은행, 신용카드사, 의료기관, 인터넷 쇼핑몰 등 모든 산업군에서 개인정보 유출 사고가 발생하고 있다. 최근 1년간 전 세계에서 발견된 개인정보 유출 사고의 80%는 우리나라에서 발생한 것이다.
특히 이러한 사고의 대부분은 외주업체, 협력기관을 통해 일어나는 사례가 많다. 기업/기관에는 중요정보에 대한 관리체계가 마련돼 있지만, 업무를 위해 데이터가 외주업체로 공유되면서 정보관리가 허술해져 유출 사고가 발생한다.
라나 굽타(Rana Gupta) 세이프넷 아시아태평양 지역 세일즈 부사장은 “협력사에 의한 정보유출을 막기 위해서는 데이터를 외부로 보내지 말고 관련 직원이 내부 데이터에 접근하도록 해 기업 내 정보보호 정책에 적용받도록 해야 한다”고 조언했다.
많은 기업들이 체계적인 데이터 관리 정책을 마련하고, 암호화·키관리 기술을 적용하고 있지만, 협력사에는 암호화되지 않은 상태로 데이터를 전송하거나 암호화 키를 함께 보내기 때문에 협력사 직원 누구라도 데이터에 접근해 불법적으로 유출할 수 있다.
데이터를 기업 내부에 저장하고 데이터에 접근하고자 하는 사람들에 대한 인증을 강화하면 데이터의 외부 유통을 막을 수 있다. 외부 협력업체 직원, 서비스 공급자 등 다양한 사용자 권한에 대해 세부적인 정책을 마련하고, 데이터에 접근하는 사람들이 권한 내에서만 접근을 허용한다면 데이터 유출 피해를 최소화 할 수 있다.
굽타 부사장은 “중요정보를 보호하기 위해서는 암호화, 키관리, 사용자 인증의 세 단계가 필요하며 데이터가 어디에서 생성돼 어떻게 유통·폐기되는지 투명하게 관리할 수 있어야 한다”며 “특히 유출된 정보가 악용되지 않도록 하기 위해서는 암호화가 필수적인 기술로 적용돼야 한다”고 강조했다.
클라우드 확산으로 데이터 보호 어려워
암호화는 정보 보호를 위한 최상위 기술이지만, 실제로 기업/기관에서는 1%의 데이터만을 암호화한다. 국내에서 발생한 개인정보 유출 사고 역시 대부분 암호화 되지 않은 상태에서 유출된 것으로, 대규모 개인정보 유출사고 이후 개인에 대한 금전적인 피해는 물론이고 기업의 주요 임직원을 대상으로 한 타깃 공격도 급증했다는 분석도 있다.
그러나 최근 IT 환경에서 데이터의 가시성을 확보하는 것이 쉬운 일은 아니다. 기업이 주요 비즈니스에 집중하기 위해 전문분야에 대한 아웃소싱을 확대하고 있으며, 파견직원, 협력업체 직원들이 수행하는 업무가 늘어나고 있다. 아마존, 드롭박스와 같은 퍼블릭 클라우드를 사용하는 비율도 점점 늘어나고 있어 전사적으로 단일한 데이터 보호 정책을 적용하는 것이 상당히 어려운 일이 되고 있다.
데이터가 유통되고 저장되는 환경이 기존의 DB서버에서 파일서버, 스토리지, 클라우드 인프라, 외부 기관, 내외부 직원의 PC·노트북 등으로 확대되면서 데이터 암호화 필요성은 더욱 높아지고 있다.
굽타 부사장은 “전통적인 네트워크 보안은 시스템 경계에서 공격위협을 차단하지만 최근 공격은 기업 내부에서 발생하고 있다. 특히 가상환경에서 VM이 생성·이동·삭제되는 과정에서 데이터가 어떻게 관리되는지 파악하기 어렵다”며 “이렇게 복잡한 IT 환경에서 데이터의 불법적인 유출을 완벽하게 막는 것은 불가능하다”고 지적했다.
데이터·SW 보호 관심 많은 한국, 성장 기회 많아
우리나라에서 대형 데이터 유출사고가 빈번하게 발생하면서 암호화 솔루션 기업들이 한국을 전략적 시장으로 삼고 공격적인 영업전략을 전개하고 있다. 보메트릭은 공공기관을 공략하기 위해 국내 CC인증을 획득하고자 하고 있으며, 국내 빅데이터 관련 기업들과 협의체를 만들어 국내업체와의 친밀감을 높이고 있다.
오라클도 보안사업을 강화하면서 암호화 솔루션 ‘TDE’를 한국 상황에 맞춰 공격적으로 접근하고 있다. 특히 오라클은 자사 DBMS, DW 등과 TDE를 함께 도입했을 때 비용절감 효과와 관리 용이성이 높아진다는 점을 강조하고 있으며, 높은 DBMS 시장 점유율을 바탕으로 암호화 시장을 공략한다는 전략을 앞세운다.
이러한 경쟁사의 영업전략에 대해 굽타 부사장은 “세이프넷의 암호화·키관리 기술은 전 세계에서 따라올 수 있는 경쟁자가 없다. DB, 파일, 애플리케이션, 스토리지, 가상화 등 데이터가 유통되는 모든 과정에서, 모든 종류의 데이터에 대한 암호화가 가능하며, 사용자 환경에 맞는 다양한 종류의 인증 솔루션을 제공할 수 있다”고 강조했다.
그는 “세이프넷은 데이터 보호 제품군과 함께 소프트웨어 라이선스 보호 제품군도 공급하고 있으며, 한국의 대표적인 소프트웨어 기업들을 고객으로 확보하고 있다”며 “한국 기업들도 데이터와 소프트웨어 보호에 대한 관심이 높아지고 있는 만큼, 한국에서 높은 성장이 가능하다고 자신한다”고 말했다.
