비정형 데이터 암호화가 금융권 보안 시장의 뜨거운 감자로 떠오르고 있다. 올해 초 금융감독원이 지난해 개정된 개인정보보호법에 따라 비정형 데이터에 대한 암호화 규정을 환기했다. 이르면 내년 늦어도 내후년까지 개인정보가 포함된 정형 데이터뿐 아니라 비정형 데이터에 대한 암호화 조치까지 완료돼야 한다.
비정형 데이터는 말 그대로 데이터의 형식이 정해져 있지 않은 데이터를 의미한다. 로그파일, 위치정보, 이미지, 동영상, 음성파일 등이 여기에 포함된다.
사실 지금껏 금융권에서는 비정형 데이터 암호화에 대한 관심이 비교적 적었다. 주민번호, 카드번호, 계좌번호 등 데이터베이스(DB)에 저장되는 정형 데이터만 중요하다고 인식했기 때문이다.
그러나 은행에서 통장을 개설할 때 저장하는 주민등록증 사본 이미지파일, 콜 센터에서 저장한 녹취파일, 카드번호가 담긴 로그파일 등 DB에 저장되지 않는 비정형 데이터도 개인정보로서 철저히 보호돼야 한다.
비정형 데이터 중 특히 로그파일은 고객들의 민감 정보를 포함할 가능성이 크기 때문에 암호화 조치가 절실하다. 웹애플리케이션서버(WAS)와 같은 미들웨어는 사용자가 실행하는 업무 기능을 수행하기 전, 각종 정보를 로그파일에 저장한 후 업무를 처리하기 때문이다. 로그파일에는 요청자의 수많은 정보가 기록되며, 다수의 민감 정보, 특히 주민등록번호가 포함되는 경우가 상당하다.
그러나 암호화 조치가 필수적인 로그파일은 사실상 보안의 사각지대에 놓여있다. 그간 데이터베이스관리시스템(DBMS) 암호화에만 치중했기 때문에 대다수의 금융권 시스템에서는 고객들의 카드번호, 주민등록번호 등 민감정보가 포함된 로그파일들에 적절한 암호화 조치 없이 방치되고 있다.
기존에 로그 보안을 위해 이용된 문서저작권관리(DRM) 솔루션 역시 데스크톱 단에서 데이터가 외부로 나가는 것만을 관리·보호하며, 실제로 그 데이터가 있는 서버에 대한 보안은 미진했다.
주로 미들웨어 단에 존재하는 로그파일은 그 방대한 양으로 인해 규모와 저장 위치를 파악하기 쉽지 않다. 대표적 비정형 데이터인 이미지파일과 음성파일은 사이즈가 크고 개수가 많은 대신 서버는 많지 않다.
그러나 로그파일은 무수히 많은 서버에 저장돼 있어, 대형 은행의 경우 몇 백 대의 서버가 필요하다. 최고정보보안책임자(CISO) 입장에서 생각하면, 음성파일, 이미지파일은 서버가 많지 않아 파악이 쉽지만, 로그는 어디에 얼마나 있는지 확인하기 어렵다.
암호화 조치를 어렵게 하는 또 다른 로그의 특성은 바로 실시간성이라는 것이다. 로그는 실시간으로 발생되고 저장되기 때문에 이를 보호하기 위한 암호화 조치 역시 실시간으로 이뤄져야 한다.
그러나 응용프로그램 인터페이스(API) 형태로 로그 서버를 암호화해도 결국에는 파일 생성과 암호화 작업 사이에 생기는 시간적인 간격으로 인해 취약점이 존재하기 마련이다. 따라서 로그보안에서 가장 효과적인 방법은 로그파일을 즉시 암호화할 수 있는 파일방식의 암호화라고 할 수 있다.
이미 업계에서는 로그보안의 경우, 파일방식의 암호화를 적용할 수밖에 없다는 게 공론으로 여겨지고 있다. 또한 효율적인 로그 암호화를 위해 파일 암호화에 앞서 통합로그관리시스템을 도입, 수많은 서버에 산재한 로그파일을 적절히 수집하고 관리해 서버 개수를 줄이는 것 역시 하나의 방안으로 떠오르고 있다.
비정형 데이터 암호화는 이제 선택이 아닌 필수이다. 보안의 사각지대에 놓인 로그파일을 포함한 비정형 데이터를 암호화하기 위한 보다 효과적이고 효율적인 방법을 고민할 때다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기