최근 보안의 비중이 외부 보안에서 내부 보안으로 넘어가고 있다.
이는 대다수 정보유출이 외부에 의한 공격보다 내부자에 의한 경우가 80%를 차지한다는 업계 조사에서도 쉽게 그 원인을 찾을 수 있다.
이에 따라 기밀 정보가 들어있는 DB(데이터베이스)를 원천적으로 암호화 하거나 사용자별 접근 제어를 통해 정보유출을 막자는 움직임(DB 보안)이 본격화되고 있다.
DB 보안은 DB 암호화 및 DB 접근제어 솔루션을 도입함으로써 구현할 수 있다. 국내에서는 이들 2가지 솔루션이 DB 보안 시장을 형성하고 있다.
DB 암호화는 이미 2003년부터 개발됐으나 DB 보안보다 네트워크 및 서버 보안의 대세에 밀려 다른 용도로 사용되거나 별다른 수요를 창출하지 못했다. 그러던 것이 올해 들어 금융권과 대학, 대기업, 포털, 통신 분야 등에서 서서히 수요가 일어나면서 주목을 받고 있다.
DB 암호화 솔루션 업체로는 펜타시큐리티(디아모), 이니텍(세이프 DB), 소프트포럼(XecureDB) 등이 대표적이다. DB 암호화는 크게 애플리케이션을 기반으로 DB를 암호화 하는 방식과 애플리케이션에 관계없이 DB를 중심으로 해서 암호화 하는 2가지 방식이 주류를 이루고 있다.
각기 장단점을 가지고 있으며, 특정 DB에 국한하지 않고 폭넓게 도입할 수 있다는 점에서 애플리케이션 기반 DB 암호화 솔루션이 선호됐었다.
하지만 이 경우 새롭게 애플리케이션이 도입되면 그에 따른 추가 커스터마이징 작업이 필요하다는 점에서 지적을 받고 있다. 이에 따라 최근에는 특정 DB에 국한되지만 애플리케이션에 관계없이 구현되는 DB 기반 암호화 솔루션이 주목을 받고 있다. 펜타시큐리티 '디아모'가 여기에 해당되는 제품이다. 디아모는 오라클 제품만 지원하고 있다. 국내에 오라클 DB가 많이 도입됐기 때문에 고객 유치에는 큰 어려움이 없다는 것이 펜타시큐리티측의 설명이다.
DB 접근제어 솔루션도 좋은 대안이다.
암호화의 과정을 거치지 않고 DB에 접근하고자 하는 사용자를 등급별로 차단, 감사, 접근제어 등을 통해 기밀정보의 유출을 방지한다. 이 솔루션은 접근통제 정책을 통해 자유로운 설정과 사후 역추적이 가능하다는 것이 장점이다. DB 접근제어 솔루션은 구현 방식에 따라 게이트웨이(G/W) 방식과 스니핑(Sniffing) 방식으로 분류되며, 대표적인 업체로는 웨어밸리(샤크라), KWISE(DB 세이퍼), 바넷정보기술(미들만), 앞선데이타시스템(넷로거) 등이 있다.
국내 DB 보안 시장은 이제 태동기를 맞고 있다. 다양한 분야에서 내부 보안의 중요성을 인식하고 서서히 도입하기 시작했다. 시장규모는 아직 예측하기는 어렵지만 고객들이 어느 정도 도입하느냐에 따라 달라질 수 있다. 당초 예상을 뛰어넘을 수 있는 가능성이 더 높다는 게 관련 업계의 지배적인 시각이다.
이젠 더 이상 외부 공격에만 대응할 때는 지났다. 오히려 내부자에 의한 정보유출에 관심을 기울여야 할 때다. 따라서 DB 암호화 및 접근제어 솔루션 도입을 고려해볼만 하다.
<안희권 기자>
저작권자 © 아이티데일리 무단전재 및 재배포 금지