본문 바로가기

현장속으로/세미나

잇달아 터지는 개인정보유출 어떻게 막을까

지난 3 27일 서울여대에서 “데이터베이스(이하 DB) 보안에 대한 전반적인 이해와 보안 구축 전략”에 관한 주제로 김범 웨어벨리 상무이사(DQC-S 실무위원) 특강을 했다강연은 DB보안에 대한 개략적 설명, 보안 프레임워크, 구축전략이라는 3개의 큰 주제를 중심으로 진행되었다. 

 

이번 특강은 현재 학부생 수준에 맞게 간단한 용어 설명과 함께 핵심 부분에 대한 내용을 중심으로 이루어졌다. DB보안”이라는 주제가 어떻게 보면 생소하고 무거울 수 있는데, 누구나 궁금해했던 관련 피해 사례와 소소한 경험담 등을 통해 3시간 동안 진행된 강연은 재미가 쏠쏠하고 알찬 시간이었다.

쇼핑몰, SNS, 금융권 개인정보보안에 적신호

 

온라인 쇼핑몰, SNS 서비스 기업들은 물론, 상대적으로 많은 사람들이 안전하다고 생각하고 믿었던 다수의 금융기관들이 대량의 개인정보를 유출당하면서 DB 보안에 적신호가 켜졌다.

이와 같이 세상을 떠들썩하게 했던 일련의 개인정보 유출 사고 이후, 김범 이사는 정보보안의 초점이 이동하게 되었다고 하였다. 기존에는 접근제어, 방화벽, 침입탐지와 차단시스템과 같은 네트워크 상의 보안 그리고 어플리케이션에 정보보안 활동이 치중되어왔다면, 이젠 실질적으로 한번 공격을 당하게 되면 모든 정보가 쓰레기 값이 되어버리는 DB 자체의 보안이 정보보안 전문가들 사이에서 키워드d로 자리매김하게 되었다고 한다.

 

요즘 많은 사람들이 애용하고 있는 SNS 서비스(페이스북, 트위터 등등)의 이용 증가에 따라 DB규모와 수요가 폭발적으로 증가하게 되었다고 한다. 이로 인해 데이터의 가치나 민감 데이터가 증가하게 되었고 이를 겨냥한 보안사고 또한 급증하게 되었다고 한다. 더불어 지난 2011 3 29일에 제정된 개인정보보호법에 따른 DB보안의 필요성이 날로 부각되고 있으며, 많은 사람들이 이에 공감할 수록 올바른 방향을 제시해 줄 수 있는 가이드라인의 필요성 또한 함께 증가하게 되었다.

 

현재 DB분야에서 안고 있는 전문인력의 부족과 효과적인 비용 투입 문제 등을 해결하는데 도움을 줄 수 있고, 실제적이며 구체적인 DB보안 구축 가이드라인의 확립요구에도 부응할 수 있도록 전문가들에 의해 발표된 것이 바로 “DB 보안 프레임워크”이다.

< DB보안 프레임워크 >

DB 보안 프레임워크는 DB 보안을 위한 핵심요소들과 기술적인 요소들을 정의한 기본 개념 틀이라고 할 수 있다.

 

개인정보유출 막는 방법 4가지 

 

과연 우리의 개인정보는 어떤 방식으로 보호될까? 김범 이사는 한국데이터베이스 자료를 인용해 4가지 전략-DB접근통제, 작업결재, DB 암호화, 취약점 분석 솔루션-을 설명했다 

 

DB 접근제어는 사용자가 DBMS에 로그인하거나 SQL을 수행하려고 할 때 미리 정의된 보안규칙에 따라 권한 여부를 판단하여 통제하는 솔루션이다. 일반적으로 SQL을 통제할 뿐만 아니라 로그인이 필요한 SQL에 대하여 SQL 수행과 관련된 정보를 저장하는 기능을 제공한다.

 

DB 작업결재 SQL 수행 과정에서 관리자의 승인을 획득하도록 하는 관리적 보안을 추가한 기술이다. 매우 민감한 데이터에 대한 조작이 필요하거나 조회가 필요한 경우에 해당 데이터에 대한 권한을 갖고 있을지라도 승인을 거치도록 하여 엄격하게 관리해야 하는 경우에 적용한다.

 

DB 암호화는 암호화를 통한 DB 보안과 엄격한 암호키 관리를 통해 데이터를 보호하는 것이다. 잘 다듬어진 데이터 암호화뿐만 아니라 안전한 암호키 관리를 통해 데이터가 유출되더라 데이터를 복호화할 수 없도록 암호키에 대한 기록과 소수의 인가자에 의한 접근만 허용하도록 하는 것이 최종적인 DB 암호화의 완성이라고 할 수 있다.

 

DB 취약점 분석 솔루션은 점검 대상 네트워크 범위에 존재하는 정보자산을 파악하는 정보 수집(Information Gathering), DB 보안을 검증할 수 있는 모의 해킹(Penetration Test), 내부 보안감사(Security Auditing) 등의 과정을 통해 다양한 DB 취약점을 도출하여 DB의 전체 보안 수준의 향상을 도모하는 것이다.

 

이제는 모두가 피해자 

 

김범 이사는 강연을 마치며 "관련 학과 학생의 경우 DB 관련 수업이나 세미나를 통해 알게 되는 관련 용어 정리나, 기업에서 주관하는 교육 등에 참여하면 좋을 것 같다. 상대적으로 관심이 적거나 잘 모르는 일반인은 신문이나 뉴스에서 거론되는 DB 관련 용어를 찾아보거나 블로깅을 하면 좋겠다."라고 당부하였다.

 

앞에서 살펴본 개인정보유출 사례에서도 알 수 있듯, 이제 거의 모두가 피해자이다. 나와 관련 없는 일이다, 어쩔 수 없다라는 생각은 이제 그만! DB보안뿐 아니라 전반적인 보안의식을 높여 자신의 개인정보의 진짜 주인이 되어야 할 것이다. Ahn

 

 

대학생기자 박선민 / 서울여대 정보보호학과

 

배는 항구에 있을 때 가장 안전하겠지만,

그것은 배가 존재하는 이유가 아니다.
더 많은 보안 이야기를 세상에 알리기 위해 나아가겠습니다! ;-D