2. DB 보안 정책 필요성

일반적으로 조직 내에는 많은 정책들이 존재하며, 정책은 각각의 활동·업무 영역 또는 분 야에서 명확한 목표와 목적, 나아갈 방향 등을 제시하기 위해 작성되고 사용된다. 조직의 유·무형 자산을 보호하기 위한 보안 분야에 대해서도 정책은 매우 중요한 의미를 가지며, 정보 보안 정책은 보안 정책의 세부 분야 중 하나로서 유·무형의 정보를 안전하게 보호하 기 위한 정책이 된다.
그러나 '정보'라 칭하고 보호해야 할 대상으로서 다루고자 할 때 그 적용 범위가 매우 넓어 실효적인 성과를 거두기에 어려움이 있다. 따라서 DB 보안 정책은 보다 특화된 분야로서 DB에 저장된 정보를 대상으로 하는 보안 정책이 되며, 분명한 목적물을 대상으로 하기 때 문에 보다 구체적이고 실효적인 정책 수립과 적용이 가능할 수 있다.
DB 보안 정책은 다음과 같은 목적을 충족해야 한다.

■중요한 정보를 보호하는데 대한 당위성 인식
■보안, 특히 DB 보안에 대한 회사 차원의 공감대 형성을 위한 기본 입장을 규명
■사용자, 시스템 관리자, 경영자, 보안담당자 등의 예측된 행위에 대한 규칙 설정
■보안담당자가 모니터링, 탐문, 조사 등을 수행할 수 있는 권한에 대한 근거
■침해사고의 결과조치를 정의하고 권한을 부여
■위험을 최소화할 수 있도록 지원
■제반 규범 준수를 지원
DB 보안 정책의 필요성을 기대 효과 측면에서 요약해 보면 다음과 같다.
■구성원들이 준수할 수 있는 모범적 실무에 대한 프레임워크를 제공할 수 있다.
정보 보안 정책은 조직의 모든 구성원들이 준수할 수 있는 모범적 실무에 대한 프레임워 크를 제공한다고 할 수 있는데, 이런 면에서 DB 보안 정책은 DB 보안을 위한 실무적 프 레임워크를 제공하여 위험을 최소화하고 어떠한 보안 사고에도 효율적으로 대응할 수 있도록 하는 토대가 된다고 할 수 있다.
■보호할 대상에 대한 명확한 인식을 형성할 수 있다.
DB 보안 정책은 그 수립 과정에서 조직이 중요하게 보호해야 할 정보 자산을 규명하고, 보호해야 할 정보나 데이터에 대한 조직의 자세를 정의한다. 또한 내· 외부적으로 정보 의 자산성과 소유권을 천명하여, 비인가된 접근, 변경, 노출, 파괴 등으로부터 보호되 어야 함을 알려준다.

■법적 요건 준수를 위한 기본 틀을 제공한다.
DB 보안 정책에서 DB 및 DB 내 정보 보호와 관련된 법적 요건들을 고려하여 이를 분명 하게 정의함으로써 관련 법규를 준수할 수 있는 기본적 틀을 제공할 수 있다. 개인정보 보호법 시행에 따른 준수 사항을 고려하여 DB 보안 정책 수립 시 반영하는 것이 한 사례 라 하겠다. 외국의 경우에도 HIPAA (Health Insurance Accountability and Portability Act), GLBA (Gramm-Leach-Bliley Act), SOX(Sarbanes Oxley Act) 등과 같은 많은 정보보호 관련 법령이 고려되어야 하기 때문에 해외 지역에 위치한 DB의 DB 보안 정책 수립 시에는 이를 감안할 필요가 있다.

■미래의 바람직한 변화를 유도하는 촉매로서 역할을 할 수 있다.
DB보안 정책은 미래의 프로젝트들이 더욱 향상된 보안성을 갖추고 견고한 체계로 수행 될 수 있도록 하는데 촉매로 작용하여, 조직이 신뢰성과 경쟁력을 갖춘 바람직한 모습으 로 자리매김하는데 선도적인 역할을 할 수 있다. 예를 들면, DB 보안 정책 체계에서 민 감한 정보를 저장할 때 어떤 유형의 암호화가 필요하다는 것을 기술하고 있다면, 미래에 그러한 기능을 개발하거나 도입할 필요성을 인식시키고 이를 수행하게 할 수 있다. 정책 내에 존재하는 이러한 요건들은 데이터 암호화 프로젝트를 착수하는데 대해 강력한 동 인이나 근거가 될 수 있다.
다시 말하면, DB 보안 정책은 조직의 DB 내 중요한 정보를 보호하는데 유용한 도구여 야 하고 가이드와 업무 근거로서 일상 업무에서 의존할 수 있는 것이어야 한다. 그러나 보안 정책이 조직의 기본적인 정책이나 보안 실무와 맞지 않아 기업 구성원들에게 외면 되고 있거나, 아예 존재 자체도 모르고 있는 등 재고품(Shelfware) 수준으로 전락해 버 린 경우도 있다.

■실용성과 활용성, 현실성 등을 고려하여 업무에 도움이 될 수 있다.
DB 보안 정책이 유용하고 활용 가능하도록 만드는 열쇠는 조직의 현실에 맞고 정책과 부합하는 정책 체계를 만드는 것이다. 그래서 DB 보안 정책은 활용성과 실용성, 현실성 을 모두 갖추어야 한다. 이를 위해서는 필요한 기능들을 잘 갖춘 유력한 솔루션들을 구 매할 수도 있으며, 이는 업무 전문가나 시스템 관리자, 최종 사용자들과 같이 일상 업무 에서 정책을 사용해야 할 실무 계층뿐만 아니라, 경영진과 감사 및 법률 자문 등과 같은 지원 계층에서도 필요성을 공감하고 활용할 수 있어야 한다.
이러한 것이 가능하도록 하기 위한 중요한 방법 중 하나는 정책을 적용받아야 할 사람들 과의 의사소통을 통해 그 중요성과 유용성을 설득하고 이해시키는 것이다. 그러나 사용 자들은 대체적으로 보안 정책의 적용을 귀찮아 하고 일상 업무 수행을 불편하게 하는 방 해 요소 정도로 생각하고 있기 쉽다.
DB 보안 정책을 수립할 때 고려해야 할 중요 요소의 하나는 DB 보안 정책이 실무에 맞아 야 하고 사용자들에 의해 거부되지 않아야 한다는 것이다. DB 보안 정책이 업무 수행에 용 이한 프레임워크를 제공하고, 모범 사례에 대한 레퍼런스를 제공하며, 법적 요건을 준수 할 수 있도록 해 주기 때문에 DB 보안 정책이 사용자들에게 유용하다는 것을 이해시켜야 한다. 일단 DB 보안 정책이 사용자들의 업무에 실제로 도움을 줄 수 있다는 점을 인지하게 된다면, 정책 수립을 돕고 그 정책을 준수하는 것 모두를 쉽게 받아들일 것이다.
이와 비슷한 관점에서, 정책이 법적 요건 준수에 도움을 주고 새로운 동기 부여에도 유용 한 도구임을 상위 관리자들이 인지하게 되면, 그들 자신이 DB 보안 정책 적용에 앞장 설뿐 아니라 재정적 지원이나 자원 투입에 있어서도 보다 적극적인 지원이 가능할 것이다.