대부분의 정보 유출 사건은 외부 침입에 의한 정보 유출보다는 내부에서 DB 접근 권한을 가진 직원으로 인한 정보 유출의 사고가 많은데 이런 사고의 예방이 어려운 이유는 정보 유출이 정상 업무처럼 보인다는 점이다.
정상적인 계정으로 DB에 접근하여 다량의 정보를 읽는다면 시스템은 이를 정상적인 활동으로 인식한다. 따라서 단순 접근제어만으로는 사고를 막을 수 없다. 이때 필요한 것이 탈레스 솔루션의 DAM(Data Activity Monitoring)이다. DAM의 핵심 기능은 데이터베이스에서 누가, 언제, 무엇을 했는지를 탐지하는 것이다.
탈레스의 DAM은 데이터베이스에서 이루어지는 사용자 및 DB 접근 활동을 실시간으로 감시·분석하고 이상행위 탐지 및 차단을 지원하는데, DAM이 제공하는 주요 기능은, 누가 접속했는지, 언제 접속했는지, 어떤 SQL을 실행했는지, 어떤 테이블과 컬럼에 접근했는지, 이 과정에서 대량 조회가 발생했는지이다.
DAM의 주요 기능을 기술적으로 살펴보면 DML, DDL, DCL같은 SQL문들을 실시간으로 분석하고, 비인가 계정 접근, 업무시간외 접속, 관리자 계정 사용, 대량 조회 및 위험 SQL문 실행 확인 등 정책 기반 이상행위 탐지는 물론, 학습을 통한 이상행위를 탐지하고, 인라인 차단, 세션종료 등 이상행위가 발생하면 해당 접속을 차단 및 대응하는 기능까지 한다. 데이터 흐름에 대한 단순 모니터링이 아니라 DB방화벽의 역할까지 수행하는 기능을 가지고 있다.
최근에 발생한 대량의 고객 정보 유출사건의 본질은 외부에 의한 공격 흔적은 보이지 않았고 퇴직자의 접근권한은 남아 있었으며, 권한이 있는 퇴직자의 데이터베이스 대량 조회 행위는 탐지되지 않았다는 것이다. 이러한 사항은 탈레스 DAM이 제공하는 핵심 기능과 정확히 맞닿아 있다. DAM이 막는 것은 단순히 외부의 해킹 동작을 막는 것이 아니라, 해커든, 내부직원이든 정상처럼 보이는 데이터 유출을 막는 것이다.
이중원 롤텍 부사장은 “데이터 유출을 막기 위한 방안은 외부 공격의 방어만이 아니라, 정상처럼 보이는 접근을 어떻게 이상행위인지를 파악하는 것이 핵심”이라며 “기업은 DB 활동 감시 체계를 필수적으로 구축해야 한다”고 강조하고 있다.
이원지 기자 news21g@etnews.com
