NCR `CIO를 위한 DB 보안 10계명` 제시

　‘최고정보책임자(CIO)를 위한 데이터베이스(DB) 보안 10제(題)’

　기업용 솔루션 전문업체인 NCR테라데이타는 미국 올랜도에서 ‘NCR테라데이타 파트너즈 콘퍼런스’를 개최하고 정보시스템 담당 중역들이 DB보안 프로그램을 구성하면서 놓치지 말아야 할 10가지 포인트를 제시했다.

　(1) 기업 DB시스템을 위한 보안 정책을 개발, 모든 사용자가 숙지하도록 하라. 특히 경영진의 의사결정에 토대를 둔 확고한 보안정책은 사용자들이 기업 데이터 사용 룰을 인지하고 나아가 데이터보호의 책임과 잘못된 접근에 대한 제재 등을 숙지하도록 도울 것이다.

　(2) 사용자에 따라 DB의 보안등급과 DB생성권 등을 세분화하고 DB와 관련된 책임과 업무를 차별화하라.

　(3) 만일의 사태에 대비해 위험도에 따라 데이터 자산을 정의, 분류하라. 데이터 분류는 비즈니스에 미치는 영향에 따라 차등화하고 필요하다면 암호화, 고도의 접근제한 등이 요구된다.

　(4) 모든 사용자는 각각 명확히 정의돼야 한다. 명확한 사용자 정의는 시스템과 네트워크를 통한 사용자의 활동을 효과적으로 모니터링할 수 있는 토대다.

　(5) 사용자별 업무와 책임에 따라 최소한의 접근을 허가하는 ‘최소 접근의 원칙’을 지키라. 최소 접근권은 정기적으로 이뤄져야 하며 사용자의 이직이나 직무 변경시에는 즉시 반영되도록 해야 한다.

　(6) 방화벽·게이트웨이·VPN 등을 통해 네트워크 접근을 제한하라. 네트워크 보안은 보안 침해사고 발생에 대비한 1차 방어선이다.

　(7) 서버 운용체계(OS)에 대한 보안을 강화하고 서버의 등록·유지보수·지원·모니터링 등의 업무 수행자에 대해 제한적으로 접근을 허용해야 한다.

　(8)서버에 대한 물리적인 접근을 통제하라. 이를 위해 기계실 개폐는 물론 인가자의 출입, 방문자 관리 등에 대한 적절한 방침이 요구된다.

　(9) 보안통제가 적절히 이뤄지고 있는지 정기적으로 DB를 검사한다. 또한 통제정책이 수시로 변하는 비즈니스의 요구를 충족하는지도 살펴야 한다.

　(10) 보안사고 뒤 신속한 복구를 위한 비즈니스연속성계획(BCP)을 개발, 이행하라. 이는 DB, SW 백업과 함께 복구 절차 등을 포함한다.

　 올랜도(미국)=이정환기자@전자신문, victolee@