클라우드·빅데이터 환경이 확산되면서 데이터 유출 위협이 더욱 높아지고 있다. 특히 빅데이터 기술이 확산될수록 모든 데이터에 대한 철저한 보호가 필수적인 상황이며, 데이터에 초점을 맞춘 데이터 중심 보안 전략이 시급히 요구된다. 데이터를 중심으로 한 정밀한 감사 및 제어, 모니터링 등이 필요하며, 전담조직과 인력을 통한 상시 관리가 요구된다. 데이터 중심 보안 전략을 수립하기 위애 필요한 요소를 살펴본다. | 구병춘 보메트릭코리아 부장·bckoo@vormetric.com |

기업은 자체적인 비즈니스를 영위하면서 수많은 데이터를 생산 또는 수집하게 된다. 이러한 데이터는 주로 데이터베이스에 정형화된 형태로 관리돼 왔으나 IT기술의 발전에 따라 이미지, 음성/영상, XML 등 비정형 파일의 형태로 확장되고 있으며, 위치 또한 데이터베이스뿐 아니라 이메일서버, 팩스서버, 모바일 디바이스 등의 다양한 시스템에서 관리되고 있다.

운영의 효율성과 확장성, 편의성을 위해 클라우드 환경이라는 ‘사용자 중심, 업무 중심의 수백 또는 수천 대의 컴퓨터를 연결해 단일 컴퓨터로는 불가능한 풍부한 컴퓨팅 자원을 활용할 수 있도록 하는 기술’의 도입이 가속화되고 있다.

클라우드 환경뿐 아니라 빅데이터 또한 지난해에 이어 올해에도 IT 분야의 큰 화두가 되고 있다. 빅데이터는 ‘1+1=3’이라고 표현하기도 한다. 여러 시스템에 분산돼 있던 데이터를 한 곳으로 모아 그 이상의 가치를 창출하기 때문이다. 처음에는 시스템 로그를 분석해 보안 기술력을 강화한다는 IT적인 측면에서 관심이 모이기 시작했지만, 이제는 수집된 데이터를 통해 고객의 성향을 종합적으로 분석하는 보다 발전된 형태의 CRM으로 활용되는 등 여러 산업에서 빅데이터의 무한한 잠재력이 발견되고 있다.

이와 같이 관리돼야 하는 데이터의 양은 폭발적으로 증가하고 유형 또한 다양해지고 있지만 데이터의 보호를 위해서는 여전히 기존의 경계선 방어 형태로 보호 조치가 이뤄지고 있다.

지속적으로 높아지는 데이터 보안 위협
어도비의 데이터 유출 사고 등 국내외 적으로 APT 공격에 의한 데이터 유출 사고가 지속적으로 발생하고 있다. 맨디언트(Mandiant)의 ‘엠트렌드: 위협 보고서(MTrend: Threat Report)’에 의하면 전체 보안 사고 중 기업이 감지조차 못하는 경우가 63%에 이르고 있으며, 해커가 발각 전까지 사내 네트워크에서 활동한 일 수는 243일로, 2011년의 416일에 비해 줄어들었지만 여전히 상상을 초월하는 규모라는 것을 알 수 있다.

APT 공격은 통상적으로 다음의 형태로 이뤄진다. 먼저 목표 대상에게 악성코드가 담긴 이메일 등을 지속적으로 발송하거나 사회공학적인 방법을 통해 네트워크 접속이 가능한 계정을 탈취해 접속한다. 그 후, 공격자는 데이터가 저장된 서버의 특권 계정을 확보해 이 계정을 통해 데이터 파일에 접근해 파일을 작게 분할해 데이터를 외부로 유출한다.

중요 데이터 보관한 빅데이터·클라우드
우리나라는 정보통신망법과 개인정보보호법을 통해 민감한 개인정보를 관리하는 데이터베이스에 대해 암호화를 통해 보호할 것을 의무화하고 있다. 이는 기존의 환경에서는 아주 유효한 방어책이지만 빅데이터 및 클라우드 환경에서는 그 범위가 확대돼야 한다.

각 기업의 사업 추진 방향이 다르듯 모든 기업이 같은 형태의 데이터를 저장하고 있는 것은 아니다. 예를 들어 어떤 기업은 내부 데이터베이스에서 수집되는 정형 데이터를 중심으로 사업을 전개하고 있을 것이며, 다른 기업은 이미지, 소셜네트워크서비스(SNS), 로그파일 등을 통해 수집한 비정형 데이터를 중심으로 사업을 전개하고 있을 것이다.

지금까지는 정형 데이터가 저장된 데이터베이스 암호화에 시장의 초점이 맞춰져 있었다면, 앞으로는 비정형 데이터에 대한 암호화가 주목을 받을 것으로 예상된다. 인포메이션위크가 조사·발표한 ‘2013 빅데이터 서베이’에 따르면 로그, 이미지, 오디오 등 기업 내 비정형 데이터가 차지하는 비중이 42%에 이르지만 이에 대한 암호화 체계는 미흡한 상황으로 분석된다. 특히 최근에는 CCTV영상과 같은 개인영상정보가 개인의 사생활을 침해할 수 있다는 점을 감안, 정부가 개인영상정보보호법률을 제정하는 움직임을 보이고 있다.

클라우드와 빅데이터 환경이 모두 중요 데이터를 다량 보관하고 있다는 점에서 이를 안전하게 보호하고자 하는 기업의 니즈도 함께 증가하고 있다. 텍스트 형식의 정형화된 데이터와 달리 소셜 네트워크, 고객 행동, 센서, IT 시스템 및 기타 소스로부터 방대한 데이터를 수집해 저장 및 분석하는 데 사용되는 새로운 빅데이터 플랫폼 및 클라우드 서비스는 기본 보안 제어 성능이 취약하다. 오라클, SQL 서버, DB2와 같은 여러 종류의 데이터베이스는 물론 비정형 데이터까지도 안전하게 암호화하고 보호할 수 있는 방안이 필요하다.

데이터 중심 보안 기능
진화한 공격 형태와 새로운 위협 양상을 살펴보면 데이터 보호는 단 하나의 솔루션이나 보안 정책만으로 충족되지 않는다는 것을 알 수 있다. 보다 완벽한 보호에 대한 해답은 곧 보호 대상, 즉 데이터를 중심으로 찾아야 한다. 예를 들어 현관문에 자물쇠가 있고 보안 장치가 있어도 도둑은 문을 따고 들어올 수 있다. 하지만 집 주인이 돈과 귀금속 같은 귀중품을 금고에 보관해두었다면 피해를 줄일 수 있다.

데이터도 마찬가지다. 데이터를 중심으로 정밀한 감사 및 제어를 실시해 잠재적인 공격을 막고 누가, 언제 데이터를 열람하는지 모니터링 해야 한다. 방화벽과 같은 경계선 보안 솔루션이 아무리 서버의 외벽을 잘 감싸고 있다고 해도 그 경계선이 무너지면 그 속에 저장된 데이터는 속수무책으로 도난 당할 수밖에 없다. 공격을 예방하고 데이터를 성공적으로 보호하기 위해 고려해야 할 데이터 중심 보안 요소는 다음과 같다.

■ 암호화
많은 기업이 APT 공격에 대응하기 위한 수단으로 데이터 암호화를 효과적이라 판단하고, 도입을 서두르고 있다. 암호화를 적용할 때는 학계와 전문 기관의 검증을 거친 128비트 이상의 키 길이를 사용하는 알고리즘을 적용해야 하며 특히 암호화 알고리즘의 운영 모드 중에 동일한 값을 암호화해도 다른 결과값을 출력하는 CBC 운영 모드를 적용해야만 안전성을 확보할 수 있다. KISA에서 제공하는 보안 권고 사항을 참조하면 충분한 정보를 얻을 수 있다.

■ 암호 키 관리
데이터 암호화에 있어 바늘과 실처럼 따라오는 ‘암호 키’는 데이터와 별도 위치에서 관리하는 것이 바람직하다. 현재의 수많은 암호화 솔루션은 암호 키 관리를 위한 별도의 장치를 설정하지 않는 경우가 대부분이다.

하지만 암호화된 데이터와 이를 해독할 수 있는 열쇠인 암호 키를 동일한 장비에서 관리하는 것은 금고 앞에 비밀번호를 적어 놓은 것과 동일하다. 해커가 계정을 획득하면 데이터와 암호 키를 동시에 확보 및 유출시킬 수 있게 된다. 따라서 암호 키는 데이터가 관리되는 장비와 다른 위치에 보다 보안성이 강화된 환경에서 관리돼야 한다. 데이터가 적재된 장비와 다른 키 관리만을 위한 별도의 전용 장비를 마련할 수 있다면 안정성을 확보할 수 있으며, 중앙 집중화된 키 관리를 실현할 수 있다면 최고일 것이다.

■ 접근 제어
암호화 솔루션을 도입하고 나면 접근 제어 정책을 세워야 한다. APT 공격은 주로 권한을 가진 사용자의 계정 정보를 획득해 데이터를 저장하는 서버에 접속한다. 이 때 사용자 계정 단위로 정책을 세우고 암호화 데이터에 대한 프로세스(애플리케이션)의 접근 제어 정책을 수립해 놓는다면 비정상적인 접근을 포착할 수 있다.

하지만 기업 내 일부 계정은 업무처리나 서비스 기능을 수행하기 위해 암호화 데이터에 대한 접근이 허용돼야만 한다. 이런 계정은 해커에게 유출될 시, 데이터를 한 순간에 잃을 수 있기 때문에 안전하게 보호해야 한다. 서비스를 수행하는 프로세스 또는 애플리케이션만 암호화 데이터에 접근이 가능하도록 제어 기능을 설정한다면 계정과 프로세스(애플리케이션)로 접근 제어를 이중화할 수 있기 때문에 암호화 데이터를 안전하게 보호할 수 있다.

■ 보안 제품 권한 및 역할 분리
IT 인프라를 운영하는 시스템 관리자와 암호 키, 보안 정책을 담당하는 보안 관리자의 역할을 분리해야 한다. 일반적으로 시스템 관리자가 서버의 최상위 관리자 권한 계정을 갖고 인프라를 운영하는 경우가 많은데, 이럴 경우 내부의 악의적 의도 또는 외부 공격을 통해 관리자 계정이 유출되거나 데이터가 직접 새어나갈 수도 있으므로 별도의 보안 관리자를 임명해 암호 키와 정책을 따로 운영하도록 구분하는 것이 바람직하다.

이를 위한 방법으로는 Sudo 명령어가 있다. Superuser do의 줄임말인 이 명령어는 일반 사용자가 특정 명령어를 다른 사용자의 권한으로 실행할 수 있도록 한다. 즉 /etc/sudoers 파일에 설정돼 있는 허가된 사용자들에 한해 시스템 최고 관리자인 루트 사용자의 명령어를 사용할 수 있도록 허용한다.

■ 감사 및 보안 인텔리전스
데이터 보안은 기술 도입만으로 끝나는 것이 아니며, 세심하고 꾸준한 관리를 필요로 한다. 따라서 솔루션 구축 후 운영 상태를 확인할 수 있는 감사를 수행해야 한다. 감사 범위는 데이터 보안의 정상 유무를 확인하는 것은 물론, 불법적인 접근 시도가 있었는지에 대한 확인도 포함한다.

또한 향후 데이터 유출 사고가 발생할 수 있을 것에 대비해 사건 발생 시 히스토리를 추적할 수 있도록 로그를 항상 관리해야 한다. 이러한 감사를 보다 효율적으로 수행할 수 있는 도구가 바로 보안 인텔리전스의 도입이다. 보안 인텔리전스 솔루션은 암호화된 데이터에 대한 현황과 접근 내역에 대해 쉽고 빠르게 확인할 수 있는 화면을 제공하기 때문에 관리자의 간단한 조작만으로 불법적인 접근을 파악해 빠르게 조치할 수 있다.

데이터 보호 4가지 조건
개인정보보호법 발효 이후 우리나라의 데이터 보안은 주로 데이터베이스 암호화에 초점이 맞춰져 있다. 하지만 앞서 언급했듯 클라우드와 빅데이터 환경이 전세계적으로 보편화되고 있으며, 국내 기업들 역시 해당 기술들에 대해 논의하는 데서 머물지 않고, 글로벌 우수 사례를 참조해 실행으로 옮기려는 움직임이 속속 나타나고 있다.

변화하는 비즈니스 환경과 최신 기술들, 기존 데이터 보호 전략까지 모두 아우르는 데이터 보호 솔루션을 고르려는 기업들이 기억해야 할 네 가지 필수조건은 다음과 같다.

■ 투명성
데이터 보호 솔루션은 기존에 운영하고 있던 업무 프로세스 및 애플리케이션에 투명하게 적용돼야 한다. 암호화에 흔히 사용되는 API 방식과 플러그인 방식은 애플리케이션 소스 코드를 반드시 수정해야 하기 때문에 유연성을 요구하는 클라우드와 빅데이터 환경에는 적합하지 않다.
정형화된 데이터가 저장되는 데이터베이스와 달리 비정형 데이터를 취급하는 빅데이터 환경에서는 다양한 형식의 여러 데이터에 모두 적용할 수 있는 암호화 기술이 필요하므로 도입하고자 하는 제품이 이를 지원하는지를 반드시 확인해야 한다.

■ 보안성
방화벽과 같은 강력한 접근 제어 기능을 구현해 암호화된 데이터에 대한 불법적인 접근을 차단해야 하며, 이는 일반 사용자와 애플리케이션의 접근뿐만 아니라 최고 관리자 권한 계정에 대해서도 적용할 수 있어야 한다. 또한 특화된 별도 장비에서 암호 키와 정책을 안전하게 관리하도록 지원하는 제품을 사용할 때 충분한 보안성을 확보할 수 있다.

■ 편의성
암호화 기술을 기존 환경에 쉽고 편리하게 적용할 수 있어야 한다. 또한 솔루션 사용이 직관적이고 이해하기 쉬워 구축 후에도 기존 운영자가 빠르게 기술을 숙지하고 업무에 지장을 주지 않으면서 데이터 보안을 강화할 수 있어야 한다. 향후 다른 담당자에게 데이터 보안 운영 업무를 위임할 때 역시 위험을 최소화할 수 있다.

■ 효율성
대용량 데이터를 저장하고 있는 기업이 암호화 도입을 망설이는 이유로는 성능 저하에 대한 우려가 가장 크다. 데이터 보호를 철통같이 한다 해도 시스템 용량을 너무 많이 차지해 다른 업무에 지장을 주면 주객전도가 돼 버리기 때문이다.

데이터를 암호화하는 일은 CPU 리소스의 상당 부분을 소모하는 작업이므로, 시스템 부하를 최소화할 수 있는 고성능 제품을 도입해야 한다. IT 기술과 인프라 구조가 시시각각 빠르게 변화하는 것을 고려해 향후 구조 변화에도 적은 비용으로 동일한 암호화 기술을 적용할 수 있도록 리눅스, 유닉스, 윈도우 등 다양한 운영체제를 모두 지원하는지도 따져봐야 할 것이다.

이상과 같은 데이터 중심 보안을 위한 기능 및 속성을 제공하는 솔루션을 선정하고, 전담 관리자에 의한 운영을 통해 꾸준히 데이터에 대한 접근을 모니터링한다면 나날이 발전하는 내부/외부 위협으로부터 안전하게 데이터를 관리할 수 있는 체계가 완성된다. 민감한 데이터를 보호하면 해당 기업 또는 기관의 신뢰도는 상승하게 될 것이며, 상승된 신뢰도를 기반으로 비즈니스는 더욱 활성화할 수 있을 것이다.