데이터 중심 보안을 위해서는 정형/비정형 데이터 등 데이터 형태에 맞는 보안 기술을 적용해야 하며, 데이터가 생성되는 순간부터 유통되고 변형되며 최종적으로 폐기되기 까지 전 과정에 걸쳐 적합한 정책이 적용되도록 해야 한다. 데이터에 접근하는 사람이나 기기에 대한 권한관리도 철저하게 이뤄져야 불법적인 침입자가 중요 데이터에 접근하는 것을 차단할 수 있다.
DB 암호화·키관리 동반성장
우리나라에서 데이터 보안은 정형데이터를 관리 시스템인 DBMS에 적용되는 DB 보안이 주를 이룬다. 대규모 개인정보 유출사고를 겪은 국내 기업들은 DB 접근제어에 많은 관심을 보이고 있으며, 개인정보보호법이 개인정보 암호화를 의무화하고 있어 DB 암호화 시장도 고속 성장을 이루고 있다.
특히 주목할만한 점은 증권사에서 DB암호화를 도입하고 있다는 사실이다. 주식거래시스템은 찰나의 순간이라도 네트워크 응답속도가 느려지면 엄청난 손해를 입을 수 있다. 이러한 시스템에 암호화가 적용됐다는 것은 DB 암호화의 속도 문제는 우려하지 않아도 괜찮다는 의미로 받아들여진다. 나아가 제 1금융권 계정계 시스템에 DB 암호화 사업이 진행되고 있어 암호화 시장 성장에 가속이 붙을 것으로 예상된다.
암호화 시장이 성숙도를 높여가면서 암호화 키관리 어플라이언스도 동반성장하고 있다. 많은 경우 암호화 키가 DB서버에 저장되는데, 암호화된 데이터와 키가 한꺼번에 유출되면 암호화는 무용지물이 된다. 그래서 암호화 키를 별도의 네트워크에 구성해야 하며, 키관리 서버는 매우 강력한 보안정책이 적용돼야 한다.
DB 암호화 시장 1위를 지키고 있는 펜타시큐리티는 어플라이언스 형태의 키관리 서버 ‘디아모 SG-KMS’를 출시하고 암호화된 데이터를 더 안전하게 관리하도록 한다. 디아모 SG-KMS는 키 생성부터 폐기까지 전체 라이프사이클을 관리하며, 보안 관리자는 키관리 정책 설정과 보안감사를 할 수 있다. 펜타시큐리티는 디아모 SG-KMS의 국정원 CC인증과 IT보안인증사무국의 암호 검증 KCMVP 레벨2를 진행하고 있으며, 해외 시장 진출에도 적극 노력하고 있다.
별도의 네트워크에 키관리 서버가 있다고 해도 정상적인 사용 환경에 영향을 미치지 않으며, 권한을 갖지 않은 사용자가 접근하면 데이터가 복호화 되지 않으며, 모니터링 시스템에 경고가 내려진다. 또한 시스템 성능에 영향을 미쳐서는 안 되며, 업무 생산성을 저해해서도 안 된다. 키관리 시스템 역시 강력한 암호화를 적용해 키가 빠져나갔을 때 풀리지 않도록 해야 하며, 권한 없는 사용자가 강제로 키를 풀 때는 스스로 파괴시켜 키를 안전하게 보호해야 한다.
키관리 시장의 글로벌 강자는 세이프넷이다. 하드웨어 보안 모듈(HSM)로 제공되는 세이프넷의 키관리 솔루션은 매우 강력한 보안정책을 적용하며, 자사의 암호화 솔루션 ‘데이터 시큐어’와 함께 적용돼 암호화된 데이터를 보호할 수 있다. 애플리케이션 수정을 최소화하고, 암호화 속도를 높여 시스템에 미치는 영향을 최소화한다.
보메트릭도 키관리 솔루션 시장을 선도하는 기업 중 하나이다. 보메트릭은 OS에서 암호화를 하며, 강력한 키관리 솔루션을 공급해 암호화 콘텐츠를 안전하게 보호한다. 보메트릭은 OS와 파일 암호화 기술을 적극적으로 내세우며, 빅데이터를 위한 데이터 보안 정책을 제공할 수 있다고 강조한다. 최근 심각한 보안문제로 떠오르고 있는 로그데이터, CCTV 영상데이터, 이미지, 전자문서 등도 안전하게 보호할 수 있다.
보메트릭은 국내 공공시장을 공략하기 위해 국가정보원의 CC 인증과 IT보안인증사무국 검증필 암호모듈(KCMVP) 인증도 추진하고 있으며, 빅데이터 관련 국내기업들과 함께 협의회를 결성해 빅데이터 산업 활성화를 촉진할 계획이다.
이문형 보메트릭코리아 지사장은 “현재 공공시장에서는 개인정보보호법 등 컴플라이언스 때문에 DB암호화를 상당한 수준으로 진행하고 있지만, 파일이나 OS에 대한 암호화는 거의 없는 형편”이라며 “빅데이터의 대부분을 이루는 비정형 데이터는 컬럼단위 암호화 기술을 적용할 수 없기 때문에 파일 암호화 기술이 필수”라고 강조했다.
그는 “최근 APT 공격은 보안이 취약한 엔드포인트나 관리되지 않은 웹서버 등을 통해 핵심 데이터에 접근하는데, 여기에 저장되는 문서나 이미지·영상파일, 로그파일 등을 통한 정보유출에 대해서는 대응책이 거의 없는 상황”이라며 “국내 다수의 생명보험사, 카드사 등에서 전자청약 등 각종 전자문서를 보호하기 위해 보메트릭을 사용하고 있다. 이러한 사례는 향후 더욱 확대될 것”이라고 말했다.
DB 접근제어와 모니터링으로 보안 수준 높여
토종 암호화 솔루션 업체들이 최근 DB에 대한 불법적인 접근을 막을 수 있는 새로운 기술을 경쟁적으로 출시해 주목된다. DB 접근 상황을 모니터링해 비정상적인 접근을 차단하는 기술이다. 예를 들어 DB 암·복호화 요청이 평소보다 현격하게 많아지는 등의 이상상황이 나타나면 관리자에게 알려주고, 복호화를 차단한다. DB 암호화 시스템 자체에서 접근제어 기능을 제공하는 것으로, 데이터 유출방지 기능을 더욱 높인다. 이글로벌의 ‘비컨’, 신시웨이의 ‘페트라 프라이몬’이 대표적인 제품이다.
이글로벌은 DBMS 기업 액티언과 총판계약을 맺고 빅데이터 시장 진출을 선언하기도 했다. 액티언의 ‘벡터와이즈’는 엔터프라이즈 데이터 웨어하우스(EDW)에서 데이터를 끌고 와 빠른 속도로 분석·처리하는 기술로, 오라클 엑사데이터의 1/3 비용으로 5배 높은 성능을 제공할 수 있다.
액티언은 데이터 분석 업체 파엑셀을 인수하고 빅데이터 전략을 강화하고 있으며, 국내 총판으로 선정된 이글로벌은 빅데이터 지원 기술과 함께 빅데이터를 보호할 수 있는 기술을 추가로 공급해 빅데이터 시장에서의 장점을 극대화 하겠다고 밝힌다.
신시웨이 페트라 프라이몬은 웹애플리케이션에서 DB에 이르는 모든 사용자의 개인정보 접근기록을 수집해 통합관리하며, 감사대상 네트워크 웹 애플리케이션과 DB를 자동으로 프로파일링해 설치 즉시 이용 가능하다.
최연준 신시웨이 사장은 “DB 암호화와 접근제어 기술을 이용해 불법적인 접근은 제어할 수 있지만, 적법한 접근을 통한 내부 데이터 오남용은 제어할 수 없다. 페트라 프라이몬은 권한 있는 사용자의 이상행위를 실시간으로 탐지할 수 있어 DB 보안을 더욱 강화할 수 있다”고 말했다.
신시웨이는 DB 암호화와 접근제어, 마스킹 기술을 함께 제공하는 것도 매우 강력한 경쟁력이라고 자신한다. 신시웨이는 이 세 기술을 DB 서버에 에이전트로 설치하며, 에이전트를 통해서만 데이터에 접근할 수 있도록 하는데, 성능저하가 거의 없이 다수의 접속자를 지원할 수 있다.
최연준 신시웨이 사장은 “게이트웨이 방식의 접근제어는 해커가 DB로 직접 접속해 데이터를 가져갔을 때 통제할 수 없다. DB 서버에 에이전트를 설치하는 신시웨이의 기술은 DBMS의 쿼리를 직접 제어하기 때문에 보안성이 강력하고, 네트워크를 거치지 않기 때문에 병목현상이 없어 전체 시스템 성능을 개선할 수 있다”고 말했다.
DB 보안, 새로운 기업·기술 진출하며 시장 다각화
DB를 보호하기 위해 암호화보다 널리 사용된 기술이 DB 접근제어이다. 개인정보보호법 시행 이전에는 DB 암호화로 인한 성능저하를 우려해 대다수의 기업들이 암호화보다 접근제어를 선호했다.
DB 접근제어는 데이터베이스에 접근하는 사용자나 애플리케이션의 권한을 확인하고 미리 정해진 정책 내에서 데이터를 활용하도록 통제하는 솔루션으로, 사용자의 활동내역을 기록해 향후 감사 자료로 사용할 수 있도록 하는 기능도 갖고 있다. 초기 DB 접근제어는 감사를 위한 용도로 활용됐으며, 실시간 감시·차단 기술의 안정성이 확보되면서 비인가 사용자의 접근이나 인가된 사용자의 불법적인 데이터 이용을 실시간으로 모니터링할 수 있게 됐다.
DB 접근제어 시장에서는 피앤피시큐어, 웨어밸리가 선두를 달리고 있으며, 신시웨이, 소만사, 모니터랩, STG시큐리티, 이니텍 등이 뒤따른다. DB 암호화와 접근제어를 단일 어플라이언스로 통합한 제품으로 시장에 진출한 컴트루테크놀로지도 주목할만하다.
피앤피시큐어는 DB보안의 기본기능에 더해 시스템 접근제어 기능까지 통합해 제공하는 것을 가장 큰 경쟁력이라고 강조한다. DB 접근제어와 시스템 접근제어를 각각 설치하면 게이트웨이를 통과한 후 IP가 게이트웨이의 IP로 변경되기 때문에 어떤 사용자의 접근인지 알 수 없다. 피앤피시큐어의 ‘디비세이퍼’는 시스템 접근제어 기능을 함께 제공할 수 있어 실제 데이터에 접속하는 사용자 IP를 정확하게 식별할 수 있다.
웨어밸리는 DB 관련 기술을 종합적으로 제공하는 기업이라는 것이 경쟁사보다 앞선 차별점이라고 강조한다. 웨어밸리는 DB 튜닝 솔루션 ‘오렌지’, DB 접근제어 ‘샤크라 맥스’, DB 암호화 ‘갈리아’, 취약점 분석 솔루션 ‘싸이클론’ 등을 공급하며 데이터 전문 기업의 경쟁력을 갖췄다고 주장한다.
금융권에서 강력한 경쟁력을 갖고 있는 이니텍은 PKI 기술을 이용한 암호화 솔루션 ‘세이프 DB’를 공급하고 있으며, 접근제어와 함께 제공돼 데이터 보안을 강화할 수 있다고 주장한다. 이니텍의 접근제어 어플라이언스 ‘시넵(SeNeapp)’은 프록시 방식이 아니라 인라인 방식으로 구성해 네트워크 변경이 필요하지 않다. 관리자 정책 설정 및 사용자 세션 모니터링, 사용자 인증 등을 수행하는 ‘시넵 폴리시’와 접근제어 및 권한통제가 수행되는 ‘시넵 필터’로 구성되며, 시스템 접근제어, 계정관리, 감사관리 등 많은 기능을 제공한다.
시스템에서 DB에 접근하는 방법은 DB서버로 접속하는 것과 애플리케이션이나 웹을 통해 접근하는 방법이 있다. DB 서버로 직접 전달되는 쿼리는 DB 접근제어 시스템을 통하면 되지만, 웹·애플리케이션을 통해 전달되는 명령은 접근제어 시스템을 통과하지 않아 애플리케이션 성능에 영향을 미치지 않지만, 데이터의 불법적인 유통을 감시하지 못한다는 취약점이 있다.
특히 웹·애플리케이션과 같은 미들웨어를 통해 공격을 시도할 경우 실제 공격을 진행한 사용자 정보를 찾을 수 없으며, 다양한 우회공격이 나타날 수 있다. 모니터랩의 ‘디비 인사이트 SG(DB Insight SG)’는 웹과 DB의 상관관계 분석을 통해 사용자를 추적하는 독특한 기술을 적용했다.
웹·애플리케이션을 통한 공격이 진행되면 웹방화벽이 갖고 있는 정보와 DB 접근제어 솔루션에 남아있는 정보를 조합해 실제 사용자를 확인한다. DB 접근·권한정책을 수립하기 위해 DB에서 발생하는 행위 또는 업무의 라이프사이클에 따른 분석과 이를 자동화해 반영할 수 있는 정책 지원이 필수다. ‘다이내믹 유저 트래킹’ 기술을 활용해 기종 환경에서 에이전트 없이 사용자를 추적할 수 있다.
컴트루테크놀로지는 DB암호화와 DB 접근제어를 단일 어플라이언스로 제공하는 새로운 개념의 솔루션을 소개한다. 게이트웨이에 설치되는 ‘셜록홈즈 DB보안’ 어플라이언스는 DB 변경 없이 암호화를 실행할 수 있으며, 접속 로그관리와 차단이 가능하다.
파수닷컴도 DB 보안 시장 진출을 선언하면서 DB 암호화 제품 ‘솔리드베이스’를 출시했다. 파수닷컴의 핵심 기술인 암호화를 바탕으로 하고 있으며, 대용량 데이터를 빠르게 암복호화 해 높은 보안성과 안정성을 제공한다. 연내 DB 접근제어 제품도 추가 출시해 DB 보안 시장을 적극 공략할 계획이다.
