NEWS‎ > ‎

[데이터넷] [컴플라이언스②] 보안 규제 심화로 암호화 시장 다각화

게시자: 김성진, 2016. 6. 23. 오후 7:08   [ 2016. 6. 23. 오후 7:36에 업데이트됨 ]
2016년 6월 24일

지능화된 사이버 공격 위협과 사이버 테러 위협이 고조되면서 정보보호 컴플라이언스도 강화되고 있다. 국내 규제 중에서는 중복되는 부분이 많아 관리자의 업무 효율을 떨어뜨리는 주요 원인으로 지목된다. 효과적인 정보보호 규제 준수 활동을 제안하고, 정보보호 규제의 현재 문제를 지적해본다.<편집자>


주민번호 암호화, 새로운 시장으로 부상

 현재 가장 주목되는 컴플라이언스가 주민등록번호 암호화를 명시한 개인정보보호법이다. 2012년 시행된 개인정보보호법으로 DBMS에서 관리하는 정형데이터는 대체로 암호화 혹은 이에 준하는 기술을 이용해 보호되고 있다. 

 개인정보보호법 준수를 위한 DB 암호화 시장은 금융기관 계정계 시스템에서 사용하는 개인정보 암호화 시장만을 남겨두고 있는 상황이다. 계정계 시스템은 실시간 처리속도에 민감하기 때문에 DB 암호화 대신 접근제어를 구축해왔다. 그러나 개정 개인정보보호법에서 주민번호는 모두 암호화 하도록 했기 때문에 계정계 시스템의 주민번호도 암호화해야 한다. 지난해 신한은행이 이글로벌의 ‘큐브원’을 사용해 전사 주민번호 암호화 사업을 마쳤으며, 이 사례를 벤치마크해 다른 금융기관에서도 암호화 사업에 속도를 내고 있다.



키관리, 암호화의 핵심 이슈로 주목

 최근 DB 암호화 사업은 키관리 시스템(KMS)도 별도로 구축하는 추세를 보이고 있다는 특징이 있다. 기존의 암호화 사업은 암호화 서버에 키를 함께 보관해 암호화된 데이터와 키가 함께 빠져나가는 문제를 해결하지 못했다. 그러나 최근에는 KMS 어플라이언스를 구입하고 별도의 망에서 운영하면서 키를 안전하게 관리해 암호화 데이터의 보안성을 높이고 있다. 

 KMS는 젬알토의 세이프넷, 탈레스, 그리고 탈레스이시큐리티가 인수한 보메트릭 등이 글로벌 시장을 주도하고 있으며, HPE가 암호화 솔루션 ‘아탈라’의 엔터프라이즈 키관리 제품을 국내에 소개하면서 이 시장에 새롭게 뛰어들었다. 국내에서는 펜타시큐리티가 KMS 전용 어플라이언스로 개발해 공급하고 있다. 

 김덕수 펜타시큐리티 전무는 “펜타시큐리티의 ‘디아모 KMS’는 국내 제품으로는 유일한 키관리 전용 어플라이언스로, 금융권고객을 다수 확보하고 있다”며 “디아모 KMS는 RDBMS 뿐만 아니라 다양한 오픈소스 DBMS도 지원한다는 점이 차별점”이라고 말했다. 

 한편 펜타시큐리티의 암호화 솔루션 ‘디아모’는 플러그인 API, 파일 암호화, 시스템 볼륨 암호화 등 여러 기술을 제공해 상황에 따라 적합한 암호화 적용방식을 택할 수 있다. 



암복호화 시간 줄여주는 FPE ‘부상’

 데이터를 보호하면서 업무에 원활하게 사용할 수 있는 방법 중 하나로 ‘포맷유지 암호화(FPE)’가 제안된다. FPE는 원본 데이터와 동일한 포맷을 유지하는 암호화 기술로, 암복호화 시간을 줄여 계정계 시스템에서도 사용할 수 있다.  

 FPE 기술은 HPE가 인수한 볼티지시큐리티가 업계 선두를 지키고 있으며, HPE는 이 기술을 ‘데이터시큐어’ 제품군에 적용해 데이터 보호 시장을 공략하고 있다. 또한 HPE는 토큰DB 없이 일회용 토큰을 발생시키는 새로운 토큰화 제품을 출시하면서 토큰화에 들이는 시간을 줄이고 데이터 안전성을 더욱 높이고 있다.  

 박진성 한국HPE 보안사업부 상무는 “암호화의 가장 큰 문제는 암복호화시 성능이 크게 떨어진다는 점으로, 일부 암호화 솔루션은 실망에 적용하는 것이 불가능할 정도로 성능저하를 일으킨다. HPE의 데이터시큐어 제품군은 성능저하 없는 강력한 암호화 기술로 기업/기관의 중요정보를 안전하게 보호할 수 있다”고 말했다. 

 
▲암호화 방식 구분(자료: 피앤피시큐어)


“DB 암호화만으로 암호화 요건 만족하지 못해” 

 개인정보보호법으로 새롭게 성장을 기대할 수 있는 분야로, 계약서, 청약서, 이미지, 녹취록 등 비정형 데이터 암호화 시장이다. 더불어 시스템에서 발생하는 로그에 포함된 개인정보 암호화 수요와 의료기관의 의료영상정보 등도 민감한 개인정보로 보호해야 한다. 

 박천오 피앤피시큐어 대표는 “기업/기관이 운영하는 시스템 중 대외계 송수신 서버, 대외통신서버 등에서 생성되는 로그에 개인정보가 대거 포함돼 있다. 금융, 공공, 통신 분야 사업자들이 이 데이터를 보호하고자 하는 수요가 폭발적으로 증가할 것”이라고 말했다. 

 비정형 데이터 암호화는 이미지, 문서 등에만 해당하는 것은 아니다. DBMS의 중요 정보를 암호화 했다 해서 완전히 안전한 것은 아니다. 배치작업을 수행할 때 DB는 암호화 돼 있지만 배치는 평문 텍스트로 돌아가기 때문에 내부 시스템에서 이 데이터를 빼가면 정보유출 사고로 이어질 수 있다. 

 배치 시스템의 데이터까지 암호화하기 위해서는 윈도우 서버 뿐 아니라, 유닉스, 리눅스 서버까지 지원할 수 있어야 한다. 보메트릭과 피앤피시큐어는 OS 제약 없는 파일 암호화 기술을 이용해 로그데이터까지 암호화가 가능하다고 주장한다. 

 파일 암호화는 OS 계정으로 권한관리를 하기 때문에 관리자 권한으로 복호화된 데이터를 빼갈 수 있다는 치명적인 단점이 있다. OS에서 암호화를 하기 때문에 암호화 키를 이용해 부팅하기 위해 키를 서버 내에 두게 되므로 키관리가 취약하다. 

 피앤피시큐어의 파일 암호화 솔루션 ‘데이터크립토(DATACrypto)’는 OS 계정이 아니라 사용자 계정을 사용해 데이터에 접근하도록 하며, 자사의 DB접근제어 솔루션 ‘DB세이퍼’와 연동해 강력한 접근제어 정책을 적용해 보안성을 높인다. 파일 암호화의 특징 때문에 어쩔 수 없이 키를 서버에 보관하지만 키에 대한 접근통제를 강화해 권한 있는 사람과 애플리케이션만 접근할 수 있도록 한다. 


김선애 기자 = iyamm@datanet.co.kr

원문= http://www.datanet.co.kr/news/articleView.html?idxno=100717