기관별 암호화 가이드

지식정보사회 고도화에 따라 개인정보 등 각종 데이터 보호가 심각한 사회적 이슈로 부각되고 있습니다.
보안 관련 규제 또한 점차 복잡해지고 구체화되는 추세입니다.

일각에서는 기업의 보안관념이 법이 강제하는 수준에 한정됨으로써, 보안정책이란 침해사고 발생 시 빠져나가기 위한 면책조건의 나열일 뿐이라는 잘못된 인식이 만연한 풍토를 가리켜 지나친 규제의 부작용이라고 지적하기도 하지만, 어쨌든 규제는 필연입니다.

규제는 보안의 충분조건은 아니지만 필요조건이긴 하니, 모든 보안 관련 의사결정은 우선 규제부터 만족해야 합니다.

규제 본격화 시절을 틈타 잘못된 정보를 제공함으로써 시장을 어지럽히는 일이 흔히 벌어집니다. 잘못된 정보는 매우 위험합니다. 특히 기업 자산의 보고인 데이터베이스 보안에 있어서는 해당 기업의 존폐가 걸려 있을 정도로 치명적입니다.

그러니 더더욱 보안의 기본 정석에 충실해야 합니다.

예컨대, 완벽한 데이터베이스 암호화를 위해서는

1) 암호화 알고리즘 자체의 충분한 기밀성이 확보되고 검증되어야 하고,
2) 암호화 키에 대한 안전한 관리 및 운영이 가능해야 하고,
3) 데이터 조작 및 열람에 대한 접근 제어와 보안 감사가 철저하게 이루어져야 합니다.

규제란 현장에서의 실제 필요를 따르게 마련이니, 규제 내용 또한 위 내용과 일치합니다.
따라서 완벽한 보안을 이루기 위해서는 먼저 규제를 살펴볼 필요가 있습니다.

강력한 보안성이 요구되는 조직, 특히 공공기관에서 암호화 제품을 도입하려면
필히 국가사이버안전센터가 관리하는 보안적합성 검증을 받은 제품을 사용해야 합니다.

데이터베이스 암호화 제품이 보안적합성 검증을 통과하려면 우선 검증필 암호 모듈을 탑재해야 합니다. AES, TDES, SEED, ARIA 등 기밀성이 입증된 암호화 알고리즘을 지원해야 하고, 특히 비밀번호 등 인증 데이터를 처리하는 SHA-256 등 일방향 해쉬 알고리즘 탑재는 필수 요건입니다. 비인가자가 암호문을 복호화할 수 없어야 하고, 인가된 사용자에게만 암호화 키 및 핵심보안 매개변수에 대한 접근을 허가하는 기능이 있어야 합니다. 데이터베이스 관리자라 하더라도 인가 받지 않으면 접근할 수 없어야 합니다. 중요 데이터에 대한 접근통제는 사용자 권한, 어플리케이션, 접속 시간, 기간, 요일 등 조건별로 제한할 수 있어야 하고, 접근통제 정책 또한 인가된 사용자만이 수정할 수 있어야 합니다. 그리고 원활한 감사를 위해 모든 데이터는 작업 내역, 결과, 주체, 테이블명, 컬럼명 등 쿼리 유형에 따라 검토 가능해야 합니다.

위 조건들을 모두 충족해야 보안적합성 인증을 취득할 수 있습니다.

시중에 나와 있는 데이터베이스 암호화 제품들이 모두 다 위 조건을 완벽하게 만족하는 것은 아닙니다.

예를 들어, 파일 암호화 기반 제품들은 위 조건을 만족하지 못하기 때문에 공공기관뿐 아니라 금융기관 등 철저한 보안성이 필요한 조직에서는 감사 시 문제가 될 소지가 다분합니다.

일반 기업도 마찬가지, 최근 보안 규제의 흐름을 보면 CEO를 비롯한 임원급 경영진의 직접 책임 등 전사적 차원의 보안 강화 요구가 점차 강화되고 있습니다. 의무사항인 ISMS(정보보호관리체계)와 현재는 권고사항이지만 곧 의무사항으로 정착하리라 예상되는 PIMS(개인정보보호관리체계)의 ‘데이터베이스 접근’ 항목을 보더라도 테이블, 뷰, 컬럼 등 데이터베이스 오브젝트 레벨에서 중요정보의 암호화 및 보안 감사 등의 기능 명세가 포함된 인증 기준이 명시되어 있습니다.

단지 규제를 만족하기 위해 일방향 암호화 및 데이터베이스 접근제어 솔루션 추가 등 부가적 장치를 추가함으로써 요식적으로 모자란 부분을 채우기도 하지만, 이는 진짜 문제를 회피하려는 미봉책에 불과합니다. 그런 조합 방법으로는 통합 솔루션을 이루지 못하기 때문에 전체 구조가 점차 복잡해지고 따라서 성능이 저하되고 요소들 사이에서 충돌이 발생하는 등 기술 근본적 문제를 피할 수 없습니다.

지금껏 정보통신 분야 거의 모든 문제의 원인은 늘 기술 통합의 실패와 그에 따른 부작용이었다는 사실을 되새겨 볼 필요가 있습니다.

도입 과정의 간편함을 강조해 홍보하기도 하지만, 이 또한 무책임한 태도로 보입니다.

보안은 업무를 보다 쉽고 간편하게 처리하기 위한 편의성 도구가 아닙니다.
보안은 기업의 잠재적 손실 위험을 최소 비용으로 최대한 효율적으로 통제하기 위한 위험관리 도구입니다.
그러한 보안의 취지를 가볍게 여기는 태도는
현재 자산과 미래 부의 보호라는 보안의 궁극적 목적을 사실상 포기하는 일입니다.

흔히 말하는 소 잃고 외양간 고치기도 아니고, 애초에 제대로 된 외양간이 아닙니다.