[보안직업군 프로젝트⑧] DB보안 전문가

[보안멘토]

활용과 보안의 적절한 균형점 찾기 “DB와 보안 모두 친근감 있어야”

[인터뷰] 조 돈 섭 이글로벌시스템 영업마케팅담당 이사

[보안뉴스=임종민·민세아 객원기자] 보안에 있어 최근 가장 중요시되고 있는 것이 바로 DB(Database) 보안이라고 할 수 있습니다. 특히, 빈번한 고객정보 유출사건으로 인해 고객정보 등의 중요 정보를 모아놓은 DB의 암호화 및 보안 솔루션에 대한 관심이 커지고 있으며, 관련 업무를 수행하는 DB보안 전문가의 인기 또한 날로 높아지고 있습니다.  

이에 이번 보안직업군 프로젝트에서는 DB암호화 전문기업 이글로벌시스템에서 DB보안 암호화 제품의 영업을 총괄하고 있는 조돈섭 이사를 인터뷰했습니다.

Q. 일반적인 보안과 DB보안의 차이점은 무엇인가요?

보통 일반적인 보안은 시스템, 네트워크 등의 장소에서 어떤 행위에 대해 통제, 제약을 하는 것을 말합니다. 이와 달리 DB보안은 데이터 그 자체가 목적입니다. 보호할 데이터와 보호할 필요가 없는 데이터를 구분하는 것부터 시작되는 것이죠. 그러니까 메인포커스가 데이터라는 점이 DB보안과 일반보안과의 가장 큰 차이점입니다.

그러나 통제방법이 일반적인 보안제품들처럼 인가조건에 따른 룰 베이스(Rule-Base) 기반이라는 점은 동일합니다. 일반 보안제품에서는 인가조건에 해당하지 않을 경우 세션을 끊어버리는 방법으로 통제하는 경우가 많지만, DB보안에서의 통제는 데이터를 넘겨주지 않거나 만약 넘겨주더라도 암호화된 데이터를 그대로 넘겨주어 알아볼 수 없게 하는 것입니다. 이것이 결정적인 차이점입니다.

DB보안도 세부적으로 나누면 두 분야가 있습니다. 첫 번째는 DB암호화로, DB보안과 일반보안을 통틀어 최종적인 보안에 속하는 부분이라고 할 수 있습니다. 방금 말씀드린 것처럼 데이터를 넘겨주지 않거나 복호화되지 않은 상태로 데이터를 넘겨주는 것이죠. 또 다른 분야로는 DB접근제어가 있습니다. 이것은 일반 보안과 좀 유사한데, 네트워크 경로 상에서 룰 베이스 기반으로 인가자와 인가조건을 판별해 세션을 끊는 행위를 합니다.

Q. DB보안이 제대로 이루어지지 않는다면 어떤 결과가 초래될까요?

DB라고 하는 것은 우리가 흔히 아는 워드나 엑셀 같은 응용프로그램과는 전혀 다릅니다. DB와 일반 프로그램의 가장 큰 차이점은 개인이 사용하는 것인지, 다수가 사용하는 것인지라고 생각합니다. 데이터베이스를 관리하기 위해 필요한 기본 소프트웨어를 DBMS(Database Management System)라 하는데, DB라 하는 것은 기본적으로 무수히 많은 사용자들이 DBMS 프로그램에 접속해서 어떤 특정 데이터를 함께 사용하는 것입니다.

그러니까 보안이 제대로 되어 있지 않아 사용자 계정들 간의 보호가 안 되는 상황이 된다면 다른 사람의 정보를 내가 볼 수 있고, 나의 정보를 다른 사람이 볼 수 있는 문제가 생기는 거죠. DB보안은 DBA(데이터베이스 관리자)가 일반 계정들을 마구 헤집고 다니는 것을 방지하는 역할도 합니다. DBA는 DB에 대한 모든 권한을 다 가지고 있습니다. 어떤 계정이라도 다 생성할 수 있고, 사용자들이 생성한 데이터를 마음대로 볼 수도 있습니다.

데이터들 중 고유식별번호(주민등록번호 등), 신용카드에 대한 금융정보 같은 중요 데이터들은 암호화되어 저장됩니다. 데이터를 암호화시킬 때는 키를 이용해 암호화를 하고, 키를 이용해 암호화를 풀 수 있습니다. 이 키에 대한 사용권한은 DB보안 제품을 통해 DBA가 통제되도록 권한 분리를 시키고 있습니다. 제대로 된 DB보안제품을 설치했다면 DBA는 말 그대로 DB관리만 할 수 있게 됩니다.

이처럼 DB보안은 DBA를 통제하기 위한 목적도 있습니다. 또한, 지금까지 우리가 매스컴에서 데이터 유출사고가 난 것을 보면 DB암호화가 제대로 되어 있지 않아 발생하는 문제가 많습니다. 데이터를 암호화할 때 모든 데이터를 다 암호화하는 것이 아니라 중요한 데이터들만 추려내어 따로 보호를 합니다. 공격자가 DB테이블을 통째로 퍼간다 하더라도 데이터 보호를 위해 암호화 시켜놓은 데이터이기 때문에 결국은 볼 수가 없어 활용가치가 없어지게 되죠. 다시 한번 말씀드리자면 DB보안의 목적은 어떤 행위자가 행위 자체를 못하게 하는 것이 아니라, 그 사람이 행위를 하더라도 데이터에 대해 복호화 통제를 하기 때문에 정한 인가조건에 해당하지 않으면 복호화를 시켜주지 않는 것입니다. 

Q. 보통 중소기업에서는 DB보안이 잘 되어 있지 않은 것 같은데요?

일반적인 시각에서 보자면 이것은 ‘비용’입니다. 제품을 사야 하니 당연히 돈이 들겠죠? 게다가 보안장비 없이도 잘 사용하고 있는데, 보안장비를 구축해 놓으면 성능이 저하될 수 있다는 우려를 합니다. ‘성능이 저하되면 생산성이 떨어질 수 있고, 그것 때문에 서버를 더 증설해야 하는 것 아니냐’ 이렇게 생각할 수 있습니다. 그러나 암호화를 한다고 해서 과도하게 느려지거나 그로 인해 생산성이 떨어지거나 CPU를 더 증설해야 하는 경우는 많지 않습니다. 성능이 떨어지긴 하지만 아주 미미한 정도로 거의 체감하기 힘든 정도입니다. 그리고 최근에는 법적으로 DB보안을 의무화하고 있습니다. DB보안을 하지 않아 과징금을 내거나, 고객들의 집단소송 등의 문제로 많은 업체들이 DB보안을 강화하고 있는 추세입니다.

Q. DB보안 업무수행 시 필요한 기본능력에는 어떤 것들이 있을까요?

DB보안도 따지고 보면 융합보안이라 할 수 있습니다. 데이터베이스에 대한 지식이 기본적으로 필요하고, 보안에 대한 지식도 필요합니다. 일반적으로 DB하시는 분들은 보안에 대해 전혀 관심이 없고 배타적이기까지 합니다. 왜냐하면 그분들은 서비스를 제공하는 부분에 있어 성능을 중요시하고 성능을 조금이라도 더 끌어올리려고 여러모로 고민하면서 데이터베이스 튜닝을 합니다. 그런데 보안을 위해 암호화를 하면 그런 노력들이 허사가 된다고 생각해서 싫어합니다.

그래서 DB하는 분들 중 흔쾌히 보안을 하려고 하는 분은 찾아보기 힘들었습니다. 어쨌거나 이 DB보안은 두 가지 분야의 지식이 모두 필요한 업무이고, 이는 잠깐 이슈가 되었다가 사라질 분야가 아니라 앞으로도 계속 인프라로 구축되어야 하는 분야라는 점입니다.

DB보안은 암호학과 밀접한 관련이 있기 때문에 암호학 지식과 함께 법령에 대해 잘 아는 것이 중요합니다. 그리고 보안만 잘 알아서는 DB보안을 하기 힘듭니다. DB는 정말 복잡한 구조로 이루어져 있는데 이를 잘 모르면 어느 부분에 허점이 있을 수 있고 어디에 백도어가 있을지 알 수가 없습니다. DB구조를 훤히 알면 그런 것들을 쉽게 유추할 수 있습니다.

뿐만 아니라 DB와 보안, 두 분야 모두에 친근감 있는 사람들이 많아야 한다고 생각합니다. 활용도 높게 서비스를 다양화하고 성능을 높이려는 것이 DB보안 관리자의 생각인데, 다양한 길이 있으면 보안은 점점 더 취약해질 수밖에 없습니다. 서비스를 중요시하면 보안이 약해지고 보안성을 높이면 서비스를 제공하는 부분이 약해집니다. 서비스 제공과 보안성을 적절한 선에서 유지하기 위해 설계·구축·운영하는 것이 중요합니다.

Q. DB보안 전문가가 가진 직업상의 매력과 장단점은 무엇인가요?

안티바이러스 제품 등의 경우 제품 설치는 어렵지 않지만, 그 후에 지속적으로 새로운 공격시도에 대해 분석하고 대응책을 마련해 끊임없이 업데이트해주어야 합니다. 그러나 DB보안의 경우는 접근방법이 한정적이고, 최종적으로 접근하는 패턴이 유사하기 때문에 특정 접근방법에 대해서만 제어를 하면 됩니다. 때문에 정책을 걸어두면 어느 경로에서 접근을 하더라도 DB에 정보를 요청하는 시점에만 권한을 확인합니다.

다양한 경로를 통해 DB에게 데이터를 요청하게 되는데, 그때 DB보안 담당자는 ‘니가 누구냐, 어떤 인가조건에 해당하느냐, 어느 IP에서 요청을 하는 것인지, 어느 애플리케이션으로 요청을 하는 것인지’ 등을 확인하여 복호화 여부를 결정합니다. 그리고 정책을 한번 지정해놓으면 조직이 크게 변할 때 이외에는 정책이 바뀔 일이 잘 없습니다. 그래서 한번 구축을 해놓으면 크게 바쁘지 않습니다.

그 대신에 위험부담이 큽니다. 접근통제가 잘 되지 않아 몇천만 건의 데이터가 복호화된 상태로 유출됐을 경우에는 정말 큰 일 나는 거죠. 그리고 개인 업무 측면에서 보면 일하면서 기술적인 배움을 얻기는 좀 힘들다는 것이 단점이라고 생각합니다. 기술 습득은 일하면서 많은 문제에 직면하고 장애를 겪으면서 얻는 건데, DB보안을 하다보면 그런 문제에 부딪힐 일이 많지 않습니다. 그래서 예전에는 주로 DB에 대한 지식이 쌓여있는 경력자들을 주로 모집했으나 지금은 신입을 채용하는 기업도 많습니다. DB와 보안을 함께 배울 수 있기 때문에 DB운영 측면과 보안성 두 가지 명제에 대해 어느 한 가지 치우칠 일이 없다는 점과 수요는 많은데 공급이 부족하다보니 앞으로 전망이 좋은 것이 장점이라고 생각합니다.

Q. DB보안의 구체적인 업무 프로세스를 설명해 주세요.

처음에 보안 솔루션을 구축하는 단계, 구축이 끝난 후 운영하는 단계로 나누어 볼 수 있습니다. 구축하기 전 단계를 보면 제품을 공급하는 엔지니어들이 가서 제품을 설치하고 암호화해 적절하게 사용할 수 있도록 구축형태 같은 것들을 컨설팅하게 됩니다. 고객사에서 어떤 프로그램을 사용하느냐에 따라 프로그램 소스에 반영하는 것이 다르기 때문에 고객사의 개발팀 사람들과 함께 업무를 합니다. 구축이 끝난 후 DB를 운용할 때는 고객사의 운영팀 사람들이 필요합니다. 보안 적용 테이블 관리시 필요한 사항에 대해서도 고객사를 대상으로 교육을 진행하고 있습니다.

Q. DB보안에 있어 이것만큼은 이루어져야 한다고 보는 것은 무엇인가요?

구조적으로 이루어져야 하는 것은 공통적으로 암호화할 데이터 기준들에 대해 통일이 되어야 하고, 암호 키에 대한 백업이 필수적으로 이루어져야 한다는 것입니다. 암호 키는 데이터를 복호화할 때 필요한 것인데, 암호 키가 없으면 데이터는 영원히 사용할 수 없다고 보시면 됩니다. 그리고 법으로 규정되어 있는 아주 복잡하고 단단한 알고리즘을 사용해야 합니다. 이 두 가지는 DB보안의 구조적인 측면에서 반드시 이루어져야 합니다.

상황적 측면으로는 관리주체가 분리되어야 합니다. DB보안 제품을 선정하는 측면에서는 DB를 소상히 모르면 제대로 된 제품을 고를 수가 없습니다. 그래서 DB보안 제품을 고를 때 DB팀에 맡기는 경우가 많습니다. 그러나 DB보안 제품의 운영까지 맡기는 경우가 많은데, 이는 고양이에게 생선을 맡기는 격입니다. DBA가 나쁜 마음을 먹을까봐 권한을 통제하려는 것이 아닙니다. 많은 기업, 기관들이 그런 식으로 운영하게 되면 내부에서 정보를 빼내가려는 불순한 의도를 가진 사람들이 DBA의 계정만 탈취한다면 무슨 짓이든 할 수 있기 때문에 DB보안 제품을 도입한 것이 유명무실해집니다. 기술적으로 보안성이 매우 높은 제품도 운영성을 충분히 고려해 제품을 선택해야 하고, 제대로 구축해야 합니다. DB제품을 운영하는데 있어 서로 책임을 전가하여 근본 도입취지를 무색하게 만드는 그런 어처구니없는 일은 없어야 하는 거죠.

Q. DB보안 분야의 인력수요는 어느 정도인가요?

굉장히 많은 편입니다. 하지만 영세기업에서 DB보안 전문가를 별도로 채용하지는 않고, 주로 정부 산하기관, 공사, 금융권 같은 곳에서 DB보안 전문가를 필요로 합니다.

Q. DB보안 전문가로써 관련 분야 취업 준비생들에게 바라는 점이 있다면?

보안관리자들중 장비를 도입할 때 구축기간을 짧게, 저렴한 비용으로, 그리고 최대한 간단한 방법으로 장비를 도입하려는 사람도 있습니다. 이렇게 장비를 도입했을 때 사고가 일어나지 않으면 오히려 회사에서는 저비용으로 단기간에 구축했다고 칭찬을 받을 수도 있겠죠. 하지만 나중에 사고가 난 후에야 누가 정말 애사심이 없고 회사를 말아먹을 사람인지 알 수 있게 됩니다.

보안은 최후의 보루입니다. 많은 기업에서 유출사고가 일어나고, 소송에 휘말리는 것을 보면 알 수 있듯이, 기업을 운영하는데 있어 최소 안전성을 보안장비가 보장하는 것입니다. 돈 좀 더 아끼고 좀더 버는 것이 회사를 위한 것이 아니라는 겁니다. 정말 중요한 것이 어떤 것인지 알아야 합니다. 보안장비를 대충 구축해놓고선 ‘설마 사고가 일어나겠어?’ 하는 생각을 가져선 안 됩니다.

그리고 DB나 보안 둘중 하나에만 치우치지 말고, 두 가지를 다 이해할 수 있도록 충분한 지식을 습득해야 합니다. DB보안 전문가가 되려면 배워야 할 게 많습니다. 유관부서의 관리자들과 업무 협의를 할 때 보안 측면을 제대로 얘기하지 못해 회사를 위험한 방향으로 가게 해서는 안 됩니다. 자기가 아는 지식 선에서 자신의 주장을 고수하고 목소리를 낼 수 있어야 합니다. 조직에서 어떤 의사결정을 내릴 때 보안관리자들이 조금 밀리는 경향이 있습니다. 그래서 취업준비생들에게 바라는 것은 기술적인 공부도 중요하지만 그 이외에 기업 전반적인 실태나 주변상황들을 잘 알고, 업무를 협의할 때 밀리지 않았으면 좋겠다는 것입니다.

Q. 국가적인 차원에서 보안업계에 지원해 주었으면 하는 점은 무엇인가요?

우리나라에는 보안업체도 많고, 제품도 많고, 분야도 많습니다. 제품을 만드는 회사들이 다 영세하고 자기 회사의 제품으로 먹고 살고 있습니다. 그러나 최근 필요이상으로 많은 플레이어들이 시장에 등장해 경쟁이 격화되는 경향이 있는데, 여기에 상당 부분 책임이 정부에 있다고 봅니다.

정부는 조달가격을 최저가로 낮추려고 노력합니다. 이것이 어떤 결과를 불러올까요? 예를 들어 산을 오르기 위한 자동차를 사야한다고 했을 때 산간지방은 눈이 많이 오고 길도 험하니 4륜 구동차가 필요합니다. 그런데 4륜 구동차의 가격이 비싸기 때문에 입찰조건을 바퀴 4개 있고 핸들하나 달리면 된다는 식으로 정합니다. 그러면 아무 차나 다 입찰조건에 해당되겠죠. 결국은 그 중에서 제일 싼 경차로 산을 올라가야 하는 겁니다. 그런데 경차로 산을 올라갈 수 있나요? 불가능합니다. 이렇게 되면 또 다시  4륜 구동차를 최소 3,000만원(예시)에 팔아야 하는데, 1800만원(예시)에 공급하라고 시킵니다. 안 팔면 된다고 생각할 수 있겠지만 우리나라 보안시장의 절반은 정부이기 때문에 공급을 안 할 수가 없습니다. 이것이 딜레마입니다. 정부 조달정책이 기업들을 힘들게 하는 측면이 크다고 봅니다.

게다가 주관부서에 담당 공무원들은 순환보직이기 때문에 전문성이 부족합니다. ‘산을 오르기 위해 필요한 차가 4륜 구동이고, 어떠한 차가 필요하다.’ 이것만 이해해줘도 경차를 사지는 않을 것입니다. 그런데 담당공무원들은 전문성이 부족해 잘 알지 못하고, 심지어 알고 싶어 하지도 않기 때문에 필요한 조항이 왜 필요한지 모르고 빼버리는 경우가 있습니다. 경차로 산에 올라갔다가 차가 퍼지는 꼴이죠.

이러한 문제들은 사업을 간단히 추진하고자 하는 공공기관이 SI사업자에게 모든 솔루션과 H/W의 선정권한까지 모두 맡기면서 입찰규격을 간단하게 고지하기 때문에 발생합니다. 이것은 꼭 보안업계만의 문제가 아니라 IT 업계 전체가 당면한 문제라고 할 수 있습니다. 국가는 그냥 보안제품을 적절한 가격에 사주는 것이 가장 중요하다고 봅니다.

Q. 향후 보안의 트렌드는 어떻게 바뀌어갈 것으로 보시나요?

지금 우리가 살아가는 시대는 데이터가 클라우드화되고 빅데이터화되면서 거대해지고 복잡해지고 있습니다. 그것들을 분석하여 사용자가 어떤 정보를 필요로 하는지 맞춤형 서비스가 제공되기도 합니다. 그러나 이런 데이터의 양이 너무 거대해지면 특정 데이터가 어떤 사용자의 것인지도 모르고 막 섞여서 불특정한 사용자들에게 제공하는 문제가 생길 수 있을 것 같습니다.

이제는 전 세계 수많은 사용자들을 대상으로 서비스를 제공하므로 굉장히 많은 경우의 수와 불특정한 사람들 사이에서 어떻게 보안을 해야 할 것인지를 생각해야 합니다. 굉장히 복잡한 인프라가 될 것이고, 이렇듯 복잡한 인프라 속에서 보안방법도 더 복잡해져야 할 것입니다. 그러한 복잡성에 더욱 치밀하게 대비해야 한다고 생각합니다.

[임종민(ljm4078@gmail.com) / 민세아(msa0309@gmail.com) 객원기자]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))