관련 통계자료 다운로드 DB암호화 기술 및 비교 지난해 9월 발효된 개인정보보호법 유예 기간이 4개월밖에 남지 않았다. 연말까지 개인정보를 취급하는 360만 기관·기업 및 개인은 주민번호, 여권번호, 운전면허번호 등 개인정보에 암호화를 적용해야 한다. 개인정보를 수·발신할 때와 인터넷 구간, DMZ 구간 및 개인정보취급자 PC에 저장할 때도 이를 암호화해야 한다.
내부망에 저장할 때에는 암호화하거나 행정안전부가 제시한 26가지 위험도 분석기준에 맞는 조치를 취해야 한다. 행정안전부가 내부망 저장정보 암호화 계획 수립에 3개월, 유예 기간 1년을 뒀기 때문에 이제 그 시기가 다가오고 있다. 올해 안에 DB암호화 프로젝트를 진행하지 않으면 내년부터는 바로 범법행위를 하는 셈이 된다.
하지만 중소기업은 비용 문제로, 대기업과 금융권 등 특정 산업군은 성능 저하 이슈로 선뜻 DB암호화를 추진하지 못하고 있다. 속도가 생명인 증권업은 다른 금융사에서 어떻게 프로젝트를 진행하는지 눈치만 보는 상황이다. 금융, 의료, 유통 등 개인정보를 많이 다루는 산업군에서 DB암호화가 최고정보책임자(CIO)의 고민거리가 되고 있다.
◇속도 느려지고 비용 만만치않아 고민=업무에 따라 다르지만 일반적으로 DB암호화 솔루션을 적용하면 기존보다 10~30% 시스템 속도가 느려진다고 알려져 있다. 데이터 규모가 20%까지 늘어나는데다 암·복호화로 서버 성능이 떨어지기 때문이다. 증권사에서는 0.5%만 시스템 속도가 떨어져도 비즈니스에 치명적이다.
비용도 만만치 않다. 은행권은 DB암호화 후에도 현재 수준 속도를 유지하려면 서버 용량을 최고 30% 증가시켜야 한다. 그래서 한 대형은행은 DB암호화에 최고 5000억원을 투자해야 한다는 얘기도 나온다.
또 다른 은행은 인터넷뱅킹과 스마트뱅킹 등 단위업무 하나만 암호화하는 데 10억원이 필요한 것으로 파악하고 있다. 단위업무 개발에 100억원가량이 소요된다면 프로젝트 예산 10%를 DB암호화에 투자하는 셈이다.
이에 따라 행정안전부는 인터넷과 DMZ 구간이 아닌 내부망에 저장되는 개인정보는 26가지 위험도 분석기준을 충족하면 암호화를 할 필요가 없도록 하고 있다. 26가지 중 하나라도 충족하지 못하면 DB암호화를 해야 한다. 하지만 위험도 분석기준을 제대로 지키고 있는지 기업 스스로 조사해야 하기 때문에 객관적 평가가 이뤄지기 어렵다.
더구나 몇몇 조항은 엄격한 평가 여부에 따라 충족·불충족으로 결과가 달라질 수 있어 적지않은 리스크를 안고 있다. 예를 들어 `상시적으로 불법 해킹시도를 방지하고 이에 대한 모니터링을 실시하고 있습니까?`라는 항목은 `상시적`이라는 개념을 놓고 혼란을 야기하고 있다.
문제가 발생하면 고스란히 기업이 책임을 져야 한다. 이에 따라 DB암호화와 26개 위험도 분석기준 충족을 놓고 CIO와 최고정보보안책임자(CISO)가 고민에 빠졌다. 자세한 통계는 없지만 현재 국내 기업 중 DB암호화를 일부분에라도 적용한 곳은 20% 안팎으로 파악되고 있다. 따라서 연말까지 상당수 기업이 개인정보보호법 대응 프로젝트를 추진해야 한다.
◇만족스러운 제품이 없다=현재 모든 금융사가 DB암호화를 검토하고 있다고 해도 과언이 아닐 정도로 DB암호화는 금융권 최대 이슈다. 공공, 의료, 유통 분야도 마찬가지다. 상대적으로 개인정보가 적은 제조업계는 관망하는 분위기다.
금융사는 일찌감치 접근제어 방식 DB 보안을 구현해둔 상태다. 하지만 DB암호화를 적용한 곳은 거의 없다. 지난해부터 여러 금융사가 국내외 DB암호화 솔루션 10여개를 놓고 벤치마크테스트(BMT)를 진행했다. 하지만 이들의 한결같은 반응은 제대로 된 성능을 갖춘 솔루션이 전무하다는 것이다. 보안성과 애플리케이션 수정 여부, 성능, 가격 등 여러 면을 검토했지만 마음에 드는 솔루션이 없다는 설명이다.
박진규 우리은행 보안담당 차장은 “소중한 고객정보를 비롯해 개인정보를 보호해야 할 필요성은 누구나 공감하고 있다”며 “가장 중요한 것은 성능인데 실제로 BMT를 해보면 제대로 된 성능을 보이는 솔루션이 거의 없다”고 토로했다. 그의 말대로 DB암호화를 하려고 해도 마음에 드는 솔루션이 없다는 게 현재 보안 담당자의 가장 큰 고민이다.
농협은 최근 DB암호화 추진을 위한 제안요청서(RFP)를 발송했다. 앞서 지난해부터 여러 제품을 검토했는데 만족스러운 성능을 보이는 것은 외산 제품 하나밖에 없었다. 하지만 이 제품은 공통평가기준(CC) 인증을 받지 않은 게 문제가 됐다. 제품 선정을 진행 중인 지금도 성능 우려는 가시지 않고 있다.
은행권이 염려하는 부분은 또 있다. 은행은 예금, 적금, 대출 등 각 업무를 처리할 때 업무별로 고객 주민등록번호를 활용하거나 주민번호가 아닌 고유번호를 부여하는 방식을 택하고 있다. 문제는 업무마다 주민등록번호를 활용하는 몇몇 은행이다. 이 은행들은 이를 일일이 암호화해야 하고 이를 찾기 위한 별도의 키값을 생성해야 한다. 하지만 이 키값을 해킹당하면 다시 주민번호가 노출될 수 있어 암호화 의미가 없다는 게 관계자 설명이다.
◇위험도 분석기준 충족 방식 선호=이런 상황 때문에 금융사 CIO와 CISO는 다양한 방안을 고민하고 있다. 전반적 추세는 DB암호화 솔루션을 적용하는 것보다 26개 위험도 분석기준을 만족시키는 쪽으로 흐르고 있다.
대표적인 곳이 기업은행이다. 기업은행은 반드시 암호화를 해야 하는 DMZ 구간 DB는 내부망으로 이동시킬 계획이다. 굳이 DMZ 구간에 DB를 두지 않아도 고객 서비스에는 문제가 없다는 판단에서다. 또 26개 위험도 분석기준을 면밀히 검토하고 요건을 충족시키는 활동을 추진하고 있다. DB암호화 솔루션을 검토하지 않은 것은 아니지만 성능과 안정성 측면에서 적당한 솔루션을 찾지 못했기 때문이다.
부산은행도 마찬가지다. 부산은행은 DMZ 구간 등에 있는 공개용 서버에는 아예 개인정보를 두지 않는 방식을 택했다. 공개용 서버는 외부와 접점 채널이기 때문에 리스크가 크다고 판단해 내부망으로 모든 개인정보를 이동시켰다. 내부망 암호화는 추이를 지켜보고 있지만 위험도 분석기준을 충족시키는 방향으로 무게추가 기울고 있다.
현대증권은 암호화는 하되 암호화가 성능에 영향을 미치지 못하도록 암호화된 정보를 업무에 사용하지 않는 방안을 검토하고 있다. 최근 차세대 프로젝트를 끝마친 신한금융투자와 메리츠증권 등 일부 증권사는 이런 프로세스에 맞게 업무 프로그램을 수정했다.
박창선 현대증권 IT기획부장은 “처음에는 암호화를 하되 애플리케이션 수정을 최소화하는 방식을 고민했다”며 “하지만 이 방식보다는 주민번호 등 개인정보를 활용하지 않고도 업무를 처리할 있도록 하는 게 더 효과적이라고 판단했다”고 말했다. 현대증권은 현재 주민번호가 어떤 업무에 사용되는지 파악하고 있다.
금융사 대부분이 다른 회사의 움직임을 예의주시하고 있는 가운데 과감하게 DB암호화에 나선 회사도 있다. 업체 선정작업을 진행 중인 농협과 이달 말 금융권 최초로 전체 DB암호화 프로젝트를 마무리하는 하나SK카드가 대표적이다. 하나SK카드는 지난 4월 시작해 업무계, 정보계 전체 DB의 암호화를 추진 중이다.
송준영 하나SK카드 정보기획팀장은 “자사 환경에 맞는 DB암호화 방식을 택하고 명확한 범위를 설정해야 프로젝트 기간과 비용을 줄일 수 있다”며 “컨설팅 전에 시스템 분석이 돼 있어야 하고 현 시스템 현황을 상세히 파악하고 있는 관리자가 꼭 필요하다”고 말했다.
DB암호화 기술 및 비교
자료:S증권사
![[CIO BIZ+]금융권 DB암호화 대응 방안](https://img.etnews.com/cms/uploadfiles/afieldfile/2012/08/24/322029_20120824174815_641_T0001_550.png)
안호천기자 hcan@etnews.com
