[발언대] 개인정보보호, 다각적 전략 만들자

  •  
  • 입력: 2015-02-23 19:09
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[발언대] 개인정보보호, 다각적 전략 만들자
구병춘 한국보메트릭 부장


지난해 초 신용카드 3사의 대규모 개인정보 유출 사건으로 온 나라가 떠들썩했다. 총 1억 580만건의 개인정보가 유출되며 경제인구의 75%가 피해를 입은 것으로 알려진 대규모 사고였다. 정부는 이런 대형 사고의 재발 방지를 위해 개인정보보호법을 지속적으로 강화하고 있다.

데이터베이스 암호화는 개인정보보호를 위한 대표적인 방법으로 국내에서 가장 보편적으로 알려져 있다. 하지만 실제 다양화되고 있는 위협에 대응해 데이터 유출을 방지하기 위해서는 보다 다각적인 보안 전략이 요구된다. 특히 그 위험성이 더욱 커지고 있는 내부자 위협에 대응하기 위해서는 이에 맞는 방어책이 필요하다.

우선 데이터 암호화는 반드시 키 관리와 함께 운영돼야 한다. 만약 암호화 된 데이터와 암호 키를 함께 유출 당할 경우, 암호화의 의미가 없기 때문에 별도의 키 관리 시스템이 필요하다. 접근 제어 정책을 수립하는 것도 중요하다. 해킹은 주로 권한을 가진 사용자의 계정을 통해 서버에 접속하는 형태로 이뤄진다. 이 때 사용자 계정 단위로 정책을 세우고 암호화 데이터에 대한 프로세스의 접근 제어 정책을 수립해 놓는다면 비정상적인 접근을 포착할 수 있다.

또한 보안 제품의 권한 및 역할을 분리시키고, 감사(audit) 시스템을 도입해 데이터 접근을 실시간으로 분석하고 비정상적 패턴을 포착하여 위협을 사전에 탐지해낼 수 있어야 한다.

모든 보안은 솔루션뿐 아니라 인력을 통한 대응도 중요하다. 따라서 키 로깅(key logging) 에 의한 감사 활동이 요구된다. 키 로깅 활용으로 DBA(Database Administration)들은 터미널을 통해 직접 서버에 접속해 데이터베이스에 접근한 모든 기록을 남길 수 있다. 현존하는 데이터베이스 접근제어 제품은 네트워크를 통한 접근에 대한 SQL 감사 기록을 남기지만, 경우에 따라 SQL을 파싱하지 못하는 경우도 있다. 또한, 제품에 따라 터미널을 통한 접근을 통제하지 못하거나 일부 접근에 대해서는 인식을 하지 못하는 경우도 발행하며, 데이터베이스 성능 문제를 초래하기도 한다. 이에 반해 키 로깅은 단순히 터미널에 입력되는 키보드 값을 기록하기 때문에 모든 접근에 대한 기록이 가능하다. 또한 터미널을 통한 DBA의 접근에 대해 매번 사전 승인 및 사후 감사 절차를 시행한다면 부도덕한 DBA에 의한 데이터 유출을 철저하게 방지할 수 있다.

마지막으로 고려해야 하는 부분은 패스워드 관리이다. 최근 기업이나 기관에서는 다양한 업무 시스템 운영을 이유로 수많은 계정을 보유한다. 개인의 경우에도 인터넷 뱅킹, 홈쇼핑, 포털 사이트 등을 사용하면서 다양한 계정을 보유하게 되어 엑셀파일에 모든 계정과 패스워드를 관리하는 경우가 있다. 이 경우 악성코드 등을 통해 해당 파일이 유출되면 해커는 공인된 경로를 통해 아무런 장애물 없이 중요 데이터에 대한 접근이 가능하다. 따라서 기업들은 보안 권고에 따른 패스워드를 생성하는 것과 동시에 내부교육을 통해 패스워드를 하나의 전자 파일에 기록해 두는 우를 범하지 않도록 해야 할 것이다.

구병춘 한국보메트릭 부장

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


추천기사