[DB접근제어 ①] 인증·권한 탈취 막고 법령·규제 준수 돕고

[아이티데일리] 데이터베이스(DB) 접근제어 시장이 새로운 돌파구 마련을 위해 힘쓰고 있다. 초기 개인정보보호법을 비롯한 컴플라이언스(Compliance; 규제 준수) 이슈를 타고 커졌던 시장은 신규 사업이 줄어듦에 따라 정체됐다는 평가를 받기도 했다. 이에 업체들은 데이터베이스 관리 시스템(DBMS)에 대한 클라우드 전환 수요를 포착하는 한편, 접근제어 영역을 시스템 전반으로 확장하는 등 매출 신장을 위한 노력을 거듭하고 있다.

인증·권한 탈취 공격 막는 ‘DB접근제어’

DB접근제어는 조직이 운영하는 DB에 대한 불법적 접근을 막고, 적절한 권한을 가진 사용자만 특정 영역 또는 데이터에 접근할 수 있도록 관리하는 솔루션이다. DB에는 회사 내 여러 주요 정보가 담기는 만큼 내부망에 위치해 외부에 노출되지 않는다. 사이버공격이 이뤄져도 서버, 네트워크 등 앞단을 모두 뚫은 후에야 노릴 수 있기에 취약점을 통한 직접 공격으로 DB가 유출되는 사례는 드물다.

DB를 대상으로 한 공격은 인증·권한 탈취를 중심으로 진행된다. 사용자 계정과 권한이 의도치 않게 노출되거나, 관리 소홀을 틈타 위협 행위자가 권한을 탈취함으로써 DB가 유출될 소지가 있다. DB접근제어는 이 같은 공격 양상을 고려해 DB에 대한 접근을 제한하는 보안 기술이다. 크게 사용자 인증, 접근 통제, 권한 관리, 로깅 등으로 구성된다. 우선, 인증은 DB에 접근하는 사용자가 누구인지 신원을 확인하는 과정으로 아이디·패스워드를 사용한다. 더 강력한 보안이 필요할 시 2개 이상의 인증을 결합한 ‘다중 인증(MFA)’ 기술도 적용된다.

접근 통제는 사전 인가된 IP, 기기, 위치 등을 바탕으로 비정상적 접근 시도를 탐지 및 차단하는 기능이다. 일정 시간 비활성 상태를 유지하면 자동 로그아웃 또는 세션 타임아웃을 설정하거나, 단일 계정의 다중 접속을 제한할 수도 있다.

권한 관리로는 역할, 책임, 데이터 민감도를 고려해 사용자별로 접근이 가능한 DB를 설정하고 그 안에서 수행할 수 있는 작업을 할당할 수 있다. 사용자가 어떤 데이터에 접근해 무슨 작업(조회, 수정, 삭제 등)을 할 수 있는지 관리하는 일이 가능하다. 마지막으로 로깅은 사용자가 DB에 접근하는 시점부터 쿼리 실행 등 모든 활동 내용을 기록, 저장된 감사 내용을 분석해 비정상적 움직임을 탐지하는 기능이다.

이러한 주요 기능을 구현하는 방식으로는 △특정 경로로만 접근할 수 있도록 제한하는 ‘게이트웨이(Gateway)’ △사용자와 서버 간 패킷을 복사해 접근제어 서버에 전달하는 ‘스니핑(Sniffing)’ △DB 서버에 접근제어 솔루션을 설치하는 ‘에이전트(Agent)’ 등이 있다. 국내 제품의 경우, 대부분 위 방식을 지원하며 몇몇 요소를 조합한 하이브리드 형태로도 구축이 가능하다.

개인정보보호법 시행 타고 늘어난 수요

국내 시장에서 DB접근제어가 자리 잡은 주된 요인은 컴플라이언스다. 개인정보 보호에 대한 목소리가 높아짐에 따라 그에 걸맞은 법령, 규정 등이 마련됐다. 이를 준수하기 위해 기업들이 DB접근제어를 도입하기 시작한 것이다.

그 중심에는 개인정보보호법이 있다. 개인정보보호법은 공공과 민간을 망라해 국제 수준에 부합하는 개인정보 처리 원칙을 규정하고자 2011년 제정됐다. 그 이전에는 산업별로 해당하는 법을 적용받는 관계로 개인정보 보호 방안을 일관성 있게 확립하는 데 어려움이 있었고, 보안 의식 또한 그리 높지 않았다. 개인정보보호법이 수립되고 이를 지키기 위해 기업들은 보안 체계를 세우기 위해 노력했으며, DB접근제어도 그 과정에서 여러 곳에 도입된 솔루션이었다.

개인정보보호법은 제29조(안전조치의무)를 통해 개인정보 보호를 위한 관리계획 수립, 접속기록 보관 등을 위해 기술적, 물리적 조치를 해야 한다고 명시하고 있다. 제29조의 일환으로 만들어진 ‘개인정보의 안전성 확보조치 기준’은 제5조(접근 권한의 관리), 제6조(접근통제), 제8조(접속기록의 보관 및 점검)를 통해 조치 사항을 구체화하고 있다.

제5조는 “개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다”고 규정한다. 이를 준수하려면 기업은 직원에게 열람, 수정, 다운로드 등 권한을 포괄적으로 부여하지 않아야 하며, 단순 열람만으로 업무 처리가 가능한 이를 구분해 최소한의 권한만을 줘야 한다.

제6조는 보다 구체적인 통제 방식을 설명한다. 정보통신망을 통한 불법적 접근 및 침해사고 방지를 위해 △권한을 인터넷 프로토콜(IP) 주소 등으로 제한해 인가받지 않은 접근을 제한하거나 △시스템에 접속한 IP 주소를 분석해 유출 시도를 탐지 및 대응하는 등 안전 조치를 취해야 한다고 제시한다.

금융권에서는 개인정보보호법과 함께 금융위원회 ‘전자금융감독규정’도 한 요인으로 작용한다. 전자금융감독규정 제27조의5는 중요원장을 조회·수정·삭제·삽입하는 경우 작업자 및 그 내용을 기록해 5년간 보존해야 한다고 규정한다. 이 때문에 금융권은 DB접근제어로 로그 기록을 남기고 관리해야 할 필요가 상대적으로 높아졌다.

웨어밸리 권동재 이사는 “개인정보보호법, 전자금융감독규정뿐 아니라 정보보호관리체계(ISMS) 인증에서도 내부 시스템에 대한 접근통제를 명시하고 있다. 이 같은 사항을 기업이 자체적으로 모두 충족하기란 어렵다. 기업들이 DB접근제어 솔루션을 적극 도입하게 된 이유다”라고 설명했다.