작성일 : 12-04-13 10:13
[로터리] 정보 인질극과 DB 보안
   http://economy.hankooki.com/lpage/opinion/201204/e2012041217100448320.… [450]
1년 전 A캐피털 전산실의 한 직원이 e메일 한 통을 받았다. A캐피털의 고객 DB를 해킹했으니 책임자의 연락을 요구한다는 내용이었다. 범인들은 협상 내용을 주고받을 e메일 주소를 지정하고 시간까지 통보하는 치밀함을 보였다. 그리고 해킹 사실 공개를 협박하며 협상금까지 요구했다. 기업의 고객 정보가 '인질'이 된 것이다. 당시 해킹으로 확인된 피해 고객은 수십만명에 이르며, 일부 고객은 신용등급 정보와 비밀번호까지 유출됐다고 한다. 사고예방 대책을 무시한 A캐피털의 안전 불감증이 부른 인재였다. 언론은 보안의식이 희박하고 시스템 운영 방식이 부실해 화를 입은 것이라고 지적했다.

개인정보 유출은 유출로 끝나지 않는다. 해킹한 정보를 불법 대출이나 보이스피싱, 스팸메일 같은 불법 광고에 악용하는 등 제2ㆍ제3의 피해가 우려된다. 이로 인해 최근 뜨거운 감자로 떠오른 분야가 바로 개인정보를 담고 있는 데이터베이스(DB)에 대한 보안이다. 지능화된 사이버 공격에 대한 대비책으로 기존의 경계 방어만으로는 부족하다는 것이 여러 해킹 사건들로 인해 입증됐기 때문이다.

DB 보안은 집안의 금고와 같은 역할을 한다. 집안의 귀중품을 보호하기 위해 대문에 이중 자물쇠를 채우고, CCTV를 설치하고, 용맹한 개도 키우지만 가장 마지막 장치로 무겁고 성능 좋은 금고가 관심을 끄는 것과 같은 이치다. 한국데이터베이스진흥원이 12일 개최한 DB 보안 세미나에서도 이러한 관심을 입증하듯 보안 담당자들이 인산인해를 이뤘다.

DB를 보호할 수 있는 방법은 정보를 담고 있는 DB에 접근 권한을 선별적 또는 차등적으로 부여해 부정한 정보 접근을 막는 것이다. 하지만 정상적인 접근을 통해 정보를 획득했다 하더라도 이를 범죄에 악용할 수 있다. 이런 경우에 대비해 정보를 암호화, 이를 풀지 못하면 정보를 열람할 수 없거나 행정적 절차를 통해 작업 내용이 정당한가를 엄격하게 확인하도록 한다. 또한 DB에 내재된 취약점들을 제거해 DB의 보안 수준을 향상시킨다.

DB 보안의 목적은 모든 종류의 위협으로부터 완벽하게 방어하고자 하는 것이 아니다. 위와 같이 보안사고 발생 위험을 감소시키고 피해를 수습 가능한 수준으로 최소화하기 위해 지속적으로 최선의 노력을 다하는 것이다. 최선의 보안 태세를 갖추는 것은 국민과 고객의 소중한 정보를 다루는 국가와 기업의 의무이다. 의무를 다하지 않는다면 총성 없는 정보 인질극은 앞으로도 계속될 것이다.

한응수 한국데이터베이스진흥원장

- 서울경제 2012.4.13