개정 개인정보보호법으로 DB암호화와 접근제어 시장의 성장 기대가 높다. 2011년 개인정보보호법 시행 당시 이 시장이 폭발적인 성장을 거뒀던 것처럼 올해도 많은 사업이 생기면서 성장을 이끌 것으로 전망된다. 올해 DB암호화, 접근제어 시장을 전망해본다.<편집자>
2016년 1월 1일부터 주민등록번호를 보관하는 개인정보처리자는 의무적으로 암호화 해야 한다. 2015년 3월 개정된 개인정보보호법에 따라 시행되는 것으로, 개정 개인정보보호법은 정보주체의 개인정보 자기결정권을 강화하기 위해 개인정보를 처리할 때 반드시 본인의 동의를 받도록 했으며, 전자적으로 보관하고 있는 모든 주민등록번호는 반드시 암호화하도록 했다.
보관중인 주민번호가 100만명 미만 규모일 때 2016년 말까지, 100만명 이상은 2017년 말까지 암호화 완료해야 한다. 단 몇 십건의 주민번호라도 암호화 되지 않은 채 유출되면 처벌을 받으므로 소규모 사업자도 주민번호를 보관해야 한다면 암호화를 적용해야 한다. 클라우드 서비스를 이용할 때 암호화의 책임은 개인정보를 수집·처리하는 원 사업자에게 있으며, 법적근거 없이 주민번호를 수집하지 못한다.
금융권 DB암호화 적극 추진
주민번호 암호화를 의무화 한 개인정보보호법으로 DB 암호화 시장이 들썩이고 있다. 2011년 개인정보보호법이 처음 시행됐을 때, 개인정보를 암호화하거나 이에 준하는 수준의 보호조치를 의무화하면서 DB암호화와 접근제어 시장이 단기간에 폭발적으로 성장했다.
규제준수 요건이 강력한 공공기관은 물론이고, DB 암호화에 부정적인 입장을 보여왔던 금융기관도 개인정보보호법 준수를 위한 DB 암호화 사업을 진행했다. 시장이 급성장하면서 여러 경쟁 솔루션이 등장하면서 각축전을 벌여왔으며, DB암호화 사업을 꾸준히 전개해 온 펜타시큐리티, 이글로벌, 케이사인 3사가 시장 주도권을 쥐었고, DB 접근제어 분야에서는 피앤피시큐어와 웨어밸리가 시장을 양분하고 있다.
특히 케이사인은 기술유출 혐의로 피소돼 상당기간 홍역을 치렀지만, 공격적인 영업전략을 밀어부친 끝에 KB제2호스팩과 합병후 2014년 11월 코스닥 상장에 성공했다. 피앤피시큐어는 NHN 엔터테인먼트에 인수된 후 국내외 시장 공략에 나서고 있다.
정보유출 사고 97% ‘관리 부주의’
개인정보보호법이 암호화를 의무화한 이유는 개인정보 유출사고를 완벽하게 막을 수 없기 때문이다. 기업/기관은 개인정보 보호를 위해 전사적인 정보보호 관리체계를 만들고, 여러 보안 시스템을 구축하지만, 개인정보 보호 사고는 끊임없이 발생한다.
버라이즌의 ‘2014년 데이터 유출 조사 보고서(DBIR)’에 따르면 정보 유출사고 중 97%가 관리 부주의, 76%는 취약한 인증관리, 69%가 외부자 혹은 외부기관, 그리고 67%가 데이터베이스 및 파일 서버로부터 유출된 것으로 나타난다. 또한 대규모 사업체에서 발생하는 데이터 유출 건수의 98%는 노출된 데이터베이스 서버로부터 발생한다.
즉 외부로부터 해킹을 당하거나 악의를 가진 내부 사용자가 고의로 정보를 유출하는 것 외에도 관리와 운영상의 문제로 정보유출 사고를 일으키게 된다는 뜻이다. 데이터를 암호화 해 저장하면, 암호화 데이터와 키를 함께 빼가지 않는 이상 데이터 유출로 인한 피해는 막을 수 있다.
암호화, 정보 가장 안전하게 보호할 수 있는 방법
암호화는 정보를 가장 안전하게 보호할 수 있는 방법이지만, 시스템 성능 저하를 일으키고, DB 애플리케이션의 수정이 필요하다는 점 때문에 기업이 도입을 꺼려왔다. 대신 DB 서버에 대한 접근제어를 강화하고, 내부정보 유출방지(DLP) 시스템을 통해 중요정보의 불법적인 유출을 통제했다.
2011년 개인정보보호법 발효 이후 규제준수를 위해 DB 암호화 도입 사업이 봇물터지듯 터져나왔지만, 트랜잭션 데이터가 많은 계정계 시스템에는 도입되지 않고 분석 위주의 정보계 시스템에 한정돼 구축됐다.
개인정보 암호화를 적극적으로 도입하지 않는 것은 다른 나라에서도 마찬가지다. 젬알토의 ‘데이터 유출/침해 인덱스(BLI)’ 보고서에서는 2014년 유출된 데이터의 단 1%만이 암호화 된 것으로 분석됐으며, 2015년에는 이보다 다소 개선된 4%의 데이터가 암호화 된 것으로 나타난다.
사이버 공격이 지능화되면서 외부 해킹에 의한 개인정보 유출 사고가 빈번하게 발생되자 각국 정부는 개인정보보호 관련 컴플라이언스를 강화하고 있다. 선진국에서는 우리나라처럼 특정한 보안 시스템을 반드시 갖추도록 하는 규제를 제정하지 않지만, 개인정보 유출로 피해가 발생했을 경우 전적으로 기업이 책임을 지도록 한다. 피해자들의 집단소송이 벌어지는 것은 물론이고, 피해를 입었지만 소송에 참여하지 않은 피해자에게도 동일한 피해보상을 해야 한다.
이 때문에 DB 암호화의 필요성이 높아지고 있으며, 암호화 키관리와 암호화 데이터에 대한 접근제어로 보안을 더욱 강화하고자 한다.
