NEWS‎ > ‎

행정DB보안, 접근제어와 암호화 부분 강제화된다

게시자: 한솔, 2013. 6. 26. 오전 12:24

2007. 11. 01


최근 기업과 공공기관의 데이터베이스 보안에 대한 관심이 높아지고 있다. 개인정보 유출과 기업의 핵심정보 유출 사건이 계속해서 발생하면서 이를 막기 위한 일환으로 DB보안에 대한 수요가 늘고 있는 상황이다. 


김태완 행정자치부 표준화팀 전문위원은 “행정기관에서 취급하고 있는 민감한 개인정보들을 보호하기 위해 행정정보데이터베이스 표준화지침을 마련해 올해말까지 고시를 통해 내년부터 이를 강제화할 방침”이라고 밝혔다. 
하지만 DB보안을 어떻게 하는 것이 가장 효과적이고 최선이냐는 각론으로 들어갔을 때 문제들이 발생한다. 여기에 대한 다양한 이견들도 있을 뿐만 아니라 국내 DB보안 기술 수준이 현실적 적용에 어려움이 있다는 전문가들 의견도 만만치 않다. 

김태완 위원은 “현재 마련중에 있는 안은 좀더 보완해야할 부분들이 있지만 행자부 DB보안 표준안은 접근제어를 중심으로 담당자들이 유념해야할 부분들에 대해 자세히 설명하고 있다”며 “단순하면서도 실질적이고 실효성이 있는 표준안으로 마련하기 위해 다양한 루트로 의견을 수렴하고 있다”고 말했다. 

이번 표준화지침은 전자정부 사업이 활발하게 진행되면서 범정부적 차원에서 추진되고 있는 행정정보 공유 활성화에 필요한 행정DB의 품질관리와 보안관리에 대한 규정을 마련하고 DB를 안전하게 관리하자는 목적을 가지고 만들어졌다. 

따라서 이 지침서는 주관기관이 행정DB 표준화와 보안관리에 대한 예산을 확보하고 제반 지침을 마련한 후 사업자를 선정하고 그 결과물을 운영·관리하는데 필요한 전체적인 가이드라인을 제시하는 것이다. 

특히 선정된 사업자는 사업 수행시 지침을 준수해야 하며 지침에 따른 산출물을 작성해 제출하고 운영교육과 기술전수도 해줘야 한다. 또한 수행단계 종료전 행정DB운영매뉴얼과 함께 보안설계서도 작성해야 한다는 점이 특징이다. 사업자는 수행단계에서도 보안점검표를 작성하고 주관기관은 이를 수시로 점검하도록 규정하고 있다. 

이에 운영자는 운영상태 관리계획과 백업계획, 용량관리, 복구계획, 폐기계획, 장애관리계획 등을 수립하도록 하고 있으며 운영관리 계획에는 DB관리시스템에 대한 로그기록도 반드시 남기도록 규정했다. 한편 주관기관 정보화담당관실은 보안담당자를 선임해 주관기관의 행정DB에 대한 보안관리 총괄업무를 수행토록하고 있다. 

행정DB에 대한 보안등급은 총 4등급으로 설정돼 있으며 보안 1등급은 개인의 재산·소득·병력·공소기록 등의 민감한 개인정보들이고 2등급은 주민등록번호 등이 이에 속한다. 

김태완 위원은 “민감한 보안1·2등급의 DB에는 강력한 보안을 실시할 것”이라며 “여기에는 국정원에서 인가된 보안 암호화 방법을 이용해 저장하고 정보주체자만 접근할 수 있도록 엄격한 접근제어를 실시할 것”이라고 밝혔다. 

하지만 암호화 부분은 여전히 난제로 남아있다. 행자부 모 관계자도 “암호화부분은 풀어야할 숙제가 많다”며 “최종 표준지침서가 마련되기 전까지 이 부분에 대한 논의를 더 해야 할 것”이라고 말했다. 

김 위원은 “DB보안에서 가장 문제는 바로 누가 어떤 데이터를 가져갔느냐를 모르고 있다는 것”이라며 “누가 어떤 데이터를 가져갔느냐에 대해 정확하게 데이터를 남기는 것이 중요하다. 또 내부자를 어떻게 통제하느냐가 관건”이라고 덧붙였다. 즉 DB보안에서 접근제어와 모니터링 부분에 70%, 암호화 부분에 30% 정도로 투자를 할 것으로 보인다. 

한편 행자부가 이번 표준안을 만들면서 각계 각층의 보안담당자와 DB개발자의 의견을 수렴하고 있지만 정착 관련 업체 담당자들과의 미팅은 없었다고 한다. 이는 현실적으로 DB보안에 대한 현실적 대안을 제시할 수 있는 최적의 제품이 없기 때문으로 파악된다. 

출처 : 보안뉴스 
http://www.boannews.com/media/view.asp?page=1&idx=7820&search=&find=&kind=1

Comments