LG디스플레이는 모니터, 노트북, TV 등 중대형 디스플레이 분야와 모바일 등 각종 소형 제품에 사용되는 디스플레이 및 OLED, 플렉서블 등 차세대 디스플레이 분야를 선도하고 있다. 이 회사는 2011년 9월 본격적으로 시행된 개인정보보호법이란 규제 준수를 위해 개인정보를 보관하고 있는 시스템들을 대상으로 데이터베이스 암호화를 추진해야 했다.

SQL Server 2000 기반으로 운영되던 개인정보보호 대상 시스템을 모두 SQL Server 2012 Enterprise Edition으로 업그레이드했고, 기본으로 제공되는 TDE 기능으로 데이터베이스를 암호화해 개인정보보호법 시행에 따른 규정을 준수할 수 있게 됐다. 구체적인 내용을 살펴본다.

LG디스플레이가 개인정보호법 준수를 위해 전사 차원에서 데이터 플랫폼 환경을 정비했다. LG디스플레이는 2011년 보안 컨설팅을 통해 자사의 업무 시스템들에 담긴 개인정보 현황을 파악했다. 그리고 이들 시스템 중 불필요 하게 개인정보를 저장한 경우는 해당 데이터를 지우는 조치를 취하고 암호화가 꼭 필요한 시스템은 따로 선별해 2012년 암호화 프로젝트를 추진했다.

프로젝트를 추진하면서, LG디스플레이가 선택한 방법은 별도의 써드파티 솔루션을 들이지 않고 데이터베이스에서 기본 제공하는 암호화 기능(TDE)을 활용하는 것이었다. 이런 기준이 마련된 이유는 수십 개에 달하는 개인정보보호 대상 시스템에 일일이 써드파티 솔루션을 설치할 경우 운영 상 복잡도가 높아져 관리 업무 부담이 가중될 것이란 판단 때문이었다.

LG디스플레이는 TDE 기능을 통한 암호화를 기본 정책으로 잡고 접근 제어의 경우 기존에 활용하던 솔루션을 이용했다. 그 결과 전사 데이터 플랫폼 환경에 가해지는 변화를 최소화 하되 암호화 수준을 높일 수 있었다. 그리고 개인정보보호법 본격 시행에 앞서 성공적으로 규제 준수를 위한 사전 준비를 마칠 수 있었다.

LG디스플레이가 개인정보보법 대응에 본격적으로 나선 것은 2011년 보안 컨설팅을 받으면서부터다. 당시 집중적으로 살펴진 내용은 개인정보보호법 적용 대상 시스템을 어느 선까지 봐야 할지에 대한 기준을 세워 암호화 대상과 범위를 정하는 것이었다.

컨설팅 결과, 개인정보를 보관하고 있는 시스템 수가 많았던 것에 이 회사는 적잖이 놀랐다. 수십 개에 달하는 시스템을 먼저 추려낸 후 실질적인 암호화 대상 선별에 나섰다. 개인정보를 수집하지 않아도 되는데 불필요하게 보관하고 있는 경우가 많다는 것을 놓치지 않았다.

보안, 애플리케이션, 개발 등 여러 이해관계자들의 참여 속에서 LG디스플레이는 개인정보가 꼭 필요한 경우가 아니라면 데이터를 삭제하고, 업무 상 어쩔 수 없이 개인정보를 처리해야 하는 시스템을 골라 전사 차원에서 추진할 암호화 프로젝트 대상 목록에 이름을 올렸다.

다음으론 LG디스플레이가 착수한 작업은 어떤 기술이 가장 적합한가를 정해야 했지만, 쉬운 일은 아니었다. 개인정보보호법이란 새로운 규제 등장으로 시장에 관련 솔루션들이 넘쳐나고 있었기 때문이다. LG디스플레이는 두 가지 방안을 놓고 장고에 들어갔다. 첫 번째는 데이터베이스에 기본 탑재된 암호화 기능을 활용하는 것이었고, 두 번째는 국내 보안 업체들의 암호화 솔루션을 도입하는 것이었다. 성능 이점, 유지보수의 편의 등 여러 관점에서 치밀한 검토가 이루어진 끝에 선택된 방안은 데이터베이스 암호화 기능(TDE; Transparent Data Encryption)의 활용이었다.

성능 평가는 사실 객관적 기준을 잡기가 쉽지 않아 큰 의미를 부여하기 어려웠다. 또 써드파티 솔루션을 쓸 경우 한 업체의 제품을 도입하지 않을 경우 호환성 보장이 어렵다고 판단했다. 특정 업체 솔루션 적용도 검토했지만, 관리 포인트가 하나 더 추가된다는 부담이 걸림돌이었다. 관리해야 할 것이 하나 더 늘면 장애 발생 시 책임 소재를 밝히는 것도 그만큼 더 어려워지기 때문이다. 이 회사는 여러 조건을 고려했을 때 데이터베이스에 기본 내장된 TDE 기능을 이용하는 것이 가장 합리적이라고 판단했다.

LG디스플레이는 2012년 마이크로소프트 SQL 서버를 대상으로 본격적인 데이터베이스 암호화 프로젝트에 나섰다. 이번 프로젝트를 추진함에 있어 LG디스플레이는 개인정보보호를 위한 세 가지 기술적 보호 조치 활동 중 암호화와 감사는 데이터베이스의 기본 기능을 활용하고 접근 통제는 기존에 사용하던 솔루션을 이용하는 것으로 정하였다.

데이터베이스에서 제공하는 인스턴스, 테이블의 컬럼에 대한 접근 제어 기능을 활용할 수도 있었지만 기존 전사 데이터 플랫폼 관리 환경에 변화를 최소화 하고자 사용하던 접근 제어 툴을 쓰기로 결정했다.

2012년 추진된 암호화 프로젝트는 수십 개 시스템의 데이터베이스를 대상으로 진행되었다. 이중 Microsoft SQL Server 기반으로 운영되던 시스템은 사전 단계로 데이터베이스 업그레이드가 시행되었다. 대다수 시스템들이 SQL Server 2000 버전을 운영하고 있어 TDE 기능을 활용하려면 업그레이드가 필요했다.

LG디스플레이는 기존 2000 버전을 모두 SQL Server 2012 Enterprise Edition으로 업그레이드를 하는 가운데 암호화 작업을 하나 둘 해 나아갔다. 이번 프로젝트에서 LG디스플레이가 가장 신경을 많이 쓴 부분은 관련 부서 간 공조였는데 보안, 운영, 개발 등 여러 부서가 수시로 공조해 진행하는 것으로 사전에 합의했다. 긴밀한 협력 하에 데이터베이스 업그레이드와 튜닝이 이루어졌고, 필요에 따라 코드 수준에서 어플리케이션 개선 작업까지 병행했다.

이 과정에서 한국마이크로소프트도 한몫을 했다. LG디스플레이는 한국마이크로소프트의 엔지니어들과 함께 데이터베이스 암호화에 따른 성능 손실을 최소화하기 위해 튜닝에 만전을 기했고, 그 결과 암호화 이전과 이후 성능 차이에 따른 현업 사용자들의 불편을 최소화했다.

2013년 초 현재 LG디스플레이는 주요 업무 시스템 암호화 작업을 마치고 후속 작업으로 개인정보보호법 관련 현황 관리 시스템 개발, 디렉토리 서비스 이중화까지 마무리했다. 그리고 차기 과제로 중앙집중적인 암호화 키 관리 체제 정비를 계획하고 있다. 암호화 부문에서 기술 적용 표준을 TDE로 통일한 것과 같이 운영과 관리 체제 역시 단위 시스템 차원이 아니라 전사 차원에서 중앙집중적으로 수행하기 위해 다양한 프로젝트를 기획했다.

◆ 암호화 관련 전사 참조 모델 확보=LG디스플레이는 수십 대에 달하는 시스템을 대상으로 암호화를 수행하면서 향후 신규 수요가 발생할 때 참조할 수 있는 모델(Best Practice)을 확보하는 성과를 거두었다. 그 모델은 바로 특허 출원자와 외부 사용자 개인정보를 담고 있어 암호화 대상으로 선정된 ‘특허관리시스템’이다.

이 시스템은 IT 부서가 아니라 현업 부서에서 관리되어 왔다. 새로운 요구 조건이 생길 때마다 신규 개발이 이루어지다 보니 자연스럽게 성능 이슈가 꾸준히 제기되어 왔다. 한 개발자가 꾸준히 개발한 것이 아니라 프로젝트 때마다 다른 개발자가 투입되다 보니 코드 수준에서 성능 병목을 야기하게 된 것이다. 이런 이유로 이 시스템은 2012년 암호화를 진행한 후 2013년 물리적 차원의 장비 업그레이드가 계획되었다.

LG디스플레이는 2012년 하반기 특허관리시스템의 데이터베이스를 SQL Server 2012 Enterprise Edition으로 업그레이드 하였다. 동시에 평소 사용자들이 시스템이 너무 느리다고 말해왔던 것을 참조해 몇몇 부분을 간단히 손봤다. 그 결과는 기대 이상이었고, 향후 개인정보보호가 필요한 시스템의 경우 특허관리시스템을 참조 모델로 삼자는 쪽으로 내부 의견이 모아졌다.
특허관리시스템은 데이터베이스 업그레이드에 따른 수정 정도만 어플리케이션 차원에서 수행하고 데이터베이스 튜닝을 한 정도였는데 암호화 이후 성능이 개선된 사례이며, 대대적인 소스 코드 수정을 하지 않았음에도 성능이 대폭 향상되는 효과를 거두면서 2013년 예정이던 하드웨어 교체를 할 이유가 없어졌다. 현재 출입통제 시스템 등 암호화 추진 예정인 것들이 있는데 이 사례를 참조해 프로젝트를 진행하는 것을 고려 중이다.

◆ 관리 및 책임 소재 명확히 구분=SQL Server 2012 Enterprise Edition의 TDE 기능을 전사 개인정보보호법 대응을 위한 표준 암호화 기술로 정하면서 LG디스플레이는 ‘표준화’가 갖는 다양한 이점을 누릴 전망이다. 이중 가장 큰 기대를 모으는 이점은 바로 관리 및 책임 소재가 명확해 지는 것이다.

LG디스플레이가 개인정보보호법 대응 전략을 세우면서 명확히 한 것은 “써드파티 솔루션은 두지 않는다”였다. 새로운 규제가 생길 때마다 관련 솔루션을 들이는 것은 단위 업무 차원에서 보자면 신속한 대응이 가능하다는 점에서 유리하다. 하지만 시야를 전사 차원으로 넓히면 관리 포인트가 늘어난다는 단점이 보이게 된다. LG디스플레이는 개인정보보호법이란 규제에 효과적으로 대응하는 방법은 전사 차원에서 지속적으로 관리, 통제 메커니즘이 작동하도록 하되 기존 데이터 플랫폼을 더 복잡하게 만들고 동시에 관리 부하를 늘리면 안 된다고 판단했다.

TDE를 이용하면 책임과 관리 소재가 명확해 지는데, 가령 장애가 나도 써드파티 솔루션을 쓸 경우 데이터베이스, 써드파티 솔루션 등 불러야 할 업체가 많지만 TDE를 쓰면 한 곳에만 연락하며 된다. 또 전사 차원에서 보면 기존에 없던 새로운 솔루션을 들여온다는 것은 결국 인적 자원을 추가 배치해야 한다는 소리나 마찬가지이며 TDE를 쓸 경우 암호화 관련 업무를 데이터베이스 관리자가 보면 되어 별도의 인력 증원 없이도 개인정보보법 대응이 가능하게 됐다.

◆ 비용 절감 효과 거둬=TDE가 전사 데이터베이스 암호화 표준이 되면서 자연히 비용 절감 효과를 얻게 됐다. LG디스플레이의 경우 기존에 쓰던 SQL Server의 버전 업그레이드 시기와 맞아 떨어지다 보니 비용 절감 효과는 더욱 더 현실적으로 다가왔다. 써드파티 솔루션 도입 비용을 들이지 않고도 버전 업그레이드와 암호화를 모두 처리했기 때문이다. 이런 비용 효과는 암호화 관련 신규 수요가 생길수록 더해져 갈 전망이다. 따로 비용을 들일 부분이 없기 때문이다. 참고로 SQL Server 2012 Enterprise Edition의 경우 TDE 외에도, 암호 키 및 인증서 관리 등 암호화 기술과 함께 인스턴스 및 데이터베이스 감사(Audit) 기능 등 개인정보보호법 준수에 필요한 기능이 기본으로 제공한다.

◆ 데이터베이스 도입에 대한 심사평가기준 정립=LG디스플레이는 이번 개인정보보호법 프로젝트 추진을 계기로 새로운 데이터베이스 심사평가기준을 정립했다. 전사 차원에서 모든 데이터베이스 현황을 파악하면서 보안 외적인 관점에서 개선 포인트를 찾아낸 것이다. LG디스플레이는 향후 현업 부서에서 기존 데이터베이스 고도화 또는 신규 시스템 개발 계획을 잡을 때 새로운 심사평가기준 항목을 적용할 계획이다.

이번에 개인정보보호법 준수 프로젝트를 전사 차원에서 시행하면서 중소 규모 데이터베이스에 대한 관리 기준도 새로 만들었다. 또한 오라클로만 운영되었던 기존 시스템을, 데이터베이스 크기가 작을 경우 상대적으로 유지보수 비용 이점이 큰 SQL Server로 업그레이드할 것을 적극 검토하고 있다.