금번에는 요즘 대두되고 있는 여러 보안 솔루션들의 개념에 대해 간단히 살펴보는 시간을 갖도록 하겠습니다. 최근 여러 카드사에서 발생한 내부유출자에 의한 개인정보 유출사고와 KT에서 간단한 해킹프로그램으로 개인정보 유출 사고 등이 일어났습니다. 이에 대한 근본적인 대처와 처벌 등 많은 이야기들이 있습니다만, 업계에서는 무엇보다 앞으로 제안해 나갈 여러 보안 솔루션이 가장 큰 이슈일 것입니다. 하지만, DB암호화, DB접근제어, NAC, 시큐어코딩 등 관련된 여러 개념과 솔루션 등이 있기 때문에 최소한의 개념 이해가 선행되지 않으면 솔루션을 도입하려는 담당자나 제안을 하는 영업자가 혼동을 일으키고 정확한 제안을 하기 힘든 것이 사실입니다. 각각의 개념들이 상당한 내용으로 설명이 필요하지만, 여기서는 최소한의 설명을 통해 각각의 용어가 무엇을 얘기하는지와 어떻게 구분지어 보안 적용을 할 것인지에 대해 도움이 될 수 있도록 하겠습니다. * 개인정보란? - 여러 보안 솔루션 용어의 개념을 살펴보기 전에 먼저 알아야만 하는 것이 있다. 바로 법에서 얘기하는 개인정보보호에 관한 것이다. 개인정보에 대해서는 여러 관련 법률로서 보호할 것을 규정하고 있다. 이것도 간단히 짚고 넘어가 보자. - 관련 법률 (1) 개인정보보호법 : 고유식별번호(주민등록법상의 주민등록번호, 여권법상의 여권번호, 도로교통법상의 운전면허번호, 출입국관리법상의 외국인등록번호) 및 비밀번호, 바이오정보 등 (참고 : 개인정보의 안정성 확보조치 기준 및 해설서, 행정안전부) (2) 정보통신망법 : 주민등록번호, 카드번호, 계좌번호, 비밀번호, 바이오정보 (참고 : 개인정보의 기술적/관리적 보호조치 기준 해설서, 방송통신위원회 &KISA) (3) 위치정보보호법 : 위치정보 (참고 : 위치정보보호를 위한 관리적/기술적 권고 해설서, 방송통신위원회 &KISA) - 위의 법률에서만 보면 관리할 개인정보가 많아 보이지는 않는다. 그러나, 개인정보는 매우 포괄적인 개념이다. 위에서 얘기한 정보와 성명, 주소, 전화번호, 이메일, IP주소의 정보 등과 결합하여 개인을 식별할 수 있는 정보가 모두 관리 대상 정보라고 할 수 있다. 일반적으로 분류하는 개인정보는 아래와 같다.(이것만은 상세히 다루겠다 그 이유는 아래에서..) (1) 일반정보 : 이름, 주민등록번호, 주소, 전화번호, 생년월일, 출생지, 이메일주소, ID/PW, 가족관계, 가족 구성원 정보, IP주소 (2) 신체적 정보 : 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게 등의 신체 정보와 건강상태, 진료기록, 신체장애, 장애등급 등의 의료/건강에 대한 정보 (3) 재산적 정보 : 소득정보, 신용카드 번호/비밀번호, 통장계좌번호/비밀번호, 동산/부동산 내역, 저축내용 등의 개인/금융정보와 개인신용평가정보, 대출/담보설정 내역, 신용카드 사용내역 등의 신용정보 (4) 사회적 정보 : 학력, 성적, 출석상황, 자격증보유내역, 상벌기록, 생활기록부 등의 교육정보와 전과 범죄기록, 재판기록, 과태료 납부내역 등의 법적정보와 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등의 근로정보 (5) 정신적 정보 : 도서, 비디오대여기록, 잡지구독정보, 여행 등 활동내역, 식료품 등 물품구매내역, 인터넷 웹사이트 검색내역 등의 기호/성향 정보와 종교/활동내역, 정당, 노조 가입여부/활동내역 등의 신념/사상에 대한 정보 (6) 기타 : 통화내역, 인터넷 웹사이트 접속내역, 이메일 또는 전화메시지 등의 통신정보, GPS 등에 의한 개인위치 정보, 병역여부, 군번, 계급, 근무부대 등의 병역정보 - 개인정보의 종류에 대해서 상세히 기록하였다. 그 이유는 아주 명쾌하면서도 대단히 안타깝게 생각되는 부분인데 영업을 하면서 고객에게 보안솔루션에 대해서 제안을 하다보면 아주 위험한 발언으로 제안을 거절하는 담당자를 어렵지 않게 마주하게 된다. 그 발언은 다음과 같다. "우리는 주민등록번호를 안 받아요. 생년월일만 받기 때문에 개인정보보호법과 관련이 없어요." 다시 한번 말하지만 대단히 위험한 생각이다. 물론, 개인정보보호법에 대한 법률과 개념이 어렵기도 하고 쉽게 전파되지 않은 측면도 있지만 영업자로서 안타깝게 드는 발언임에는 틀림이 없다. 다시 한번 말하지만 주민등록번호 외에 개인을 식별할 수 있게 되는 모든 정보가 법률에서 규정하는 개인정보에 해당이 되니 만약 자신이 개인정보를 취급하는 담당자라면 수집되고 있는 정보가 무엇무엇인지 꼭 확인하길 바란다.(아마도, 거의 모든 사이트가 해당될 것이다.) 1. DB 암호화 - DB암호화에 대한 개념은 매우 쉽다. 말 그대로 개인식별정보를 담고 있는 DB 자체를 암호화 한다는 뜻이다. 이는 DB암호화 했을 때의 장점을 통해 그 개념을 확실히 알 수 있다. (1) DB암호화 장점 1) 암호화된 DB가 유출되어도 이 정보를 풀기는 매우 어렵다.(일반적으로는 거의 불가능) 2) DB암호화 솔루션을 통해 해킹을 통한 정보 유출을 어느 정도 막을 수 있다. 3) 정보 유출 방지에 대한 기술적 부분 중 한가지를 했다. (2) DB암호화 단점 1) 암호화 과정으로 인해 속도가 저하될 수 있다. 2) 이로 인해 DB서버의 부하가 가중될 수 있다. 3) 솔루션 도입비용이 크다 4) 암호화 키 관리가 적극적으로 요구된다. - DB암호화의 장점을 통해 쉽고 충분히 개념을 이해할 수 있으나 이에 수반되는 단점이 만만치가 않다. 물론 적용 방식에 따라서 속도저하 문제나 DB서버의 부가 문제는 해결을 할 수 있으나 암호화 키 관리와 솔루션 도입비용 문제는 쉽게 해결될 수 없다. 대부분의 DB암호화 솔루션의 비용이 2천만원을 훌떡 넘기에 중소 사업자나 소규모 사이트로 운영되는 곳에서 이를 도입하기란 쉽지 않은 문제이다. - 그러나 최근 솔루션 개발 업계에서 ASP(임대) 형태의 공급을 고려하고 있어 조만간 좋은 해결 방안이 제시될 수 있으리라 본다. - 그리고 일부에서는 I-PIN 으로 주민번호를 대체하기도 하는데 이는 주민번호 외의 정보가 한가지만으로는 개인정보를 식별할 수 없다는 측면에서 DB암호화의 대체 방안으로 사용되기도 한다. 그래도 정보가 유출될 경우에는 상당한 논란이 되는 부분이므로 개인적으로는(법률적으로도) 반드시 DB암호화 할 것을 권장한다. 관련 정보 - http://blog.naver.com/conifer7?Redirect=Log&logNo=30169861492 - http://www.dt.co.kr/contents.html?article_no=2012112902011860785002 솔루션과 업체 - 펜타시큐리티 D'Amo, 아이넵 D'Guard, 이글로벌 CubeOne, 케이사인 KSignSecure DB, 파수닷컴 솔리드베이스 등 2. DB 접근제어 - DB 접근제어는 사용자가 DBMS에 로그인 하거나 SQL을 수행하려고 할 때 미리 정의된 보안규칙에 따라 권한 여부를 판단하여 통제하는 솔루션이다. - 일반적으로 DB는 DMZ를 거쳐 조직의 가장 내부에 위치하고 있고 DBMS 자체가 강력한 보안기능을 제공하기 때문에 해킹보다는 DB에 접근권한을 가진 사용자가 권한을 남용하여 정보를 유출하거나 변조하는 것이 가장 중요한 위협이다. - DB 접근제어의 필요성 (1) 세분화된 사용자 식별 (2) DBMS에 대한 부하 감경 (3) 관리의 편의성 증대 (4) 다양한 종류의 DBMS에 대한 통합관리 (여기까지는 DBGuide.net 에서 인용한 글이다. DBGuid.net 에 매우 상세한 내용이 나오니 링크를 통해 참조하기 바란다. http://www.dbguide.net/db.db?cmd=view&boardUid=152804&boardConfigUid=9&categoryUid=216&boardIdx=146&boardStep=1) - 그러나 많은 DB암호화 솔루션이 DB접근제어 기능을 같이 제공하므로 적절한 DB암호화 솔루션을 이용하면 두가지 문제를 함께 해결할 수 있다. 솔루션과 업체 - 피앤피시큐어 DBSAFER, 웨어밸리 Chakra Max, 신시웨이 PETRA, 이글로벌 Beacon, 모니터랩 DB인사이트SG 등 3. NAC (Network Access Control) - 복합적인 위협환경에 대비하여 많은 기업들이 방화벽, IPS, 바이러스 월 등 네트워크 보안을 위해 대비해 왔으나, 위협의 형태가 웹, OS 등의 보안취약점을 이용한 형태로 바뀌어 네트워크 방화벽만으로는 현재의 위협에 충분히 대응할 수가 없는 실정이다. - 이 때문에 '엔드포인트 보안' 이 강조되고 있는데 NAC(Network Access Control, 네트워크 접근제어)는 엔드포인트 사용자 보안에 대한 고민에서 시작되었다. - NAC 솔루션의 기능 (1) 네트워크에 접속하는 PC의 사용자가 올바른 사용자인지 먼저 인증 (2) 사용자가 사용하는 PC가 현재 보안위협에 적절히 방어할 수 있는 메커니즘(안티바이러스, OS 패치 등)이 제대로 운용되고 있는지 확인 (3) 사내 전산망에 접속할 수 있는 권한 부여 또는 제한 - 종합하면 '적절한 권한을 가진 사용자가 보안 검증이 된 안전한 PC로 네트워크 자원에 접속할 수 있도록 제어하는 것' 이다. - 그러나 최근에는 기업의 BYOD(Bring Your Own Device) 도입으로 모바일 기기 등과 접목한 업무가 많이 이루어 지고 있는데 이 또한 접근통제 문제의 하나로 대두되고 있다. 최근에는 MDM, MAM 이라는 솔루션 등이 제안되어 무선침입방지시스템(WIPS)이 적용되도록 하고 있다. - 또한, 망분리 시장에서 NAC가 점점 더 각광 받고 있다. 망분리 특성상 외부에서 업무망(폐쇄망)으로 접속이 불가능하기 때문에 스마트워크와 맞지 않으나, NAC를 통해 인가받은 단말기, 사용자, 네트워크가 업무망에 접속할 수 있도록 정책을 설정할 수 있다. 관련정보 - http://blog.naver.com/yagobo83?Redirect=Log&logNo=134999696 - 2014 기업 정보보안 가이드 v.9 '접근제어'에서 일부 발췌 솔루션과 업체 - 지니네트웍스 지니안NAC/WNAC, 넷맨 스마트NAC, 시스코 CNAC프로파일러/ISE, 포어사이트(KCC시큐리티 공급) 카운터액트NAC, 유넷시스템 애니클릭NAC (이외, 미라지네트워크, 컨센트리, 주니퍼, 시만텍, 맥아피, 체크포인트, 안랩, 에어큐브 등등등 많은 업체가 경쟁적으로 싸우며 시장을 형성하고 있으나 주요 플레이어로 자리잡은 기업은 지니네트웍스, 넷맨, 포어사이트 등이며 유넷시스템(닉스테크가 인수) 정도이다.) 1부를 마치며 - 보안의 개념은 당연히 엄청나게 많은 카테고리를 형성하고 있고 그 각각이 책 몇권의 개념을 담고 있을 것이다. - 이 글의 주목적은 핵심 얘기만 다루면서 아주 간단히 개념적으로 용어의 분리를 이루고자 함이다. - 많은 사이트와 책 등에서 내용을 거의 베끼다시피 해서 저작권 문제로 잡혀 가지나 않을까 심히 걱정되기도 한다. - 이전의 글과 달리 반말로 씌여진 점은 이해해 주길 바란다. 이유는 처음에 글을 아무 생각없이 반말로 쓰다가 나중에 알았을 때는 수정하기 힘들정도로 진척이 되었기 때문이다. ㅋ - 2부에서는 시큐어코딩, 망분리, 엔드포인트 보안 등에 대해서 다뤄보도록 하겠다. 정보, 문의, 자료요청 등 : (주)에이원네트웍스 영업부 과장 이규식 / 010-3221-2946 / omarelee@nidc.kr |