클라우드와 빅데이터가 IT를 강타하고 있지만, 중요 데이터를 다량 보관·활용하면서 발생할 수 있는 보안위협은 간과되고 있다. 빅데이터는 정형 데이터뿐 아니라 비정형 데이터를 함께 분석하고 있는데, 이 때 사용되는 데이터에 대한 보호 정책이 거의 없는 상황이다. 국내에서는 데이터베이스와 같은 정형 데이터 보호에 급급했지만, 비정형 데이터 보호 기술도 시급하다. 다양한 데이터 환경에서 보안을 강화할 수 있는 방법을 살펴본다. <구병춘 보메트릭코리아 부장 / bckoo@vormetric.com>
클라우드 컴퓨팅의 정의는 매우 다양하다. 2007년 가트너는 ‘인터넷 기술을 활용해 다수의 고객에게 수준 높은 확장성을 가진 자원들을 서비스로 제공하는 컴퓨팅의 한 형태’라고 정의했으며, 구글은 ‘사용자 중심, 업무 중심의 수백 또는 수천 대의 컴퓨터를 연결해 단일 컴퓨터로는 불가능한 풍부한 컴퓨팅 자원을 활용할 수 있도록 하는 기술’이라고 정의했다. 대부분의 정의가 공통적으로 포함하는 내용은 ‘확장성’과 ‘효율성’이다. 최소의 비용으로 최대의 효과를 전달하는 클라우드는 국내외 기업의 주요 관심사로 꼽힌다.
빅데이터 또한 지난해에 이어 올해에도 IT 분야의 큰 화두가 되고 있다. 빅데이터는 ‘1+1=3’이라고 표현하기도 한다. 여러 시스템에 분산돼 있던 데이터를 한 곳으로 모아 그 이상의 가치를 창출하기 때문이다. 처음에는 시스템 로그를 분석해 보안 기술력을 강화한다는 IT적인 측면에서 관심을 받았지만, 이제는 수집된 데이터를 통해 고객 성향을 종합적으로 분석하는 발전된 형태의 CRM으로 활용되는 등 여러 산업에서 빅데이터의 무한한 잠재력이 발견되고 있다.
폭발적으로 증가하고, 유형 또한 다양해지고 있는 방대한 양의 사용자 생성 데이터에서 맞춤 정보를 골라 제공해주는 빅데이터, 이를 효율적으로 저장할 수 있도록 지원하는 클라우드는 기업에 지속적인 선망의 대상이 되고 있다.
중요 데이터 보관한 빅데이터·클라우드, 보안 취약
그러나 각 기업의 사업 추진 방향이 다르듯 모든 기업이 같은 데이터를 저장하고 있는 것은 아니다. 예를 들어, 어떤 기업은 내부 데이터베이스에서 수집되는 정형 데이터를 중심으로 사업을 전개하고 있을 것이며, 다른 기업은 이미지, 소셜네트워크서비스(SNS), 로그파일 등을 통해 수집한 비정형 데이터를 중심으로 사업을 전개하고 있을 것이다.
지금까지는 정형 데이터가 저장된 데이터베이스 암호화에 시장의 초점이 맞춰져 있었다면, 앞으로는 비정형 데이터에 대한 암호화가 주목을 받을 것으로 예상된다. 인포메이션위크(InformationWeek)가 조사·발표한 ‘2013 빅데이터 서베이’에 따르면 로그, 이미지, 오디오 등 기업 내 비정형 데이터가 차지하는 비중이 42%에 이르지만 이에 대한 암호화 체계는 미흡한 상황이다. 최근에는 CCTV영상과 같은 개인영상정보가 개인의 사생활을 침해할 수 있다는 점을 감안, 정부가 개인영상정보보호법률을 제정하는 움직임을 보이고 있다.
이와 함께 사이버 위협은 더욱 빈번해지고 규모 또한 확장되고 있다. 요즘 가장 흔히 볼 수 있으며 많은 기업들이 관심을 갖고 있는 공격 유형은 지능형지속위협(APT)인데, APT 공격은 수단과 방법을 가리지 않고 목표로부터 민감 데이터를 탈취하려는 목적으로 수행된다는 특징을 지닌다.
클라우드와 빅데이터 환경이 모두 중요 데이터를 다량 보관하고 있다는 점에서 이를 안전하게 보호하고자 하는 기업의 니즈도 함께 증가하고 있다. 기존의 텍스트 형식의 정형화된 데이터와 달리 소셜 네트워크, 고객 행동, 센서, IT 시스템 및 기타 소스로부터 방대한 데이터를 수집해 저장 및 분석하는 데 사용되는 새로운 빅데이터 플랫폼 및 클라우드 서비스는 기본 보안 제어 성능이 취약하다. 오라클, SQL 서버, DB2 등 DBMS는 물론 비정형 데이터까지도 안전하게 암호화하고 보호할 수 있는 데이터 암호화 솔루션이 필요하다.
다양한 보안 요구 결합한 ‘데이터 중심 보호’
진화한 공격 형태와 새로운 위협 양상을 살펴보면 데이터 보호는 단 하나의 솔루션이나 보안 정책만으로 충족되지 않는다는 것을 알 수 있다. 보다 완벽한 보호를 위해서는 보호 대상, 즉 데이터를 중심으로 찾아야 한다. 예를 들어 현관문에 자물쇠가 있고 보안 장치가 있어도 도둑은 문을 따고 들어올 수 있다. 하지만 집 주인이 돈과 귀금속 같은 귀중품을 금고에 보관한다면 피해를 줄일 수 있다.
데이터도 마찬가지이다. 데이터를 중심으로 정밀한 감사 및 제어를 실시해 잠재적인 공격을 막고 누가, 언제 데이터를 열람하는지 모니터링 해야 한다. 방화벽과 같은 경계선 보안 솔루션이 외벽을 잘 감싸고 있다고 해도 그 경계선이 무너지면 그 속에 저장된 데이터는 속수무책으로 도난당할 수밖에 없다. 공격을 예방하고 데이터를 성공적으로 보호하기 위해 고려해야 할 데이터 중심 보안 요소들에 대해 알아보자.
:: 암호화
많은 기업이 APT 공격에 대응하기 위한 수단으로 데이터 암호화를 효과적이라 판단하고, 도입을 서두르고 있다. 해커는 여러 유형의 공격을 혼합해 오랜 기간 서버에 침투해 APT 공격을 수행하는데, 이를 통해 운영체제의 사용자 계정을 획득하고, 데이터 파일을 작게 분할한 후 유출한다.
기업은 데이터베이스 안에 저장된 정형 데이터뿐 아니라 로그파일, 이미지 등 비정형 데이터까지 포괄적으로 암호화해야 하며, 암호화를 통해 공격자가 데이터를 손에 넣었다 하더라도 암호 키 없이 내용을 열람할 수 없도록 막아야 한다.
:: 암호 키 관리
데이터 암호화에 있어 바늘과 실처럼 따라오는 ‘암호 키’는 데이터와 별도 위치에서 관리하는 것이 바람직하다. 암호화된 데이터와 이를 해독할 수 있는 열쇠인 암호 키를 동일한 장비에서 관리하는 것은 금고에 통장과 비밀번호를 함께 보관하는 것과 같다.
해커가 계정을 획득하면 데이터와 암호 키를 동시에 확보 및 유출시킬 수 있게 되는 것이다. 따라서 암호 키는 데이터가 관리되는 장비와 다른 위치에 보다 보안성이 강화된 환경에서 관리돼야 한다.
데이터가 적재된 장비와 다른 키 관리만을 위한 별도의 전용 장비를 마련할 수 있다면 안정성을 확보할 수 있으며, 중앙 집중화된 키 관리를 실현할 수 있다면 최고일 것이다.
:: 접근 제어
암호화 솔루션을 도입하고 나면 접근 제어 정책을 세워야 한다. APT 공격은 주로 권한을 가진 사용자의 계정 정보를 획득해 데이터를 저장하는 서버에 접속한다. 이 때 사용자 계정 단위로 정책을 세우고 암호화 데이터에 대한 프로세스(애플리케이션)의 접근 제어 정책을 수립해 놓는다면 비정상적인 접근을 포착할 수 있다.
하지만 기업 내 일부 계정은 업무처리나 서비스 기능을 수행하기 위해 암호화 데이터에 대한 접근이 허용돼야만 한다. 이런 계정은 해커에게 유출될 때 데이터를 한 순간에 잃을 수 있기 때문에 더욱 안전하게 보호해야 한다.
서비스를 수행하는 프로세스 또는 애플리케이션만 암호화 데이터에 접근이 가능하도록 제어 기능을 설정한다면 계정과 프로세스(애플리케이션)로 접근 제어를 이중화할 수 있기 때문에 암호화 데이터를 안전하게 보호할 수 있다.
:: 보안 제품 권한 및 역할 분리
IT 인프라를 운영하는 시스템 관리자와 암호 키, 보안 정책을 담당하는 보안 관리자의 역할을 분리해야 한다. 일반적으로 시스템 관리자가 서버의 최상위 관리자 권한 계정을 갖고 인프라를 운영하는 경우가 많은데, 이럴 경우 내부의 악의적 의도 또는 외부 공격을 통해 관리자 계정이 유출되거나 데이터가 직접 새어나갈 수도 있으므로 별도의 보안 관리자를 임명해 암호 키와 정책을 따로 운영하도록 구분하는 것이 바람직하다.
이를 위한 방법으로는 Sudo 명령어가 있다. Superuser do의 줄임말인 이 명령어는 일반 사용자가 특정 명령어를 다른 사용자의 권한으로 실행할 수 있도록 한다. 즉 /etc/sudoers 파일에 설정돼 있는 허가된 사용자들에 한해 시스템 최고 관리자인 루트 사용자의 명령어를 사용할 수 있도록 허용한다.
:: 감사
데이터 보안은 기술 도입만으로 끝나는 것이 아니며, 세심하고 꾸준한 관리를 필요로 한다. 따라서 솔루션 구축 후 운영 상태를 확인할 수 있는 감사를 수행해야 한다. 감사 범위는 데이터 보안의 정상 유무를 확인하는 것은 물론, 불법적인 접근 시도가 있었는지에 대한 확인도 포함한다. 또한, 향후 데이터 유출 사고가 발생할 수 있을 것에 대비해 사건 발생 시 히스토리를 추적할 수 있도록 로그를 항상 관리해야 한다.
데이터 보호 위한 필수 조건
개인정보보호법 발효 이후 국내 데이터 보안은 데이터베이스 암호화에 초점이 맞춰져 있다. 하지만 클라우드와 빅데이터 환경이 전세계적으로 보편화되고 있으며, 국내 기업들 역시 해당 기술들에 대해 논의하는 데서 머물지 않고, 글로벌 우수 사례를 참조해 실행으로 옮기려는 움직임이 속속 나타나고 있다. 변화하는 비즈니스 환경과 최신 기술들, 기존 데이터 보호 전략까지 모두 아우르는 데이터 보호 솔루션을 고르려는 기업들이 기억해야 할 네 가지 필수조건은 다음과 같다.
:: 투명성
데이터 보호 솔루션은 기존에 운영하고 있던 업무 프로세스 및 애플리케이션에 투명하게 적용돼야 한다. 암호화에 흔히 사용되는 API 방식과 플러그인 방식은 애플리케이션 소스 코드를 반드시 수정해야 하기 때문에 유연성을 요구하는 클라우드와 빅데이터 환경에는 적합하지 않다.
정형화된 데이터가 저장되는 데이터베이스와 달리 비정형 데이터를 취급하는 빅데이터 환경에서는 다양한 형식의 여러 데이터에 모두 적용할 수 있는 암호화 기술이 필요하므로 도입하고자 하는 제품이 이를 지원하는지를 반드시 확인해야 한다.
:: 보안성
방화벽과 같은 강력한 접근 제어 기능을 구현해 암호화된 데이터에 대한 불법적인 접근을 차단해야 하며, 이는 일반 사용자와 애플리케이션의 접근뿐만 아니라 최고 관리자 권한 계정에 대해서도 적용할 수 있어야 한다. 또한 특화된 별도 장비에서 암호 키와 정책을 안전하게 관리하도록 지원하는 제품을 사용할 때 충분한 보안성을 확보할 수 있다.
:: 편의성
암호화 기술을 기존 환경에 쉽고 편리하게 적용할 수 있어야 한다. 또한 솔루션 사용이 직관적이고 이해하기 쉬워 구축 후에도 기존 운영자가 빠르게 기술을 숙지하고 업무에 지장을 주지 않으면서 데이터 보안을 강화할 수 있어야 한다. 향후 다른 담당자에게 데이터 보안 운영 업무를 위임할 때 역시 위험을 최소화할 수 있다.
:: 효율성
대용량 데이터를 저장하고 있는 기업이 암호화 도입을 망설이는 이유로는 성능 저하에 대한 우려가 가장 크다. 데이터 보호를 철통같이 한다 해도 시스템 용량을 너무 많이 차지해 다른 업무에 지장을 주면 주객전도가 돼 버리기 때문이다.
데이터를 암호화하는 일은 CPU 리소스의 상당 부분을 소모하는 작업이므로, 시스템 부하를 최소화할 수 있는 고성능 제품을 도입해야 한다. IT 기술과 인프라 구조가 시시각각 빠르게 변화하는 것을 고려해 향후 구조 변화에도 적은 비용으로 동일한 암호화 기술을 적용할 수 있도록 다양한 운영체제를 모두 지원하는지도 따져봐야 할 것이다.
혼합된 환경서 데이터 유출 방지 전략 시급
업계 특성과 기업 규모, 비즈니스 환경과 역사 등에 따라 각 기업이 보유하고 있는 데이터의 종류와 형식은 광범위하며, 이 모든 데이터는 헤아릴 수 없이 큰 가치를 지니고 있다. 점차 많은 고객이 더욱 빠르고 효과적인 비즈니스 의사 결정을 내리기 위해 대규모 데이터를 활용하고 있는데, 데이터 활용법을 고안하는 데만 급급해 보안은 뒷전으로 제쳐두고 있다.
빅데이터 환경에 저장된 모든 데이터를 다루기 위해 기업이 선행해야 할 것은 각 환경에 따라 다르다. SQL 환경에서는 암호화된 고정 데이터와 데이터베이스 활동 모니터링(DAM)이 혼합된 환경에서 권한을 가진 사용자를 관리하는 등의 작업이 중요하고, NoSQL 환경에서는 개방 네트워크상에서 인증과 통신의 암호화를 시행해 보안성을 확보하기 위한 알고리즘인 커베로스(Kerberos) 등을 추가해 인증을 강화하는 것이 좋다. 또한, 파일 단위 암호화를 통해 고정 데이터를 보호하고, 별도 키 관리 시스템을 구축해 데이터와 키를 따로 관리해야 한다.
보험사가 수집한 개인 정보를 도난당하면 고객으로부터 신뢰를 크게 잃게 되고, 선박 업체가 디지털 형식으로 저장해둔 고 용량 선박 도면을 분실한다면 어마어마한 손해를 입게 될 것이다.
데이터 보호는 이제 더 이상 미뤄둘 수 없는 선결 과제인 가운데, 기업들은 클라우드와 빅데이터 등 최신 IT 기술까지 수용해야 하는 과제에 직면했다. 이럴 때일수록 데이터 중심 보호 전략을 펼치기 위해 필요한 요소들은 무엇인지, 또 데이터 보호 솔루션을 선택할 때 고려해야 할 사항은 무엇인지 꼼꼼히 따져야 한다.
