제1금융권 DB 암호화 시작“기술 경쟁은 지금부터”

Penta Security logo

제 1 금융권 DB 암호화 시작 “기술 경쟁은 지금부터”
성능저하 우려 해소…암호화 핵심 기술로 ‘키관리’주목
 
지난해 개인정보보호법 특수를 제대로 누린 정보보안 산업은 DB암호화다. 개인정보를 취급하는 기업은 지난해 말 까지 암호화 혹은 이에 준하는 보호정책을 마련해야 했으며, 이를 지키지 않고 개인정보 유출사고를 일으키면 2년 이하의 징역 또는 1000만원 이하의 벌금이 부과된다.
개인정보보호법 준수를 위해 많은 기업과 기관들이 일제히 DB 암호화 솔루션을 도입해 이 시장은 지난해 전년대비 92.3% 성장이라는 놀라운 성과를 걷어들였다. 특히 몇 곳의 DB 암호화 솔루션 기업은 가격경쟁력을 앞세워 많은 고객을 확보하면서 순식간에 선두그룹에 진입하기도 했다.
그러나 DB 암호화 시장이 지속적으로 높은 성장을 이룰 것으로 예상하기는 어렵다. 올해 초 까지만해도 지난해 말 DB 암호화 유예기간이 끝난 만큼, DB 암호화 시장은 더이상 성장 하지 못할 것이라는 전망이 지배적이었다. 한국인터넷진흥원(KISA)이 지난해 발표한 ‘2012년 국내 지식정보보안 산업 실태조사’에 따르면 올해 DB암호화 시장은 지난해보다 20억원 가량 줄어든 404억원에 그치고, 향후에도 거의 성장 없이 현 상태를 지속할 것으로 예상됐다.
하지만 3·20 사고를 비롯해 지능형 타깃 공격이 성행하면서 DB암호화 시장의 성장속도가 둔화되지 않고 있다. 물론 지난해와 같은 급성장은 아니지만, 전년대비 20~30% 가량 성장할 수 있을 것으로 예상된다. 성장동인은 제1금융권이다.
조돈섭 이글로벌시스템 마케팅 담당이사는 “산업은행이 제1금융권 중 최초로 DB 암호화를 시작했다. 국내 최대 금융그룹도 DB암호화 사업을 시작한 것으로 알려진다”며 “진짜 중요한 DB 암호화 사업은 올해부터 시작이다”고 말했다.
 
증권사 암호화 도입하며 성능저하 우려 해소 

금융권의 DB 암호화에 주목하는 것은 다른 산업군에서 진행하는 사업에 비해 상대적으로 규모가 크기 때문이다. 또한 대규모 금융정보와 개인정보를 보유하고 있는 금융권의 암호화 사업을 수주하면 대표적인 레퍼런스로 소개할 수 있기 때문에 영업이 더욱 탄력을 받을 수 있다.
이은배 이니텍 보안개발2본부장은 “현재 금융권 암호화는 70~80% 가량 이뤄진 것으로 보고 있다. 그러나 가장 중요한 업무에 대한 암호화는 도입되지 않았으며, 제1금융권은 이제 검토단계에 있는 것으로 본다”며 “올해부터 금융권에서 대규모 암호화 사업이 시작될 것으로 예상되며, 암호화 시장은 곧 성숙 단계로 접어들 것으로 본다”고 밝혔다.
조돈섭 이글로벌 이사는 “현재 금융권 다수에서 암호화를 도입했다고 하지만, 어떤 업무에 도입했는지 잘 살펴봐야 한다. 많은 경우 실시간 데이터 처리가 중요한 업무가 아니라 그룹웨어나 인사시스템 등 내부업무용으로 적용됐으며, 규모도 작은 편”이라며 “올해 시작되는 금융권의 DB 암호화는 실제 고객 데이터에 대한 암호화이므로 암호화 솔루션들의 기술경쟁이 본격화 될 것”이라고 말했다.
금융권 암호화 사업은 생명보험사에서 가장 먼저 시작됐다. 생보사는 성능에 민감하지 않은 대신 대규모 데이터 암호화 지원이 중요했다. 대용량 데이터에 대한 암호화 사업은 유통기업 등 대규모 고객 데이터를 보유하고 있는 산업군에서 암호화를 도입·운영하고 있는 사례가 많기 때문에 생보사의 암호화 사업은 문제 없이 진행됐다.
지난해 하반기부터는 증권사가 주식거래시스템에 암호화를 적용하면서 금융권 암호화 시장이 탄력을 받기 시작했다. 증권사는 시스템 속도에 따라 수익률이 크게 달라지기 때문에 고가의 초저지연(Ultra-low Latency) 네트워크 장비를 도입하는 등 빠른 속도를 보장하기 위한 노력을 기울이고 있다. 이러한 시스템에는 보안 시스템으로 인한 성능저하나 장애를 우려해 보안 시스템을 거의 적용하지 않았다.
남경문 펜타시큐리티 제품기획2팀장은 “속도에 가장 민감한 증권사가 DB암호화 시스템을 구축했다는 것은 암호화로 인한 성능저하 우려가 사라졌다는 뜻”이라며 “생보사와 증권사 DB 암호화 사업을 통해 대용량 데이터와 빠른 속도를 지원하는 환경에서도 적용될 수 있다는 사실이 충분히 입증된 만큼 제1금융권에서 암호화를 꺼릴 이유가 없어졌다”고 말했다.
금융권 암호화 사업에 관심이 집중되고 있지만, 실제로 시장의 규모를 확장시키지는 못할 것이라는 부정적인 전망도 있다. 개인정보보호법 시행으로 금융권에서도 암호화 솔루션을 도입했지만, 일부 솔루션 구입만 완료한 후 구축을 하지 않는 경우도 있다. 컴플라이언스 때문에 급하게 저가의 제품을 구입했지만, DB 변경이나 업무 애플리케이션에 문제를 일으킬 것을 우려해 구축을 꺼리고 있다는 것이다.
일각의 우려에도 불구하고 DB 암호화 시장은 올해도 큰 폭의 성장을 이룰 것으로 예상된다. 개인정보보호법 뿐만 아니라 지능형 타깃 공격이 성행하면서 입을 수 있는 고객정보 유출사고를 방지하고, 내부/외부 감사를 위해 DB 암호화를 필수적으로 도입하고 있기 때문이다.
 
“해커가 가장 먼저 노리는 것은 암호화 키” 

엔터프라이즈와 금융권 전반으로 DB 암호화가 확산되면서 ‘키관리’가 뜨거운 감자로 떠올랐다. 암호화된 데이터는 키가 있어야 복호화 할 수 있는데, 초기 암호화 솔루션은 암호화 데이터와 키를 함께 두어 치명적인 보안홀을 만들었다. 이는 돈을 금고에 잘 넣어두고 그 옆에 열쇠를 두는 것과 마찬가지로, 공격자는 암호화 데이터와 키를 함께 빼내 데이터 암호화를 무용지물로 만들어버린다.
박종필 세이프넷코리아 이사는 “데이터를 노리는 해커들이 가장 먼저 노리는 것이 암호화 키이다. 이들은 무슨 수를 써서라도 데이터와 함께 키를 가져가려고 하고 있는데, 많은 기업들은 데이터만 암호화 한 채 키를 제대로 관리하지 않아 데이터 유출사고가 발생했을 때 모든 데이터가 고스란히 해커의 손에 들어가게 된다”고 말했다.
우리나라에서 키관리는 그동안 중요하지 않게 여겨졌다. 국내 암호화 업체의 한 임원은 “고객들은 DB 암호화도 겨우 구축했는데, 키관리까지 도입할 것을 제안할 수 없었다”고 털어놓았다.
그러나 지능형 타깃공격이 성행하면서 암호화 키 관리의 중요성이 서서히 받아들여지기 시작했다. 대규모 개인정보 유출사고는 암호화 되지 않은 고객정보가 빠져나간 것이지만, 일부 잘 알려지지 않은 사고 중에서는 암호화된 데이터가 빠져나간 사례도 있기 때문이다.
지난해 말 한국 지사를 세우면서 시장에 본격 진출한 보메트릭이 키관리의 중요성을 역설하면서 공격적인 영업전략을 추진하고 있어 키관리에 대한 관심과 이해가 높아지고 있다. 보메트릭은 OS에서 암호화를 하며, 강력한 키관리 솔루션을 공급해 암호화 콘텐츠를 안전하게 보호한다.
이문형 보메트릭코리아 지사장은 “가트너에 의하면 암호화 프로젝트에 착수하려는 기업은 암호화가 비즈니스 프로세스와 시스템, 애플리케이션에 미치는 영향을 최소화 해야 한다. 키관리 체계를 갖추지 않으면 감사 기능을 수행할 수 없으며, 키 또는 비밀번호 분실 시 데이터 복구 능력이 현저히 떨어지므로 암호화와 함께 중앙 집중화된 키관리를 병행해야 한다”고 강조했다.
키관리의 개념은 단순하다. 정해진 인증 절차를 거친 사용자는 자신의 권한 내에서 DB 업무를 하는데 있어 전혀 지장을 받지 않으며, 사용자가 알지 못하는 순간 동안 데이터는 암·복호화된다. 권한을 갖지 않은 사용자가 접근하면 데이터가 복호화 되지 않으며, 모니터링 시스템에 경고가 내려진다.
표준화된 암호화 알고리즘을 따른다고 해서 같은 기술력을 가진 암호화 솔루션으로 볼 수 없는 것 처럼, 키관리 역시 권한없는 사용자가 데이터를 읽는 것을 차단한다 해서 같은 기술력을 가졌다고 볼 수 없다.
키관리 서버는 DB 서버와 분리된 네트워크에 독립적으로 구성돼 있어야 하며, 강력한 인증 시스템을 이용해 권한있는 사용자만이 DB를 복호화 할 수 있도록 해야 한다. 시스템 성능에 영향을 미쳐서는 안되며, 업무 생산성을 저해해서도 안된다. 키관리 시스템 역시 강력한 암호화를 적용해 키가 빠져나갔을 때 풀리지 않도록 해야 하며, 권한없는 사용자가 강제로 키를 풀 때는 스스로 파괴시켜 키를 안전하게 보호해야 한다.
 
HSM, 암호화·시큐어코딩·샵메일 등 활용도 다양 

키관리는 암호화 시스템을 구축할 때 반드시 포함돼야 하는 기본 사항이지만, 반드시 암호화와 동일한 솔루션을 택해야 할 필요는 없다. 해외에서는 오라클이나 MS SQL의 암호화 솔루션과 세이프넷이나 보메트릭의 키관리 솔루션을 구축하는 경우도 많다.
박종필 세이프넷코리아 이사는 “국내 암호화 솔루션 기업들은 자사 솔루션에 암호화를 기본 구성이나 옵션으로 제공하지만, 암호화와 키관리가 반드시 같은 솔루션 내에 합쳐져 있어야 하는 것이 아니다. 해외에서는 암호화와 키관리를 이종 솔루션으로 구성하는 사례가 많다”며 “키관리는 암호화와 구분해서 생각하는 것이 좋다”고 말했다.
시큐어코딩은 애플리케이션 개발 과정 중 핵심 부분을 암호화하는데, 일반적으로 코딩 상에 키를 포함시켜 놓는다. 개발 코드에 키가 함께 있으면 암호화의 효과가 없으며, 시큐어코딩 개념에도 위배된다. 애플리케이션 취약점 공격이 성행하면서 시큐어코딩을 적용하는 사례가 늘어나고 있으며, 공공사업의 시큐어코딩 의무화가 시작된 만큼 이 시장에서도 새로운 기회가 있을 것으로 기대한다.
샵메일도 HSM의 새로운 시장으로 꼽힌다. 보안이 강화된 샵메일은 구성도 상에 HSM을 사용하도록 하고 있으므로 HSM 업계의 관심이 쏠리고 있다. 기존의 HSM 시장인 카드업계, 금융권, 제조기업 역시 전략 시장이며, CCTV 영상정보, 출입통제 시스템의 생체인식 정보 등 매우 민감한 개인정보에 대한 암호화와 키관리 요구도 크게 늘어날 전망이다.
 
[기사 원문 보기 – 데이터넷 http://www.datanet.co.kr/news/articleView.html?idxno=67429]