"DB 암호화로 인한 성능저하 두려워 말라” (데이터넷 2012월 11월 13일)

Penta Security logo

“DB 암호화로 인한 성능저하 두려워 말라”
개인정보보호 해법 ‘DB 암호화’ … 성능저하 문제 해소
 
개인정보보호법 제정 의의가 가장 분명하게 드러난 조항은 개인정보의 암호화를 명시한 제24조 3항 ‘(개인정보의) 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 해야 한다’이다. 처벌규정을 정한 제73조에서는 ‘(암호화 조치를)위반해 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자’에게 2년 이하의 징역 또는 1000만원 이하의 벌금을 부과한다고 명시했다.
DB 암호화는 시스템 성능에 영향을 미치기 때문에 도입률이 매우 낮다. DB 접근제어 솔루션 업체들은 암호화 도입시 성능이 20% 가까이 느려진다고 주장하며, 데이터가 유출되지 않도록 다른 방식을 사용하는 것이 더 현명하다고 강조해왔다. 법으로 ‘암호화’가 명시된 이상 암호화를 미룰 수 없게 되자 암호화 솔루션 도입이 활발해졌다. 특히 금융권의 경우 벌금이 부담스럽다기보다, 개인정보 유출사고시 이미지 하락으로 인한 피해를 막기 위해 암호화를 적극 검토하고 있다.
법 제정 이후 암호화 시장이 크게 성장한 것은 사실이지만, 아직 우려의 목소리가 사라진 것은 아니다. 암호화의 효용성 논란도 여전하고, 시스템 성능 저하 문제를 어떻게 해결할 것이냐 하는 문제가 해결된 것이 아니기 때문이다.
 
미적대는 제1 금융권 “경쟁사가 먼저 하면…” 

DB 암호화는 단지 주민등록번호를 암호화하는 것으로 끝나는 것이 아니다. 비즈니스나 업무 특성에 따라 암호화 해야 할 데이터가 다르다. 금융업은 개인 식별번호와 금융거래 정보, 비밀번호 정보 등이 암호화 대상일 것이다. 의료기관은 의료보험 정보와 진료정보를 보호해야 할 것이고, 쇼핑몰이라면 개인식별정보와 함께 결제정보가 중요한 정보일 것이다.
암호화된 데이터를 이용해 업무를 처리하거나 분석을 실시하려고 한다면, 별도로 복호화하는 과정이 필요할 것이고, 외부 협력사와 함께 일을 한다면 해당 회사가 복호화 키를 갖고 있어야 한다. 암호화 기술이 성숙되지 못했던 시기에는 암호화된 데이터를 복호화 키와 함께 전송해 암호화를 할 필요가 없도록 만드는 일도 비일비재했다.
데이터 암호화 도입 시기가 2개월여 밖에 남지 않은 시점이 되자 암호화가 가장 시급한 금융권은 정부의 가이드라인이 구체적이지 않다고 비판한다. 금융 업종과 IT 시스템의 특성상 암호화는 시간이 많이 걸리고, 투자예산도 부담스러울 정도로 높다. 업무 시스템에 직접 영향을 미치기 때문에 시스템 성능저하는 물론이고 임직원과 고객의 불만이 높아지게 된다는 주장이다.
현재 금융권에서 암호화를 진행하고 있는 곳은 대부분 보험사와 같이 속도에 민감하지 않은 곳이며, 제1금융권과 증권사는 검토중이라는 답변만을 내놓는다. 벌금을 내게 되더라도, 다른 경쟁사가 암호화를 도입해서 어떻게 사용하는지 살펴본 후 조치를 취하겠다며 눈치를 보고 있는 상황이다.
서봉균 소프트포럼 이사는 “금융권에서 암호화에 난색을 표하는 것은 성능 영향의 이유가 제일 크다. 배치업무 만으로도 정상 업무시간 외에 시스템 리소스를 사용하는 것이 어려운 상황인데, 암호화까지 추가시키면 차세대 시스템에 버금가는 예산을 투입해야 할 수도 있다”고 말했다.
 
DB 품질 좋으면 암호화 효과 높아

암호화로 인한 시스템 성능저하 문제를 해결하기 위해 DB보안업체들은 자체 개발한 특수한 암호화 알고리즘을 강조하며, 기술 성숙도가 높아져서 시스템 성능 저하를 최소화할 수 있다고 주장한다. 높은 수준의 암호화 알고리즘 외에 데이터 품질이 높고 튜닝이 잘 된 DB라면 암호화로 인한 시스템 성능 저하를 크게 줄일 수 있다.
김덕수 펜타시큐리티 CTO는 “예를 들어 5000만건의 개인정보 중 ‘광주에 살고, 자영업을 하는 40세 남자 홍길동’이라는 사람을 찾을 때, 5000만명 전체 국민에 대한 데이터를 암호화해 불러오는 것 보다 ‘광주, 자영업, 40세, 남자, 홍길동’이라는 키워드에 해당하는 데이터만 불러와 훨씬 더 빠른 결과를 얻을 수 있다”며 “똑똑하게 암호화 시스템을 운영하면 성능 문제를 걱정할 필요가 없다”고 말했다.
최영호 케이사인 DB보안사업부 팀장은 “DBMS에 대한 높은 이해가 있다면, DB 암호화 시스템도 스마트하게 운영할 수 있다”며 “운영시스템에서 암호화 기술 만으로 해결할 수 없는 부분이 있지만, 시스템 자체를 스마트하게 만들면 암호화의 한계를 극복할 수 있다”고 말했다.
 
빅데이터 암호화 방법 찾아야

DBMS를 잘 알면 DB 암호화 시스템을 구축·운영하는데 도움이 되는 것이 사실이다. 그러나 암호화는 DBMS와 기술 기반이 다르며, 암호화 기술은 어떤 데이터에도 적용할 수 있어야 하기 때문에 DBMS를 잘 아는 것과 DB 암호화 시스템을 제대로 구축·운영하는 것은 다르다.
김덕수 펜타시큐리티 CTO는 “비즈니스 요건에 따라 암호화를 수행하는 위치나 데이터의 특성이 달라지기 때문에, 시스템과 비즈니스 전반에 대한 이해가 높아야 하고, 여러 환경에서 동일한 수준의 보안 환경을 구축할 수 있어야 한다”며 “펜타시큐리티는 DB 보안 제품 뿐 아니라 웹방화벽 솔루션도 국내에서 높은 점유율을 갖고 있어 데이터를 보다 안전하게 보호할 수 있도록 돕는다”고 말했다.
김 이사는 “펜타시큐리티는 DB 보안 솔루션 뿐 아니라 지능형 웹방화벽 ‘와플(WAPPLES)’도 개발·공급하고 있어 개인정보보호법에서 규정한 네트워크 접근통제 등에 대응할 수 있다”고 덧붙였다.
최근 IT의 최대 화두인 빅데이터 환경에서 암호화는 어떻게 해결해야 할까? 앞서 예로 든 것 처럼 DB의 튜닝이 잘 돼 있으면 필요한 정보만 불러올 수 있지만, 대부분 기업이 가진 DB는 수십년간 축적돼 온 것으로, 데이터 품질 수준이 낮은 편이라고 할 수 있으며, 비정형 데이터는 튜닝가 같이 데이터 품질을 높이는 기술이 거의 없는 형편이다.
신시웨이는 암호화된 데이터를 포함하는 ‘SELECT SQL’ 이라는 독창적인 아키텍처를 통해 암호화 속도를 높이며, 대량의 데이터를 암·복호화 할 수 있는 기능을 선보인다. 이 회사는 한국데이터베이스 진흥원 주관의 DB보안인증(DQC-S) 수행 서비스를 제공하고 있다. 신시웨이 DB 암호화 솔루션 ‘페트라 사이퍼(Petra Cipher)’는 흥국생명, 태광, 교통관리공단, 군인공제회 등 다양한 민간 및 공공 기관에 공급됐으며, DB 접근제어 솔루션 ‘페트라(Petra)는 BC카드, 한투증권, 미래에셋증권, 현대증권, 국세청, 우정사업정보센터, 심사평가원 등에 공급됐다.
한때 DB 암호화 기업들이 플러그인(Plug-IN) 방식과 API 방식을 두고 어떤 것이 더 기술우위를 차지하는지 논쟁을 벌였지만, 현재 대부분의 솔루션이 두 방법을 다 지원하는 하이브리드 방식을 취하고 있다. 보통 해킹 위험과 취약성의 위협 등 보안 강화가 필요한 업무, 높은 성능이 요구되고 트랜잭션이 많은 업무는 API 방식으로 구현되며, 소스 일부 사항의 변경이 불가하고 업무의 편리성이 필요한 경우 플러그인 방식으로 구현되며, 두 방식이 혼용될 수 있다.
API 방식은 성능과 보안성이 강하지만, 애플리케이션이 암·복호화 호출을 위해 기존의 소스를 수정해야 한다. 이니텍의 DB 암호화 솔루션 ‘세이프DB’는 ‘필터API’라는 기술을 적용해 API의 보안과 사용 편리성을 한차원 더 높인다. 이 기술은 API 방식에서 DB 커넥션 드라이버 설정만으로 소스 수정이 필요없다.
하드웨어 암호화 기술로 성능문제 해결 아무리 기술이 발달해도 암호화의 성능 문제는 해결할 수 없다. 데이터가 흘러가는 어떤 한 지점에 DMZ를 두고 모든 데이터는 이 공간을 거쳐서 암호화 혹은 복호화돼야 하기 때문에 암호화 하지 않은 트랜잭션보다 느릴 수밖에 없다. 이러한 문제를 원천적으로 해결할 수 있는 암호화 솔루션으로, 하드웨어에서 암호화를 실시하는 ‘보메트릭’이 소개된다.
보메트릭의 가장 큰 장점은 애플리케이션이나 시스템이 수정 없이 적용할 수 있다는 것이다. DB, 애플리케이션, 스토리지 네트워크를 재구성하지 않아도 돼 몇 주 만에 시스템 구축을 완료할 수 있다. 보메트릭은 10월 말 한국지사를 설립, 국내 시장 공략에 나섰다.
하드웨어 암호화 솔루션으로 세이프넷의 ‘데이터시큐어(DataSecure)’가 국내에서 먼저 자리를 잡았다. 이 제품은 데이터 암호화와 함께 접근 제어 기능을 통합한 플랫폼을 제공하며, 데이터베이스, 애플리케이션, 메인프레임 환경 및 개별 파일들에 모두 적용할 수 있다.
데이터시큐어는 중앙집중화된 키 관리기능과 보안정책 관리 등의 필수 기능들을 제공해 관리를 간소화하고, 보안을 극대화한다. 이 제품은 범용 서버가 아니라 암호화 전용 하드웨어에 암호화 키를 저장해 보안성을 한층 강화했으며, DB서버가 아니라 하드웨어에서 직접 암호화와 해독 연산을 처리하기 때문에 DB 서버 성능에 영향을 주지 않으며, 암호화 대상 데이터가 늘어나도 라이선스를 추가해야 하는 부담이 적다.
 
암호화 외의 방식으로 개인정보 유출방지

개인정보보호법의 암호화 규정인 제23호 3항은 ‘암호화 등 안전성 확보에 필요한 조치’라고 규정돼 있다. 즉 개인정보는 모두 다 암호화 기술로 보호해야 하는 것은 아니라는 뜻이다. 암호화 외에 다른 방식으로도 데이터 유출을 방지할 수 있으면 된다.
DB 보안 솔루션 벤더들은 그 대표적인 방법으로 접근제어를 든다. 권한없는 사용자의 DB 접근을 막고, DB에 불법 침입이 일어나지 않도록 하며, DB에서 이상행위를 감시하는 DB 접근제어는 데이터가 유출됐을 때 상황에서도 데이터를 안전하게 보호해야 한다는 요구에는 부족하지만, 데이터의 유출을 막을 수 있다는 점에서 주목을 받고 있다. 최근에는 DB 접근제어와 DB 암호화를 연동시키는 추세다.
데이터 마스킹 기법도 암호화 없이 데이터 유출을 방지할 수 있는 기술로 꼽힌다. DB 암호화 제품 중 일부에는 마스킹 기법을 옵션으로 제공하고 있으며, 데이터 통합 전문기업 인포매티카는 이스라엘 기업을 인수하고 ‘데이터 마스킹’ 솔루션을 적극 드라이브 하고 있다.
데이터 마스킹은 개인정보 등 중요한 정보를 다른 글자나 문자로 치환해 보여주는 등의 방법을 사용하며, DBA 등 데이터를 갖고 일하는 조직원들이 개인정보를 알지 못하게 해 개인정보 유출을 방지한다. 마스킹 기법은 유출된 데이터는 보호하지 못하지만, 데이터에 접근할 수 있는 권한이 있는 직원들의 데이터 유출을 방지하며 DB나 애플리케이션에 대한 수정·변경이 필요 없다.
접근제어나 암호화 기법은 둘 다 유출된 데이터를 보호할 수 없기 때문에 완벽한 DB 보안 솔루션이라고 하기는 어렵지만, DB 암호화 솔루션과 함께 사용되면 암호화의 성능과 비용문제, 시스템·애플리케이션이 구성변경·수정 문제 등을 해결할 수 있다.
암호화는 개인정보보호법과 관련된 이슈 중 가장 뜨거운 이슈인 것은 분명하지만, 암호화만으로 개인정보보호가 가능한 것은 아니라는 점을 반드시 기억해야 한다. 암호화 솔루션을 구입하는 것으로 개인정보보호를 위한 노력을 완료했다고 생각하는 것은 위험하다.
 
[기사 원문 보기 – 데이터넷 http://www.datanet.co.kr/news/articleView.html?idxno=63616]