DB암호화 도입, 증권사로부터 全 금융권 확대중! (보안뉴스 2012. 10. 29)

Penta Security logo

DB암호화 도입, 증권사로부터 全 금융권 확대중!
자가진단으로 자사 환경에 최적화된 암호화 도입해야
 
개인정보보호법에 따르면 올해 12월 31일까지 고유식별정보(주민번호, 외국인등록번호, 여권번호, 운전면허번호), 비밀번호, 바이오정보를 저장·전송하는 개인정보처리자는 이에 대한 암호화 조치를 완료해야 한다.
이는 정보통신기술 발전에 따라 개인정보의 저장·유통이 대량화, 광역화, 네트워크화 되면서 저장·유통되는 개인정보가 더욱 많은 위협에 쉽게 노출되고 있기 때문이다.
공격자는 정보통신망을 통해 개인정보 송수신시 패킷 도청 소프트웨어를 사용해 가로채거나 개인정보가 저장된 서버의 취약점을 찾아 고유식별정보 등과 같은 중요한 개인정보를 해킹한다. 이러한 위협으로부터 중요 정보를 보호하기 위해서는 개인정보의 전송 및 저장시 암호화가 필요하다.
최근 개인정보 유출사고의 연이은 발생으로 인해 제정된 개인정보보호법에 개인정보의 안전성을 확보하기 위한 조치의무를 규정하고 있으며, 전송 또는 저장 정보의 암호화 조치는 선택이 아닌 반드시 수행해야 할 항목으로 자리하고 있다.
이에 대해 백경명 펜타시큐리티 DB보안사업부 부장은 “기업이나 기관에서 수행해야 할 개인정보 암호화 조치의 경우 암호화 대상에 대한 체크리스트 점검을 통해 도입계획을 세우고 추진해야 한다”고 말했다.
또한, 그는 “법 규정은 올해 말까지 대상자는 모두 암호화 조치를 취해야 하는 것으로 의무화하고 있지만 모든 대상 기업이 올 연말까지 조치를 취하지는 않을 것”이며, 다른 방안으로의 대체가능성을 언급했다.
예를 들면 이러한 법 규제를 피하기 위해서 일부 사업자는 아이핀으로 대체하거나 개인정보를 저장하지 않거나 아예 취급하지 않는 방향으로 전환할 수 있다는 것이다.
하지만 이 외의 기업과 기관에서는 암호화를 도입해야 한다. 기존까지 성능저하가 부담되거나 여러 가지 제한 때문에 암호화 도입을 주저했던 금융권, 특히 증권사에서 암호화 도입을 적극 검토하고 있는 상황인 것.
백경명 부장은 “암호화 조치의 경우 사업자가 법 해석에 따라 할 수도 있고 하지 않을 수도 있지만 암호화 솔루션을 도입한다고 하면 충분한 사전검토가 필요하다. 즉 예산범위 안에서 구축방법이나 구축기간 등을 고려해 가장 적합한 방식으로 수행해야 한다”고 강조했다.
DB암호화 구축방식은 간단한 적용은 플러그인 방식으로, 성능이슈가 있다면 API 방식으로 구축하게 되는데, 이 경우 시스템이나 애플리케이션의 변경이 필요하다는 것을 염두에 두고 도입해야 한다는 것.
또한, 그는 “최근 DB암호화의 경우 올 하반기부터 증권사들이 관심을 갖고 도입하고 있다. 이는 법 규제로 인해 고민을 하다가 대기업 등에서 암호화 적용하는 것을 보고 도입하기 시작한 것”이라면서 “이를 계기로 은행이나 보험사 등에서도 도입을 서두를 것으로 예상된다”고 말했다.
펜타시큐리티는 이러한 DB 암호화 솔루션으로 디아모(D’Amo)를 제공하고 있다. 디아모의 경우 여러 분야에 걸처 폭 넓은 암호화가 가능한 제품이라는 것이 회사측의 설명이다.
백 부장은 “펜타시큐리티의 전체 매출에서 암호화 솔루션이 차지하는 비율이 40% 가량으로 현재 1,500곳의 레퍼런스를 보유하고 있다. 디아모는 고객들의 각 환경별로 최적화된 솔루션으로 제공한다”고 강조했다.
특히, 디아모는 DB암호화 통합보안 솔루션으로 데이터 암호화, 접근제어 및 감사기능을 통해 기업 내 중요한 데이터를 효과적으로 보호할 수 있다. 또한, 데이터베이스와 연동하는 기존 응용프로그램에 대한 수정 없이도 데이터를 컬럼 단위로 암호화하며, 컬럼단위 작업 내역을 기록·보관해 해킹 및 내부자에 의한 개인정보 유출을 차단할 수 있다.
 
[기사 원본 보기 – 보안뉴스 http://www.boannews.com/media/view.asp?idx=33418&kind=1]