개인정보 유출 사고가 끊임없이 발생하고 있다. 인터파크의 대규모 개인정보 유출사고에 이어 아시아나 항공의 홈페이지 취약점을 이용한 개인정보 유출 가능성이 제기됐다. 정부는 잇따른 개인정보 유출사고에 대응하기 위해 관련 규제를 강화하면서 기업/기관의 개인정보 관리 체계를 강화할 것을 요구하고 있다.
개인정보 뿐만 아니라 기업의 기밀정보를 포함해 모든 중요정보는 공격자들의 먹잇감이 된다. 공격자들은 돈이 되는 정보를 호시탐탐 노리고 있으며, 정교한 표적공격이나 APT 공격, 랜섬웨어 등을 이용해 데이터를 탈취하거나 인질로 잡고 수익을 얻는다.
중요정보를 보호하기 위해서는 핵심적인 정보를 암호화하고, 정보에 접근하는 사람들을 통제하며, 개인정보와 중요 정보를 과다 조회하는 등 이상행위가 발생했을 때 차단하고, PC의 중요정보도 관리해야 한다.
권한없는 사용자 통제하는 ‘디비세이퍼’
DB 접근제어 솔루션 ‘디비세이퍼(DBSAFER)’를 공급하는 피앤피시큐어는 개인정보 및 중요정보 보호와 관리를 위한 다양한 제품군을 선보이면서 데이터 관리·보호 전 영역에서 경쟁력있는 솔루션을 공급하고 있다.
피앤피시큐어의 대표 제품인 디비세이퍼는 권한 없는 사용자에 의한 데이터 접근과 유출을 방지하는 제품이다. DB및 시스템 접근에 대해 접근·권한통제, SQL·명령어 감사 및 로깅 기능을 통해 중요 정보 유출을 사전에 차단하고 발생 위험을 최소화하는 통합 접근 제어 솔루션으로 일관된 보안 정책 수립과 적용이 가능하다.
디비세이퍼는 은행, 증권사를 비롯해 국내 2000여 고객사에 공급됐으며, 상용 DBMS 15종을 지원한다. 윈도우·유닉스 콘솔 및 시리얼 통신 작업, 텔넷/SSH, FTP/SFTP, RDP 프로토콜에 대한 감사·통제가 가능하다. ID/PW 입력 시 특정 횟수 이상 실패한 경우 차단·격리하며, 서버 내 개인정보를 자동으로 추적·식별해 보안정책을 자동으로 적용한다.
디비세이퍼를 경유하지 않고 보안 대상 서버로 우회 접속한 사용을 감사·통제하고, 보안 대상 서버에 원격 윈도우 터미널 또는 텔넷/SSH로 접속해 수행하는 업무에 대해 사용자 화면과 동일한 화면으로 실시간 모니터링한다.
사용자와 보안 서버 구간뿐 아니라 보안 서버 및 보안 대상 서버 구간에 대해 암호화 통신을 제공하며, 사용자가 웹 브라우저를 이용해 접속 가능한 서버 리스트를 선택하면 패스워드를 노출하지 않고 서버에 자동 접속해 사용 편의성을 높였다. 또한 주민등록번호 등 중요 정보를 조회할 경우 전체 또는 일부를 별표로 치환하는 방식의 마스킹 기술을 제공한다.
개인정보 조회 모니터링 솔루션 ‘인포세이퍼’
개인정보보호법에서는 개인정보 분실, 도난, 유출, 변조, 훼손되지 않도록 개인정보 처리자가 내부관리계획을 수립하고, 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취하도록 하고 있다. 또한 개인정보의 접속기록 보관 및 점검에 관한 사항에 대한 내부관리 계획을 수립, 시행을 명시하고 있다.
이 중 개인정보 접속기록 보관·점검에 관한 내부관리 계획 수립 규정은 개인정보 조회 모니터링 시스템 ‘인포세이퍼(INFOSAFER)’가 지원한다. 애플리케이션 레벨에서 개인정보를 모니터링하는 기존 솔루션과 달리 인포세이퍼는 DB에 산재돼 있는 개인정보 위치 정보를 자동으로 검출하고, DB에 직접 접근할 수 있는 사용자를 모니터링하며, 실시간 접속 현황을 대시보드를 통해 제공한다.
또한 사용자 추적을 통한 3단계 사용자 식별 기능으로 개인정보 접속기록 관리 의무에 대응할 수 있다. 이 기술을 이용해 WAS를 통해 고객정보에 접근하는 사용자 정보를 식별하며, 작업이력을 감시해 개인정보보호법에 대응할 수 있게 한다.
PC 개인정보 관리하는 ‘쿼리박스에스’
기업에서는 DB 접근제어 솔루션과 암호화 제품으로 개인정보를 보호하지만, 클라이언트로 넘어온 개인정보는 이 솔루션의 통제를 벗어나게 된다. 이 문제를 해결하기 위해 PC 개인정보 유출에 대한 통제가 필요하다.
PC에 저장된 개인정보 유출을 방지하기 위한 솔루션으로 피앤피시큐어는 ‘쿼리박스에스(QueryBox-S)’를 소개한다. 쿼리박스에스는 디비세이퍼의 기능 확장을 통해 사용할 수 있으며, 게이트웨이를 통해 별도의 환경을 구축할 수 있다.
중앙에서 원격 통제를 위한 쿼리박스에스 매니저를 이용해 데이터베이스 접속과 개인정보 조회에 필요한 정책을 설정, 사용자 PC에서 개인정보 통제에 필요한 기능을 수행할 수 있다.
한편 쿼리박스에스의 데이터베이스 관리 도구 기능인 ‘쿼리박스’는 홈페이지에서 다운로드할 수 있으며, 개인 사용자와 교육기관은 무료로 사용할 수 있다.
실시간 파일 암호화 솔루션 ‘데이터크립토’
개인정보보호법과 금융감독원 개인정보 암호화 저장 지침 가이드에 따라 고유식별정보(주민번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보 를 암호화해야 하며, 녹취 및 영상, 이미지 등에 대해서도 암호화 조치가 돼야 한다.
‘데이터크립토(DATACRYPTO)’는 서버 파일의 실시간으로 암·복호화 기능을 제공하며, 애플리케이션의 수정 없이 간편하게 설치해 개인정보보호법 등 최신 컴플라이언스를 준수하도록 지원한다.
중앙에서 원격 통제를 위한 관리툴을 이용해 DBMS 또는 파일 서버의 실시간 암·복호화 기능을 수행할 수 있으며, 대용량 파일의 애플리케이션 수정 없이 실시간 온라인 암호화 방식과 벌크 암호화 방식을 모두 지원한다.
중앙에서 암호화 키관리를 수행하며, OS 계정과 보안계정으로 암복호화를 수행해 관리자 계정으로 암호화되지 않은 데이터가 유출되는 것을 막을 수 있다. 기존 보안정책과 연동해 암복호화 기능을 수행하며, 사용자 계정, IP, 애플리케이션 등으로 접근 권한 통제 기능을 수행한다.
