2024-04-15 11:03 (월)
개인정보보호법 시행에 따른 기업보안 전략
상태바
개인정보보호법 시행에 따른 기업보안 전략
  • 길민권
  • 승인 2011.11.04 05:15
이 기사를 공유합니다

웹 애플리케이션의 근본적인 문제 해결해야
DRM와 DB암호화, 그 차이와 암호화 전략
한국IBM은 3일 양재동 엘타워에서 ‘개인정보보호법 시행에 따른 똑똑한 기업보안 전략 컨퍼런스’를 개최했다.

 
이경호 시큐베이스 대표는 “이제 개인정보 관련 법체계가 개인정보보호법으로 일원화 됐다”며 법의 항목별 이슈들을 진단하고 특히 개인정보 영향평가 제도 의무적용을 설명하면서 “영향평가는 새로운 정보시스템의 개발 및 시행이 개인정보에 미칠 영향을 사전에 조사, 예측, 검토하는 제도”라고 정의했다.
 
더불어 “영향평가는 개인정보보호법에서 공공기관의 개인정보를 취급하는 정보화 사업에는 의무적으로 적용해야 하며 공공기관 이외 개인정보 처리자는 권고사항으로 규정하고 있다”며 “절차는 사전분석, 개인정보 관리현황 분석, 영향평가 결과 정리, 이행점검 등으로 이루어진다”고 설명했다.
 
박성민 한국IBM 차장은 “기존 정적인 문제 대응 방식으로는 웹 애플리케이션을 타깃으로 행해지는 공격을 막아 낼 수 없기 때문에 근본적인 문제를 해결하는 것이 중요하다”며 “대표적인 웹 공격으로는 SQL인젝션과 XSS가 있다. 모두 DB에 접근해 정보를 빼내갈 수 있는 공격들”이라고 설명했다.
 
이에 박 차장은 IBM 솔루션을 소개하며 “AppScan Standard Edition은 웹 애플리케이션의 보안 점검 도구로 보안상의 취약점을 보다 쉽게 발견하고 해결하며 발견된 문제에 대해 단순한 리스트 이상의 정보가 필요하므로 취약점에 대한 포괄적이고 자세한 정보제공이 가능하다. 또 자바스크립트에 대한 정적 분석을 통해 클라이언트 측의 보안 취약성을 검출하고 새로 발견된 취약성에 대한 주기적 룰 업데이트가 가능하다”고 소개했다.
 
또 이슈가 되고 있는 암호화 부분에서 파수닷컴과 이글로벌시스템 관계자의 발표가 있었다.
 
파수닷컴 주현주 수석은 “암호화된 데이터를 이용하려면 복호화해야 한다. 이때 문제가 발생한다. 개인정보 관리의 핵심적인 문제다. 하지만 DRM은 암호화된 파일은 복호화하지 않아도 된다”며 ‘복호화 안된 안전한 상황에서 계속 사용할 수 있는 것이 일반 암호화 솔루션과 큰 차이점”이라고 말했다.
 
또 “암호화된 파일에 대한 중요도에 따라 정책관리가 필요하다. 파일내부 정보가 무엇인지 보고 그 정보에 따라 정책을 관리하는 것이 중요하다”며 “이러한 제품이 CS-DRM이다. 또 50이 미만 중소기업을 위해 CS-DRM 서비스를 클라우드로 제공할 예정이다. 서버를 클라우드로 사용하고 에이전트만 설치해 사용할 수 있어 비용측면에서 효과적”이라고 덧붙였다.
 
조돈섭 이글로벌시스템 본부장은 “DBMS 암호화 제품의 필수 보안기능에서 요구기능은 재 검증 통과 보안성 인증 여부와 암호 모듈에서는 ARIA, SEED, AES 등 128비트 이상을 사용해야 하고 일방향 알고리즘에서는 SHA-256 이상, HAS-160이상이 사용돼야 한다”고 설명하고 “중요한 키기밀성에서는 비 인가자는 평문 키에 접근이 불가능해야 하고 시스템 백업시 키와 암호문이 함께 유출되지 말아야 한다. 제품 종료시 메모리에 로딩된 키와 정책은 제로화되어야 한다”고 강조했다.
 
더불어 “감사부분에서는 제품 사용자 인증 결과 및 암복호화 작업 및 통제 정책 변경 기록을 지원해야 하고 암호화 데이터에 대한 접근기록 저장, 저장소 포화시 관리자에 통보, 비인가자의 조회, 삭제, 변경 차단이 이루어져야 한다”며 “이 요구조건은 국정원 DB암호화 제품 보안 요건이기 때문에 이 요건이 충족돼야 제대로 된 암호화 제품을 도입했다고 볼 수 있다”고 설명했다.
 
또한 바람직한 암호화 계획 수립을 위해 고려할 사항에 대해 조 본부장은 “암호화 범위와 보안성 기준이 현행 법규를 충족하는지, 또 향후 규정이 전체 서버에 적용하도록 강화될 가능성에 대비해 암호화 대상 확대 시에도 일관성 유지할 수 있는지, ERP나 ETL 등의 데이터 연동이 필요한 서버들도 통합 지원이 가능한지 여부를 고려해야 한다”고 조언했다.
 
암호화 일정 계획 수립에 대해서는 “법규에서 정한 DMZ내의 서버들을 1차 암호화 대상으로 선정하고 2차 대상으로 인트라넷 내의 기간계 DB 서버들에 대한 암호화 계획을 수립, 데이터 연동이 필요한 ERP 서버들에 대한 암호화 계획을 수립해야 한다”고 덧붙였다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★