[구윤희기자] 최근 금융IT 보안에 대한 관심을 반영하듯 '2011 정보보호제품 평가인증 컨퍼런스'에서도 화두는 'DB보안'이었다.
한국인터넷진흥원(원장 서종렬, KISA) 주최, 행정안전부 주관으로 19일 코엑스에서 열린 '2011 정보보호제품 평가인증(CC인증) 컨퍼런스'에 참석한 700여명의 보안담당자들은 DB보안 관련 세션에 높은 관심을 보였다.
'DB보안과 개인정보보호' 발제를 맡은 신시웨이의 김광열 기술이사는 "개인정보의 중요성이 강조되고 있는데다 DBMS를 해킹 대상으로 보기 시작하면서 DB정보보호 강화 필요성이 증가하고 있다"고 설명했다.
그는 "개인정보보호법이 통과되면서 DB보안 적용 대상이 크게 확대된 상태"라면서 "법적 규제 강화뿐 아니라 DB 자료 유출 시 기업 이미지에 오는 타격이나 회복 비용을 감안해서라도 각 기업의 대책 마련이 필요하다"고 강조했다.
김광열 이사는 DB보안을 위한 기술로 DB서버에 로그인 하거나 SQL을 수행할 때 사용자 권한을 체크하는 '접근통제'나 권한이 없는 사용자가 개인정보를 조회할 때 데이터 일부를 '*'로 변경하는 '데이터 마스킹' 기법, 데이터를 암호화 후 저장해 권한이 있는 사람만 복호화 할 수 있는 '데이터 암호화' 등을 소개했다.
이어 "관련 기술을 복합적으로 구성하고 DB보안 지침을 마련하며 DB에 대한 실시간 모니터링과 함께 보안 감사를 강화해야 한다"고 조언한 뒤 "다수의 보안 서버에 대한 통합된 보고서를 작성하고 로그에 대한 통합 관리, 백업 관리를 꾸준히 하는 것도 효율적인 DB보안에 보탬이 될 것"이라고 덧붙였다.
'안전한 DBMS 암호화 방법'에 대해 발표한 이글로벌시스템 조돈섭 본부장은 "암호화의 진정한 목적은 비인가 접근을 막는 것"이라면서 "개인정보를 저장한 모든 DB에 암호화를 적용해 운영하는 것이 필요하다"고 주장했다.
조 본부장은 "DB 암호화 특성에 대한 고려 없이 단가가 낮은 제품만을 선호한다거나 제품 선정을 SI 사업자에 일임하는 경우 DB 암호화는 실패할 수밖에 없다"고 지적했다.
그는 "DB 암호화 특성을 숙지하고 기능, 성능, 운영성을 중시해 제품을 선정하려는 노력이 필요하다"면서 "운영성 확보를 위해 보안성을 저하시켜서는 안 된다"고 힘줘 말했다.
한편 이번 행사를 주최한 서종렬 KISA 원장은 "다변화되는 정보보안 산업의 트렌드와 요구사항을 파악해 기업과 기관 등이 관련 솔루션을 파악하는 기회가 되길 바란다"면서 "정보보안 수준을 도약하도록 꾸준히 노력하겠다"고 전했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기