암호화 방식 DB보안 '다크호스' 부상

최근 GS칼텍스 등 개인정보유출 사건이 줄을 이으면서, 다량의 고객 정보가 담겨 있는 데이터베이스관리시스템(DBMS) 보호에 대한 관심이 증가하고 있다.

국내에서 DB보안의 중요성이 커지면서 먼저 주목받은 기술은 접근제어 및 사후감사 방법. 네트워크 상의 패킷을 분석해 DB 접근을 모니터링 하는 방식으로 허가되지 않은 접근을 차단하는 기능을 한다.

접근을 제어하는 기능에 초점을 맞췄으며, 로그를 기록해 내부 혹은 외부 침입자를 사후 추적할 수 있다.

하지만 올해 발생한 개인정보유출 사건 면면을 살펴보면, DB 접근이 허용된 자의 개인정보 유출이 주를 이뤘으며, 외부 침입의 경우 서버를 통한 우회 공격이나 제품의 취약점을 노리고 자료에 접근한 사례가 대부분이었다.

이에 따라 접근 제어 방식의 보완책으로 DB 자체를 암호화해 외부 침입자가 자료에 접근하더라도 암호화 키를 알지 못하면 자료를 열람할 수 없도록 하는 암복호화 방식의 DB보안이 새로 부상하고 있다.

◆대용량 처리 강한 하드웨어 방식 '주목'

펜타시큐리티시스템은 하드웨어 일체형 DB보안 솔루션 '디아모 SG'를 출시하고, 암호화 방식의 DB보안 시장을 주도하고 있다. 디아모 SG는 암호화 적용 전 영향 분석을 위한 '암호화 사전 분석·진단' 기능과 암호화 적용 후 '고성능 암호화 쿼리 검색 기능'을 제공하는 것이 특징.

오라클, MS SQL, IBM DB2 등의 제품을 지원하고 있으며, 향후 알티베이스, 티맥스소프트 등 국내 DBMS 지원을 검토하고 있다.

펜타시큐리티시스템 윤영필 팀장은 "공공기관 도입을 위해서는 내년 6월부터 국제공통평가기준(CC) 인증을 획득해야 한다는 정부 지침에 따라 내부 일정을 검토해 인증을 준비하고 있다"며 "국내 200여개에 달하는 고객사를 확보한 저력을 바탕으로, 기존 디아모 제품과 하드웨어 일체형 디아모SG를 기업용 패키지로 구성해 대형 사이트 고객 확보에 나설 것"이라고 말했다.

지난 4월 인그리안 네트웍스를 인수한 세이프넷은 하드웨어 일체형 DB보안 솔루션 '세이프넷 데이터시큐어'를 선보이고, 국내 영업을 강화한다고 발표했다. 두산, 대법원, 대검찰청에 제품을 공급했다.

최근 국내 영업을 위해 방한한 험프리 챈 세이프넷 아태총괄 부사장은 "오라클, MS SQL, IBM DB2, 테라데이타 등 다양한 DBMS를 지원하는 것이 장점"이라며 "총판인 유니포인트와 협력을 강화해 고객사 확보에 적극 나설 계획"이라고 강조했다.

◆"색인검색·키관리 차별화 내세워"

이글로벌시스템은 소프트웨어(SW) 방식의 암호화 DB보안 솔루션 '큐브원'으로 시장 공략에 나섰다. AP 수정없이 색인검색이 가능한 것이 특징이며, 올해 말 동시에 여러개의 테이블을 암호화하는 기능을 추가한 '큐브원 2.5'를 새롭게 선보일 예정이다.

이글로벌시스템 조본섭 마케팅 이사는 "모든 제품 키 길이 256 비트 적용 등 견고한 알고리즘으로 암호화한게 핵심"이라며 "메모리상에 키가 존재, 키 기밀성을 유지하는 동시에 국내 알고리즘을 지원하는 것이 외산 DB보안 제품과의 차별점"이라고 강조했다.

올해 CGV와 홈쇼핑 업체에 솔루션을 공급했으며, 향후 메인 DB 적용 고객사례를 늘릴 방침이다.

소프트포럼은 SW방식 DB보안 솔루션 '제큐어DB'의 고객사 확보에 주력하고 있다. 제큐어 DB는 보호해야할 데이터에 직접 설치하는 것이 아닌 웹애플리케이션서버(WAS)에 설치해 시스템 부하를 줄인 것이 특징.

소프트포럼 이요셉 대리는 "기업이 DB보안을 적용할 때 대외시스템의 성능에 영향을 미치지 않게 하는 것이 중요하다"며 "보안적합성 검사를 통과했으며, 조만간 CC인증 계약도 체결해 영업을 본격화할 것"이라고 말했다.

◆특허분쟁 지양·국산 DBMS 지원은 '과제'

이니텍은 SW 방식 DB 암호화 솔루션 '세이프 DB'로 공공·기업 시장을 집중 공략하고 있다. 이 제품은 지난 10월 국정원 보안적합성 검사를 통과했으며, 삼성생명, 국민건강보험공단 등을 고객사로 확보했다.

이니텍 김은수 부장은 "세이프 DB는 고객사 트렌젝션 처리 환경에 따라 DB엔진과 WAS에 모두 적용할 수 있는 제품"이라며 "개인정보보호에 대한 사회적 관심과 맞물려 수요가 확대될 것으로 예상한다"고 말했다.

DB보안업계 관계자는 "DB보안 솔루션의 경우 그간 접근제어 방식이 주를 이뤘지만, 최근 암호화 방식 솔루션이 성능 저하 문제를 대폭 개선하며 중심축이 이동하고 있다"며 "업체간 특허분쟁, 국산 DB등 보다 다양한 DBMS 지원 등의 걸림돌을 해소한다면 보안업계 블루오션으로 성장할 것으로 기대되는 분야"라고 말했다.