DB전문가 임종인교수에게 묻다!

최근 현대캐피탈 보안사고 및 SK커뮤니케이션즈 유출사고 등 기업이 보유한 개인정보가 유출되는 사고를 비롯하여 잇따라 정보보호 사고가 발생하고 있습니다. 이에 국내 DB보안 전문가 인터뷰를 통하여 향후 DB보안 사고 예방을 위한 방안을 들어보고 향후 DB보안 전문가 양성의 필요성 및 DB보안 분야의 앞날에 관해 생각할 시간을 가져보도록 하겠습니다.

1. 최근 발생한 현대캐피탈, SK컴즈 등 정보 유출 사고의 주요 원인이 무엇이라고 생각하십니까?

최근 기업이 보유한 개인정보가 유출되는 사고를 비롯하여 잇따라 정보보호 사고가 발생하고 있습니다. 현대캐피탈 보안사고의 경우 현대캐피탈 본 업무시스템에 대한 보안은 잘 되어있었습니다. 하지만, 캐피탈과 관련된 광고발송·정비내역 조회 등 업무 보조 웹서버와 내부 고객정보 DB가 연동되어 있었는데 이 부분에 대한 보안이 취약하였습니다. 해커는 바로 이 부분을 노리고 침투하여 고객의 정보를 탈취할 수 있었습니다.
SK커뮤니케이션즈 유출사고의 경우 전형적인 APT(Advanced Persistent Threat) 공격으로 인한 해킹사고입니다. 해커는 알약이라는 백신 프로그램의 자동업데이트 과정에서 악성코드를 심어, 이 알약 사용자의 PC를 감염시켰습니다. 이후 이 감염된 SK컴즈의 내부직원 PC는 정보를 수집하여 SK컴즈 고객DB의 침투용 통로를 확보한 뒤, 해커는 이 통로를 이용하여 고객 DB에 저장된 3,500만 명의 정보를 탈취하였습니다.
이처럼 내부 DB를 안전하게 관리하였다하더라도 고객의 정보를 보유하고 있는 DB가 업무에 있어 내부직원과 혹은 고객정보 이용 및 관리를 위하여 외부와 연결됨에 따라, IT의 여러 위험들이 DB를 위협하고 있습니다. 이러한 위협에 대응하기 위해서는 기업의 DB보안에 대한 인식제고가 제일 우선이며, 이를 바탕으로 접근제어·암호화 등의 기술적 보호조치와 내부통제 강화 등의 관리적 보호조치가 반드시 필요합니다.

 

2. 향후 이러한 국내 DB보안 사고를 예방하려면 무엇을 어떻게 준비해야 할지 좋은 의견 부탁드립니다.

최근 발생하고 있는 정보 유출 사고들에서 밝혀진 것과 같이, 정보가 유출되는 원인은 DB에 대한 보안 기술의 부재 보다는, 보안기술이 제대로 구현되지 않거나, 보안기술의 적용에 대한 기준을 가지고 있지 못하거나, DB에 대한 관리가 소홀하게 이루어졌기 때문입니다. 따라서 DB 보안 사고의 예방을 위해 가장 시급한 부분은 DB 보안의 중요성을 DB 담당자 및 경영진들이 인식하는 것이라 할 수 있습니다. 이를 위해서는 DB에 대한 상당한 주의 의무를 부과하는 제도적 측면의 규제가 필요하며, 이와 함께 기업의 보안 교육에서 DB 접근에 대한 부분을 강화할 필요가 있습니다. 또한 기업에서 보유하고 있는 DB 내 정보를 중요도에 따라 DB 컬럼이나 레코드 수준에서 분류, 식별하고, 정보의 중요도에 따라 적절한 보안 기술을 구현, 적용해야합니다. 특히, 현재 기술 수준에서 DB에 대한 암호화 등의 보안 기술이 DB 성능의 한계로 인하여 부분적으로만 사용되고 있음을 고려할 때, 정보의 중요도에 따른 적절한 보안 기술 적용은 DB 보안기술로 인한 DB의 성능 제약이 어느 정도 감수할 수 있을 때까지, 필수적으로 취해져야할 조치일 것입니다.

 

3. 그리고 해외에서 DB보안이 잘 된 곳이 있다면 소개해 주시고, 국내 DB보안 수준과 비교했을 때 어떠한 차이점이 있는지 말씀해 주시기 바랍니다.

국내 데이터베이스 보안 솔루션들은 이미 성능면에서 해외에서 널리 인정받고 있으며, 특히 내부보안과 개인정보보호시장이 활성화되어 있는 일본 시장은 국내제품이 장악하고 있는 것으로 알려져있습니다. 국내의 잇따른 개인정보 DB 유출은 국내 DB보안제품의 문제라기보다는 의무화를 요구하는 엄격한 규제의 부재와 국내 기업들의 안일한 보안 설정과 운영관행의 문제라고 할 수 있습니다. 반면, 미국과 유럽의 경우 이미 강력한 개인정보보호 규제들에 의해 DB보안에 대한 수요가 높고 DB보안위험에 대한 대비책들이 활성화되어 있는 상황입니다. 특히 미국의 경우 프라이버스침해사고 고지관련 법들을 통해 개인정보 유출 사고 발생 시 피해자들에게 직접 피해 사실을 고지할 것을 의무화하는 한편, 만일 고객정보를 암호화하여 저장하고 있을 경우 이러한 고지 의무를 면제해주고 있습니다. 따라서 미국 기업들은 많은 비용이 소요되는 고지의무를 면제받기 위해 데이터베이스에 저장된 고객정보의 암호화에 공을 들이고 있습니다.
국내에서도 개인정보보호법의 통과에 따라 DB암호화를 포함한 DB보안에 관심이 높아지고 수요가 증가될 것으로 예상됩니다. 결국 해외의 경우 각종 컴플라이언스요구조건에 의해 DB보안이 기업사회에서 활성화되어 있을 뿐 DB보안 그 자체의 수준은 그리 크지 않다고 할 수 있습니다. 현재 국내 DB보안 현황에서 볼 수 있는 가장 큰 문제점이라고 할 수 있는 DB성능 저하에 의한 비즈니스 목표달성의 실패 문제는 국내뿐만 아니라 전세계적으로 해결해야 할 문제이며 어디에도 이에 대해 뾰족한 대안을 제시하고 있는 제품은 아직까지 없는 것으로 알려져 있습니다. 하지만, 해외의 경우 단순히 컴플라이언스 요구수준을 넘어 프라이버시강화기술(PET) 기술을 이용한 Hippocratic Database와 Privacy Preserving DataMining 등 프라이버시 요구조건과 비즈니스 목표의 균형을 잡기 위한 새로운 연구노력들이 지속적으로 이루어져왔고 이를 통해 새롭고 대앙한 데이터보안 컨셉들이 등장해왔다는 점에서 차이점이 존재합니다. 국내에서의 개인정보보호법의 요구사항은 DB보안의 단기적인 활성화에 도움을 주게 되겠지만, 이 시점에서 데이터보안을 특정 유형으로 표준화하거나 권고하는 것은 창의적인 연구를 불가능하게 하여 국내 DB보안 수준을 고착화시키는 계기가 될 수 있으므로 특정 제품 유형으로 표준화하는 것은 오히려 더욱 창의적인 연구를 불가능하게 할 수 있다는 점에서 신중하게 접근할 필요가 있을 것으로 생각됩니다.

 

4. 앞으로 우수한 국내 DB보안 전문가를 양성하기 위해서 많은 준비가 필요할 것 같은데 현재 국내 DB보안 전문가 양성에 대한 사회적인 공감대(분위기)는 어떤지, 그리고 우수한 국내 DB보안 전문가를 양성하기 위해서 국가 및 기업 차원에서 어떻게 준비(또는 지원)해야 할지 말씀해 주시기 바랍니다.

DB는 개인정보뿐만 아니라, 금융정보, 기업의 기밀정보 등 모든 정보가 집중되는 곳으로 해커들의 가장 큰 목표물입니다. 따라서 우선적으로 DB 보안의 중요성에 대한 인식 변화가 필요합니다. 기존에는 정보보호에 대한 인식이 많이 부족하였으나, 올해 잇따른 정보유출 사고를 계기로 인식의 전환이 일어나고 있는 상황입니다. 또한, 9월 30일 개인정보보호법이 시행됨에 따라 이와 같은 변화는 더욱 가속화될 것으로 예상됩니다. 하지만 이러한 사회적인 인식 변화와 제도 변화에도 불구하고, 이를 준비하기 위한 노력은 부족한 상황입니다. 현재 현업에서 DB 관리를 포함하여 IT를 담당하고 있는 인력 대부분이 보안을 전공하지 않은 인력이므로, 보안에 대한 정보 및 인식이 부족한 것이 현실입니다. 반면, 해커들은 나날이 발전되는 기술을 이용하여 DB를 호시탐탐노리고 있습니다. 따라서 DB보안에 대한 교육이 충분히 된 인력을 현장에서 보안 인력으로 투입하기 위한 기반이 필요합니다. 이를 위해서는 기존 IT 인력에 대한 보안재교육, 그리고 보안전문 인력의 양성이 필요합니다.
국가적으로도 더 이상 국민이 정보주체로서 자기정보통제권을 잃는 상황이 오지 않도록, 더욱 적극적으로 조직이 보유한 정보를 보호하도록 규정해야 합니다. 이를 위하여 DB보안 기술 연구개발 지원, 기존 인력의 재교육 및 DB보안 전문 인력의 지원 등이 필요입하여 날로 진화하는 공격에 대하여 전문적인 대응이 필요합?력 채용 등을 통해 최선의 노력을 다해 DB를 보호해야 할 것입니다.

 

5. 현재 국내 DB보안 전문가 또는 예비 DB보안 전문가들에게 전달하고자 하는 메시지가 있으시다면 말씀해 주시기 바랍니다.

현재 정보의 기밀성이나 무결성 보호라는 측면에서 충분한 보안을 보장하는 다양한 DB 보안 기술들이 연구？개발되고 있습니다. 하지만, 이러한 다양한 기술들이 실제 기업에서 DB를 운용하는데 사용되고 있는지는 의문입니다. 기업에서 DB에 대한 성능의 문제로 암호화와 같은 가장 기본적인 보안 기술의 적용도 꺼리고 있는 것이 현실임을 고려할 때, DB의 안정성을 보장하는 것도 중요하지만, 실제로 현실 상황에 도입되어야 하는 것이 중요하므로 DB의 성능 저하 없이 구현이 용이한 기술을 연구하는 것이 현재 연구에 있어 초점을 두어야 할 부분이라고 생각합니다. 즉, DB 보안 기술의 연구에서는 실제 적용될 수 있도록 하는 응용측면의 연구가 활발해질 필요가 있습니다. 또한 최근 DB 유출에서 개인정보와 관련된 사고가 많았음을 고려할 때, PET와 같은 보안 기술을 적절하게 도입, 사용해야할 필요가 있습니다. 이는 비단 개인정보에 국한된 것이 아니며, 정보의 중요성에 따라 차등적인 보안 기술을 적용하는 것이 중요하므로, 이에 사용될 수 있는 다양한 보안기술의 연구가 필요합니다.

 

6. 마지막으로 DB보안 전문가이신 교수님이 바라본 국내 DB보안 분야의 앞날은 어떤지 말씀해 주시기 바랍니다.

지금은 정보화 사회를 넘어, 모든 것이 디지털 세상과 연결되고 모든 정보가 디지털화되는 디지털 세상에 진입하고 있습니다. 클라우드컴퓨팅을 통하여 DB를 포함한 각종 IT 자원들은 한 곳에 집중될 것이고, 전자문서보관소, 디지털아카이빙 등 전자화된 문서의 집중화 역시 예상됩니다. 규제환경 역시 개인정보보호법의 시행 등으로 보안을 강화하는 측면으로 변화하고 있습니다. 사회적 분위기도 계속된 보안사고로 인하여, 기업의 보안에 대한 최선의 노력을 요구하고 있습니다. 이러한 환경에서 DB 보안은 기업의 지속가능한 성장을 위하여 필수적인 요소입니다.
하지만 DB보안을 위한 사회적 기반 등은 아직 부족한 상황입니다. DB 보안을 위한 인력 부족하며, DB보안과 관련된 기술개발도 아직은 부족한 상황입니다. 또한 기업들의 DB보안을 위한 관심 및 인식 역시 부족합니다. 학계에서도 아직 DB보안과 관련된 기술 개발이 더욱 필요한 상황입니다.
이처럼 DB보안과 관련된 수요는 증가하고 있으나, 이에 대한 준비는 부족한 상황으로 이는 곧 새로운 기회를 의미합니다. DB보안에 대하여 충분히 준비하고 대응한 사람과 조직은 이러한 기회를 통하여 발전할 수 있을 것이라고 생각합니다. 우리나라의 모든 정보가 안전하게 지켜질 수 있도록 사명감을 갖고 DB보안에 대하여 관심을 갖고 모두들 열심히 준비할 수 있길 바랍니다.