보안구멍이 뚫리면 고객정보 유출로 인한 기업 이미지 하락을 피할 수 없다. 피해사례는 곳곳에서 보고되고 있다. 은행 전산망 조작으로 거액의 인출사건 발생하는가 하면, 이동통신사 직원과 개인정보 브로커 15명이 600여만명의 고객정보 유출하는 일이 벌어지기도 했다. 또 보험가입 고객에 대한 개인정보 서류 유출사건이 발생했고, 온라인게임 사이트에서 주민등록번호 도용했던 일로 온 나라가 발칵 뒤집히기도 했다. DB보안 전문기업인 ‘민인포’와 바넷정보기술‘, 이노라임의 도움을 받아 성공적인 DB보안 구축 전략에 대해 알아봤다.

정보유출로 심각한 피해 발생

DB가 보안에 취약한 이유는 DBMS가 근본적인 문제를 안고 있기 때문이다. 예를 들어 최근 국내외적으로 가장 많이 사용되는 오라클 DB에 SYS 권한이 노출되는 보안 헛점이 발생해 고객들은 구멍을 틀어막느라 한동안 고달픈 시간을 보냈다. 오라클 DB를 사용하는 국내고객은 매우 광범위하다. 정통부만 보더라도 지식정보센타가 20개의 DB중 17개인 85%가 오라클 제품이고 정보통신공무원교육원과 조달사무소의 경우 전체 DB가 오라클 제품이다.

조동기 정보통신연구원 연구위원의 발표에 따르면 ID절도로 인한 경제적 손실이 올 한해동안 전 세계적으로 약 2,210억 달러에 이르며 그 피해가 연평균 300%로 증가해 2005년에는 무려 2조 달러에 달하게 될 전망이다.

이에 따라 신용사회의 도래와 함께 개인정보가 단순한 정보가 아닌 하나의 자산으로 취급되고 있다는 점을 감안해 다각도의 대책을 강구해야 한다는 요구가 높다. 금융감독원은 금융기관에 DB접근시 모든 작업이력을 기록으로 남기도록 권고하고 있다.

1대1 계정원칙 지켜야

이런 안팎의 규제 요구에 대응키 위해 최근 기업들이 DB보안에 관심을 갖고 있다.

DB보안 솔루션은 기업의 중요 DB를 보호해 핵심기술을 보존하고 공금 횡령 등 부정행위를 사전에 차단하는 역할을 담당한다. 솔루션을 도입하면 정통부, 금감원 등의 감사 시 공공기관 담당자들의 감사준비 시간을 절약할 수 있고 효율적인 보안업무를 통해 관리 시간의 비용을 단축할 수 있다.

개인정보를 사고파는 비도덕적 행위들이나 다른 사람의 개인정보를 도용하는 문제들을 근절하기 위해서라도 DB보안 솔루션은 꼭 도입해야 한다.

효과적인 DB보안시스템 구축을 위해선 우선 구현 항목을 상세히 그려야 한다.

DB보안에 있어 사용자 인증은 아주 중요한 부분이다. DB로 접근하는 실제 사용자 확인이 가능하도록 해야 하고, 이를 위해선 1인1계정을 원칙으로 못박아야 사용자를 정확히 파악할 수 있다.

DBMS에도 자체적으로 ID, 패스워드를 통해 인증을 거치긴 하지만 각 기관에선 1인1계정 원칙을 잘 지키고 있지 않는 실정이다. 예를 들면 그룹별 ID와 패스워드를 공유해 사용을 하기 때문에 실질적으로 누가 어떤 작업을 했는지 확인하기가 모호하도록 돼 있다.

이와 함께 DB 로그인 시 또는 중요 데이터 접근 시 이중으로 안전하게 접근통제를 할 수 있어야 한다.

결제기능 도입하면 효과적

모니터링도 빼 놓을 수 없는 요소이다. 접속중인 사용자를 확인하고 관리자에 의한 강제종료가 가능한지 따져봐야 한다. 효과적인 DB보안을 위해선 접속중인 모든 사용자에 대한 정보를 파악할 수 있어야 하며 정책위반 사용자에 대해 세션 강제종료가 가능해야 한다.

문제가 발생하면 로그 기록을 통한 감사가 가능해야 한다. 이를 위해 DBMS에 관련된 모든 로그 이력이 손실 없이 100% 보관되도록 해야 하며, DB에 접근하는 내역을 누가, 언제, 어디서, 무엇을, 어떻게 작업을 했는가에 대한 사후추적이 가능하도록 시스템으로 구축하는 것이 좋다. 특히 중요한 DB파일 보호 차원에서 결재권자의 승인을 얻은 후 실행이 가능한지도 꼼꼼해 살펴야 한다.

이외에도 보안 시스템으로 인해 성능의 저하를 일으키지 않는 지도 고려해야 서비스에 부담을 주지 않게 된다.

이런 점을 고려해야 DB접근을 효과적으로 통제할 수 있으며, 혹 문제가 발생하더라도 원인규명을 물론 대책 마련까지 가능하다.