 것이다. 고의적인 정보유출 뿐 아니라 실수에 의한 정보유출 사례도 매우 많다. 이메일 첨부파일에 중요한 정보가 포함된 첨부파일을 보내거나 악성코드에 감염된 PC를 백도어로 활용해 해커가 시스템에 침입, 핵심 정보를 빼내는 방법 역시 실수에 의한 정보유출 사례다.
클라우드 컴퓨팅에서는 퍼블릭과 프라이빗 환경에서 데이터가 유통되기 때문에 실수나 고의에 의한 데이터 유출사고가 더욱 빈번해 질 것이다. 이를 막기 위해 내부정보유출방지(DLP) 솔루션이 주목받는다. 시만텍 DLP는 핵심 정보에 대한 검색, 모니터링, 보호, 콘텐츠 암호화, DRM 솔루션과 연동가능하며, 다양한 모바일 디바이스를 지원해 모바일 환경에서의 정보유출을 막는다.
CA는 IAM과 DLP를 연동해 권한 내에서 정보 유통을 관리할 수 있도록 한다. 권한에 따라 데이터에 접근하는 사람들을 제어하며, 데이터를 활용할 수 있는 범위 역시 제한해 권한을 가진 사람에 의한 정보유출도 막는다.
토종 DLP 솔루션 기업인 블루문소프트와 워터월시스템즈는 PC 중요정보의 흐름을 감시해 기밀정보가 불법적으로 빠져나가지 못하도록 하며, 개인정보보호법 준수를 위한 감시솔루션을 별도 혹은 옵션으로 제공해 개인정보의 불법적인 유출을 막는다.
컴트루테크놀로지는 네트워크 DLP 솔루션 ‘넷센터’와 PC 중요정보 검색·유출차단 솔루션 ‘PC스캔’을 통해 정보유출을 방지하며, 클라우드 서비스로도 제공해 비용을 줄이고 전문인력 없이 정보를 보호할 수 있도록 한다.
우리나라에서는 개인정보보호법 발효로 PC의 개인정보를 검색·유출차단 솔루션이 포인트 솔루션으로 부상했는데, 기존의 엔드포인트 DLP에서 개인정보 패턴을 지정한 것으로 벤더별 변별력은 떨어지는 편이다. 그러나 클라우드 환경에서 데이터가 다양한 경로로 유통돼 PC나 단말기에 저장된 개인정보가 빠져나가는 것을 방지해야 할 필요성은 충분히 높다. 특히 BYOD 환경에서 개인이 사용하는 퍼블릭 클라우드와 동기화된 단말기에 저장되는 개인정보는 클라우드에 자동으로 저장되기 때문에 기업의 중요한 정보가 외부 클라우드에 저장돼 관리되지 못한다는 취약점이 생길 수 있다.
클라우드 웹 보안 취약성 공격 크게 늘 것
한편 클라우드 컴퓨팅은 웹으로 제공되는 서비스이기 때문에 웹 공격에 매우 취약하다. 웹의 취약점을 노리는 지능형 공격은 서비스 사업자뿐 아니라 서비스를 이용하는 사람들에게도 막대한 피해를 입힌다. 웹 애플리케이션의 취약점을 이용해 웹사이트 방문자 PC에 악성코드가 자동으로 다운로드되도록 하는 공격과 웹서버가 악성코드를 유포해 클라우드 서비스 이용자들이 모두 악성코드에 감염되도록 하는 공격도 발생한다.
클라우드 환경을 보호하기 위해 별도로 제안되는 웹과 애플리케이션 보호 솔루션이 있는 것은 아니다. 다만 웹 방화벽, URL 필터링, 보안 웹 게이트웨이(SWG) 등이 웹과 애플리케이션 환경을 보호하며, 방대한 클라우드 환경에 대한 보안도 제공할 수 있다고 강조한다.
보안 웹 게이트웨이는 지능적인 웹 공격이 급증하면서 필수적인 솔루션으로 꼽혔다. 그동안 국내에서는 URL 필터링 솔루션과 경쟁해 가격적인 한계로 인해 주목을 받지 못했지만, 웹 기반 공격이 증가하면서 엔드포인트와 웹으로 오가는 구간의 보안이 중요하다는 점이 부각돼 지난해부터 큰 폭의 상승세를 보이고 있다.
이 기술은 프라이빗과 퍼블릭 클라우드를 동시에 사용하는 하이브리드 클라우드가 보다 확산되면 하이브리드 환경을 위한 보안이 중요해지면서 더욱 주목받게 될 것으로 보인다. 하이브리드 환경에서는 사용자가 프라이빗과 퍼블릭 환경의 구분 없이 웹을 통해 업무를 수행하기 때문에 웹 기반 공격에 대한 취약성이 높아지며, 이를 방어할 수 있는 기술이 반드시 필요하다.
시큐어코딩으로 클라우드 앱 보호
또 다른 관점에서 클라우드를 통해 배포되는 애플리케이션의 보안성을 강화할 수 있는 시큐어코딩이 주목을 받는다. 클라우드는 물리적인 환경보다 민첩성과 유연성이 높은 만큼 취약성도 높아진다. 또한 단일 애플리케이션이라 해도 사용 환경이 다르기 때문에 다른 환경에서 사용됐을 때 예상치 못한 보안 위협이 나타날 수 있다.
시큐어코딩은 소프트웨어 개발 단계에서부터 보안을 고려해 개발하기 때문에 보다 안전한 애플리케이션을 제공할 수 있다. 특히 시큐어코딩은 국내 정부·공공 소프트웨어 개발사업에 적용이 의무화되면서 더욱 주목을 받고 있다.
토종 솔루션 중 트리니티소프트의 ‘코드레이’가 산업은행에 솔루션을 공급하면서 순조로운 출발을 보이고 있다. 웹방화벽 ‘웹스레이’와 연동해 웹과 애플리케이션을 노리는 APT에 대응할 수 있으며, 운영중 웹 보안 취약점 점검을 제공하는 스캔레이와 함께 공급해 운영 단계의 보안도 강화한다.
파수닷컴은 소프트웨어 오류분석 소프트웨어 ‘스패로우’ 제품군에 정부 규제 준수를 위한 기능을 추가한 ‘스패로우 시큐어코딩 에디션(SCE)’을 소개한다. 이 제품은 소프트웨어를 직접 실행하지 않고 취약점을 발견하는 정적 분석기법과 시멘틱 기반 분석엔진을 적용해 정교한 보안 취약점을 검출한다.
글로벌 시큐어코딩 시장은 HP 포티파이와 IBM 래쇼날 제품이 치열한 경쟁을 벌이고 있다. 포티파이는 소프트웨어 생명주기(SDLC)에 따른 보안전략 수립이 가능하며, KB국민은행, 신한은행 등 주요 금융권과 KISA, 대검찰청, 사이버사령부 등 공공기관에 다수 공급됐다.
