최근에 잇다른 개인정보유출사고로 인해 고객과 기업데이터베이스에 보호에 대한 Need가 높아지고 있습니다. 이제는 기업의 내부 기밀뿐만 아니라 기업이 소유하고 있는 고객들의 DB(데이터베이스)까지 보호해야 하기 때문에, 기업의 데이터베이스 보안에 대한 부담은 계속 커지고 있는 추세입니다.
하지만 실상은 국내 기업들은 DB보안에 대해서 투자하는 것을 꺼리고 있는 실정입니다. 보안에 투자하는 것이 기업에 있어서 손실이라고 생각하는 기업대표와 임원의 인식이 기업보안을 가로막고 있습니다.
보안은 손실이 투자의 개념으로 보셔야합니다. 앞서 있었던 카드3사의 개인정보 유출이나 오픈마켓 A사의 개인정보 유출사고 등으로 피해보상을 요구하는 고객들은 많아지고 있으며, 장기적으로 볼때 기업의 신뢰성과 고객을 잃어버리는 계기가 됩니다.
최근 국회에서는 카드정보 유출사태에 따른 긴급국정조사를 9월 30일에 진행하였습니다. 본 회의에서는, 카드 3사에 대한 현장조사는 물론, 금융감독기관 및 정보보호 관련 부처에 대한 종합조사까지 이루어졌습니다. 또한 정보보안 권고사항도 다수 포함이 되었습니다.
국회에 제출된 보고서에 따르면 카드 3사의 개인정보유출사고는 고객 DB에 대한 암호화를 전혀하지 않은 것이 근본적인 원인으로 뽑았고 개인식별정보 변환 조치를 하지 않는 등의 기술적 조치의 미흡사항, 외주직원의 USB사용 허용과 접근제어의 부실, 출입관리 부실 등의 내용이 드러났습니다.
또한 테스트시에도 실데이터의 사용을 금지하고 이를 변환하거나 암호화하여 사용하도록 규정하였지만 이를 지키지 않고 위반한 것으로 확인되었습니다.
국회에서 조사한 보고서에 따르면 증권사의 경우 고객정보의 1/3정도, 보험사는 고객정보의 1/2 정도만 암호화 하고 있는 것으로 드러났습니다.
국회는 이번 보고서에 나온 결과를 토대로 금융당국과 금융회사에 시정 명령을 내렸습니다.
[국회에서 지시한 보안 관련 시정 명령]
1. 금융사 보유 개인정보에 대한 암호화 확대 시행 방안 검토
2. 시스템 개발 외주인력의 고객정보 접근 및 USB 등 외부저장 매체의 반입 전면 금지
3. 정보보호 예산 집행의 적정성에 대한 지도 및 점검 강화
4. 정보보호최고책임자(CISO)의 타 IT 관련 직위와의 겸직 제한
5. 금융회사 정보보안에 대한 국제인증인 카드결제산업 정보보안기준(PCI DSS) 적용 방안 검토
6. IT정보보호 인력 양성 방안 검토
7. 금융회사 내부직원 보안등급제 도입해 정보접근의 범위 및 사용절차 등에 대한 구체적 기준 마련
8. 금융회사의 과도한 IT아웃소싱 비율 감소 방안 강구
9. 금융회사 자체 정보보호 관련 내부통제 정기검사 의무화
10. IT경영실태평가시 보안관련 규정의 실제 준수 여부 점검
또한, 국회는 규제 당국이 마련한 조치들을 이행하지 않고 정보보호에 소홀했을 경우 법적 제재 수위를 크게 높이고 민형사상 책임을 묻겠다고 엄정 경고하였습니다.
이러한 사회적 이슈와 국회의 시정명령 때문에 회사 자체 인력으로 운용할 수 있는 DB보안 솔루션에 대한 관심이 높아지고 있습니다. DB보안 솔루션이란 중요 정보 데이터베이스를 암호화를 적용시켜 해독을 못하게 만들어 유출을 방지하고 유출이 되어도 이를 활용할 수 없게 만드는 기능과 특정 사용자의 접근을 제어하는 접근제어를 통해 데이터를 안전하게 관리하는 솔루션을 말합니다.
DB 보안의 최종적인 목표는 암호화와 접근제어를 동시에 진행하는 것으로, 두 기능다 성능의 저하 없이 완벽한 보안성을 보장하는 솔루션을 선택하는 것이 필수입니다.
데이터베이스(database) 보안은 전통적인 방식으로 보자면 DMZ 존과 상반된 내부 네트워크 내에 데이터베이스 환경이 존재하여, 경계가 되는 방화벽이나 라우터에 의해 외부 연결로 부터 보호하는 형식으로 진행되었습니다. 하지만 최근에는 근본적인 데이터베이스(DB)에 대한 안전한 보호를 위해 암호화 기술에 대한 필요성이 높아졌습니다.
결론적으로 컴플라이언스 준수를 통한 제도적인 규제와 HSM(하드웨어 암호화 모듈)과 같은 암호화 장비를 통한 기술적 조치를 통해 안전한 보안을 구축하지 않으면 기업에 있어서 큰 위협이 될 수 있다는 점을 시사하고 있습니다.
전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아
 | |||
 |  |  |
|
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
| 11월 29일 정보통신망법 시행령 개정 내용 (0) | 2014.12.22 |
|---|---|
| 개인정보보호법 개정령 시행, 2016년부터 개인정보 암호화 필수 (0) | 2014.11.03 |
| 기업의 중요 자산을 보호하는 Thales GPHSM 솔루션 소개 (보안 솔루션) (0) | 2014.10.10 |
| 암호화 방식과 데이터베이스 보안(DB 보안)의 종류 (0) | 2014.10.07 |
| PCI–DSS 감사 및 규제준수를 위한 효율적인 방안 - (Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준) (0) | 2014.10.02 |
| "전세계 주요 기업 46%, 데이터 유출 사고로 인해 암호화에 투자" (0) | 2014.09.24 |
| 공인인증서 비밀번호 복잡화보다, 근본적인 금융보안 해결책은? (0) | 2014.09.23 |
| 의료기관 개인정보보호! 기술적, 관리적 조치방안은? (0) | 2014.09.15 |
| Microsoft MS-SQL TDE (EKM 키 관리) (0) | 2014.09.12 |
| [금융, 은행 보안] 지불 결제 전용 하드웨어 보안 모듈 Thales Payshield 9000 (0) | 2014.09.11 |
