Secure Your Business with PNPSECURE

[디지털타임즈]<2011 하반기 히트상품> 피앤피시큐어 `DB세이퍼'

2011.12.16
  차단할 IP지정 가능… DB과부하도 제어 ■ 2011 하반기 히트상품 고객만족부문 - DB보안(접근제어) 데이터베이스(DB)접근제어 및 감사 솔루션은 DB에 대한 접근, 권한제어 및 SQL감시, 로깅 등을 통해 DB를 통한 대량의 내부정보유출 위험을 최소화해준다는 점에서 DB보안의 필수 제품으로 각광받고 있다. 피앤피시큐어(대표 박천오)의 주력 제품인 `DB세이퍼`는 DB접근제어 솔루션으로, 가상계정, 사용자 IP, 애플리케이션 등 주제별로 다양한 정보에 대해 동시에 접근제어 정책을 구현할 수 있다. 이를 통해 차단하고자 하는 사용자의 IP를 지정할 수 있으며, DBMS에 접속하는 계정에 따라 접속을 차단, 허용할 수 있다. 또 이 제품은 구문에 대한 통제가 가능하며 명령어로 인한 DB의 부하를 증가시키는 행위에 대해서도 제어한다. 지정된 시간이 지나도록 DB서버에서 사용자에게 요청 값을 통보하지 못할 경우 해당 사용자의 세션을 강제로 중단시킬 수 있다. DB세이퍼는 사용자별, 접속세션별 접속 이력을 실시간으로 모니터링 할 수 있으며, 감시대상 DB로 요청되는 초당 SQL요청수, 초당 평균 응답시간, 데이터 조회 건수 등을 실시간으로 볼 수 있는 기능을 제공한다. 또 보안 대상 DB에 대해 접근 추이를 그래프뿐 아니라 그래프로 표현 및 출력 할 수 있으며, SQL 구문별, 명령어 별로 검색 및 통계 리포팅 기능을 제공한다. 김지선 기자 dubs45@dt.co.kr  

[디지털타임즈] <진화하는 DB접근제어> 피앤피시큐어 DB세이퍼

2011.12.7
  [진화하는 DB접근제어] 피앤피시큐어 `DB세이퍼` 금융권 등서 700여 고객 쉽고 안정적 운용 장점 ■ 진화하는 DB접근제어 국내 DB보안 접근제어 시장을 선도하고 있는 피앤피시큐어(대표 박천오)는 금융을 중심으로 공공 통신 제조 분야 등에서 700여 고객을 확보하고 있다. 신한은행 하나은행 삼성생명 총리실 지경부 서울시 SK텔레콤 현대차 네이버 한전 등 화려한 레퍼런스를 자랑한다. DB보호와 통합보안에서부터 정보보호교육 사업까지 아우른다. 접근제어 솔루션 `DB세이퍼(DBSAFER)는 GS인증과 CC인증은 물론이고 게이트웨이, 클라이언트 에이전트, 데이터 마스킹 관련한 특허 기술도 보유하고 있다. DB세이퍼의 강점은 우선 사용하기 쉽고 많은 사이트에서 안정적으로 운용되고 있다는 점이다. 다양한 인터페이스 통합 기능과 용이한 확장성, 안정적인 아키텍처는 현장의 검증을 거쳐 얻은 평가다. 특히 금융권 DB접근제어 솔루션의 70%를 점유하고 있다. 지난 6월 금융위원회가 금융사 IT보안대책 가이드라인을 발표하고 9월 개인정보보호법이 발효되면서 시장의 수요를 따라가기도 벅찬 상황이다. DB세이퍼는 세계 최초로 게이트웨이 방식을 도입했다. 기존 접근제어 제품들이 스니핑(Sniffing, 물리적 탐색)의 한계에서 벗어나지 못한 감사에만 국한했지만 게이트웨이 방식은 보안성과 확장성이 뛰어나다. PC NAT(Network Address Translation, IP주소 변환) 기술을 이용해 SQL 툴에 종속되지 않는 결재기능과 데이터 마스킹(Data Masking) 기능을 갖는 것도 특징이다. 이 때문에 DB세이퍼가 일종의 DB암호화 대체 기능까지 수행한다. DB세이퍼는 △가상계정 DB계정 사용자IP APP 날짜 및 시간대 별 접속제어와 SSH(시큐어셀)에 대한 접근제어 △모든 SQL 감시 및 사용자 검색 추적과 이력관리 등 로깅 및 감사 기능 △로그데이터를 DB로 저장, 사용자가 편집 가능토록 하는 스키마를 제공하는 등 리포팅 기능 △다수의 이기종 DBMS를 통합 관리할 뿐 아니라 우회 경로 추적 및 비정상 쿼리 탐지 등 지속적인 추가 기능 등을 제공한다. 이규화 기자 david@dt.co.kr  

[디지털타임즈] <개인정보보호특집>피앤피시큐어

2011.09.29
  피앤피시큐어(대표 박천오)는 개인정보보호법 시행에 맞춰 DB접근제어 제품인 'DB세이퍼 (DBSAFER)'를 보다 저렴한 가격에 유지 보수가 필요없는 중소기업(SMB) 전용 어플라이언스 장비로 새롭게 출시할 계획이다. 이를 통해 시스템 운영을 위한 전담 인력을 갖추고 있지 않은 중소기업 시장을 적극 공략한다는 방침이다. 이와 함께 피앤피시큐어는 최근 자사 시스템 접근제어 제품인 '노드세이퍼(NODESAFER)'도 업그레이드했다. 이 제품은 금융기관 보안사고와 개인정보보호법의 최대 수혜 제품으로 평가받고 있다. 새롭게 출시된 버전 3.0 제품은 기존의 시스템 접근제어 및 감사로그 기능에 △윈도 터미널 서비스에 대한 제어 및 감사기능 △서버를 경유한 접근에 대한 경로 추적 및 우회 접근 방지 기능 △서버의 콘솔 로그인에 대한 제어 및 감사 기능 △감사데이터 무결성을 위한 웜(WORM), DVD 지원 기능 등을 추가했다. 피앤피시큐어는 '노드세이퍼'와 'DB세이퍼' 시스템이 정책, 로그, 그래픽사용자환경(GUI)의 통합이 가능하도록 설계했다. 즉, 'DB세이퍼'를 도입한 고객이 '노드세이퍼'를 도입할 경우 마치 하나의 제품처럼 운영할 수 있도록 해 관리의 불편함을 최소화했다. 피앤피시큐어는 금융권 DB보안 시장에서 70%에 달하는 점유율을 확보하고 있는 'DB세이퍼'와의 시너지 효과를 극대화해 '노드세이퍼'의 금융 시장 확대에서 적극 나선다는 계획이다. 최근 '노드세이퍼'는 수협은행, 부산은행 등에 전사표준제품으로 선정된 바 있다. 특히 이들 사례가 지난 6월 금융위원회가 시행한 'IT보안강화대책' 이후에 진행한 사업인 만큼, 향후 금융권시장 공략에 한층 유리할 것 회사 측은 기대하고 있다. D피앤피시큐어는 올해 상반기에만 'DB세이퍼' 50억원, '노드세이퍼' 10억원 등 총 60억원의 매출을 올렸다. 상반기에만 150여 고객사를 추가로 확보했다. 이는 전년 상반기 대비 25억원 이상의 매출을 올린 것이다. 성현희기자 sunghh@etnews.com  

[아이티데일리] 피앤피시큐어, 시스템접근제어 시장서 선전

2011.9.18
  피앤피시큐어, 시스템 접근제어 시장서 선전 부산은행, 수협 사업서 입증된 경쟁력 바탕으로 금융 EAM 시장 공략 본격화 DB 접근제어 전문 업체인 피앤피시큐어(대표 박천오)가 농협 전산망 마비 사태를 계기로 불붙은 금융권 ‘시스템(서버) 접근제어 및 감사(EAM: Extranet Access Management)’ 시장에 참여해 선전하고 있다. 피앤피시큐어의 DB 접근제어 및 감사 제품인 ‘DB세이퍼’는 금융 DB보안 시장에서 70%에 달하는 압도적인 점유율을 확보하고 있다. 이처럼 금융권에서 검증된 제품 안정성과 신뢰도, 기술지원 능력을 바탕으로 시스템 접근제어 및 감사 제품인 ‘노드세이퍼’의 금융시장 확대에도 적극 나서고 있는 것. 최근 금융사들은 농협 사태 이후 보안 통제/감사 범위를 DB 접근통제 및 감사 외에 유닉스/윈도우, 네트워크 장비 등 시스템 접근통제 및 감사로 확대하고 있다. 피앤피시큐어는 최근 진행된 부산은행, 수협 등의 시스템 접근제어 및 감사 사업을 수주했다. BMT 결과, 경쟁 EAM 제품들 대비 네트워크를 통하지 않는 콘솔 접근 제어/ 모니터링 능력이 더 우수하고, 윈도우 화면 로그를 저장하는 기술이 더 뛰어나다는 평가를 받은 것으로 알려진다. 또한 DB와 서버의 통합 보안 관리를 지원한다는 점도 회사의 경쟁력 중 하나다. 피앤피시큐어는 “노드세이퍼는 기존 환경을 바꾸지 않고도 콘솔제어와 모니터링이 되는 유일한 제품이며 윈도우 화면 로그의 저장 용량이 경쟁사 대비 3분의 1수준으로 작아 로그데이터를 저장, 보관위해 필요한 스토리지 용량을 3배 줄여줄 수 있다”며 “기존 금융 DB 접근제어 시장 강세를 금융 시스템 접근제어 시장으로 이어가기 위해 관련 시장을 적극 공략할 것”이라고 밝혔다. 한편, 최근 수요가 증가하고 있는 시스템 접근제어 시장은 게이트웨이 방식의 접근제어 및 감사 솔루션 전문업체도 5곳이 넘고, 최근에는 DB보안업체, 서버보안업체들도 속속 이 시장 공략에 나섬에 따라 해당업체들 간 경쟁이 갈수록 더 치열해질 전망이다. 김정은 기자jekim92@itdaily.kr  

[컴퓨터월드] 류승열 차장 전문가 기고

2010.11.03
       

[아이티데일리] 박천오 대표이사 인터뷰

2010.11.03
      기사 원문 : http://www.itdaily.kr/news/articleView.html?idxno=24259

[디지털타임즈] 피앤피시큐어 TTP 기술 NET 인증 획득

2010.11.03
  피앤피시큐어, 신기술 인증 획득 데이터베이스 보안 기업 피앤피시큐어(대표 박천오)는 `TTP(Trustful Transparent-Proxy Technology) 기술'로 지식경제부 기술표준원의 신기술(NET) 인증을 획득했다고 30일 밝혔다. 신기술 인증 제도는 정부가 국내 기업 및 연구기관, 대학 등에서 개발한 신기술을 조기에 발굴해 그 우수성을 인증하는 것이다. 이 회사는 이번에 NET 인증을 획득한 기술이 네크워크 보안 시스템의 가용성 보장을 위한 패킷 제어 모듈 및 장치 기술로 지금까지 하드웨어 장비를 통해 시스템 장애시 패킷을 바이패스 시키던 장애대응기술을 소프트웨어로 구현한 것이라고 소개했다. 박천오 피앤피시큐어 대표는 "이번 NET인증과 현재 진행중인 국제공통평가기준(CC) 인증 등을 통해 국내 DB 보안시장의 선두주자로서의 입지를 한층 다지는 계기를 마련했다"고 말했다. 강진규기자 kjk@dt.co.kr  

[컴퓨터월드] 제품 리뷰 - ㈜피앤피시큐어 DB 보안 솔루션

2010.11.02
  DB 보안 한계를 극복한 ‘DB SAFER’, ‘WAS SAFER’ ㈜피앤피시큐어 DB 보안 솔루션 최근 급증하는 개인정보유출사고와 이를 둘러싼 다양한 법률규제 및 사회적 주목은 기업의 DB 보안에 대한 인식을 변화시켰으며 이제 DB 보안은 기업 정보보안의 최우선 보안솔루션으로 자리 잡고 있다. 피앤피시큐어(www.pnpsecure.com)의 “DB SAFER”와 “WAS SAFER”는 DB 보안 한계를 극복한 DB 보안 솔루션으로 DB 보안을 위한 가장 효과적인 대안으로 주목받고 있다. “DB SAFER”는 하이브리드 DB 보안 솔루션으로 네트워크상의 패킷정보를 캡쳐하여 DB감사로그를 기록하는 스니핑 방식, 프록시 서버구성을 통해 DB에 대한 모든 접근과 사용자의 권한을 제어하는 게이트웨이 방식, 에이전트를 DB서버에 직접 설치하여 더욱 강력한 보안을 확보하는 서버 에이전트 방식을 모두 지원한다. 특히, “WAS SAFER”는 기존 DB 보안 솔루션으로 WAS(Web Application Server) 및 애플리케이션 서버에 대한 접속한 내역만 남겼을 뿐 접근하지 못하게 통제할 수 없었던 취약점을 해결한 DB 보안 솔루션이다. 백순용 (주)피앤피시큐어 sybaik@pnpsecure.com   기존 DB 보안은 2-Tier 사용자를 중심으로 접근통제 및 암호화를 통한 보안을 수행하였으나, 현재 DB 보안은 2-Tier 뿐만 아니라 3-Tier 즉 WAS와 DB, 애플리케이션 서버와 DB간의 접속에 대한 보안이 요구되고 있다. WAS/애플리케이션 서버에 대한 DB 보안 도입의 필요성 DB 암호화 시스템을 도입하여 DB 서버에 적용했더라도 DB 보안에 대한 솔루션은 될 수 없다. 이는 대부분의 공격형태가 실제 DB 서버를 해킹하는 것이 아니라 DB 접속이 허용된 WAS나 애플리케이션 서버를 공격해서 권한을 탈취하는 것이며, 권한이 있는 사용자는 복호화된 데이터를 볼 수 있기 때문이다. 이에 대한 대책으로는 IPS, WAF, 서버보안 및 애플리케이션 자체에서 보안을 고려하여 프로그램이 작성되어야 하는데 실제로는 서로 다른 시스템간의 결합이 원만하지 못하다. 또한 악의적인 내부 사용자가 허용되지 않은 애플리케이션으로 애플리케이션 서버를 통하여 DB에 접속하거나, 애플리케이션 서버에서 DB 접속툴로 DB에 접속하여 중요 정보를 유출하는 것을 방지할 수 없다. WAS SAFER의 주요 기능과 특징 ▶ WAS 비정형 쿼리 탐지 및 차단 기능 WAS SAFER는 탐지된 쿼리에 대한 학습기능을 가지고 있어 학습된 쿼리에 대해서 정형/비정형 쿼리 판별이 가능하며 이를 통하여 비정형 쿼리에 대한 탐지 및 차단이 가능하다. ▶ SQL Injection, Query Flooding 등을 탐지 및 차단 정책설정을 통하여 다양한 SQL Injection(Mass SQL Injection, Blind SQL Injection 등)을 탐지가능 하며, 짧은 시간에 대량의 쿼리가 유입되는 Query Flooding에 대해서 탐지 및 차단이 가능하다. ▶ SQL Injection 로그 확인 기능 정책설정을 통하여 다양한 SQL Injection, Query Flooding 등과 같은 악의적인 공격에 대한 감사로그를 저장하며, 해당로그에 대한 검색 및 조회할 수 있는 기능을 제공한다. ▲DB 보안 솔루션의 변천 ▶ WAS 정형 쿼리에 대한 결과 데이터 통제 정형 쿼리에 대한 결과 데이터 제어가 가능하며, 특정 결과값 크기, 결과값 행수 등의 이상 데이터에 대해서 Alert, Session Kill, Data Masking 기능을 통해 대량의 개인정보를 유출 방지할 수 있다. ▶ 보안장비 장애 시 기존 연결된 세션유지 기능 보안통제(명령통제, Data Masking) 기능을 수행 중에 보안장비의 비정상 재부팅이나 시스템 전원 차단으로 인한 장애시, 기존 연결되어 있는 DB와 WAS간의 연결이 끊기지 않아 업무시스템 중단이 발생하지 않는다. 즉 보안장비 장애 시 세션유실에 의한 DB의 Rollback 가능성 및 재연결이 필요 없다. ▶ 타 보안제품 무력화 방지 기능 일반적인 DB 보안 솔루션은 DB 보안 서버를 거쳐 DB에 접근하기 때문에 DB 사용자에 대한 IP 주소가 아닌 DB 보안서버의 IP 주소를 DB 서버에 전달되어 모든 사용자가 DB 보안서버의 IP 주소로 변조되어 실사용자의 IP 주소를 구분할 수 없게 된다. 하지만 WAS SAFER는 DB 보안서버의 IP 주소가 아닌 실사용자의 IP 주소를 보여주기 때문에 실제 사용자에 대한 통제가 가능하다. ▶ 접근제어 보안계정, 사용자 IP(IP 대역 포함), Application(TOAD/Orange/Golden/ SQL-PLUS/기타.), DB 계정, 날짜/시간 등 다양한 정보를 AND 조건으로 접근제어 정책을 설정하며, 전용 애플리케이션 이외의 접속을 차단할 수 있는 기능을 제공한다. ▶ 권한제어 애플리케이션에 따라 DDL/DML/DCL 구문 전체 및 개별통제가 가능하며, 테이블단위 접근제어 설정인 DML, DDL 등에 대한 명령을 차단할 경우에도 접속된 세션을 유지한다. 명령어로 인한 DB의 부하를 증가시키는 행위에 대해서도 제어한다. 또 결과 데이터에 대한 제한 설정을 통해 특정 사이즈 이상의 결과 값은 파일로 저장할 수 있으며 조회가 가능하다. 특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대해 사전 차단하고 SQL 명령어 DB Table 등의 모든 조건을 이용하여 권한을 제어한다. 아울러 지정된 시간을 초과해도 DB 서버가 사용자에게 요청 값을 통보하지 못할 시 해당 사용자 세션 강제 Kill 기능, 사용하지 않는 유휴 세션 자동종료 기능, 기존 연결 세션에 대해 실시간 접근 통제가 적용된다 ▲ WAS SAFER 제품구성 ▲ WAS SAFER 주요기능 및 특장점 ▶ 감사 및 로깅 사용자별, 접속 세션별 접속 이력을 실시간으로 모니터링할 수 있으며 DBMS, SSH, Telnet, FTP 등을 통합으로 모니터링하고 로깅한다. 또한 감시대상 DB로 요청되는 초당 SQL요청 수, 초당 평균 응답시간, 데이터 조회 건수, 네트워크 사용량(패킷량의 변화), 경보 전달 건수를 실시간으로 볼 수 있는 기능을 제공한다. 즉 사용자 접속현황 및 접속 세션별 접속이력 및 쿼리에 대한 실시간 모니터링(단, 보안 관리자의 접근내역은 별도 관리)하고 통합 대시보드 및 통합 관리화면을 통해 감시대상 서버, DB에 대한 세션, SQL 변화 추이 및 상태정보를 그래프로 제공한다. ▲ DB SAFER와 WAS SAFER 도입 구축 예 ▶ 이기종 DBMS 지원 및 통합 관리 DB SAFER는 다수의 이기종 DBMS를 하나의 사용자 인터페이스를 통해 통합관리할 수 있다. 현재 지원하는 DBMS는 총 10가지 유형으로 Oracle(모든 버전 지원), MS-SQL, Sybase ASE/IQ, Informix, DB2/UDB, Altibase, Teradata, MySQL, Tibero에 대해서 지원하고 있다. ▶ Data Masking 어떠한 애플리케이션에 관계없이 중요한 정보에 대해 Data Masking 처리하여 정보 유출을 사전에 방지한다. 특정 패턴(주민번호)의 경우 Masking의 오류를 최소화하기 위해 ‘13’번째 Checksum을 인식해서 Checksum이 맞는 경우에만 Masking 기능이 동작하고 지정한 패턴이 모두 Masking되는 것이 아니라 패턴 중에서도 정책에서 지정한 일부분만 Masking(예:“ 701125-*******”) 처리된다. ▶ 보고서 기능 WAS/애플리케이션 서버에 대한 DB 접근추이가 그래프로 표현되고 출력기능을 제공하며, SQL 구문별, 명령어별로 검색 및 통계 보고서 기능을 제공한다. 생성된 보고서는 외부 데이터(PDF, DOC, XLS, PPT, HTML, XML, TXT 등)로 Export하는 기능을 제공한다. 2-Tier 방식으로 DB 서버에 접근하는 내부 사용자는 DB SAFER로 접근통제 하며, DB에 접속이 허용된 WAS(애플리케이션 서버)가 외부 해킹 또는 악의적인 내부 사용자가 애플리케이션 서버를 통한 접근은 WAS SAFER의 접근통제로 DB 서버의 중요 데이터 유출을 방지할 수 있다. 고객정보보호를 위한 최선의 선택 현재 IT 컴플라이언스 강화, 금감원 규정, 정보통신망법등을 포함한 법제화가 더욱 강화되고 있지만, 기존의 암호화/접근제어 모두3Tier에대해서 완벽한보안을못해주고 있는상황이다. 특히 대형 할인점, 병원, 여행사등의 사업자들의 실제 업무 환경을 고려할 때 WAS에서의 DB간의 보안은 성능과 안정성, 가용성과 더불어 WAS에 특화되어 있는 솔루션의 선택이 우선시 되어야한다. 향후DB보안의 고려사항부분이 성능, 가용성, 안정성 측면에서 중시되어야 하는 한 WAS에서 DB 접속에 대한 모니터링 기술과 DB접근제어솔루션의 필요성은 지속될 것이다. [컴퓨터월드 통권 제325호(www.com-wordl.co.kr / www.itdaily.kr)]  

[전자신문] 제4회 금융 정보보호 컨퍼런스 발표 - 박천오 대표이사

2010.10.01
  데이터유출방지 및 DB보안 구축사례 제4회 금융 정보보호 컨퍼런스 발표자료 피엔피시큐어 박천오 사장 DB보안 개요, DB보안제품의 기술개요, DB보안 제품 기술동향. DB보안 제품 구축사례 금융보안연구원(원장 곽창규)과 금융정보보호협의회(위원장 이장영)는 15일 엘타워에서 ‘IT환경 변화에 따른 금융보안 이슈 및 과제’를 주제로 제4회 금융 정보보호 컨퍼런스를 공동 개최했다. 보안닷컴 boan@etnews.co.kr

[전자신문] DB보안 특집기획

2009.12.02
  디지털 곳간 비밀 지키는 '철벽 수문장' 지난 2008년 옥션 1080만명·GS칼텍스 1125만명의 개인정보가 유출돼 약 400억원 이상의 피해를 입은 것으로 추정되고 있다. 개인의 주민등록번호, 전화번호, 주소 등의 정보를 담은 데이터베이스(DATABASE)를 자칫 소흘히 취급하면 이처럼 개인과 기업에 엄청난 손실을 입힐 수 있다. 기업의 이미지 하락 등으로 인한 간접적인 피해액은 이보다 엄청나다. 옥션·GS칼텍스 등의 개인정보 유출 사고 이후 국내 대형 기업, 공공, 인터넷쇼핑몰 등은 개인정보를 안전하게 보관하는 데 총력을 기울이고 있다. 개인 정보가 곧 돈이며 기업의 이미지를 지키는 길이라는 점을 뼈저리게 인식한 것이다.   #기업의 정보자산 1순위 'DB' 이에 허가받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출되더라도 그 DB를 활용하지 못하도록 하는 DB보안 솔루션이 각광받고 있다. 전문가들은 기업의 주요 정보자산 1순위인 DB를 보호하기 위한 DB보안 솔루션은 기업에서 반드시 필요로 하는 보안 제품으로 꾸준히 성장을 지속할 것으로 예견하고 있다. DB보안은 크게 데이터베이스 암호화(Data Encryption)·인증 및 접근제어(Authentication & Access Control)·감사(Audting) 3가지로 구분할 수 있다. 국내 DB보안 솔루션은 DB 사용자의 접근을 제어하는 방식과 DB 자체를 암·복호화하는 방식으로 나뉜다. 외산 제품은 감사 기능에 치중하고 있다. 이 중 시스템 성능에 비교적 영향을 적게 미치는 것으로 알려진 접근제어 방식의 제품들이 주를 이루고 있다. 접근제어 방식의 DB보안 장비 전문업체는 피앤피시큐어, 웨어밸리, 신시웨이, 바넷정보기술, 소만사, 모니터랩 등이다. 업체수가 가장 많다. 금융, 통신, 공공, 제조 등 DB보안의 필요성이 시급하면서도 시스템 가용성을 중시하는 고객들을 중심으로 도입하고 있다.   #'암호화+접근제어' 기업 제휴 활기 DB 자체를 암·복호화하는 제품도 올초 정보통신망법의 개정으로 암호화 역시 필수 요소로 추가됨에 따라 올해 도입 고객이 더욱 늘어난 상황이다. 정보통신망법 제 28조 4항에 ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치를 취해야한다’고 명시, 개인정보를 암호화할 수 있는 DB보안 기술을 찾는 고객들이 부쩍 늘었다. 펜타시큐리티, 이글로벌테크놀로지, 소프트포럼, 이니텍 등이 활동하고 있다. 또한, 양쪽 기술을 모두 적용하기를 원하는 고객들도 많아 업체들 간 합종 연횡 현상도 벌어지고 있다. 지난 7월 신시웨어와 소프트포럼은 전략적 제휴를 체결하고 소프트포럼 ‘제큐어(Xecure)DB)’ 암호화 기능과 신시웨이 ‘페트라(PETRA)’의 접근제어 기능의 장점을 통합한 묶음 상품을 내놓기도 했다. 모니터랩도 이글로벌시스템과 통합 제품을 공급한 사례가 있다. 양 측은 향후 통합 제품을 공급하기 위해 제휴 업체를 몰색중이다. 이처럼 내년이면 양 진영의 결합이 점점 가시화될 전망이다. 또한, 자체적으로 암호화+접근제어를 통합한 형태의 제품을 개발, 출시하는 업체들도 늘어날 전망이다. 피앤피시큐어 박천오 사장은 “그간 금융권에서는 내부자의 의한 고객 명단, 패스워드 등의 유출로 인한 금융 사고를 방지하기 위해 DB보안 솔루션을 전사적으로 도입, 적용해 왔다”며 “올해는 일반 기업시장에서의 DB보안을 찾는 사례가 예년보다 월등히 많았고 개인정보 보호의 대상이 확대됨에 따라 2010년은 보다 큰 폭의 성장이 기대된다”고 말했다.   #가장 큰 걸림돌은 '보안 불감증' 펜타시큐리티 기술영업부 이충우 부장은 “정보보호의 궁극적인 목표는 DB내의 중요 데이터를 내외부 공격으로부터 안전하게 보호하는 것”이라며 “DB보안은 이제 방화벽, 가상사설망(VPN) 등의 보안솔루션처럼 기업이 도입해야할 필수 솔루션으로 자리잡고 있다”고 말했다. 그러나 여전히 DB보안 솔루션이 확산하는 데 있어 걸림돌로 지적되는 것은 ‘설마 사고나 날까?‘하는 보안 불감증이 여전히 존재하고 있다는 것이다. DB보안 솔루션을 적용하면 시스템이 느려지고 관리에 불편함이 따른다는 등의 어려움을 포함해서 사고가 나기 전에는 필요성을 느끼지 못하는 사용자들의 마인드가 가장 큰 문제라는 것. 모니터랩 이광후 사장은 “고객들 대부분이 개인정보에 대해 보안해야하는 필요성은 공감하지만 그 정도가 약하다”며 “주요 정보는 반드시 암호화해서 저장해야하며 권한에 따른 접근 제어가 반드시 필요하다”고 강조했다. 한편 일부 DB보안업체들은 이미 개인정보보호법이 발효돼 있는 일본 등에 진출, 상당한 성과를 올리고 있다. 펜타시큐리티, 웨어밸리 등은 이미 일본시장에서 좋은 평가를 받으며 실질적인 수익을 얻고 있다. 또한 피앤피시큐어, 소만사, 이글로벌시스템, 모니터랩 등도 올해 일본 시장에서 본격적인 행보를 시작, 조만간 결실을 얻을 것으로 기대하고 있다. 장윤정기자 linda@etnews.co.kr  

[에이코리아] 2009 신기술실용화 정부 포상 수상

2009.11.05
  피앤피시큐어· 닉스테크· 펜타시큐리티, 산업기술력 및 국가경쟁력 강화에 기여한 공 인정 11월 5일 개최된 『2009년도 신기술실용화 촉진대회』에서 피앤피시큐어(대표 박천오), 닉스테크(대표 박동훈), 펜타시큐리티(대표 이석우) 등 정보보안업체 3사가 ‘2009 신기술실용화’ 정부 포상을 수상했다. 신기술실용화 정부포상은 신제품(NEP), 신기술(NET), 우수재활용제품(GR) 및 소프트웨어품질(GS) 인증을 받은 기업 중 신기술제품 개발 및 사업화, 실용화로 국가경쟁력 강화에 기여한 기업에 수여된다. 정보보안업체로는 이번에 펜타시큐리티가 ‘2009 신기술실용화’ 국무총리 표창을, 닉스테크와 피앤피시큐어가 장관 표창을 수상했다. ‘2009 신기술 실용화 촉진대회’는 5일(목) 오후 2시에 지식경제부 기술표준원 주최, (사)한국신제품(NEP)인증협회 주관 하에 소공동 롯데호텔에서 개최됐다. 이날 행사에는 최경환 지식경제부 장관, 정장선 국회지경위원장, 손경식 대한상공회의소 회장 등 내빈과 신기술개발 중소기업, 공공기관 구매 담당자 등 500여명이 참석했다. 지식경제부 기술표준원은 신제품(NEP), 신기술(NET) 등 국내 최초로 개발된 신기술의 실용화를 촉진함으로써 세계시장에서의 기술경쟁력을 확보할 수 있는 중소기업을 육성하고, 중소기업 개발제품의 판로확산에 공공기관의 구매력을 활용하는 등 인증제품의 판로지원과 구매활성화를 위하여 97년부터 매년 동 행사를 개최하고 있다. 기술개발 및 실용화 유공자(기업)와 신기술제품의 수요 창출에 기여한 판로확산 유공자(기관)를 발굴해 포상함으로써 기술개발 의욕 고취와 공공구매 활성화 기반을 구축하고, 국가 산업발전 및 기술경쟁력을 제고하고 있다. 김정은 기자 jekim@eikorea.com  

[보안뉴스] 박천오 대표이사 인터뷰

2009.09.07
  박천오 피앤피시큐어 대표이사 컴플라이언스 이슈로 인한 금융시장 마케팅에 주력하고 1위 고수   피앤피시큐어와 DB세이퍼에 대해 간단히 소개한다면? 지난 2003년 설립된 피앤피시큐어는 DB보안 전문업체로 개발팀을 포함해 40여명이 근무하고 있다. 지난 2001년부터 개발에 착수해 2004년 접근통제 방식의 DB보안솔루션 ‘DB세이퍼’를 출시한 이래 현재는 DB보안 업계에서 선두의 자리를 굳건히 지키고 있다. 또한 지난 7월 10일 한국산업기술시험원의 EAL4 등급의 국제공통평가기준(CC) 인증 획득으로 하반기 공공시장 공략에 더 힘을 실을 수 있게 됐다. 피앤피시큐어의 하이브리드 DB보안 솔루션인 ‘DBSAFER’는 네트워크상의 패킷정보를 캡처하여 DB감사로그를 기록하는 스니핑 방식, 프록시 서버구성을 통해 DB에 대한 모든 접근과 사용자의 권한을 제어하는 게이트웨이 방식, 에이전트를 DB서버에 직접 설치하여 보다 강력한 보안을 확보하는 서버 에이전트 방식을 모두 지원하며 이 모든 방식을 혼용하여 사용할 수 있다는 점이 특징이다. 아울러 ‘DBSAFER’는 장애발견과 신속한 복구에 대응하기 위해 별도의 하드웨어 박스를 제공하는데 설치와 유지보수의 편의성을 동시에 확보할 수 있어 안정성과 보안성을 추구하는 고객들에게 큰 인기를 모으고 있다.   국내 DB보안 시장에서 가장 많은 고객을 갖고 있는 1위 기업인데 그 원동력은 어디에 있나? 우선은 첫 번째로는 기술 개발이라고 말할 수 있다. 피앤피시큐어는 지금까지 세계 최고의 경쟁력있는 기술들을 개발해 왔다. 회사 초기에는 Gateway방식의 DB보안 기술을 세계 최초로 개발하여 새로운 DB보안의 패러다임을 열었고 최근에는 장애에 민감한 고객사를 위해 Gateway 방식에서도 보안장비에 장애가 발생해도 기존에 연결된 세션까지 유지시키는 세계 최초의 TTP(Trustful Transparent Proxy)을 개발했다. 이러한 기술들은 모두 지식경제부에서 국내 최초의 상용화 기술임을 인증하는 NEP, NET마크를 획득한바 있다. 이렇듯 새로운 기술에 대한 도전과 열정이 피앤피시큐어를 지금에 이 자리까지 올려놓은 것 같다. 두 번째로는 기술에 대한 통찰력이다. 고객들의 요구사항이 무엇인지 정확히 파악한 후 이에 맞는 제품을 개발·출시한 것이 시장경쟁에서 우위를 점하게 된 원동력이다. 이렇게 되기까지는 30여명의 개발팀과 기술 지원팀의 노력이 많은 뒷받침이 됐다. 또 한 가지는 40여명의 직원구성이 피라미드 방식의 수직형 구조가 아닌 횡적구조로 구성되어 있어 직원간의 의견교환이 자유롭게 소통될 수 있으며 이를 이끌어가는 중간 계층의 인원이 두텁게 형성되어 있는 것 또한 회사가 발전할 수 있는 밑바탕이 됐다. 무엇보다 중요한 것은 통찰력을 가지고 외부 고객의 요구를 정확하게 파악하고 이를 제품에 100% 반영하기 위한 기술 개발과 이를 토대로 기능이 향상된 제품의 출시가 가장 중요한 성장 동력이라고 생각한다.   타사와 차별되는 피앤시시큐어만의 장점은 무엇인가? 타사와 가장 차별되는 것은 우선 젊지만 경험 많은 기업이라는 것이다. 기업 대표와 구성원들의 나이는 젊지만 회사가 가지고 있는 기술력만큼은 결코 젊지 않다. 가장 핵심이라고 말할 수 있는 연구 개발인력들이 보안 솔루션만 10년 이상 개발한 전문가들로 포진되어 있고 이러한 전문 보안 솔루션 개발자들을 통해서 기술을 이끌고 축적된 기술력을 바탕으로 업계 최초로 자사만의 제품을 출시한 것이다. 젊은 체력과 기술력으로 새로운 것에 대한 도전과 패기가 살아있는 것이다. 이렇게 만들어진 최초의 기술에는 두 가지 의미가 있는데 하나는 첫 번째라는 상징적인 의미와 이러한 기술력을 바탕으로 한 제품으로 시장을 이끌고 고객사를 확보하는 것이 가장 큰 장점이라고 할 수 있다. 물론 다른 업체도 나중에 똑같은 기술을 개발하고 제품을 만들어 출시한다. 하지만 피앤피가 이미 시장을 선점한 후이기 때문에 후발 업체는 그 기술 개발의 의미가 없어지게 된다.이러한 연구와 기술개발로 축적된 기술력은 나중에도 우리의 성장·발전에 큰 밑거름이 된다.   이번에 DB세이퍼가 CC인증을 받았는데 향후 변화되는 전략과 계획은? CC인증을 받았다고 해서 기본적인 목표와 전략은 크게 바뀌는 부분은 없다. 다만 상징적인 의미가 있다면 회사가 한 단계 더 발전할 수 있는 계기가 될 것으로 기대하고 있다. 그리고 한 가지 더 언급 하자면 지난 5, 6, 7월에 획득한 NET마크, GS인증, CC인증 획득을 통해 올 하반기의 공공시장 공략에 한층 박차를 가할 수 있을 것이다.   올해 하반기 국내 사업에서 중점적으로 진행할 계획이나 목표는 무엇인지? 최근 관련 법률 개정이 보안업체에 우호적으로 강화되었다. 즉 컴플라이언스가 강화되어 기존 업체도 추가 고객이 될 수 있고 또 신규 대상 고객이 확대되기 때문에 이에 관련된 기업들을 대상으로 적극적인 영업을 펼칠 것이다. 특히 우리가 금융시장에 약 80%를 점유하고 있는데 새로 개정된 법 개정으로 인해서 꿈틀대는 금융시장을 대상으로 적극적인 영업을 펼치고 고객을 확대해 올해 매출 목표를 달성하는데 노력할 것이다.   국내 DB보안 시장 동향과 앞으로의 전망은 어떻게 보는지? 국내 DB보안 시장은 무엇보다 컴플라이언스의 강화와 연관이 있다. 컴플라이언스가 강화됨에 따라 기업들은 이에 적절한 보안 솔루션을 도입해야 한다. 특히 고객의 개인정보보호를 위해서 기업의 DB보안은 필수적인 보안시스템이다. DB보안은 일반적으로 접근제어시스템 도입 후에 암호화 여부를 결정하는 것이 업계의 시각이다. 이 두 가지를 적용해야 컴플라이언스를 만족할 수 있기 때문인데 암호화의 경우 고려요소가 다양하다 보니 적용이 편리한 접근제어 시스템을 먼저 선택하는 것이다. 또 DB암호화는 어플리케이션의 수정과도 밀접한 관계가 있어 암호화 솔루션을 도입하는 경우도 있지만 L통신사의 경우처럼 자체적으로 라이브러리를 활용해서 개발하는 경우도 많아지고 있다. 이러한 상황으로 미뤄볼 때 앞으로 DB보안은 기존 고객뿐만 아니라 강화되는 규제 대상에 포함되는 신규 고객들에게까지 확대될 전망이어서 시장은 점차 성장할 것으로 보인다. 하지만 매출면에서 얼마나 많은 규모로 성장하게 될지는 아직 미지수다.   해외, 특히 일본시장을 공략하고 있는데 해외시장 전략은 어떻게 가져갈 것인지? 피인피시큐어는 해외시장 중에서 일본 시장 공략에 주력해오고 있다. 지난해부터 일본 시장 진출을 위해 준비를 해왔다. 그동안 시행착오도 많이 겪었지만 올해에는 일본시장에 본격 진출할 예정이다. 현재 파트너 선정을 위해 일본의 적당한 업체를 물색중에 있다. 파트너는 2~3곳을 선정할 계획이다. 제품은 이미 현지화가 모두 끝난 상태이기 때문에 파트너만 정해지면 바로 일본 시장에 피앤피시큐어의 DBSAFER가 공급되게 된다.   국내 DB보안 시장의 문제점은 무엇이며 개선해야 할 점은 무엇이라고 생각하는가? 우선 국내 DB보안 시장의 가장 큰 문제는 다른 분야도 마찬가지지만 가격 문제가 가장 크다. SMB 시장의 고객들은 솔루션의 정확한 검증이 어렵다. 그래서 고객들이 생각하는 가장 편한 방법은 가격을 보고 결정하는 것이다. 이러한 시장 상황 때문에 일부 DB보안 업체들은 기술개발보다는 가격으로 경쟁해서 판매만 하면 된다는 생각으로 기술개발보다는 가격경쟁으로 제살 깎아먹고 있다는 점을 지적하고 싶다. 즉 정당한 기술평가가 없는 시장 구조가 가장 큰 문제이기도 하지만 고객사들의 마인드도 기술 등의 다른 요소들도 평가 기준으로 삼았으면 좋겠다. 감시 대상 사용자에 대하여 권한의 정도와 취급하는 데이터의 중요도에 따라 사용자를 구분하여 관리해야 한다. 또한 감시 대상의 입사, 퇴사, 부서 이동 등을 인지하고 사용자의 업무담당 현황에 맞도록 보안정책을 재적용 해야 한다. <글 / 사진 : 김태형 기자(is21@boannews.com)>   [월간 정보보호21c 통권 제109호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[보안뉴스] 주 전산 서버 보안강화 위해 DB보안 구축

2009.08.17
  박인범 우리투자증권 TIS부 대리 비인가자 권한통제 및 중앙집중통제관리에 효과적   지난 1969년 한보증권으로 출발한 우리투자증권은 40여 년간 국내 증권시장의 성장을 견인하며 대한민국 대표 증권사로서의 입지를 다져왔다. 지난 2005년에는 LG투자증권과 우리증권을 합병하고 전 사업 영역에 걸친 Top-tier 수준의 경쟁력을 토대로 성장하고 있는 우리투자증권은 2009년 3월 현재 67만여명의 고객과 90조원의 고객예탁자산을 확보하고 있다. 박인범 우리투자증권 TIS부 대리는 “이렇게 회사가 성장하면서 업무에 따른 전산시스템도 IT환경에 따라 많은 변화를 거쳐왔다”며 “특히 지난 2007년부터 금융권 차세대 시스템 구축 작업에 착수해 지난 2008년 12월 완료한 우리투자증권은 기존 메인프레임 시스템에서 오픈시스템으로 주전산기를 교체하고 서버와 DB보안을 강화했다”고 밝혔다. 우리투자증권에서 현재 사내 최대 보안 이슈로 꼽는 것은 DBA, 개발자, 운영자 등등, 각자의 역할에 따라 사용자의 데이터 접근에 대한 중앙집중통제 관리기능의 강화하는 부분이다. 또한 개발·운영환경 분리구축에 따른 개발자·DBA 등 내부 사용자에 의한 데이터 유출방지와 로깅 및 DBA·개발자의 중앙집중적인 권한제어도 중요한 보안 이슈로 떠오르고 있다. 그리고 또 한 가지는 최근 들어 증가하고 있으며 이에 의한 피해 심각해지고 있는 DDoS공격 방어를 위한 시스템과 사용자 접근통제, 보안정책의 보완 등이 현재의 최대 보안 이슈다. 박인범 우리투자증권 TIS부 대리는 “무엇보다 중요한 보안 이슈는 내부자의 정보유출방지”라고 강조했다. 그는 또 우리투자증권의 보안팀 규모와 주요 업무에 대해서 “시스템 운영을 담당하는 TIS부내 보안전담파트를 구성하고 있으며 총 5명의 전문 인력으로 구성되어 있다”며 “이들 5명 중 2명은 보안기획 및 총괄업무를 맡고 있으며 1명은 시스템 및 DB보안, 또 1명은 네트워크·방화벽 보안, 그리고 마지막 1명이 PC 및 바이러스 보안을 담당하고 있으며 이들 5명은 각각 상호백업체계를 구축해 서로의 업무를 공유하고 있다”고 설명했다. 한편 박 대리가 근무하는 우리투자증권 TIS부는 Technical Infrastructure Service의 약자로 IT분야에서 시스템 운영과 관리 업무를 하며 IT서비스를 지원하는 부서를 뜻한다.   오픈시스템으로 주 전산기교체, 보안 강화 우리투자증권은 지난 2007년 차세대 시스템 구축을 진행하면서 2008년 12월 기존 주 전산기였던 메인프레임 시스템을 오픈시스템으로 교체작업도 함께 진행했다. 이에 따라 기존 메인프레임보다 보안 측면에서 취약한 오픈시스템에서의 서버와 DB보안을 강화하기 위한 솔루션을 검토하고 주전산 서버의 보안을 강화하기 위해 DB보안의 필요성을 인지하고 이에 대한 솔루션을 도입키로 하고 이를 구축하게 됐다. 박 대리는 “특히 차세대 시스템 구축 프로젝트를 위한 준비를 시작하면서 DB의 물리 및 Meta 관리를 위해 DB데이터 접근 및 권한통제, 중앙집중통제관리에 효과적인 DB보안 솔루션을 검토하고 기능적인 면이나 환경적인 면에서 적합한 솔루션을 검토하던 중 우리투자증권의 시스템과 DB에 가장 적합한 PNP시큐어의 DB세이퍼를 도입하게 됐다”고 밝혔다. 이렇게 해서 우리투자증권은 DB보안 솔루션을 도입해 오픈시스템의 주 전산 서버와 DB에 대한 보안을 강화했다. 특히 박 대리가 이러한 DB보안 시스템을 구축하기 전에 가장 먼저 고려했던 부분은 시스템 운영의 안정성, 권한통제 및 로그관리의 중앙집중통제 편리성, 개발자·관리자의 권한분리 등이었다. 특히 그는 도입 전 충분한 검토와 BMT를 거쳐 중앙집중적 접근통제가 가능하고 데이터의 위변·조 방지를 위해 사용자별 권한통제 등이 가능한지 등을 세밀하게 따져 우리투자증권의 전산 시스템에 가장 적합한 솔루션을 선택한 것. 박 대리는 “DB세이퍼는 기존 메인프레임에서 오픈시스템으로의 DB 전환이라는 큰 변화를 감안해서 데이터의 전환과 개발자·관리자의 각 데이터 업무영역으로 접근권한 통제 등에 대한 정책의 일관성 유지 등, 여러 가지 부분에서 우리투자증권의 시스템 환경에 가장 적합하고 만족스러운 결과가 나왔다”며 “특히 사후 추적을 위한 사용자 로그관리 및 변경관리결제시스템(DMS)의 추가, 개인정보보호를 위한 쿼리 마스킹 기능을 통해 비인가자의 정보 접근을 차단하는 기능 등이 매우 만족스러웠다”고 DB세이퍼의 특징과 장점에 대해 설명했다. 하지만 그는 이와 같은 장점에도 불구하고 DB보안 솔루션을 구축하는 과정에서 일부 어려웠던 점도 있었다고 말했다. 그 중에서도 가장 어려운 문제에 부딪혔던 부분에 대해서 그는 “기존 메인프레임에서 오픈시스템으로 전환이라는 큰 변화로 인해 DB서버를 업무별로 분리해 구축해야 했고 관리자, 개발자, 운영자 등의 사용자 업무권한에 따라 권한분리 등에 대한 새로운 시스템으로의 전환에 따른 정책의 일관성을 유지해만 했는데 이를 유지하기가 매우 힘든 부분이었다”고 밝혔다. 즉 업무별로 서버를 분리·구성하는 과정에서 시스템은 더 다양해졌지만 이를 위해 DB보안 시스템을 도입해 그 만큼 보안은 강화됐다는 점은 이점이 될 수 있다고 말했다.   통제권한에 대한 중앙집중관리 가능 그러면 현재 DB보안 시스템을 운영하면서 박 대리가 느낀 DB세이퍼만의 장점은 무엇일까? 그는 “DB세이퍼는 국내 보안 전문 업체에서 개발되었기 때문에 필요에 따른 기능 추가와 기존 IT환경에 맞도록 보완이 가능하며 또 사용시 이슈화된 문제점에 대한 지원과 서비스, 그리고 유지보수 등의 기술지원 등이 사용자들에게 편리하도록 잘 이루어진다”는 점을 들었다. 또한 그는 국내 금융결제원 등과 보안이슈 사항을 함께 공유하고 있어 보안 취약사항에 대한 공동대응이 가능하다고 덧붙였다. 특히 DB보안 솔루션 구축 후의 DB운영이나 보안측면에서 나타난 효과와 장점으로 “단일 솔루션으로서의 DB보안 제품으로 평가한다면 데이터에 대한 개발자와 관리자의 접근통제권한에 대한 중앙집중관리, 로깅관리 기능이 타 제품에 비해 탁월하다고 할 수 있다”면서 “서버 시스템 보안통제 솔루션과 연계할 때 호환성과 기능보완 측면에서 아주 편리하다”고 말했다. 우리투자증권은 향후 고객정보나 사내 보안강화를 위해 내부정보유출방지, 사내외 메일·메신저 통제 및 로깅, 개발·운영 분리에 따른 내부자 관리강화 등이 추진되고 있다. 또한 최근 발생한 개인정보유출 사건과 관련, 자사 시스템에 대한 내부유출방지 솔루션 및 PC보안을 강화 및 이를 추진하고 있으며 외부 해킹 및 DDoS 공격 대응방안도 적극 검토·추진하고 있다. 박 대리는 한 기업의 보안 담당자로써 올해 최대 중점 보안 업무로는 시스템 운영과 관리체계 정립을 위해 보안정책에 대한 통제력 강화에 중점을 둘 계획이다. 또한 정보유출 중에서도 내부자의 정보유출방지와 최근 증가하고 있는 DDoS공격에 대한 대응체제를 검토해 이에 적합한 대응방안과 시스템 구축을 위한 준비를 하고 있다. “보안은 어느 한 파트의 시스템을 구축한다고 해서 완벽하다고 할 수는 없다”는 박 대리는 개발자·운영자 및 보안 관리자의 보안에 대한 인식수준을 높이는 분위기 조성이 필요하다고 강조한다. 이렇게 보안에 대한 각각의 이해관계자들의 눈높이를 맞추어 시스템이 구축될 때 비로소 보안통제에 대한 시너지 효과로 높은 성과를 보일 수 있다는 것. 아울러 금융감독원, 금융결제원 등에서도 보안지침에 의한 원칙적인 통제뿐만 아니라, 보안의식의 변화를 위한 사회적 보안의식을 고려한 정책이 마련되어야 할 것이라는 것이 박 대리의 생각이다. 즉 현재 보안에 대한 박 대리의 계획과 큰 그림은 보안파트의 비전 등 향후 회사 내 IT보안에 대한 체계적인 운영과 전사적인 보안관리를 위해 보안업무에 대한 회사 내의 눈높이를 맞추는데 전력을 기울인다는 것. 한편 현재 우리투자증권은 보안의 효율성을 높이고 체계적인 관리를 위해 통합보안 시스템 구축을 현재 추진 과제로 삼고 있으며 한 단계씩 실행에 옮기고 있다. <글/사진 : 김태형 기자(is21@boannews.com)>   [월간 정보보호21c 통권 제108호 (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> 기사원문 : http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=2696&numm=2325&search=title&find=&kind=02&order=ref

[보안뉴스] 피앤피시큐어, ‘DBSAFER’ CC인증 획득

2009.07.12
  박천오 대표, “올해 하반기 공공시장 공략 박차 가할 것”   데이터베이스보안 전문기업 피앤피시큐어(대표 박천오)는 자사의 DB보안시스템 ‘DBSAFER’가 한국산업기술시험원의 EAL4 등급의 국제공통평가기준(CC) 인증을 획득했다고 발표했다. DBSAFER는 DB에 대한 사용자의 접속과 권한 제어, 모니터링, 감사, 그리고 정책위반을 실시간으로 차단하는 DB보안솔루션으로 국내 주요 금융기관, 일반기업 및 공공기관 등 250여 사이트에서 운영되고 있으며 DB보안 제품중 최고의 시장점유율을 자랑하고 있다. 이에 박천오 피앤피시큐어 대표는 “지난 6월의 GS인증 획득과 이번 CC인증 획득을 통해 2009년 하반기의 공공시장 공략에 한층 박차를 가할 수 있게 되었다”고 밝혔다.   [김정완 기자(boan3@boannews.com)]

[보안뉴스] <특집기사> 피앤피시큐어 - 백순용 연구소장

2009.06.29
  [특집 : DB 접근제어 시스템의 진화와 핵심 기술]   DB 접근제어의 핵심은 고객의 요구 충족시키는 것 개인정보보호와 내부정보 유출방지는 이제 더 이상 미룰 수 없는 절체절명의 과제다. 이 과제는 매년 각 분야별 전문가의 정보보호 전망에 있어서도 최대 이슈로 주목 받고 있는 사항이며 이는 기업 내 핵심 기술을 비롯해 고객의 개인정보 등 주요 정보자산을 지키는 일이 반드시 선행되지 않고는 기업의 존립조차 힘들다는 인식이 확대되고 있다는 증거다. 이와 관련하여 많은 기관에서는 개인정보의 오남용을 포함한 보안사고뿐만 아니라 권한을 가지고 있는 사용자의 악용으로 인해 발생하는 사건들에 대해 대책 마련에 부심하고 있다. 최근 한 조사결과 기업 보안사고의 80% 이상이 외부인이 아닌 전·현직 내부 직원에 의한 것으로 밝혀지면서 기업들은 내부정보 유출방지 및 데이터 보안에 촉각을 곤두세우고 있다. 이는 지난 해 상반기 옥션 개인정보 유출 사건을 포함해 하반기의 GS칼텍스 사건에서 알 수 있듯이 DB 접근권한이 있는 내부자의 고의적 행동으로 내부의 정보가 외부로 유출될 수 있기 때문이다. 이에 따라 이제는 이러한 고객정보 유출사고 등으로 인해 전사적으로 DB보안의 중요성을 인식하고 있다. 또 고객정보 유출 등의 보안 사고는 기업의 신뢰도 하락에 큰 영향 미칠 뿐만 아니라 회사의 영업적 손실도 상당히 크다. 아울러 고객정보 유출로 인한 기업 신뢰도 하락은 기업 존폐의 위기로도 이어질 수 있다. 고객 정보와 같은 개인의 중요한 정보는 반드시 내부자를 포함해 어느 누구에게도 쉽게 사용되지 않아야 한다. 그렇지 않을 경우 아주 큰 낭패를 겪을 수 있게 된다는 것을 반드시 인지해야 한다.   접근제어의 기본 개념 DB보안 솔루션은 데이터베이스를 보안하는 보안 솔루션이다. 허가 받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도 유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 것이 DB보안 솔루션의 목적이다. 이러한 목적을 수행하기 위해 DB보안 솔루션은 DB의 접근을 제어하는 방식의 접근제어 솔루션과 DB 자체를 암호화해 DB를 보안하는 방법 등, 크게 2가지 방식이 있다. DB암호화 방식은 암호 키 관리가 잘 된다는 가정에 백업된 DB가 유출돼도 암호화된 형태의 데이터이기 때문에 보안성이 뛰어나지만 DBMS에 직접 설치되며 데이터의 속성을 바꾸기 때문에 적용 전에 DBMS의 성능 및 어플리케이션 영향도 분석이 필수적이라고 할 수 있다. 이 때문에 트랜잭션이 많고 어플리케이션 복잡도가 높은 고객사들은 도입을 망설이는 경우가 많다. 따라서 DB암호화 방식은 DB 전체에 대한 전사적인 도입보다 반드시 지켜야만 하는 중요 데이터 중심으로 부분적인 도입에 그치는 경우가 대부분이다. 하지만 접근제어 방식의 경우 DB에 대한 SQL(질의) 작업 시 별도 서버에서 가상 계정이 부여된 사용자만 접근이 가능하도록 해 비인가자의 DB 접근을 원천 차단하며 해당 로그 정보 저장 및 분석기능으로 DB가 유출되더라도 추적이 가능한 솔루션이다. 즉 감시 대상인 DB에 대한 접근제어를 통해 권한이 부여된 사용자만 접근이 가능하도록 구성, 실시간 감시와 차단 및 접근 이력을 기록해 기록된 자료의 재분석을 통해 기존 시스템에 부하를 주지 않는 것이 접근제어 솔루션의 특징이다. 따라서 시스템과 네트워크에 부하를 주지 않기 때문에 시스템 가용성을 중시하는 금융, 통신, 포털 등의 고객들에게 각광받고 있다.   DB접근제어의 변천 과정·핵심 기술 지금까지 DB 접근제어의 변천사를 돌이켜 보면 그림 1과 같은 주요 요구사항 및 기능의 변화를 거쳐 왔다. DB보안 접근제어 시스템의 핵심 기술은 고객의 요구에 가장 부응하는 기술이 핵심 기술이라고 할 수 있다. 피앤피시큐어의 DB 보안 접근제어 시스템의 핵심 기술을 예로 들어보자. ● 게이트웨이 기술을 이용한 데이터마스킹 기술 DB보안 게이트웨이 기술을 이용하여 특정 DB툴과 관계없이 중요 데이터를 포함하고 있는 테이블의 컬럼 또는 데이터에 대해 사용자로 하여금 ‘*’와 같은 형태로 마스킹 처리하여 나타낼 수 있도록 하는 기술이다. 예를 들어 DB에 SQL Client(sqlplus, Toad, golden 등)로 직접 접속하는 사용자의 경우 의도적이든 비의도적이든 사용자가 고객의 중요한 정보를 포함한 테이블을 조회하고자 할 경우 위의 그림 2와 같이 주민번호와 같은 고객 데이터를 마스킹 처리하여 사용자가 인식하지 못하도록 보여주는 기술이다. 지금까지는 AP에서 3Tier사용자에 대해서만 중요정보를“****”로 마스킹 하도록 AP에서 프로그램 수정을 통해 처리 했지만 2Tier사용자에 대한 대책은 없었다고 할 수 있다. ● SSH 프로토콜에 대한 감시 기능 기존에는 Telnet, FTP 등에 대해서 평문으로 데이터가 송수신되어지기 때문에 보안 감시 대상으로 가능했다. 암호화 통신을 이용하는 SSH 프로토콜은 외부의 패킷 스니퍼를 이용할 경우 그 자체로 보안성을 가지기도 했지만 내부 사용자의 감시 측면에서는 Telnet과 같이 동일한 보안 대상이 되어야 한다. 그러나 SSH 프로토콜에 대해서는 암호화된 데이터가 전송되어지기 때문에 그동안 보안 감시 대상에서 제외될 수 밖에 없었다. 현재는 SSH-1, SSH-2 등의 프로토콜에 대한 감시할 수 있는 기술을 추가함으로써 SSH를 이용한 DB 접근에 대한 감시 기능을 강화했다. ● 우회 경로 추적 및 차단 기술 DB접근을 위한 사용자는 의도적으로 접근 제어 시스템의 감시망에서 벗어나 우회 경로를 통해 DB에 접근, 목표하는 정보를 가져올 수 있다. 즉 해커에 의해 서버 해킹 시 여러 경로를 거쳐 접근하여 필요한 정보를 유출 또는 변조 하듯이 내부의 여러 서버를 거쳐 접근 제어 시스템을 우회하여 접속하는 경우에 해당된다. 이에 대해 사용자가 어느 경로를 통해 접근했는지, 접근을 시도하였는지 탐지 및 제어하는 기능을 이용해 하나라도 접근제어 시스템을 우회하여 다른 마음을 갖지 못하도록 하는 기술을 포함한다. ● 보안 장비의 장애 시 세션의 가용성 보장 기술 및 WAS Anomaly SQL 탐지 기술 일반적으로 WAS를 통해 DB에 전송되는 쿼리는 정형화된 쿼리로써 일정한 유형을 가지게 된다. 그러나 DB에 접근 권한이 없는 2-Tier 사용자나 외부 사용자에 의해 WAS서버를 경유 DB 내에 있는 중요 데이터를 조회하고자 할 경우, 즉 이러한 비정상적인 행위에 대해 탐지하는 기술이다.   접근제어 시스템의 일반적 기술 ● 기능성 접근 제어 시스템은 사전·사후 관리를 위한 정책 관리, 사용자 및 사용 SQL 내역에 대한 실시간 모니터링 및 감사 로그 조회 기능, 통계 리포트 산출 기능을 기본적으로 제공한다. 그리고 기존의 DB 접속 사용자의 접속 환경 변경 없이 접근 제어시스템의 설치 및 운용이 가능해야 하며 여러 대에서 수백 대 이상의 DB서버를 관리, 운영하는데 불편함이 없어야 한다. 또한 수백, 수천 세션에 대한 DB 트랜잭션 처리를 위한 부하 분산 기능, 장애 발생 시 지속적인 서비스를 위한 Fail-safe 기능, 여러 대의 접근 제어 시스템에 대한 중앙 집중 관리, 여러 유형의 DBMS 지원 및 하루 수십 기가 이상의 대용량 로그 처리 기능 등이 요구되고 있다. ● 정책 관리의 편리성 다양한 정책의 내용이 직관적으로 설정 가능해야 하며 즉시 적용 가능해야 한다. 또한 많은 기업들이 일반적으로 하나의 DB 계정을 수십 명이 공유하여 사용하는 경우가 많은데 이런 권한 통제는 매우 제약된 역할만 수행 가능하다. 이에 대해 접속 시 사용된 툴, IP, 가상 계정 등의 다양한 조합을 통해 업무 부서별, 역할 기반으로 DB 접근 및 권한 관리가 가능하도록 해야 한다. ● 호환성 접근 제어 솔루션 적용에 따른 기존 시스템의 변경 또는 충돌이 없어야 하며 PC에 설치된 각종 S/W와도 충돌이 없어야 한다. ● 안정성 DB보안 시스템에 장애가 발생해도 정상적인 DB 접속이 이루어져야 하며 서비스는 지속적으로 이루어지도록 해야 한다.   <글 : 백순용 피앤피시큐어 정보보안기술연구소 소장(sybaik@pnpsecure.com)> [월간 정보보호21c 통권 제106호 (info@boannews.com)] 기사 원문 : http://www.boannews.com/media/view.asp?idx=16759&kind=0

[보안뉴스] <제품리뷰> 피앤피시큐어 - DBSAFER

2009.06.29
  [특집 : Product Review] 피앤피시큐어 DBSAFER 데이터베이스 접근·권한제어, 모니터링, 로깅, 정책위반 실시간 차단 피앤피시큐어의 하이브리드 DB보안 솔루션인 ‘DBSAFER’는 네트워크상의 패킷정보를 캡처하여 DB감사로그를 기록하는 스니핑 방식, 프록시 서버구성을 통해 DB에 대한 모든 접근과 사용자의 권한을 제어하는 게이트웨이 방식, 에이전트를 DB서버에 직접 설치하여 보다 강력한 보안을 확보하는 서버 에이전트 방식을 모두 지원하며 이 모든 방식을 혼용하여 사용할 수 있다는 점이 특징이다. 피앤피시큐어의 DB보안 솔루션 ‘DBSAFER’는 네트워크상의 패킷정보를 캡처하여 DB감사로그를 기록하는 스니핑 방식, 프록시 서버구성을 통해 DB에 대한 모든 접근과 사용자의 권한을 제어하는 게이트웨이 방식, 에이전트를 DB서버에 직접 설치하여 보다 강력한 보안을 확보하는 서버 에이전트 방식을 모두 지원하며 모든 방식을 혼용하여 사용할 수 있는 하이브리드 방식의 DB 보안솔루션이다. 특히 2009년 4월 현재 국내 주요 금융기관, 일반기업 및 공공기관 등 250여개의 사이트에서 운영되고 있어 DB보안제품 중 국내 최고의 시장점유율을 자랑하고 있다. 이러한 ‘DBSAFER’는 장애발견과 신속한 복구에 대응하기 위해 별도의 하드웨어 박스를 제공하는데 설치와 유지보수의 편의성을 동시에 확보할 수 있어 안정성과 보안성을 추구하는 고객들에게 큰 인기를 모으고 있다.   DBSAFER의 주요기능과 특징 ● 접근제어 가상계정, 사용자 IP(IP 대역 포함), Application(TOAD/Orange/Golden/SQL-PLUS/기타.), DB 계정, 날짜/시간 등 다양한 정보를 AND 조건으로 접근제어 정책을 설정한다. 또한 Telnet, FTP, SSH 접근제어 기능도 지원한다. ● 권한제어 DDL/DML/DCL 구문에 대한 통제가 가능하며 테이블단위 접근제어 설정인 DML, DDL 등에 대한 명령을 차단 할 경우에도 접속된 세션을 유지한다. 명령어로 인한 DB의 부하를 증가시키는 행위에 대해서도 제어한다. 또 Return Data에 대한 제한 설정을 통해 특정 사이즈 이상의 결과 값은 파일로 저장할 수 있으며 조회가 가능하다. 특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대해 사전 차단하고 SQL 명령어 DB Table 등의 모든 조건을 이용하여 권한을 제어한다. 아울러 지정된 시간을 초과해도 DB서버가 사용자에게 요청 값을 통보하지 못할 시 해당 사용자 세션 강제 Kill 기능, 사용하지 않는 유휴세션 자동종료 기능, 기존 연결 세션에 대해 실시간 접근 통제가 적용된다. ● 감사 및 로깅 사용자별, 접속세션별 접속 이력을 실시간으로 모니터링할 수 있으며 DBMS, SSH, Telnet, FTP 등을 통합으로 모니터링하고 로깅한다. 또 감시대상 DB로 요청되는 초당 SQL 요청 수, 초당 평균 응답시간, 데이터 조회 건수, 네트워크 사용량(패킷량의 변화), 경보 전달 건수를 실시간으로 볼 수 있는 기능 제공을 제공한다(단, DBSAFER v3.0에서 제공되는 기능). 즉 사용자 접속현황 및 접속세션별 접속이력 및 쿼리에 대한 실시간 모니터링, 단, 보안 관리자의 접근내역은 별도 관리하고 통합 대쉬보드 및 통합관리화면을 통해 감시 대상버서, DB에 대한 세션, SQL변화 추이 및 상태정보를 그래프로 제공한다. ● 이기종 DBMS 지원 및 통합 관리 DBSAFER는 다수의 이기종 DBMS를 하나의 사용자 인터페이스를 통해 통합관리할 수 있다. 현재 DBSAFER v2.0이 지원하는 DBMS는 총 10가지 유형으로 Oracle(모든 버전 지원), MS-SQL, Sybase ASE/IQ, Informix, DB2/UDB, Altibase, Teradata, MySQL, Tibero에 대해서 지원하고 있다. ● Data Masking DBSAFER는 어떠한 애플리케이션에 관계없이 중요한 정보에 대해 Data Masking 처리하여 정보 유출을 사전에 방지한다. 특정 패턴(주민번호)의 경우 Masking의 오류를 최소화하기 위해 ‘13’번째 Checksum을 인식해서 Checksum이 맞는 경우에만 Masking 기능이 동작하고 지정한 패턴이 모두 Maksing되는 것이 아니라 패턴 중에서도 정책에서 지정한 일부분만 Masking(예: “701125-*******”) 처리된다. ● 콘솔 및 우회 접속 제어 DBSAFER는 BEQ Agent, Server Agent를 이용하여 로컬 접속에 대한 완벽한 통제 및 감사 기능을 지원한다. ● 결재기능 - DMS 금융감독원의 권고사항인 결재 전·후 데이터 보관, 작업요청 및 결재 이력을 보관한다. DMS Client 사용 시 DBMS의 종류에 무관하게 처리가 가능하며 기존의 전자결재 결재라인을 이용할 수 있어 결재라인을 별도로 관리할 필요가 없다. DB SAFER는 각 DB 서버를 그룹별로 나누고 그룹에 대한 권한을 부여 받은 관리자가 사용자가 요청한 SQL문에 대하여 검색과 결재기능을 지원하고 결재가 필요한 SQL문은 결재가 승인될 때까지 기다리게 되며 설정을 통하여 승인 받지 않고 미리 처리하는 사후 결재기능도 지원한다. ● 타 시스템 연동 지원 DBSAFER를 프록시모드로 구성할 경우, 클라이언트에게 DBSAFER의 IP주소와 포트번호 등을 알려줄 필요 없이 DBSAFER가 제공하는 NAT Agent를 사용하여 기존 환경을 변경할 필요가 없다. ● 세션 관리 기능 DBSAFER의 DBSAFER Agent는 사용자의 ID, PASSWORD, IP 정보 등을 가지고 사용자의 1인 1계정 사용을 지원하며 가상계정은 SSO(Single Sign-On)와의 연동을 지원한다. 또한, 통합보안관리시스템(ESM) 및 통합로그시스템과의 연동 기능도 제공한다. ● 중복 쿼리 축약 기능 WAS의 정형 및 비정형 쿼리의 중복으로 인한 로그데이터 유실 및 속도 저하는 중복 쿼리 축약 기능으로 중복 쿼리를 최소화시켜 Sniff 및 로그 장비의 부하를 감소시키며 로그 데이터의 경량화로 하드웨어에 투자되는 비용을 최소화 한다. ● 안정성 보장(TTP 기술) 기존의 보안 기능은 그대로 제공되면서 보안 장비나 S/W의 다운, 재시작, 패치, 전원차단 등 어떠한 상황에서도 통신 세션이 보장된다. WAS에서 연결된 세션 및 트래픽을 자동으로 보호하며 DataMasking도 문제없이 그대로 지원되는 세계 최초의 기술을 자랑한다. ● 리포트 기능 IP/계정/데이터/APP/Bind/Error Code 등 다양한 검색조건에 의한 리포팅 기능을 제공한다. 생성된 리포트는 외부 데이터(PDF, HTML, DOC, XML, XLS, TXT 등...)로 Export하는 기능을 제공한다. Report Viewer 프로그램을 통해 그래픽 기반의 리포트를 제공하며 총 40여가지의 기본 리포트 폼을 제공한다.   <글 : 정보보호21c 편집부> [월간 정보보호21c 통권 제106호 (info@boannews.com)] 기사 원문 : http://www.boannews.com/media/view.asp?idx=16781&kind=0

[보안뉴스] DBSAFER V3.0 GS인증 획득

2009.06.04
    - 공공기관 수의계약 등, 조달시장에서 유리한 입지 확보 데이터베이스보안 전문기업 ㈜피앤피시큐어(대표 박천오)는 자사의 DB보안시스템 ‘DBSAFER’가 한국산업기술시험원(KTL)의 GS인증(소프트웨어품질인증)을 획득했다고 4일 발표했다. 피앤피시큐어의 DBSAFER는 DB서비스에 대한 접속제어 및 권한제어, 실시간 모니터링 및 감사 기능을 수행하는 DBMS 보안솔루션으로 2006년 DBSAFER 2.0 제품의 GS인증 획득에 이어 이번 3.0 제품에서도 GS인증을 획득했다. 피앤피시큐어의 박천오 대표는 “조달청의 다수공급자 물품계약제도가 정보보호제품에도 전면 시행됨에 따라 CC인증과 GS인증이 필수요소가 되었다. 이번 GS인증 획득을 통해 공공시장에서 한층 유리한 입지를 확보하게 되었다”고 밝혔다. 현재 피앤피시큐어의 DBSAFER는 주요 금융기관, 일반기업 및 공공기관 등 250여 사이트에서 운영되고 있으며 DB보안제품 중 국내 최고의 시장점유율을 자랑하고 있다. [김태형 기자(boan2@boannews.com)] 기사원본 : http://www.boannews.com/media/view.asp?page=1&idx=16486&search=&find=&kind=1

피앤피시큐어, TTP기술로 NET 인증 획득

2009.04.30
  시스템 장애시에도 서비스 연속성 보장 데이터베이스보안 전문기업 피앤피시큐어(대표 박천오 www.pnpsecure.com)는 독자기술로 개발한 ‘TTP기술(Trustful Transparent-Proxy Technology : 네크워크 보안 시스템의 가용성 보장을 위한 패킷 제어 모듈 및 장치 기술)이 지식경제부 기술표준원의 NET(신기술) 인증을 획득했다고 발표했다. 신기술 인증 제도는 정부가 국내 기업 및 연구기관, 대학 등에서 개발한 신기술을 조기에 발굴하여 그 우수성을 인증하는 제도로서 국가기관 및 공공단체의 우선구매 대상품목으로 지정된다. 이번에 NET 인증을 획득한 ‘TTP기술’은 지금까지 하드웨어 장비를 통해 시스템 장애시 패킷을 바이패스 시키던 장애대응기술을 소프트웨어로 구현한 기술로서 기존의 하드웨어 방식과는 달리 시스템 장애시의 바이패스시에도 세션이 끊기지 않아 서비스의 연속성을 보장하는 신기술이다. 박천오 피앤피시큐어 대표는 “피앤피시큐어는 2005년에도 게이트웨이 형식의 DB보안 프로그램 개발로 NEP 인증을 획득한 바 있으며 DB보안의 원천기술과 특정기능에 관한 특허를 다수 보유하고 있다”며 “이번 NET인증과 현재 진행중인 CC평가인증 등을 통해 국내 DB보안시장의 선두주자로서의 입지를 한층 다지는 계기를 마련했다”고 밝혔다. 피앤피시큐어는 현재 국내 250여개의 DB보안 구축사업 실적을 갖고 있으며 2009년 하반기에도 새로운 기술을 시장에 선보일 계획이다.   [김태형 기자(boan2@boannews.com)]

DB 보안업계, WAS 전용 보안 솔루션 띄우기 나서

2009.03.04
  DB 보안제품으로는 내부정보유출 방지 한계… WAS 보안 전용 장비 출시 예정 DB보안 시장 초미의 관심사는 단연 WAS(Web Application Server) 보안이다. 대부분의 정보유출 사고가 내부자에 의해 발생하고 있으나, 대부분의 DB보안 제품들은 애플리케이션의 사용 권한을 지닌 내부자가 웹서버를 통해 DB서버에 접근할 경우 정확한 로그 조회 및 추적이 불가능하다. DB 보안 업체들은 이를 방지하기 위한 대책 마련에 한창이다. 현재까지는 WAS에 DB 보안 에이전트를 탑재하거나, WAS 서버와 DB서버 앞단에 탭을 설치하는 스니핑 방식으로 WAS 보안을 제공하고 있다. 웹방화벽과 DB보안 제품을 연동해 지원하고 있기도 하다. 하지만 이런 방식만으로는 부족하다는 것이 업계의 자체 진단이다. 이에 대한 해결책으로 DB 보안 업체들은 WAS 전용 보안 제품의 출시를 서두르고 있다. 국내 정보보호 업계에 별도 WAS 보안 시장이 형성될지 여부에 관심이 모아지고 있다. 업체들은 "내부자에 의한 정보유출 사고 발생 시 누가, 언제, 어떻게 정보를 조회하고 이용했는지 명확히 파악하고자 하는 고객들의 요청이 높아지고 있다"며 "우리가 하는 WAS 보안은 해킹 방지가 아니라 권한 있는 내부자에 의한 정보 유출 방지를 목적으로 DB 보안의 확장선상에서 WAS 보안을 지원하고 있는 것"이라고 설명했다. WAS 보안 한계 있어… '기술 보완 필요해' 기존 DB보안 제품은 주로 외부에서 '웹서버- WAS- DB서버'로 접근하여 발생하는 정보유출 사고에 대응하기 위해 도입됐다. 웹서버를 통해 DB에 접근할 경우 '웹서버를 통한 사고'라는 정도만 파악이 가능했다. 내부자에 의한 정보유출 경로 파악이 어려웠던 것이다. 현재 해당업체들이 제공하고 있는 WAS 보안 기술에는 일부 한계가 있는 것으로 알려진다. WAS에 에이전트를 탑재하는 방식은 비슷한 시간대 들어오고 나간 IP를 추측해 누구인지를 파악하는 것인데, 게임사나 포털 처럼 동시 다발적으로 서비스 요청이 발생하는 업무 환경에 사용하기 어렵다. 스니핑 방식은 WAS 서버와 DB 보안 서버 연동 시 애플리케이션 수정이 불가피 하다. 또한 이 두 방식은 트랜젝션이 많으면 오류가 많다는 한계가 있다. 이 밖에 웹방화벽과 DB 보안 제품을 연동하는 방식의 경우 웹서버 로그(원천 IP)를 알아내는 것 자체가 불가능하며, 기술 검증도 안 돼 있다는 지적이다. 국내 시장에서는 올하반기에 DB 보안 선두 업체인 피앤피시큐어가 첫번째로 WAS 보안 전용 솔루션을 출시할 예정이다. 이 제품 출시로 경쟁사들의 WAS 보안 제품 출시가 잇따를 것으로 예상된다. 대규모 시장으로 급부상한 내부정보유출방지 시장의 한 영역으로 WAS 보안 시장이 새롭게 형성될지 귀추가 주목된다.

피앤피시큐어 - DB보안 선두업체된 이유는 제품 신뢰도 때문

2009.01.28
  "DB보안 선두업체된 이유는 제품 신뢰도 때문" [인터뷰] 피앤피시큐어 박천오 대표   ▲ 피앤피시큐어 박천오 대표 "피앤피시큐어라는 회사명 보다 DB세이퍼라는 제품 브랜드 명이 더 유명한 것 같다. 전산/ 보안 담당자들이 피앤피시큐어는 몰라도 DB세이퍼는 다 알고 있을 정도로 제품의 인지도가 높아서 다행이다." DB보안 전문업체인 피앤피시큐어는 2004년 접근통제 방식의 DB보안솔루션 'DB세이퍼'를 출시한 이래 현재 공공연한 업계 선두업체로서 세를 넓혀가고 있다. 피앤피시큐어는 올해 시장에 신기술을 대거 출시하여 경쟁업체들과 기술격차를 벌이고, 채널 및 기술지원 시스템을 정비하여 신규 고객 확보, 기존 고객사이트의 제품 확대 적용을 통한 매출 증대를 꾀할 계획이다.   ◆제품 신뢰도 앞세워 '올해 100억 매출 문턱 넘는다'= 지난해 접근통제 방식의 DB보안시장 규모(암호화 제외)는 200억원 정도였다. 이 가운데 피앤피시큐어는 약40%의 시장점유율과 80억원의 매출 성과를 거뒀다. 지난해 확보한 신규 레퍼런스 사이트만 100여곳이고, 누적 사이트는 250여곳이다. 이제 남아있는 DB보안시장인 인터넷쇼핑몰을 포함한 닷컴 기업, 공공, 제조, 건설 시장 확대에 주력할 예정이다. 특히, 지난해 GS칼텍스 개인정보유출사고 이후 하반기에 관공소 등이 DB보안 예산을 잡고 올해 잇따라 사업을 추진할 것으로 예상된다. 5월 내 CC인증을 획득하면 공공 사업에 더욱 힘이 실려 올해 100억원의 매출 달성은 무난할 것으로 보고 있다. 2005년 까지는 고객들이 단순히 법적 요건을 충족시키기 위해 등떠밀리기 식으로 DB보안 솔루션을 도입했다면 2006년 이후로 DB보안 시장이 자리잡기 시작해 현재 '중요데이터를 보호하겠다'는 고객의 의지에 의해 제품이 도입되고 있어 기대 수요 또한 크다는 게 피앤피시큐어의 설명. 피앤피시큐어 박천오 대표는 "금융권 70%, 공공시장 50%이상이 DB보안 솔루션을 기 도입했지만 고객사 가운데서도 전사 적용을 검토중인 곳이 많고, DB보안 솔루션을 설치했으나 동작이 제대로 안돼 윈백해 오는 케이스가 많다. 제품의 신뢰도를 바탕으로 이 같은 시장 기회를 놓치지 않을 것"이라고 전했다.   ◆'업계 최고의 제품 안정성' 보장 자신있어'= 피앤피시큐어는 DB보안의 연장선상에서 올해 WAS(Web Application Server) 보안제품을 출시할 예정이다. 경쟁 업체들과의 기술 격차를 유지하기 위한 노력의 일환으로 현재 업계 공통 관심사인 WAS 보안에 대응한 발빠른 결정을 내린 것이다. 박 대표는 "업체들간 기술격차가 크지 않고 제품 스펙이 대등소이하다. 올해 DB세이퍼에 2-3개 신기술을 추가하여 경쟁제품들과 기술 격차를 벌일 것"이라고 밝혔다. 또한 경쟁사들도 2개 기술 빼고 다 쫓아왔지만 실제 고객사에 적용할 기회가 많지 않기 때문에 제품의 안정성 만큼은 따라오지 못하고 있다고 덧붙였다. 피앤피시큐어는 자사의 최대 경쟁력으로 "고객의 문제점이나 요구사항 수집이 결국 신기능 추가로 이어지고, 기능이 추가되더라도 적용 테스트를 통한 안정화 과정이 필요한데 상대적으로 경쟁사에 비해 제품의 완성도를 높힐 테스트 베드(레퍼런스 사이트)가 많다는 점"을 꼽았다. 박대표는 PC에 DB세이퍼 에이전트를 500카피 이상 설치한 고객사가 20곳도 넘는다고 소개. PC 사용자 구분을 위해 에이전트 설치가 불가피한데 사용자 PC에 설치된 백신, DRM 등 여타 솔루션들과 충돌없도록 하는 제품의 안정성 보장 만큼은 자신있다는 것이다. 뿐만 아니라, 사업 초기 컨설팅은 물론, 향후 제품의 유지보수 서비스 및 관리자 교육을 지원할 기술 인력도 충분히 갖추고 있다는 게 박대표의 자심감을 뒷받침하고 있다. 피앤피시큐어는 국내에서 인정받은 기술력을 바탕으로 세계 무대에 우뚝 서는 것을 목표로 하고 있다. 박천오 대표는 "올해는 일본에 진출해 있는 국내 파트너사를 통해 DB보안 이슈가 본격화되고 있는 일본 DB보안 시장에 진출할 계획"이라고 말했다.   김정은 기자jekim@itdaily.kr 출처: http://www.itdaily.kr/news/articleView.html?idxno=18147

(주)피앤피시큐어

대표이사   박천오

대표번호   1670-9295          영업문의   sales@pnpsecure.com

사업자등록번호   107-86-44093

서울특별시 강서구 마곡서로 182(마곡동, 피앤피스테이션)


Copyright ⓒ 2023 pnpsecure All rights reserved. |개인정보 처리방침