빅데이터 활용하려면 비정형 DB도 암호화해야

<대한금융신문=문혜정 기자> 최근 금융권의 개인정보 유출사건은 세계에서 3번째로 많은 고객정보가 유출된 사건으로 그동안 국내 기업들의 내부정보에 대한 보안관리가 얼마나 미흡했는지 드러난 사건이었다.

이번 카드사와 은행권의 고객정보 유출은 이전 해킹에 의한 전산마비와 달리 특권있는 내부자에 의해 일어났다. 해킹 등의 외부 위협이 아닌 기업 내부의 권한있는 자의 소행은 마음만 먹으면 어떻게든 정보를 빼돌릴 수 있다는 점에서 더 큰 위협이 되고 있다.

◆정보보안의 허점 ‘오픈된 개발 환경’
IBM 소프트웨어그룹 신경미 솔루션 전문가는 “카드사 유출사건에서 드러난 데이터 보안의 허점은 가장 원론적인 부분이자 가장 간과되어 온 개발 환경에 있다”고 지적했다.

대부분의 기업은 운영환경과 별도로 개발 및 테스트 환경을 구성해 데이터를 운영한다. 카드 3사 역시 부정방지사용 시스템을 개발하기 위해 외주 개발업자가 프로젝트를 진행하던 중 개발서버 내에 있던 고객정보가 유출됐다.

이는 개발서버에 고객정보가 어떤 변형도 없이 실제 정보 그대로 담겨있었기 때문에 가능한 일이었다. 만약 실제 데이터가 아닌 테스트 데이터로 개발 환경이 구성돼 있었다면 이 같은 개인정보 유출 대란은 사전에 막을 수 있었을 것이다.

기업이 개발 시스템 보안 강화에 조금만 관심을 기울인다면 개발 및 테스트 서버 내의 고객정보를 마스킹 처리해 해당 정보를 실제 정보와 다르게 보여지도록 처리할 수 있다. 이는 개발 시스템에서 내외부 개발자가 개발 및 테스트를 시행하는데 무리를 주지 않으면서 개인정보 유출의 위험성을 줄이기 위한 최적의 방법이다.

신경미 전문가는 “사실 이런 방법을 기업이나 개발자들이 모르고 있지는 않다”며 “그럼에도 불구하고 운영 환경이 아닌 개발 환경까지 보안 투자를 해야 한다는 부담감에 그동안 개발 환경의 데이터 보안은 뒷전이 되어 왔다”고 설명했다.

◆규제 충족에 급급한 데이터 암호화
데이터 보안의 핵심은 ‘데이터 암호화’다. 지난 2011년 개인정보보호법 제정과 함께 필수 사항이 된 고유식별번호에 대한 암호화를 많은 기업들이 진행해 왔다. 그러나 ‘암호화 대상이 되는 영역 모두에 암호화를 구축했는가’라는 질문에 자신있게 대답할 수 있는 기업은 손에 꼽을 정도다.

사실 운영 담당자들은 암호화 구축으로 인한 성능 부하가 업무에 영향을 끼칠 것을 걱정해 주요 정보의 암호화를 쉽게 추진하기 어려운게 사실이다. 특히 애플리케이션 수정이 많은 컬럼 암호화를 고려한다면 구축 작업에 필요한 공수 및 긴 구축 시간으로 암호화 도입에 대한 고민이 있을 수밖에 없다.

기업이 여러 상황을 고려해 데이터 암호화를 도입하기로 결정했다 해도 암호화를 해야 할 고객정보가 어떤 형태로 산재돼 있는지 파악하는 일이 과제로 남아있다.

특히 요즘과 같은 빅데이터 시대에 기업은 수많은 비정형 데이터를 활용할 수밖에 없는데 그럴수록 더욱 보안 이슈에 부딪히게 된다.

아직도 많은 기업들은 규제 충족에 급급해 암호화를 도입하다 보니 실제 개인 고유별 정보를 포함하고 있는 백업 파일이나 로그 파일, 일반 이미지 파일과 같은 DB 외부의 비정형 데이터에 대한 암호화는 고려하지 못하고 있다.

그러나 DB 내 정형 데이터뿐만 아니라 비정형 데이터의 고유식별정보 역시 암호화 대상이며 필수 사항에 속한다.

예를 들어 고객정보가 담긴 계약문서 파일은 당연히 암호화 대상이며 기업은 이에 대비할 수 있어야 한다. 단지 컴플라이언스에 대응하기 위해서가 아닌 기업의 주요 자산인 데이터 유출을 대비하기 위한 최선의 방안으로 해당 정보를 암호화한다는 인식을 갖고 있어야 하는 것이다.

신경미 전문가는 “빅데이터를 기업 업무에 효율적으로 활용하기 위해서는 빅데이터와 보안이 서로 상충되는 관계가 아닌 서로 보완하는 관계가 돼야 한다”며 “단순히 눈앞의 것만이 아닌 향후 기업의 방향과 기업에 미칠 영향까지 생각해야 기업의 자산인 내부정보를 좀 더 효율적으로 관리하고 보호할 수 있다”고 강조했다.