28. 데이터베이스 암호화 1부


 

?BSG Partners / 한형주 이사


 

정보보안에 종사하는 산업인력의 수적인 증가

 

개인정보의 사용에 대한 부작용이 발생되자 10년전부터 개인정보보호법을 발효하여 각 기관과 기업들은 정보보호 인력에 대한 충원에 들어갔다. 지난 3년간의 정보보호산업인력의 숫자를 한국정보보호산업협회의 자료로 살펴보자면, 정보보안 인력은 지난 3년간의 통계를 보았을때 매년 천여명씩 늘어가는 추세이다.

 

그림001


[그림1. 정보보호산업인력 (출처: KISA)]


 



 

클라우드 시장 규모의 전망

 

과학기술정통부가 발표한 6월 R&D 키오스크 리포트에 따르면 한국기업의 클라우드 사용율은 12.9% 인 것으로 알려졌다. OECD 평균이 30.6%인 것을 감안한다면 퍼블릭 클라우드의 시장 확대는 현재의 두배 규모로 발전할 가능성이 높다.

 

그림002
[그림2. 전세계 및 국내 클라우드 시장 전망 (출처: 과학기술정보통신부)]


 

정보보안에 관련된 업무에 종사하는 사람들 중 이미 업 무중 퍼블릭 클라우드를 접해야 하는 상황이 빈번하게 발생하고 있고, 그들 중 일부는 아주 가까운 미래에 운영하고 있는 클라우드 자원에 개인정보보호법이 요구하는 레벨의 보안태세를 갖추고자 설계와 구현을 해야한다.

 



 

클라우드 시장과 정보보안

 

이미 국내 성황리에 영업중인B2C 사업을 하는 앱 기반의 판매 및 판매 대행을 운영하는 회사들은 개인정보보호에 대한 요건을 만족하고 보안운영 중이다. ISMS인증을 마치고 개인정보보호법을 준수하며 운영중인 것이다. 한 유명업체는 온프리미스로 운영하던 자원을 2017년 모두 클라우드로 이전을 마쳤고, 또 다른 업체는 초창기 부터 클라우드 기반으로 비지니스가 성장하여 글로벌화된 기업이다. 이 두 유명기업 모두 업종의 형태가 개인정보를 사용해야 서비스가 가능하며, 그렇기 때문에 이미 ISMS 심사를 완료했고 클라우드상에서 개인정보를 보안운영 중이다. 그들이 가장 중점적으로 적용한 기술적인 분야는 네트웍상의 정보통제와 개인정보 데이터에 대해 안정성 확보조치를 한 것이다. 그들의 성공사례는 인터넷에서 쉽게 찾을 수 있어 참조하시면 좋을 듯 하며, 이글에서는 더 이상 거론하지 않겠다.

이번 글에서는 클라우드 상의 개인정보보호를 위한 안정성 확보조치 영역 중 데이터베이스 보안을 살펴보겠으며, 어떻게 안정성 확보조치를 구현 할 수 있는지 설명해 보려 한다.

 

우선 개인정보를 가장 많이 가지고 있는 퍼블릭 클라우드의 자원은 무엇일까?

그림003
[그림3. 클라우드 컴퓨팅 개념도 (출처: 위키피디아)]


가장 많은 개인정보를 담고 있는 것은 데이터베이스가 될 것이고, 두번째 많은 개인정보를 담은 곳은 오브젝트 공간에 저장되는 개인정보와 대외비를 포함한 각종 문서파일과 전자화된 개인문서 사본들이 그것이 될 것이다.

우선 클라우드에서 제공하는 데이터베이스 서비스를 살펴보겠다.

 



 

클라우드 가상 서버에 데이터베이스를 설치하여 사용하는 경우

 

클라우드 벤더가 제공하는 데이터베이스는 크게 두가지 방식의 서비스가 있다.

하나는 클라우드 상에서 서버자원만 이미지로 제공하여 가상화 서버를 제공하고, 기관이나 기업의 라이선스로 (또는 벤더가 제공하는 경우도 있다)? 제공된 가상화 서버에 데이터베이스 서버를 구축하는 것이다.

다른 하나는, 클라우드 벤더가 데이터베이스를 완전체 서비스로 제공하는 방법이다. 이때는 OS레벨로 서버를 접근할 수 없으며 데이터베이스 서비스만 접근하여 사용하는 방법이다.

우리가 기존의 데이터베이스에 대한 보안을 하기 위해서는 세가지 방식으로 접근을 하였다.

  2. API 호출 방식의 암/복호화 방식
  3. Plug-in의 정보 스위칭 방식
  4. OS Kernel에서 암/복호화 하는 방식

위 세가지 방식의 데이터베이스 암호화는 이미 널리 알려져 있고 하나 이상의 경험이 있을 것이다.

각각의 방식들이 장단점을 가지고 있기 때문에, 기관이나 기업의 담당자들이 플렛폼과 서비스를 고려하여 가장 최적화된 방식을 선택하여 개인정보나 대외비가 저장된 데이터베이스를 암호화 하여 보안운영을 하고 있다. ?하지만, 클라우드에서는 이 세가지 방식을 다 적용할 수도 그렇지 않을 수도 있다. 그렇게 되는 원인은 앞에서 거론한 클라우드상에서 데이터베이스를 운영하는 방식과 서비스의 차이 때문에다.

클라우드 벤더에서 제공받은 가상서버에 데이터베이스를 설치하여 사용하는 경우에는 OS레벨의 접근과 데이터베이스 접근도 모두 가능하다.

 

그림004
[그림4. 클라우드 가상 서버에 데이터베이스를 관리자가 직접 설치한 경우]


이때 클라우드 벤더의 의무는 가상서버 자원만 계약한 서비스 레벨로 운영을 책임지는 것이다. 벤더가 제공한 데이터베이스가 아니므로 데이터베이스의 관리와 문제점 해결은 구독한 주체사의 관리자가 책임을 지고 운영해야 한다. 그렇기 때문에 보다 자유로운 방식으로 데이터베이스의 암호화를 진행할 수 있다.

기존 IDC에서 서버를 대여하여 운영하는 것과 같기 때문에, API 호출방식, Plug-in 스위칭방식, OS Kernel 방식 모두 클라우드상의 데이터베이스에 적용이 가능하다.

보안서버와 구현방식은 온프리미스 방식과 동일하다. 이때 점검해야 하는 사항은 클라우드 벤더가 지원하는 가상서버의 OS 버전과 보안서버의 OS 버전 또는 클라우드 벤더에 보안서버의 이미지를 지원하여 보안서버나 보안서버가 운영될 자원을 클라우드에서 운영가능한지 확인이 반드시 필요하다. 그리고 관리자의 관점으로 언제나 잊지 말아야 할 것이 통합관리가능 여부이다.

만약 현재 보안운영중인 API 호출 방식의 암호화를 선택하여 사용할 때, 클라우드 벤더사들이 제공하는 암호화서비스와 API 암호화키를 사용한다면 관리포인트가 두개로 늘어나게 된다.

 

그림005

[그림5. 보안 서버가 추가되어 관리포인트가 늘어난 상황]


 

이를 방지하기 위해서는 기존의 3rd 파티에서 제공하는 암호화 방식을 클라우드 자원에도 같이 적용하거나, 클라우드에서 제공하는 암호화 서비스로 전사 암호화방식에 로드맵을 작성하여 단계적으로 적용하는 계획을 사전에 기획해야, 추후 보안운영 관리를 통합하여야 관리포인트를 줄일 수 있다.

그림007


[그림6. 온프라미스의 보안 서버로 통합 보안 구현한 경우]


그림006


[그림7. 클라우드 서비스의 보안서버로 통합 구현한 경우]


 



 

- - - 2부에 계속



저작권정책

K-ICT 클라우드혁신센터의 저작물인 『퍼블릭 클라우드와 개인정보보호법 준수를 위한 데이터베이스 암호화』는 K-ICT 클라우드혁신센터에서 BSG Partners 한형주 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의?저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.