[보안뉴스 특집 : DB암호화는 든든한 보험이다]

보안의 최종 단계 DB암호화로 내부정보 유출방지

 

DB암호화는 이제 DB보안의 중심축이 되었으며 제품선정 기준도 명확해졌다. 운영하고 있는 DB가 소형·소용량 이라면 국산이든 외산이든 큰 무리없이 운영이 가능할 수도 있겠지만 적어도 24시간 운영하고 있으며 수천만건의 데이터를 가지고 동시 처리량도 많다면 반드시 색인검색·무중단 모드가 요구된다. 가장 중요한 것은 DB서버 또는 애플리케이션 서버에서 사용되는 암호화되지 않은 암복호키가 디스크에 영구 저장되어 기밀성을 보장하지 못하는 제품으로 암호화하는 것은 아무런 소용이 없다는 것이다.

 

DB암호화는 최종 보안이다. 즉 내부자에 의한 유출, DB관리자 권한으로 데이터를 Export하여 유출하는 경우와 Root 권한으로 File System을 통째로 백업하여 유출하는 경우를 불가능하게 한다. 당연히 외부로부터의 유출 시도도 차단된다. 외부로부터의 유출 위협은 빈도수는 많으나 많은 네트워크단의 보안제품들과 DB접근제어 제품들로 어느 정도 방어가 가능하지만 내부자에 의한 유출은 막기 어려운 실정이기 때문이며 여기서 보안대상(내부자의 범위)은 관리자를 반드시 포함해야 한다.

단, 전제 조건이 있다. 그것은 바로 어떠한 경우에도 데이터와 암복호 키가 함께 유출되지 않도록 디스크상에 영구 저장되어 있지 않아야 한다는 것이다. 이 요구조건은 국제적으로 FIPS-140-2 Level1의 규정과 국정원의 암호모듈검증기준의 VSL1 규정으로 정해져 있다.

이 규정대로 만들어진 안전한 제품인지는 DB서버를 리부팅한 후 키 주입 절차 없이 암복호 서비스가 정상적으로 이루어지는지를 조회해 보는 간단한 테스트를 통해 확인할 수 있으며 키가 디스크에 영구 저장되어 있는 것이 확인 되었다면 암호화한 효과가 거의 없다고 봐야 한다. 바람직한 제품이라면 이 경우 암복호 권한을 가진 인가자의 조회 요구시 에러가 발생해야 하며 제품의 Manager Console로부터 키와 정책 주입을 한 이후에 정상적인 서비스가 이루어져야 한다.

 

DB암호화의 원리

암호 알고리즘은 표준화되어 있어 암복호 성능 자체는 거의 정해져 있다고 볼 수 있다. 만일 미래에 매우 빠른 CPU를 많이 수 백개씩 장착한 DB서버라면 DB 전체를 암호화 하는것도 가능하겠지만 현실적으로 아직은 불가능하다. 따라서 제한적으로 선택하여 중요도가 높은 데이터들만을 대상으로 해야 하는데 "정보통신망법 시행령"에서는 이를 "주민번호, 계좌번호, 패스워드"로 정해 놓았으며 특히 패스워드는 복호화되지 않도록 일방향 알고리즘으로 암호화 하도록 하고 있다. 따라서 DB암호화 솔루션은 칼럼 단위로 선택하여 암호화할 수 있도록 되어 있으며 이 때 선택할 수 있는 알고리즘은 비밀키 방식의 AES, ARIA, SEED, TDES, DES 등이며 패스워드를 위한 일방향 알고리즘은 SHA-1을 사용하도록 하는 국정원의 기준을 따른다.

알고리즘이 선정되면 대상 테이블의 칼럼을 지정하여 암호화하게 되는데 이때 운영중인 DB라면 무중단모드가 절실해 진다. 왜냐하면 수시간 ~ 수십시간이 소요되는 암호화 구축과정에서 DB서비스를 중단할 수는 없기 때문이다. CubeOne의 경우 전체 구축 과정이 일관작업으로 자동으로 이루어지고 무중단 모드로 이루어져 자동 종료된다. 암호화가 완료되고 서비스요구가 들어오게 되면 DB에 의해 자동으로 암복호 엔진이 작동하게 되는데 이때 접근제어(권한체크)부터 실시하여 암복호 권한이 있는 경우만 서비스해 주며 권한이 없는 경우는 암복호를 거부하게 된다.

동시에 요구와 결과를 로그로 남기게 된다. 여기에서 운영가능성을 판가름 짓는 요건이 바로 암호화된 인덱스를 통한 색인 검색 가능 여부이다. 시행령에 의한 법정 암호화 대상인 주민번호와 계좌번호는 검색키로 사용되는 칼럼들이며 인덱스가 생성되게 된다. 인덱스를 통한 유출이 dump를 통해 가능하므로 암호화가 반드시 필요하며 암호화하여 Sorting된 인덱스를 Optimizer가 사용 하도록 해 줘야 하는데 이 기술이 간단하지 않은 것이다.

CubeOne은 무중단 모드와 암호화된 인덱스를 통한 색인검색기술을 제공하기 때문에 지금까지 많은 대용량 DBMS를 암호화시켜 운영에 들어가도록 했다. 이제는 DB암호화에 있어서 성능문제는 고려할만한 요소이긴 하나 이 때문에 불가능한 상황은 절대로 아님이 증명 되었다. 실제로 CubeOne으로 Open한 많은 대용량 DB들이 H/W 추가 증설 없이 운영되고 있기 때문이다.

 

DB암호화의 기술

현재의 DB암호화 제품의 기술은 국내제품이 외산 보다 훨씬 앞서 있으며 특히 위에서 지적한 중요한 핵심 기술들은 외산 제품들에서는 찾아볼 수 없는 강력한 기능들 이다. 이 때문에 굳이 국산제품을 도입할 의무가 없는 민간 기업들의 DB암호화 도입 프로젝트에서조차 외산을 제치고 국산제품이 뛰어난 성능과 기능을 바탕으로 선정되어 성공적으로 구축·운영에 들어가고 있는 것이다.

가장 최근 개발된 기술 중에 고객에게 큰 도움이 되는 기술 몇 가지를 알아보자.부분암호화 기술, Hybrid 부하분산 암호화 기술, Dual Sync Mode 등은 고객의 큰 호응을 얻고 있다. 먼저 부분암호화 기술은 칼럼 분리를 하지 않아도 일정 자릿수 이후만 암호화하여 암복호권한을 낳은 사용자에게 주지 않아도 업무를 처리할 수 있도록 한다. 즉 주민번호의 성별 뒷자리만 암호화함으로써 복호권한이 없어도 전방일치 색인검색이 가능하도록 한다. Hybrid 부하분산 기술은 다량의 데이터 입출력이 요구되는 애플리케이션들은 DB와 무관하게 애플리케이션서버에서 빠르게 암복호 처리될 수 있도록 API와 DB 내부에 설치된 Plug-In과 연동하여 Advanced Index를 이용할 수 있도록 하는 기술로서 빠른 성능과 색인검색이라는 두 마리 토끼를 모두 잡을 수 있는 막강한 기능이다. 또한 이 경우 구간 암호화까지 가능한 이점이 있다. Dual Sync Mode는 암호화 구축이 완료된 후 안정화 기간 중에 혹시라도 문제가 발생하는 경우 장시간에 걸쳐 다시 복호화 하지 않고 순간적으로 암호화 이전으로 원복할 수 있도록 하는 기술이다. 이 기술은 운영자로 하여금 보험에든 것과 같은 위안을 주는 기능으로서 위의 두 가지 기술들과 함께 이미 고객사에 적용되어 운영되고 있다.

이상에서 살펴본 바와 같이 암호화는 이제 DB보안의 중심축이 되었으며 제품선정 기준은 명확하다. 운영하고 있는 DB가 소형·소용량 이라면 국산이든 외산이든 큰 무리없이 운영이 가능할 수도 있겠지만 적어도 24시간 운영하고 있으며 수천만건의 데이터를 가지고 동시 처리량도 많다면 반드시 색인검색·무중단 모드가 요구된다고 하겠다.

가장 중요한 것은 성능과 기능만 보아서는 안되며 DB서버 또는 애플리케이션 서버에서 사용되어지는 암호화되지 않은 암복호키가 디스크에 영구 저장되어 기밀성을 보장하지 못하는 제품으로는 아무리 암호화 해봐야 소용이 없다는 사실을 염두에 두어야 한다.

<글 : 조돈섭 이글로벌시스템 이사(alex@eglobalsys.co.kr)>