Secure Your Business with PNPSECURE

DB보안, ‘선택 아닌 필수’

2008.08.27
  사례1. 지난 4월 국내 대표적인 인터넷 쇼핑몰인 옥션에 해킹사고가 발생했다. 이번 해킹으로 옥션이 확보하고 있는 전체 회원의 약 60%에 해당하는 1,081명의 개인정보가 유출됐다. 인터넷 개인정보유출 사고로는 사상 최대 규모다. 이 사고로 옥션은 피해를 본 2만3천여명으로부터 집단 손해배상 청구소송을 당해 지금도 송사와 씨름하고 있다. 특히 이번 사태로 옥션은 기업 이미지가 커다란 상처를 입었다. 옥션은 추락된 신뢰 회복을 위해 엄청난 공력을 들이고 있지만 한번 잃어버린 신뢰가 다시 회복될지는 미지수다.   사례 2. 국내 한 유명 이동통신사는 고객 정보가 해킹에 의해 실시간으로 인터넷에 유출되는 바람에 고객들로부터 호된 질책을 받은 바 있다. 다행이 극소수의 고객 정보만 유출돼 ‘찻잔속의 태풍’으로 소동이 가라앉았지만 만약 고객정보 전량이 공개됐다면 ‘제2 하나로텔레콤 사태’로 번질 수 있었다는 게 업계의 진단이다. 안도의 가슴을 쓸어내린 이 이통사는 현재 종합적인 고객 정보 유출 방지 대책 마련에 비지땀을 흘리고 있다.   사례 3. 국내 한 유명 조선업체는 자사에 파견된 중국인 선급검사관이 자사 서버에 보관된 드릴십 설계도면, 액화천연가스(LNG) 운반선 등 각종 기술자료 1500여개 파일을 복사, 유출하려 한 사고를 당할 뻔 했다. 만약 범인이 이 정보를 중국으로 빼돌렸다면 10년간 수백억원을 투입해 기술자립한 핵심 선박기술이 중국으로 흘러들어가 우리 조선산업을 위협하는 하는 것은 불문가지. 다행이 아찔한 사태를 사전에 인지, 피해를 막았지만 이 기술이 중국으로 빠져나갔다면 약 32조원 정도의 산업피해가 예상된다는 게 업계의 추산이다.   디지털 경제로 산업의 패러다임이 전환되면서 기업의 DB보안 내지 정보보안은 기업 경영의 핵심 이슈로 부각됐다. 정보보안이 생명인 인터넷 기업에서 고객정보 유출은 기업의 생존을 좌우할 정도로 미션크리티컬 사안이 돼 버렸다. 물론 일반 산업계도 마찬가지다. 앞서 언급했듯이 조선업체의 최첨단 핵심 기술정보가 국외로 유출된다면 이는 특정 조선업체만의 차원을 넘어 국가 경쟁력과 직결되는 중차대한 사안이다. 특히 우리나라가 세계 시장을 주도하고 있는 반도체, 핸드폰, 디스플레이 등 국가 핵심 산업과 관련된 산업 기밀이 유출된다면 해당기업은 기업의 존망을 위협받고 우리 산업계는 일순간에 먹거리를 잃어버리게 된다. 여기에다 우리나라가 세계 IT시장의 ‘테스트베드’ 시장으로 부각되고 핵심 제조산업의 메카로 급부상하면서 21세기형 사이버 범죄인 ‘DB해킹 내지 정보 해킹’의 표적국가로 지목되고 있다. 특히 지금까지 해킹은 단순한 해커들의 실력과시용이 주류를 이뤘다면 최근 들어서는 산업 기밀을 취득하거나 고객정보를 빼내 ‘돈벌이 수단’으로 삼으려는 국제 규모의 범죄 조직까지 연루된 산업스파이전으로 발전해 가고 있어 기업의 DB보안 내지 정보보안 투자는 기업의 IT투자 1순위 항목으로 떠오르고 있다. 선진국인 미국, 유럽 등에서는 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 협약에 대응해 금융은 물론 일반 기업에서도 고객 프라이버시정보는 물론 비즈니스 정보 등 각종 분야별 정보리스크에 대한 철저한 대비를 촉구하는 한편 개별 기업들도 DB보안망 구축에 총력을 경주하고 있다. 일본에서도 금융기관은 물론 정부공공기관, 일반 기업할 것이 없이 DB보안을 경영의 최우선 과제로 두고 선행 투자를 아끼지 않고 있는 실정이다. 우리정부도 잇따른 정보유출 사고로 인한 산업 피해내지 개인 프라이버시 침해 사고가 빈발하자 그간 표류해온 개인정보보호법의 입법을 서두르고 있다. 이 법이 올 정기 국회를 통과하는 것을 계기로 국내 DB보안 산업은 하나의 분수령을 넘게 될 것으로 점쳐진다. 이를 계기로 DB보안은 ‘당위적 과제’에서 ‘실천적 과제’로 진화될 것이라는 게 해당 솔루션업계의 한결같은 분석이다. 산업계의 움직임은 더욱 빠르다. 이미 국내 최대 조선업체인 현대중공업은 최근 기술유출사고를 방지하기 위해 한국정보보호진흥원과 사이버 보안관리 협약을 체결했다. 국내 제조업체로는 처음이다. 물론 국내 주요 기업들은 DB보안 내지 정보보안망 구축에 선제적 투자를 해오고 있는 것도 사실이지만 정보보호법 제정은 이같은 움직임에 촉매제 역할을 할 것으로 기대되고 있다. 이제 막 맹아기를 넘어 개화기에 접어든 국내 DB보안 시장은 얼마나 될까. 한국정보보호산업협회(KISIA)가 최근 내놓은 ‘2007 국내 정보보호 시장 및 동향보고서’에 의하면 DB암호화와 접근제어 솔루션을 합쳐 국내 DB보안 시장은 약 190억원대에 달한 것으로 나타났다. 올해 국내 DB보안 시장의 경우 접근제어에서 약 198억원, 암호화 부분에서 약 42억원 등 총 약 240억원대를 형성할 것이라는 게 KISIA의 전망이다. 또 오는 2012년까지 접근제어 시장은 연평균 약 12%의 성장률을 보이며 약 325억원에 달하고 암호화 시장은 연평균 8.5%씩 성장해 약 54억원에 이를 것이라는 것. 이렇게 되면 4년후 국내 DB보안 시장은 줄잡아 총 400억원대에 달할 것으로 보인다. 작지만 제법 쏠쏠한 시장으로 커나가고 있는 국내 DB보안 시장은 어디에서 생겨날까. 이 분야 업체들은 금융, 통신기업 및 공공기관이 주 타깃이라고 입을 모으고 있다. 특히 DB보안 투자는 통신, 포털, 게임, 인터넷기업 등에서는 더 이상 미룰 수 없는 발등의 불이라는 게 보안 솔루션업계의 지적이다. 특히 최근 발생한 일련의 개인정보 유출 사건 등으로 DB보안은 가장 시급성이 요구되는 최우선 전산 투자로 부각됐다는 것이다. 이미 국민은행, 우리은행, 경남은행, 광주은행, 대한생명, 금융감독원, 대우증권, 삼성카드, 한화증권, 한화손해보험, 삼성증권, 현대카드, 교보생명, BC카드 등은 DB보안 투자를 추진중에 있으며 정부통합전산센터, 교육인적자원부, 국세청, 해군본부, 국민건강보험공단 등 공공부문에서도 DB보안 시장이 열리고 있다. 또 포스코, 현대중공업 등 대형 제조업체는 물론 롯데닷컴, 인터파크 등 인터넷업체, 서초케이블, 하나로텔레콤 등 통신업체들도 DB보안 솔루션을 도입하거나 도입을 검토 중인 것으로 알려지고 있다. 이처럼 DB보안 시장이 알토란같은 먹거리로 자리잡아가자 펜타시큐리티, 웨어밸리, 피앤피시큐어, 이글로벌시스템, 소만사 등 국내 SW업체들이 솔루션을 잇따라 개발, 시장에서 경쟁을 벌이고 있으며 최근들어 시만텍 등 외국 솔루션업체들도 시장에 가세, 시장을 달구고 있다. 손삼수 웨어밸리 사장은 “그간 금융권에서는 내부자의 의한 고객 명단, 패스워드 등의 유출로 인한 금융 사고를 방지하기 위해 DB보안 솔루션을 전사적으로 도입, 적용해 왔다”며 “최근에는 시스템 가용성을 보장하기 위해 어플라이언스 형태의 제품, DB마스킹 등 접근제어와 암호화 솔루션이 결합, 진화하고 있어 그간 도입을 주저해왔던 통신과 인터넷 사업자 를 중심으로 솔루션 도입 움직임이 활발하다”고 시장 상황을 설명했다. 또 초기에는 오라클 등 국내에서 많이 사용하는 DB 중심으로 DB보안이 적용돼 왔으나 최근에는 오라클은 기본이고 MS SQL, 사이베이스, 알티베이스, 큐브리드 등 대다수 상용 DB를 지원하는 추세라는 것. DB보안 솔루션은 기업의 중요 정보를 DB화할 경우 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않은 내부자에 의한 불법적인 정보유출을 방지하는 기능을 수행한다. 펜타시큐리티 유창목 수석컨설턴트는 “정보보호의 궁극적인 목표는 저장하고 있는 DB내의 중요 데이터를 내외부 공격으로부터 안전하게 보호하는 것”이라며 “방화벽, IPS, 안티 DDoS 솔루션 등 각종 보안솔루션들도 결국 기업의 주요 자산이 저장된 DB를 보호하기 위한 방어수단”이라고 강조했다. DB를 보호하는 방법은 크게 데이터베이스 암호화(Data Encryption), 인증 및 접근제어(Authentication & Access Control), 감사(Audting) 등 3가지다. 이중 DB 사용자의 접근을 제어하는 솔루션과 DB 자체를 암․복호화하는 솔루션이 국내 DB보안 시장의 주류를 형성하고 있으며 일부 외국기업은 감사 기능에 특화된 솔루션을 공급하고 있다. 접근제어 제어 솔루션에서는 웨어밸리, 피앤피시큐어, 바넷정보기술, 소만사, 모니터랩, STG시큐리티 등이 강세를 보이고 펜타시큐리티, 이글로벌시스템, 소프트포럼, 이니텍 등은 DB 자체를 암․복호화하는 솔루션 부문에서 명성을 얻고 있다는 게 업계에 정통한 관계자의 설명이다. 또 시만텍 등 외산 제품들은 침입 탐지와 감사 기능 등이 특화된 DB보안 시장에 나름대로 활약상을 펼치고 있다고 보는 게 정설이다. 이처럼 국내외 업체들이 각자의 영역에서 경쟁을 벌이고 있는 하반기 국내 DB보안 시장을 더욱 뜨겁게 달굴 이슈는 CC인증이다. 지금까지는 국정원 보안적합성평가만으로도 공공기관 등에 납품할 수 있었으나 내년 5월부터는 CC인증을 받지 않으면 공공기관 납품이 불가능해졌다. 따라서 CC인증을 먼저 받아 공공기관 등을 선점하려는 업체들의 치열한 러시가 시작된 것. 현재 접근제어쪽에서는 피앤피시큐어, 웨어밸리 등이, 암호화쪽에서는 펜타시큐리티 등이 선두권을 형성하고 있으나 CC인증을 먼저 받는 업체가 이 순위를 뒤집을 수도 있을 것으로 전망되고 있다. 이니텍, 모니터랩, 소만사 등 다수의 업체들이 이미 CC인증 평가계약을 체결하고 올 하반기경 CC인증을 획득을 준비 중이다. 최근들어서는 해외시장 개척 움직임도 가시화되고 있다. 웨어밸리, 펜타시큐리티 등은 이미 일본시장에서 좋은 평가를 받으며 짭짤한 수익을 올리고 있으며 피앤피시큐어, 소만사, 이글로벌시스템, 모니터랩 등도 일본 시장 진출을 준비하고 있어 일본이 국내 DB보안업체의 차세대 먹거리로 떠오를 전망이다. 소만사 유영선 본부장은“기업의 주요 정보자산 1순위인 DB를 보호하기 위한 DB보안은 이제 선택이 아닌 필수 경영 이슈로 자리잡았다”면서 “주요 정보는 반드시 암호화해서 저장해야하며 권한에 따른 접근 제어가 반드시 필요할 것”이라고 DB보안의 중요성을 역설했다. 윤광택 시만텍코리아 부장은 “DB보안은 기술적 관점이 아닌 경영적, 조직적, 프로세스적 관점으로 논의돼야한다”며 “외부 침입방지 시스템이나 CEO, CIO가 기업 정보자산에 대한 보안전략을 수립하고 그에 따른 조직을 운영, 업무 절차를 수립한 후 효율적인 보안 인프라를 구축하는 등의 전사적 체제의 보안 방식이 도입돼야 한다”고 지적했다. 즉 DB보안 솔루션이 단지 DB에 대한 접근을 막는 한정적인 의미에 멈출 것이 아니라 기업의 가장 근간이 되는 중요 정보자산에 대한 궁극적인 보호와 건전한 운영을 위한 전사적인 경영 전략 차원에 접근해야 된다고 이 지사장은 힘주어 강조했다.

피앤피시큐어, 공공.금융 등 다수 레퍼런스를 통한 구축 노하우 ‘자신’

2008.07.24
  공공․금융 등 다수 레퍼런스를 통한 구축 노하우 ‘자신’ 피앤피시큐어(대표 박천오)의 ‘DBSAFER`는 게이트웨이 방식의 권한제어 솔루션이다. 모든 DB 접속 요청이 DB 보안 게이트웨이를 통해 처리되며 게이트웨이 방식만이 할 수 있는 보안 기능으로 DB 서버에 명령을 입력하기 전에 DB세이터가 보안 정책에 의해 차단이 가능하다. 접속제어, 권한제어, SQL 감시 및 로깅, 보고서 등의 기능을 제공하며 바이패스 기능으로 네트워크 중단 사태를 방지해주는 동시에 속도 문제도 해결 가능하다. 오라클 커넥션을 유지하면서 사용자가 느끼지 못하게 로그 자체를 DB에 쌓으면서도 시스템에 부하를 주지 않는다는 것이 피앤시큐어가 자랑하는 DB세이퍼의 특징이다. 또 동일한 ID라도 접속된 IP주소, 컴퓨터 이름, 애플리케이션 종류 등에 따라 권한을 다르게 설정하는 기능을 제공해 보다 세밀한 정책 구현이 가능하며 사용자들의 모든 SQL 쿼리를 저장해 성능 튜닝의 기초자료로 활용할 수 있다. 따라서 DB보안으로 성능이 저하되는 단점을 개선한다. 특히 피앤피시큐어는 최근 접근제어 방식은 보안성이 낮다는 단점을 개선해 인가받지 않은 사용자가 DB에 접근하면 데이터를 암호화한 형태로 보여주는 데이터 마스킹 기능을 삽입해 보안성을 더욱 높였다. 피앤피시큐어 박천오 사장은 “금융권 고객의 약 90% 이상을 수주하는 금융권에서의 좋은 성과를 바탕으로 올해 일본 시장 진출 등 고객 레퍼런스를 다각화할 계획”이라며 “올해 약 100억원 가량의 매출 목표를 달성할 계획이며 지난 상반기 실적이 좋아 무난히 목표 매출을 달성할 수 있을 것으로 전망한다”고 자신했다.   기사: 전자신문

IST Tokyo 2008 정보보안전시회 참가

2008.05.30
  피앤피시큐어는 2008년 5월14일(수)부터 3일간 동경 빅사이트 전시장에서 개최된 제5회 IST(Information Security Expo) 2008에 참가하였습니다. 올해로 5회째를 맞이하는 IST EXPO는 불법침입 안티 바이러스 및 정보유출대책 등 정보보안에 관한 제품과 서비스가 한자리에 집결하는 일본 최대의 전시전으로 피앤피시큐어는 KISIA(한국정보보호산업협회)가 주관하는 한국공동관을 통해 참가하였습니다. 2현재 일본에서는 대기업의 잇달은 고객정보 유출사건과 J-SOX의 시행 등, 내부자료 유출방지를 위한 관심이 고조되며 내부통제를 위한 보안과제를 해결하기 위해 다각도에 걸친 연구가 계속되고 있습니다. 피앤피시큐어는 이번 참가를 통해 초기단계에 있는 일본 DB보안 시장의 시장성과 고객의 수요를 확인하였으며 일본시장 진출에 대한 가능성을 확인할 수 있었습니다.

보안업체 내부정보유출방지 사업 전략

2008.04.25
  ■ DB보안 분야 >> 소만사 법적 무결성 보장 솔루션으로 개인정보보호 시장 공략 소만사는 SK텔레콤, 싸이월드, SK주식회사, 삼성, 삼성카드, 시티뱅크, 농협 등 국내 대기업 및 글로벌 기업 400여 고객들에게 이미 검증받은 제품의 대용량처리능력과 안정성을 바탕으로 지난해부터 공공영업에 집중하고 있다. 소만사는 자사 DB보안제품의 경쟁력으로 ▲웹서버, 미들웨어를 통한접근, 이기종 DB에 대한 모든 접근내역을 기록 ▲오라클을 비롯, 실제 사용중인 이기종 DBMS의 통합보안 제공 ▲권한 있는 내부자 대상 고객정보보호 ▲개인정보유출과 내부정보유출의 통합SW 등을 꼽는다. 소만사는 개인정보보호전문 변호사를 고문으로 영입했고, 자사의 솔루션이 “정보중심으로 모든 유출통로를 기록 관리하여 법이 요구하는 완결성과 무결성을 보장하며, IT컴플라이언스환경하의 개인정보보호솔루션”이라는 점을 적극 마케팅하고 있다. >> 신시웨이 “WAS 등 DB인접 시스템 보안까지 세 확장” 신시웨이는 공공, 금융, 통신 시장 확대에 집중하고 있다. 지난해 공공사업을 목적으로 오라클, 사이베이스, 알티베이스에 대한 국정원 보안 적합성 검증필을 획득했다. 또 최근 KT의 표준 DB보안 제품으로 선정되고, SK텔링크의 DB보안 사업을 수주하는 성과를 거뒀다. 신시웨이는 “자체 DBMS를 개발하여 보안 규칙 및 로그 관리에 사용하고 있으며, 다양한 DBMS(오라클, 사이베이스, DB2, MS SQL Server, 알티베이스) 및 다양한 보안 기술(스니핑, 게이트웨이, 에이전트, 암호화, 보안쉘)을 지원한다는 게 자사의 경쟁력”이라고 말했다. 5월말까지 주요기능에 대한 업그레이드를 하고 올 연말까지 WAS보안 제품을 출시할 예정이다. DB보안에서 획득한 기술을 기반으로, 올해 WAS, D/W 서버 등 DB와 인접한 시스템에 대한 보안 기능을 제공하는 방향으로 제품 영역을 확장하는 한편, 2009년에는 일본을 중심으로 한 해외 시장 개척에 나설 계획이다. >> 웨어밸리 최다 구축 경험 바탕으로 금융, 제조 등 시장 확대 국민은행, 포스코, 대한생명, 공군본부, 금융감독원, 대우증권, 삼성카드, 서초케이블, 정부통합전산센터, 현대중공업 등이 웨어밸리의 DB보안 솔루션 ‘샤크라(2002년 출시)’를 이용 중이다. 일본 및 브라질을 비롯한 국내외 레퍼런스가 170여 곳으로 국내에 출시된 접근제어 방식의 DB 보안 솔루션 중 최다 레퍼런스를 확보하고 있다 웨어밸리는 “샤크라 제품은 국민은행, 포스코, 대한생명 등 대형 사이트에서 5년 이상 적용, 운영되며 그 안정성을 인정받고 있으며 오라클을 비롯한 DB2, MS-SQL, 사이베이스, MySQL, 알티베이스, 큐브리드 등 대다수 상용 DB를 지원하고 있다. 또 스니핑 방식과 게이트웨이 방식을 동시에 지원하는 하이브리드 구성으로 SQL Result Data를 포함한 사용자 접근 정보를 실시간으로 감시, 차단 및 로깅한다. 특히 인가된 직원이 서버 Side(콘솔 or Telnet)에서 직접 작업한 내용과 그 실행내역까지도 감시와 로깅이 가능하다”고 강조했다. 웨어밸리는 대형 사이트를 구축하며 검증받은 안정성을 바탕으로 올해 금융권을 비롯한 공공, 제조, 유통, 의료 등 전 산업군에 대한 영업 및 마케팅을 강화할 계획이다. 또한 해외 사업 확대를 위하여 지난 1월 미국 어바인에 미국 법인을 설립하기도 했다. >> 펜타시큐리티 올해 100개 사이트 확보ㆍ144억 달성 목표 2004년 암호화 방식의 DB보안 사업을 시작한 펜타시큐리티는 행자부, 외교부, 수원시청, SK 모네타, KT, 데이콤, 국민은행, 기업은행 등 200여개 레퍼런스를 확보하고 있다. 암호화 방식의 DB보안 솔루션이 지닌 성능(가용성) 문제를 개선해 가고 있으며 2006년부터 IP단위의 접근제어, 맥․ 응용프로그램별 접근제어 기능 등을 추가했다. 펜타시큐리티는 “접근제어 방식의 DB보안 솔루션은 데이터의 사용자에 대한 실체 파악이 어렵고 추측만 가능한데 암호화(인증 기능)와 접근제어 기능을 동시 지원함으로써 데이터를 이용하는 사용자를 세부적으로 파악할 수 있도록 했다”고 전했다. 올해 DB 암호화의 기술적 현안을 해결한 고도화된 제품으로 금융/일반기업의 대용량 사이트를 집중 공략해 100개 고객 사이트를 확보하고, 매출 목표 144억원을 달성한다는 계획이다. >> 피앤피시큐어 DBMS, Telnet, FTP 등 통합 통제/관리에 집중 피앤피시큐어는 2007년에만 하나은행, 부산은행, 수협, 우체국금융, 교보생명, 동양생명, 긋모닝신한증권, 우리투자증권증권, 교보AXA, 롯데화재, 손해보험협회, CJ투자증권 외 다수의 금융 고객사를 확보했으며, KT, KTF, GS리테일, 아시아나IDT, 두산엔진, 방위사업청, 국세청, 정통부, 특허청에 DB-Safer를 두루 공급하는 성과를 거뒀다. 특히, DB-Safer의 Return Data Masking, 모든 종류의 상용DBMS지원, DML 변경전후 데이터보관, 기존의 사용자 운영환경에 변경 없는 보안시스템 운영 등 대형 고객사에서 요구하는 핵심기술에 대하여 원천기술과 특허를 보유하고 있다. 피앤피시큐어는 “Return Data Masking 기능은 DBMS에 Agent 설치 및 데이터 변경 없이 암호화를 구현한 것으로 가용성 문제로 DB암호화 솔루션 도입이 불가능 했던 금융기관에서 호평을 받고 있다”고 전했다. 앞으로 DB-Safer를 DBMS, Telnet, SSH, FTP 등을 통합적으로 관리하고 통제할 수 있는 기업 내 정보보안 핵심 인프라로 발전시켜 나갈 예정이다. 올해 전년대비 70%이상의 성장률을 목표로 하고 있으며 이를 위해 채널망을 강화할 계획이다.   ■ DRM 분야 >> 소프트캠프 도면, GIS 등 영역보안사업에 중점, 170억 목표 소프트캠프의 문서보안 제품은 국내의 SK 전 계열사, 현대기아자동차, 하나금융그룹, 한화그룹 등에 표준 DRM으로 선정되어 있으며, 품질에 대한 검증을 중요시하는 일본 시장 내에서도 그 우수성을 인정받아 시세이도, 혼다연구소 등 대규모 고객사를 확보하고 있다. 소프트캠프는 2007년 112억의 매출을 올리며 전년대비 70%이상의 성장률을 보였으며, 올 2008년 170억의 매출을 목표로 하고 있다. 문서보안 솔루션으로 지난해 하나 금융지주에 표준 제품으로 공급되는 등, 금융권에 독보적인 시장 우위를 점하고 있다. 올해 도면, 소스코드, GIS에 대한 보안 솔루션을 출시함에 따라 비정형 데이터를 보호할 수 있는 영역보안 사업에 중점을 둘 예정이다. 제조업, 연구소 등으로 시장을 확대하고 있으며 기존 문서보안 솔루션의 다변화를 통해 공공기관과 SMB 시장 공략에도 적극 나설 계획이다. >> 파수닷컴 특화된 패키지 솔루션으로 중소기업 집중 공략 파수닷컴은 중소기업에 특화된 일체형 패키지 ‘SOLID(파수닷컴의 DRM 솔루션 + 사이버다임의 EDMS 솔루션 + IBM의 하드웨어 장비 = 중소기업용 전자문서보안관리 솔루션 패키지)’나, 소규모 조직을 위한 문서보안 제품 ‘FSF(File-server 내 문서 보안을 위한 DRM 제품)’, 비용 부담 없이 원하는 기간별 DRM 서비스를 제공 받을 수 있는 ‘리스 형태의 중소기업용 맞춤형 서비스’ 등을 기획해 산업기술유출방지법 적용이 필요한 기술집약적 중소기업을 집중 공략할 계획이다. 또한 기업 콘텐츠 유출 방지 솔루션 ‘DRM ONE for SharePoint’와 같이 Microsoft, IBM 등 글로벌 기업과의 협력을 기반으로 Pre-integrated solution을 출시해 중견/중소 시장에 안정적으로 진입하는 것을 목표로 하고 있다. 파수닷컴은 “내부 정보보호 시장 선점을 위해 글로벌 ECM 업체뿐만 아니라 보안 USB 업체, CAS 업체, CAD 솔루션 업체, 복합기 업체, DLP 업체 등과 다각도에서 공동 솔루션 및 서비스 모델을 논의 중”이라고 말했다.   ■ 보안USB 분야 >> 닉스테크 “올해 100여개 공공사이트 확보하겠다” 닉스테크의 보안USB 제품 ‘Safe USB+’의 장점은 매체제어, 보고서, 프로세스 kill 방지 기능 등이다. 보안USB 외에 PDA, CD RW 등의 보조기억 매체를 컨트롤 할 수 있는 기능을 제공하며 어디에 매체가 반출되어 있는지 사용현황 및 로그(이력)관리가 가능하다. 또한 PC단에 설치되는 보안USB 에이전트를 임의로 삭제시키지 못하고 안전모드에서도 일반 USB가 부팅 못하는 기능을 제공한다. 닉스테크는 근로복지공단, 국민연금관리공단, 주택공사 등 기존의 PC보안 고객들을 중심으로 영업을 확대하고 있다. 기존 PC보안 고객들은 별도의 에이전트를 설치할 필요 없이 업그레이드만으로 보안USB 도입효과를 제공받을 수 있다는 게 닉스테크의 설명. 닉스테크는 4월 중에 남부발전, 기획예산처, 한국농촌공사 등 4개 사이트를 수주할 것으로 내다보고 있으며 올해 100여개의 공공기관에 보안USB를 판매하는 것을 목표로 하고 있다. >> 솔루션어소시에이트 “드라이버 단의 매체제어 기술로 유출경로 완벽 통제” 솔루션어소시에이트는 행정정보유출방지 솔루션 ‘IGM-Public(보안 USB 제품: IGM-USB+)’을 앞세워 보안USB 도입이 의무화된 공공시장을 공략 중이다. 이 제품은 솔루션어소시에이트의 기업용 내부정보유출방지 솔루션인 ‘IGM’을 기반으로, 국가정보원의 지침을 수용해 개발한 것이다. 솔루션어소시에이트는 “기업용 IGM은 Driver Level의 매체제어기술을 채용하여 모든 유출경로를 완벽히 통제하기 때문에 보안의 무결성 면에서 여타 경쟁제품과는 차별된다”며 “2006년부터 일본 및 국내시장에서 핵심기술을 보유한 첨단 소재부품업체 및 대기업을 집중 공략 중”이라고 밝혔다. 또한 IGM-Public의 경우 국무조정실, 산재의료관리원, 사학연금공단, 한국원자력연구원, 한국정보보호진흥원, 부광약품, 모토닉 등을 레퍼런스로 확보하고 있으며, 지역별 총판체제 구축을 통한 판매를 전개하고 있다. >> 지란지교소프트 USB 보안영역의 파일 이중보안 효과 제공 지란지교소프트의 USB보안제품 ‘USBsafe’는 하드웨어 일체형이 아닌 소프트웨어 탑재형으로, 기존에 사용 중인 일반 USB메모리도 보안 USB메모리화 하여 사용할 수 있다. 메모리 공간을 보안영역과 일반영역으로 나눠 사용할 수 있고 각각의 영역에 대한 읽기, 쓰기 권한을 설정할 수 있다. 보안영역에 담긴 파일은 128비트 암호화 방식으로 저장과 함께 자동 암호화가 처리되기 때문에 이중 보안의 효과를 제공한다. USBsafe는 기업용과 개인용으로 구분되며 개인용 제품 3만 2천여개가 판매됐다. 현재 기업고객은 지역 지방 자치단체 및 관공서 10여 곳에서 협의 중이거나 사내 관리자들과 일부 직원들에 의해 테스트 중인 것으로 알려졌다. 지란지교소프트는 주요 데이터의 분실 사고 방지 등 완벽한 자체 검증과 신중한 시장 진출을 통해 시장 진입을 본격화할 방침이다.   ■ 이메일보안 분야 >> 시스코 “DLP 기능 지원으로 이메일 정보유출 방지” 시스코의 이메일보안 솔루션 ‘아이언포트’는 대기업, 금융, 병원 등 민감한 회사 정보, 개인 정보, 고객 정보 등을 다루는 기업 시장을 주요 타깃으로 하고 있다. 시스코는 기존에 제품(전자우편 및 웹 보안 제품)에 DLP 기능을 추가해 전자우편 및 웹을 통해 일어나는 정보 유출을 감시 및 방지한다. 별도 DLP(데이터 유출 방지)를 위한 S/W 또는 장비를 도입할 필요 없다는 이점을 지닌다. 시스코는 “해외의 경우 DLP 시장 규모가 크게 성장할 것이라고 예상되며, 시스코 아이언포트 솔루션을 적용하는 기업이 늘고 있는 추세”라며 “국내에서도 제품의 인지도 및 레퍼런스를 확대하고, 국내 규정을 제품에 반영해 나갈 예정”이라고 밝혔다.   ■ 이메일보안 분야 >> 맥아피 DLP, 보안USB 등 다양한 솔루션 무장 맥아피는 McAfee Data Protection Solution의 4가지 제품군인 DLP, 디바이스 제어, 엔드포인트 암호화, 보안USB 중에 ‘McAfee Encrypted USB’를 제외한 3가지 제품을 패키지화해 ‘McAfee Total Protection for Data(토털 프로텍션 데이터)’ 공급하고 있다. 이 제품을 앞세워 자동차, 조선 등 높은 가치의 기밀문서 및 파일을 보유한 제조업체와 연구소, 다양한 고객 정보를 보유한 온라인 업체들을 집중 타깃하고 있다. 맥아피는 경쟁사들에 비해 DLP, 보안USB 등 다양한 내부정보유출방지 솔루션을 보유하고 있다. 또 맥아피의 중앙 통제 플랫폼인 ‘ePolicy Orchestrator 4.0’을 통해 타 보안 제품들과의 통합관리를 지원함으로써 관리자의 편이성을 제공한다. 올해 DRM 등과 같은 솔루션을 1-2년사이에 구축한 대기업 및 그룹사를 대상으로 제품의 차별화를 통한 추가 영업 진행하는 한편, 중견그룹, 연구소, 반도체, 고객자료를 다루는 고객지원센터 등을 대상으로 마케팅과 영업 활동을 강화할 계획이다. >> 시만텍 “정보 중심의 접근법 제시… DLP 리더십 확고히 할 것” 시만텍은 기밀 정보 자산 보호를 위한 정보 중심의 지능형 데이터베이스 보안 솔루션을 비롯해 SMS8300, 이스팸, IM매니저, EV(아카이빙)솔루션 등 가장 포괄적인 데이터 유출 방지 솔루션을 제공한다. 시만텍이 제시하는 정보 중심의 접근법은 단순히 외부로부터의 침입만을 감시하는 것이 아니라, 데이터베이스 내부와 외부, 모두에서 발생하는 정책을 위반하거나 의심스러운, 혹은 비일상적인 트래픽을 탐지해 사용자에 관계없이 사기, 스파이 행위 등을 잡아내도록 한다. DLP 영역에서의 리더십을 확고히 하기 위해 시만텍은, 2007년 11월 데이터 유출 방지 기술을 보유한 본투(Vontu)를 인수했다. 이를 통해 시만텍은 데이터의 저장 위치가 네트워크인지, 연결되지 않은 엔드포인트인지에 관계없이 악의적이거나 실수에 의한 데이터 유출을 방지할 수 있는 데이터 유출 방지 솔루션 스위트를 제공하게 됐다. 시만텍은 데이터 손실방지 솔루션 분야의 기술력을 가진 본투 솔루션과 기존 시만텍의 엔드포인트, 네트워크, 스토리지, 컴플라이언스 솔루션 및 연구개발 능력을 결합해 고객에게 신뢰도 높은 정보보호 솔루션을 제공할 계획이다. >> 트렌드마이크로 “안정성 검증받은 DLP 사업 본격화” 트렌드마이크로의 엔드포인트 DLP솔루션 ‘Leak Proof’은 네트워크로부터 독립적으로 실행되어 지므로, 사용자가 오프라인상태에서 어떠한 문서 유출을 시도하더라도 차단할 수 있다. 또한 사용자가 임의로 에이전트를 불능상태로 만들 수 없도록 ‘스텔스’ 기능을 지원한다는 게 특징이다. 핵심기술의 유출에 대해 고민하고 있는 중견기업시장을 주요 타깃으로 삼고 있다 Leak Proof은 소니에릭슨, Orchard Supply Hardware(OSH)사 등 전 세계 250여 고객사에서 문서유출방지솔루션으로 활용중인 제품으로 이미 제품의 안정성이나 완성도면에서 시장의 검증을 거친 제품이라는 게 트렌드마이크로의 설명. 한국트렌드마이크로는 국내에서도 DRM, PC보안을 비롯하여 DLP에 대한 관심과 수요가 증폭되고 있다는 판단 하에 대기업을 중심으로 Leak Proof 영업에 적극 나설 계획이다. 국내에서는 하반기부터 고객사가 생길 것으로 예상하고 있다.   ■ 통합보안 및 서비스 분야 >> 한국마이크로소프트 계층적 보안 솔루션으로 시장 공략 한국마이크로소프트는 향후 보안 서비스 사업의 안정화를 위해 통합 보안 솔루션 ‘포어프론트’ 제품의 기능을 향상시키고, 고객 확보에 총력을 기울인다는 방침이다. 특히 단일 제품이 아닌, 계층적 보안을 실현하는 보안 솔루션으로 시장에 접근할 계획이다. 클라이언트, 서버, 애플리케이션, 네트워크 단의 모든 보안 제품에 대한 단일화된 관리와 보고가 가능한 기존 기능들을 향상시키고 새로운 접근 제어 및 보호 기능 추가를 지속할 예정이다. 마이크로소프트는 “2009년까지 네트워크, 운영체제 및 서버 애플리케이션 보안제품을 한꺼번에 관리할 수 있는 혁신적인 보안 관리 솔루션(코드명 스터링)을 출시하고, 올해 내에 VPN 기능이 강화된 ‘유니파이드 액세스 게이트웨이(UAG: Unified Access Gateway)’와 통합위협관리 기능을 제공하는 ‘쓰렛 매니지먼트 게이트웨이(TMG: Threat Management Gateway)’도 선보일 계획”이라고 밝혔다. >> LG CNS "사람 중심의 보안 통제 및 관리 서비스 제공" LG CNS는 기존의 IT보안(PC, 네트워크, 서버, 애플리케이션 영역)과 물리보안 영역의 융합관리를 통한 예방적인 보안통제 분야를 주 사업 분야로 추진하고 있다. ‘ID 프로비저닝(Provisioning) 서비스’라는 사업모델을 LG그룹 9개의 계열 및 계열사 연구소에 우선 적용하여 노하우를 축적하고 있다. LG CNS가 제시하는 기업의 정보유출 방지를 위한 서비스의 차별화된 특징은 ▲기존의 IT 보안솔루션과 물리보안 솔루션의 유기적인 연계를 통한 다단계적인 보안통제와 ▲하나의 관리시스템을 이용한 물리 및 IT보안 영역에 대한 통합적인 보안정책 설정 ▲보안 모니터링이다. 특히 실질적 보안 사고를 유발하는 ‘사람 중심의 보안통제 및 관리’가 가능하다. LG CNS는 우선 중견규모 이상의 기업들과 사업장이 해외까지 분산되어 있는 기업, 그리고 글로벌 보안 기준 및 표준을 지향하는 기업들을 타깃하고, 향후 공공 영역까지 시장을 넓힐 계획이다   김정은 기자 jekim@itdaily.kr

DB 보안, 암호화 vs 접근제어

2008.02.01
  보안업체가 데이터베이스(DB)의 개인정보 보호 및 내부정보 유출 방지 방안으로 암호화와 접근제어 진영으로 갈려 각축을 벌이고 있다. 암호화 방식은 DB 자료를 암호화해 자료가 유출되더라도 알아볼 수 없게 만드는 것. 데이터에 대한 안전한 보호가 가능한 반면 데이터에 변형이 가해져 상대적으로 처리 속도가 떨어진다는 지적이다. 접근제어 방식은 DB에 대한 접근을 통제하는 방식으로 처리 속도가 빠르고 운영이 간편한 반면 데이터 자체에 대한 보안은 떨어진다는 단점이 있다. 31일 관련 업계에 따르면 펜타시큐리티•이니텍•소프트포럼 등이 공개키기반(PKI) 바탕의 DB 암호화 솔루션을 피앤피시큐어•웨어밸리•신시웨이•소만사 등은 DB 자료에 대한 접근 제어 솔루션을 내놓고 성장이 예상되는 DB 보안 시장 공략을 서두르고 있다. 접근제어 진영에서는 피앤피시큐어(대표 박천오)가 국정원 보안적합성 검증을 받은 ‘DB세이퍼’로 공공 및 금융 쪽 수요 공략에 나섰다. 소만사(대표 김대환)는 DB 접근 내역을 기록, 역추적을 가능하게 하는 ‘DB-i’를 선보이고 CC 인증을 추진하고 있다. 신시웨이(대표 정재훈)는 원격지에서 접속해도 IP 주소를 정확히 파악할 수 있는 기능을 추가했다. 박천오 피앤피시큐어 대표는 “DB에 암호화를 걸면 부하가 커질 수밖에 없다”며 “정보 접근 권한이 있는 사람의 출입을 정확히 추적하는 것이 중요하다”고 말했다. 암호화 진영에서는 펜타시큐리티(대표 이석우)가 국가정보원 보안적합성 검증을 받은 ‘디아모’로 전자정부 및 공공 분야를 중심으로 시장을 주도하고 있다. 올해는 일본 시장 진출을 본격적으로 추진할 계획이다. 이니텍(대표 김중태)은 애플리케이션 수정이나 별도 개발 과정 없이 DB에 추가 설치하는 과정만으로 데이터를 암호화하고 간편하게 보안 정책을 적용할 수 있는 ‘세이프DB’로 시장 공략에 나섰다. 국정원 검증을 받은 암호모듈과 GS인증을 바탕으로 공공 시장에 주력할 계획이다. 윤영필 펜타시큐리티 팀장은 “성능 저하를 유발하는 쿼리를 네트워크에서 자동 변경, 암호화 전에 비해 시스템 부하를 5% 미만으로 줄일 수 있는 제품도 상반기 중 출시할 예정”이라고 말했다 한세희기자@전자신문, hahn@etnews.co.kr

[인기-추천상품] 피앤피시큐어, 통합보안 ‘DBSAFER’

2007.12.17
  피앤피시큐어(대표 박천오 www.pnpsecure.com)의 ‘DBSAFER’는 기존 DB 보안시스템이 채택한 스니핑 방식의 문제를 보완한 게이트웨이 방식의 접근통제 및 감사 솔루션이다. 스니핑 방식의 DB 보안제품이 접근기록을 남기는 수동적 수준의 DB 보안 기능을 제공하는 것과 달리 이 제품은 DB서버에 부하를 주지 않으면서 사용자에 대한 접근제어와 권한제어, 로깅을 동시에 수행한다. 이러한 특화된 기능을 바탕으로 올해 접근제어 방식의 DB보안 제품 중 최초로 국가정보원 보안성검토필 인증을 획득했다. 또 DB서버에 전혀 부하를 주지 않고 사용자에 대한 접근제어와 권한제어, 로그인을 동시에 수행한다. DB 자체 보안 기능에 추가로 꼭 필요하지만 DB 자체적으로 지원하지 못하는 애플리케이션과 컴퓨터이름, 시간, IP의 조합, 그룹 등의 접근제어와 권한제어 등 보안 기능을 별도 어플라이언스를 통해 지원해 성능 저하 없이 처리해 준다. 클라이언트에 별도 에이전트를 설치하지 않고도 DB서버에서 실행하는 중요한 SQL 쿼리문에 대해 데이터 소유자인 결재권자의 승인에 의해서만 실행이 되도록 하는 SQL 쿼리 결재 기능을 제공하는 것도 특징. 대형 사이트를 위한 티밍 기능 지원으로 부하분산과 장애대응이 동시에 가능하다. 특히 여러 대의 DB-세이퍼를 1대처럼 관리하는 독자적인 티밍 기능을 통해 정책관리와 로그관리, 모니터링 등을 한 대의 통합 관리할 수 있다. 고객의 데이터를 보호하기 위해 테이블의 컬럼을 암복호화하는 과정에서 DBMS 성능이 저하되는 기존 DB보안 시스템과 달리 이 제품은 DBMS 서버에 별도 에이전트를 설치하지 않고도 특정 패턴 또는 컬럼의 데이터 마스킹 기능을 통해 성능 저하 없이 기존 DB 암호화 제품의 기능을 구현했다. 현재 신한은행, 하나은행, 굿모닝신한증권, 정보통신부, 방위사업청 등 금융·제조·공공 분야 130여개의 대형 고객사를 확보, DB보안 시장을 주도하고 있다.   전자신문 신문게재일자 : 2007/12/17 원문 = http://www.etnews.co.kr/news/detail.html?id=200712130039&title=%EA%B8%B0%ED%9A%8D/%ED%8A%B9%EC%A7%91

[디지털 이노베이션 대상] 피앤피시큐어 '과부하 없고 보안성 탁월'

2007.01.15
  [디지털 이노베이션 대상] 피앤피시큐어 '과부하 없고 보안성 탁월' 기술표준원장상, DBSAFER ㈜피앤피시큐어(대표ㆍ박천오 www.pnpsecure.com)에서 개발한 ‘DB 세이퍼’는 사전차단이 불안정한 기존 DB 보안시스템의 문제점을 극복한 게이트웨이 방식의 접근통제 및 감사 솔루션이다. 스니핑방식의 DB 보안제품이 접근기록을 남기는 수동적 수준의 DB 보안 기능을 제공하는 것과 달리 DB 서버에 부하를 주지 않으면서 사용자에 대한 접근제어와 권한제어 그리고 로깅을 동시에 수행한다. 이러한 특화된 기능을 바탕으로 올 한해 100여 고객사를 확보하며 DB보안제품중 최고의 시장점유율을 자랑하고 있다. 게이트웨이방식을 채용하고 있는 ‘DBSAFER’는 문제점으로 지적되고 있는 장애발견과 복구 부분에 대한 대안을 제시하고 있다. DB서버나 클라이언트에 에이전트를 설치하지 않으면서 별도의 하드웨어 박스로 구성하여 설치와 유지보수의 편의성을 동시에 제공하고 있어, 안정성과 보안성을 추구하는 고객들에게 인기가 높다. 지난해 60여개의 레퍼런스를 추가로 구축하면서 DB보안시장을 주도하면서 제품의 편리성과 앞선 기술력을 인정 받고 있다. DB 세이퍼는 이러한 특화된 기능을 바탕으로 올해 접근제어 방식의 DB보안 제품 중 최초로 국가정보원 보안성검토필 인증을 획득했다. DB접근제어 보안 방식의 핵심 기술에 대한 특허인 데이터베이스 감시 및 보안 방법 및 장치가 지난해 등록 완료되면서 시장에서의 위상이 더욱 높아졌다.   (02)431_5971 -한국일보- 출처: http://news.hankooki.com/lpage/it_tech/200701/h2007011517573823630.htm

DB 보안 토종업체 `영토확장`

2006.01.30
  토종 데이터베이스(DB)보안 솔루션 업체들이 올해 시장 확대에 적극적인 행보를 보일 움직임이다. 그동안 큰 변화가 없었던 DB보안 시장이 올해에는 수요가 늘어날 조짐이 나타나고 있는 데 따른 것이다 . 통합DB 보안 솔루션 `디아모'를 전면에 내세우고 있는 펜타시큐리티(대표 이석우)는 올해 디아모의 공급 사이트를 5배로 늘릴 계획이다. 회사는 지난해까지 산림청, 재외동포재단, 데이콤, 한국도로공사, 우리홈쇼핑, 일산병원 등 국내외 100여 사이트에 공급했는데 이를 올해 안에 500개로 늘리겠다는 것. 최근 기업들의 DB보안에 대한 인식과 수요가 증가하고 있어 시장 규모가 지난해 150억원 보다 약 3배 증가한 450억원 규모가 될 것으로 추정하고 있다. 이를 위해 웹 애플리케이션 보안 솔루션인 `와플'과도 연계해 통합보안 솔루션 마케팅을 강화한다는 계획이다. 회사의 한 관계자는 "일본에서는 지난해 개인정보보호법이 통과된 후 DB보안에 대한 수요가 높아졌다"면서 "현재 국회에 계류 중인 개인정보보호법이 통과 될 경우, 수요가 더욱 탄력을 받을 수 있을 것"이라고 밝혔다. 웨어밸리(대표 손삼수)도 접근제어ㆍ감시 DB 보안 솔루션 `샤크라'를 내세워 시장 공략에 나선다. 샤크라는 감시대상 DB에 대한 접근 제어를 통해 실시간으로 감시, 차단이 이뤄지면 이를 기록, 기록된 자료의 재분석을 통해 중요 정보를 보호하는 솔루션이다. 올해 `샤크라'로 80억의 매출 목표를 세운 웨어밸리는 고객사의 니즈에 맞춘 다양한 솔루션을 개발해 제공할 계획이다. 회사 한 관계자는 "그동안 DB보안 시장은 대개 공급사들이 고객사들에게 권유하는 방식으로 영업이 이뤄졌지만 이제는 업체들이 고객사들의 요구에 맞는 솔루션을 제공하기 위해 커스터마이징에 힘써야 한다"고 말했다. 이외에도 피앤피시큐어(대표 박천오)가 접근제어ㆍ감시 DB솔루션인 `디비세이퍼'에 새로운 기능을 추가하는 등 토종DB보안 업체들의 시장 공략이 가속화될 것으로 보인다.   이홍석기자@디지털타임스

피앤피시큐어 -DB세이퍼

2005.10.01
  NETWORK TIMES 2005년 09월호 피앤피시큐어가 2년간의 개발 끝에 지난 2003년 12월 출시, 게이트웨이 형태의 오라클 보안 제품인 ‘DB 세이퍼(Safer)’는 대부분의 DB보안제품이 접근기록을 남기는 수동적 수준의 DB보안 기능을 제공했던 것과 달리 진정한 의미의 DB보안을 기능을 제공하는 제품이다. DB서버에 전혀 부하를 주지 않으며 사용자에 대한 접근제어와 권한제어, 로깅을 동시에 수행하며 접근 및 권한제어 등의 보안 기능을 별도 어플라이언스를 통해 성능저하 없이 처리한다. <편집자>   DB보안이란 데이터베이스는 불특정 다수의 개인 정보나 중요한 지적 재산을 보유한 기업정보가 들어있는 저장소로, DB보안은 내·외부 사용자가 이 저장소에 접근해 정보를 보는 것을 통제하는 것을 말한다. 최근 휴대전화 가입자 정보 유출과 건강보험공단의 개인병력기록이 유출되는 사고는 모두 내부 사용자에 의한 유출이었다. 내부 사용자는 데이터베이스에 접근할 수 있는 권한이 있는 사용자로 개발자나 유지보수 업체 등의 외부업체 그리고 내부 DB담당자 등이 될 수 있다. 데이터베이스에 대부분 동일한 사용자 ID로 접속하기 때문에 누가 어떤 PC에서 어느 DB로 접속해 어떤 정보를 가지고 갔는지에 대해서 알 수 있는 히스토리 정보가 없다. DB보안 제품은 허가되지 않은 사용자의 사전 접속 차단과 허가된 사용자의 사용 내역 정보를 모두 로깅해 사후 추적 및 관리를 위한 툴이라고 할 수 있다.   게이트웨이 형식의 편리한 사용 DB세이퍼는 개발 초기부터 스니핑 기술이 가지고 있는 치명적인 문제인 불안정한 DB 액세스 차단 문제를 해결한 게이트웨이 형태의 DB보안 기술을 적용했다. 이러한 혁신적인 기술을 바탕으로 DB세이퍼는 정보통신부에서 지정한 정보통신 우수 신기술로 선정됐고, 게이트웨이 형태의 DB보안으로 특허출원 중에 있다. 게이트웨이 형태의 DB보안이 혁신적인 기술로 인정받으며 고객들에게 호응을 얻고 있는 이유는 기존 제품과의 차별화된 편리성에 있다. 경쟁제품과 비교해 DB서버나 클라이언트에 별도의 에이전트 설치를 필요로 하지 않으면서 사전차단이 가능한 구성 방식과 설치 및 유지보수의 편의성을 동시에 제공하고 있기 때문이다. 이는 DB보안의 핵심기능인 사전차단을 하기 위해 설정변경이 어렵거나 에이전트를 설치할 수 없는 여러 기업 환경에 적용할 수 있는 가장 적절한 대안으로 제시될 수 있는 기능이다.   SQL 쿼리 결재 기능 DB세이퍼는 별도의 전용 클라이언트를 강요하는 방식이 아니고 기존의 환경에 전혀 변경 없는 결재기능으로 DB 액세스에 실시간 인/허가 과정을 거친다. 기업 정보 자산 중 핵심 데이터에 대한 SQL 쿼리(Query)문에 대해서 데이터의 관리자 또는 업무 팀장 등 결재권자의 승인을 받아야만 실행이 되도록 하는 결재 기능은 DB 세이퍼만이 가지는 강력한 보안 기능이다. DB세이퍼 결재기능은 DB 관리자 또는 업무 팀장이 승인 및 거부권한을 통해 실시간으로 DB 사용자의 권한(행위)을 제어할 수 있는 기능이다. 예를 들어 구매 DB에 접속해 DB 작업을 하는 사용자가 발생할 경우 중요한 테이블이나 주요한 쿼리의 경우 업무 팀장이 해당 사용자의 작업을 승인 또는 거부할 수 있다. 이러한 결재기능의 구현 방식은 다음과 같다. ▶1단계: DB 사용자의 DB 접속 및 사용 시도 ▶2단계: 해당 DB 세션을 게이트웨이에서 홀딩시키고 해당 DB에 대한 결재 권한을 가진 관리자에게 팝업 메세지 전송 ▶3단계: 관리자가 해당 내역에 대해 사용 승인 또는 거부 ▶4단계: 승인된 경우 해당 작업 수행, 거부된 경우 권함 없음 메세지를 사용자에게 전송 이러한 기능이 가능한 것은 모든 SQL 쿼리문이 DB세이퍼를 통해서만 실행되는 게이트웨이 특성 때문이다. 다른 방식의 솔루션은 특정한 SQL 클라이언트 프로그램을 설치해야만 결재 처리가 가능해 일반적으로 사용되는 SQL 클라이언트 프로그램 사용시 결재 처리하지 못하는 보안상 허점이 존재한다. 결재기능이 보다 강력한 보안 기능을 제공하는 것은 사실이지만, 결재 자체가 현재 접속중인 세션을 강제로 홀딩시키고 결재여부를 확인하는 과정이 필요하기 때문에 모든 DB 액세스에 대한 결재 여부는 많은 고려를 필요로 한다. 그 외에 내부 사용자가 텔넷이나 FTP로 수행하는 작업에 대한 작업 내용 로깅과 접속 차단 기능 등으로 불법적인 시도를 원천적으로 봉쇄할 수 있고, 사후 추적이 가능하다는 특징을 가지고 있다.   다양한 레퍼런스 또한 피앤피시큐어의 DB세이퍼는 대한적십자사, 성남시청, 부천시청 등의 주요 관공서에 납품되는 등 우수한 기술력을 자랑한다. 전반기에만 대우증권 전사 데이터베이스 보안 프로젝트, KTF 전사 데이터베이스 보안 프로젝트 등 금융, 통신 등의 굵직한 레퍼런스를 연속으로 수주하면서 엔터프라이즈급 사이트에 적합한 솔루션임이 입증됐다. 또 서울대학교를 시작으로 이슈화되기 시작한 학사행정DB에 대한 보안요구가 꾸준히 증가하면서 경북대학교, 계명대학교 등 10개 대학에 추가 도입됐다. 대학 고객들이 DB암호화가 솔루션 업체의 주장과 달리 실제 DB암호화 솔루션 적용을 위해서는 기존의 AP변경이 불가피하기 하다는 것을 알고 있어 DB암호화 솔루션을 빠르게 대체할 것으로 보인다. DB세이퍼는 대학의 학사행정보안의 표준으로 자리잡을 것으로 예상되고 있다.   MD-SQL·IBM DB 등 개발 예정 20여개 이상의 굵직한 DB보안프로젝트에서 납품한 실적을 보유하고 있는 DB 세이퍼는 고객요구 충족을 위해 현재 다양한 종류의 데이터베이스 지원을 위한 DB보안 제품을 개발 중에 있다. 피앤피시큐어는 DB보안 하나에 주력중인 것이 강점이며 현재 오라클 DBMS 중심의 제품이지만 사이베이스, MS-SQL 등을 지원하는 제품을 3/4분기에 개발할 예정이다. 또 텔넷보안을 강화시키는 신제품도 개발중이며 IBM DB2도 오는 2006년 1/4분기에 출시할 계획이다.

DB보안 시장 춘추전국 시대 열린다

2005.08.01
  <아이뉴스24> '원초적 보안에 주목하라.' 공공기관이나 병원, 온라인 쇼핑몰이 보관중인 개인정보가 유출되는 사고가 잇따라 발생하면서 보안의 새로운 영영역에 관심이 쏠리고 있다. 바로 데이터에 대한 '원초적 보안'에 대한 관심이다. 모든 정보는 데이터베이스(DB)에 저장된다. 이 정보에 대한 접근을 원초적으로 차단하는 것이 DB 보안이다. DB 접근을 막거나, 데이터 자체를 암호화해 혹 누출되더라도 정보를 확인할 수 없도록 하는 것이 DB 보안인 것이다. 이미 가까운 일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션들이 속속 구축되고 있는 실정이며 미국, 유럽 등에서도 기업과 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보 리스크에 대한 대비를 촉구하고 있다. 이같은 관심확대와 투자 증가로 인해 DB 보안 솔루션 시장 상승세를 타고 있다. 올해 국내 DB보안 시장은 약 150억원 규모를 형성할 것으로 전망된다. 지난해 20억~30억원 정도의 규모를 형성했던 것과 비교하면 5배에 이르는 셈이다. 완벽한 보안은 불가능하다. 그런 점에서 DB보안은 정보 유출의 가능성을 가장 근본적인 수준에서 최소화하고 유츌되더라도 피해를 최소화하기 위한 보안 시스템인 셈이다.   ◆열쇠 없으면 해독불능...암호화 솔루션 DB 보안은 크게 두가지로 나뉘다. 하나는 DB를 암호화해 저장하는 것으로 정보가 유출된 후에도 정보를 확인할 수 없게 하는 것이다. 또 다른 것은 사용자들이 DB에 무분별하게 접근하는 것을 통제하는 방식이다. DB 보안에 대한 관심이 커지면서 이 두가지 보안 솔루션이 주목받고 있다. DB 암호화 솔루션은 DB를 컬럼 단위로 선택적으로 암호화해 해독을 불가능하게 만드는 솔루션이다. 공개 키(PKI) 기반의 암호화 및 전자서명을 적용한 솔루션들이 대표적이며 펜타시큐리티, 소프트포럼, 이니텍 그리고 한국전자증명원 등이 관련 솔루션을 공급하고 있다. 암호화 솔루션은 다시 소프트웨어와 하드웨어로 나뉘는데, 소프트웨어 방식은 구성이 용이하고 적용이 간편한 반면, 암호화 및 복호화에 사용하는 열쇠(Key)의 안전한 보관 여부 및 처리속도 지연 문제가 단점이다. 하드웨어 방식이 이런 단점을 해결해주지만 가격이 상대적으로 비싸다는 게 흠이다. 소프트웨어 솔루션으로는 오라클 DB에 적용이 가능한 펜타시큐리티의 '디아모(D’Amo)'가 있다. 기업은행과 서울시청, 울산시 교육청 등에 공급돼 있다. 한국전자증명원에서 공급하고 있는 미국 인그리안의 '데이터시큐어(DataSecure)'는 하드웨어 방식 암호화 솔루션의 대표적인 제품이다. 이들 암호화 솔루션은 방식의 차이는 있지만 모두 DB 사전 접근 및 암호화된 정보에 대한 감사 기능을 지원하여 안전한 사용을 보장하며 혹 정보가 유출되었을 때에도 이를 악용할 것을 미연에 방지할 수 있다는 점에서 주목받고 있다.   ◆실시간 감시로 원천차단...접속통제 솔루션 DB 접근 통제 방식은 DB에 대한 작업시 인가받은 사용자들만 접근이 가능토록 하는 것으로 DB가 유출될 경우에도 이를 추적하는 기능을 탑재하고 있다. 웨어밸리, 바넷정보기술, 피앤피시큐어 등이 관련 솔루션을 공급하고 있다. 한국산업기술진흥원의 조사에 따르면 정보 유출의 90% 이상이 전현직 사원들에 의한 것. 이같은 점을 고려해 접근 통제 솔루션 방식은 DB의 실시간 감사(Auditing)에 초점을 두고 있다. 또한 DB를 암호화하는 것이 아니므로 사용자의 부담이 적어 업체별로 다양한 적용 사례를 보유하고 있는 것이 장점이다. 하지만 정보가 유출된 이후 DB가 악용될 수 있는 여지는 아직 암호화 솔루션에 비해 접근 통제 솔루션이 갖는 약점으로 꼽힌다. 이밖에 문서보안 솔루션 업체인 파수닷컴이 최근 자사의 문서보안 기술을 DB보안에 접목시킨 솔루션을 개발해 공급하고 있어 주목된다.   ◆올해 150억 시장 예상...전년 대비 5배 성장 예감 DDB보안 솔루션은 아직 정형화된 표준이 없다. 또 DB 보안 솔루션을 적용하기 위해 기존 시스템을 변경해야 하거나, 과부하로 인한 속도 저하 우려도 말끔히 해소하지 못하고 있다. 여기에 DB 보안 시장이 확대될 전망을 보이면서 관련 업체들이 난립할 조짐까지 보이고 있다. DB 보안 시장의 확산을 가로막을 수 있는 걸림돌들이다. 업계 관계자는 "이같은 문제는 시장의 요구에 따라 자연스럽게 해결될 일이다. 시간이 문제다"면서 "사실 더 중용한 걸림돌은 사용자들의 인식이다. 잇따른 정보유출 사건으로 시장은 확대되고 있지만, 예방차원에서 사후 보완을 통한 시장 확산이 대부분이다. 사전 예방차원에서 접근하는 고객들이 더 나와야 한다"고 강조했다. /김상범기자 ssanba@inews24.com

[특집-DB보안] `지능형 솔루션`으로 한방에

2005.07.22
  구성원간 ID 공유 증가…사용자 추적 어려워 암복호화ㆍ접근제어등 통합 DB부터원천차단 업계, 3~5중 통제기술 기업ㆍ금융권 공급 박차 조직의 기밀정보, 개인정보 등 기업의 내부 중요 정보나 고객정보가 유출될 경우 해당 기업에게 경제적 손실과 대외 신인도 하락, 주가 하락, 고객 손해배상, 기업 경쟁력 약화 등 막대한 손실을 감수해야 한다. 때문에 내부정보 유출을 원천 차단할 수 있는 지능화된 방어시스템 도입의 필요성이 절실해지고 있다. 히 서버, PC, 네트워크 등 모든 IT기기의 통합관리를 위해 관리자에게 권한이 집중되고, 분산환경 컴퓨팅의 요구가 증대되고 있으며, 1인 2PC, 모바일 PC 및 대용량 저장장치의 소유가 보편화되는 등 마음만 먹으면 내부직원이 보다 손쉽게 내부정보를 빼낼 수 있게 되면서 이같은 필요성은 더욱 강조되고 있다. 이에 따라 데이터베이스(DB) 보안, 내부정보유출방지솔루션 등 내부정보 보안 업계의 움직임도 빨라지고 있다. 내부보안의 대표격이라고 할 수 있는 DB보안은 불특정 다수의 개인정보나 중요 지적재산을 보유한 기업ㆍ기관이 내부 관계자의 DB 접근을 통제하는 것이다. DB보안의 중요성이 높아지는 것은 ID와 비밀번호를 구성원들이 공유하는 사례가 많은 데다 각종 애플리케이션을 이용한 접속이 늘어 특정사용자를 추적 통제하는 게 어려워졌기 때문이다. 관련 업체들은 IP주소나 DB가동 운영체제의 사용자와 DB사용자 ID, 암ㆍ복호화 기술, 각종 규칙 경보시스템 등을 결합해 3~5중 통제기술을 개발해 제공하고 있다. DB보안은 사용자의 접근을 제어하는 방식과 DB 자체를 암ㆍ복호화하는 방식으로 나뉜다. 전자에는 웨어벨리ㆍ신시웨이ㆍ바넷정보기술ㆍ피앤피시큐어 등 DB보안 전문업체가 포진해있고, 암ㆍ복호화에는 전통적인 보안업체인 펜타시큐리티ㆍ소프트포럼ㆍ한국전자증명원ㆍ퓨처인포넷 등이 참여하고 있다. 웨어밸리는 DB의 쿼리를 이력(로그)화해서 감시하는 네트워크 패킷 스니핑 방식을 통한 감시솔루션 사크라를 시판하고 있다. 이 방식은 에이전트를 사용하는 접근통제방식에 비해 부하가 적다는 게 회사측 설명이다. 웨어밸리는 최근 아이네트웍스와 현도텔레콤을 총판으로 공격적인 영업을 전개하고 있다. 신시웨이는 사용자 인증, 접근통제, 감사기능을 가진 디그리핀(dGriffin)이라는 솔루션을 개발, 최근 DB컨설팅 업체인 엑셈과 영업 제휴했다. 이 회사는 아가방과 선거관리위원회에 이 제품을 공급했다. 바넷정보기술은 지난해 미들만이라는 제품을 개발, 산업은행과 한국증권금융 등 금융권을 대상으로 공급하고 있다. 보안업체인 펜타시큐리티는 암복호화에 접근제어 기능을 결합한 디아모를 최근 HSBC와 기업은행, 공정위, 부폐방지위원회, 경찰청, SK텔레콤 등에 잇따라 공급해 주목을 받고 있다. 내부정보 유출방지솔루션 분야에서는 지난해 지능형 내부정보 유출방지 솔루션인 CWAT를 발표한 뉴테크웨이브가 활발한 영업활동을 벌이고 있다. 이 제품은 공동 개발업체인 인텔리전트웨이브에 의해 먼저 일본시장에 먼저 출시된 제품으로, 일반적인 정보 유출방지 솔루션이 비인가자의 정보접근을 막는데 초점을 맞춘 반면, 이 제품은 인공지능 엔진을 탑재해 72일간 정보접근 권한자의 행동패턴을 학습해 통제함으로써 인가자의 유출기도를 사전에 막을 수 있는 것이 특징이다. 강동식기자@디지털타임스

개인정보보호법 발효 앞두고 DB보안 관심 열기 후끈

2005.05.31
  최근 인터넷쇼핑몰, 기업, 공공 등의 정보유출 사고가 빈번히 발생하며 개인정보보호법에 대한 관심이 높아지고 있습니다. 지난해 2월 은행 전산망 조작으로 거액의 인출 사건이 일어났으며 쇼핑몰 등의 해킹으로 10만명의 개인정보가 유출된 사고도 있었죠. 또 지난 3월에는 대형 쇼핑몰의 데이터 유출 사고로 주요 일간지에 사과광고를 게재하는 등 사고가 잇따르면서 개인정보보호에 대한 관심이 증폭하고 있습니다. 최근 이렇게 개인 정보보호 문제가 더욱 심각해지는 것은 거의 모든 부분에서 개인 정보의 DB화가 이루어졌기 때문입니다. 그렇다면 DB를 효과적으로 보안할 수 있는 방안은 없을까요? 기업의 주요 정보를 통합 관리하는 DB에 대한 특화된 보안기능을 제공하는 DB보안 솔루션들이 속속 등장하며, 올해 약 150억원대의 시장을 바라보고 있습니다. 개인정보보호법에 대해 OECD에서는 이미 1980년에 개인 정보보호 8원칙을 제시했고 EU·미국에서도 1995년, 2000년에 각각 관련 제도를 정비했습니다. 일본에서도 4월부터 개인정보보호법이 발효됐다. 우리나라도 최근 공공·민간·금융 부문으로 흩어져 있던 관련 법률 및 제도들을 묶어 개인 정보보호 기본법 제정에 박차를 가하고 있으며, 지난 3월 정보통신 서비스 제공자가 지켜야 할 개인 정보보호 조치 가이드라인이 발표됐으며 열린우리당은 6월중으로 개인정보보호법을 발효시키겠다고 공표했습니다. 이렇게 국내외적 관심이 높아져가고 있는 개인정보보호법의 시행을 앞두고 대형 포털, 공공, 기업 등에서 고객정보 등을 담고 있는 데이터베이스(DB)에 대한 보호 필요성이 시급히 대두되고 있습니다. 허가받지 않은 사용자의 DB 접근을 제한하고 내부자에 의해 DB가 유출됐다 하더라도 DB를 활용하지 못하도록 접근제어, 암호화, 감사를 수행하는 DB보안 솔루션이 관심을 끌고 있다. 최근 빈번하게 발생하고 있는 고객정보유출 사고로 인해 어려움을 겪는 전자상거래 포털사이트, 공공기관 등이 DB보안 솔루션 도입을 서두르고 있습니다. 한 업계의 전문가는 “기업의 데이터베이스는 조직내에서 필요로 하는 정보를 체계적으로 축적하여 그 조직내의 이용자에게 필요한 정보를 제공하는 정보서비스 기관의 심장부에 해당된다”며 “따라서 데이터베이스에 대한 해킹이나 내부 사용자에 의한 누출은 기업의 신뢰성에 심각한 손상을 입혀 기업의 이미지 하락은 물론 금전적인 피해까지도 이어질 수 있다. DB보안에 대한 보안이 시급하다”고 언급하고 있습니다. 이처럼 기업의 존폐를 가를 수도 있을 정도로 중요하게 부각될 DB보안 솔루션은 중요 정보를 데이터베이스에 보관할 시 해당 특정필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지하는 솔루션입니다. 웨어밸리, 바넷정보기술, 피앤피시큐어, 펜타시큐리티, 소프트포럼, 이니텍, 케이사인 등이 DB암호화와 접근제어관련 솔루션을 자체 개발, 공급하고 있으며 한국전자인증, 위즈메카 등에서 외산 솔루션을 국내에 공급하고 있다. 이처럼 국산 솔루션이 대부분인 DB보안 솔루션은 민감한 DB를 취급하기 때문에 패키지화된 솔루션보다는 고객 상황에 맞춰 컨설팅 등을 통해 공급되는 추세입니다. 따라서 SI성으로 진행되는 경우가 많고 정형화된 표준이 없어 고객들이 어떤 제품을 선택해야할지 일정한 기준은 없는 편이죠. 또 DB보안을 도입하면 시스템에 따라 차이가 있지만 도입전보다 다소 속도가 느려질 수 있어 성능저하를 우려해 고객들이 도입을 꺼려하는 경향도 있습니다. 하지만 이런 문제점에도 불구하고 DB보안이 필요하다는 점에는 이견이 없습니다. DB보안은 기업 의 주요 자산인 DB를 보안할 수 있는 가장 효과적인 솔루션이며 나아가 개인정보보호 등을 위한 최선의 대안이기 때문입니다. 한편 최근 다양한 방식의 DB 보안 솔루션들이 격돌을 벌이고 있는 가운데 본지의 조사에 의하면 올해 국내 DB보안 시장은 약 150억원 이상의 시장을 형성할 전망이라고 합니다. 지난해 고작 20~30억원대의 시장을 형성했던 것에 비하면 엄청난 성장을 기대하는 분위기죠. 이에 대해 업계의 관계자들은 개인정보보호법 발효에 대한 기대심리와 도처에서 발생되고 있는 보안 사고로 기업들의 경각심이 고조돼 DB보안 솔루션은 침체된 IT시장에 새로운 수요를 창출하며 향후 점진적인 성장을 지속할 것으로 전망하고 있습니다.

DB보안솔루션, 내부 보안의 핵으로 부상

2005.05.26
  금융 및 공공 기관ㆍ통신사 등 관심 높아, 올해 시장 활성화 전망 개인정보보호 인식 확산, 금감원·정통부 지침 등으로 시장 탄력 내부자에 의한 정보유출 사고가 빈번하게 발생하면서 사내 보안관리 체계를 강화하고 각종 보안 솔루션을 활용해 핵심 정보를 지키려는 노력이 강화되고 있다. 서버보안, 계정 및 접근권한관리, 문서보안 솔루션 등으로 내부보안 시스템을 마련해온 기업들은 최근 들어 중요 정보가 모여 있는 데이터베이스(DB)의 직접적인 보호 방안으로 DB보안 솔루션에 관심을 보이고 있다. 이유지 기자 yjlee@infotech.co.kr 내부 망에 위치해 외부에 노출되지 않는 데이터베이스(DB)는 그동안 원활한 서비스를 위한 성능 관리에만 초점이 맞춰졌을 뿐, 자체적인 보안에는 크게 신경을 쓰지 않은 채 DBMS(데이터베이스관리시스템)에서 제공하는 관리 기능에 의존해 왔다. 또한 수많은 업무와 사용자가 서로 연관되어 다른 형태의 역할과 권한으로 얽혀있는 DB에는 보안 정책을 일관적으로 정의할 수 없는 등 근본적으로 보안 관리에 어려움이 있었다. 따라서 주요 정보가 모여 있는 DB는 보안상의 취약성을 내포해 왔는데, 최근 개방적인 네트웍과 시스템 활용이 일반화되고 이를 활용한 서비스가 확대되면서 이에 대한 위협이 더욱 심각해지고 있어 DB보안의 중요성은 나날이 커지고 있다. DB는 외부에 의해 직접적인 공격이 가해져 정보가 유출되는 사례는 드문 반면, DB 관리자에 역할과 권한이 집중돼 있어 ‘관리자가 마음만 먹으면’ 또는 ‘관리자의 소홀’로 인해 언제든지 정보 유출 및 악용이 이뤄질 수 있다는 문제가 제기되고 있다. 현재 대부분의 DB 관리자는 시스템 및 데이터 운영 및 관리, 보안 관리까지 전담하고 있으며, 관리자의 관리 소홀이나 의도적인 불법 접근을 시도하는 내부 전산 운영자나 개발자, 아웃소싱 협력사 직원에 의해 사용자 계정과 권한이 노출될 경우 쉽게 정보 유출이 이뤄질 수 있는 위험성을 내포해왔다. DB를 효과적으로 보호하는 방안으로 ‘내부 단속’이 가장 중요한 이슈로 떠오르고 있는 것이다.   DB보안 관심 확대, 정부시책도 긍정적 영향 미쳐 최근 접근이 쉬운 내부자에 의한 침해 사고나 아이디와 패스워드를 도용해 불법적으로 접근, 정보를 빼내는 사례가 빈번하게 나타나면서 기업들은 전문 보안 솔루션을 활용해 자체 보안 체계를 수립하려는 움직임을 보이고 있다. 가장 먼저 관심을 나타내고 있는 산업은 단연 민감한 정보를 보유하고 있는 금융기관. 고객의 신상 및 신용정보 유출, 횡령 및 유용, 해킹 등 금융 보안 사고를 겨냥해 다양한 솔루션을 도입해 보안 강화에 나서온 금융기관은 최근 DB에까지 시야를 넓히며 관련 보안 솔루션을 적용하는 것을 적극적으로 검토하고 있다. 이미 몇몇 은행과 증권사, 보험사들이 관련 솔루션을 도입하기도 했으며, 동종 산업군 전체로 관심이 확산되면서 제품 테스트를 진행하는 사례가 늘어나고 있다. 이는 지난해 실시한 금융감독원의 감사와 관련 지침이 내려진 영향도 크다. 또한 전자정부 시행 등으로 고도의 지식정보 사회를 구현하고자 추진하고 있는 정부 및 공공기관에서 ‘정보시스템 구축기술 가이드라인’에 주요 데이터 암호화 및 접근통제 항목을 명시하는 등 솔루션 확산에 탄력을 주고 있다. 여기에다 최근 개인정보보호에 대한 사회적 관심이 높아지고 있고 기업 내부에서도 주요 정보 자산을 보호하려는 요구가 커지면서 DB보안 시장 성장에 긍정적인 영향을 미치고 있다. 따라서 DB보안 시장은 금융 및 공공 시장과 통신사, 대학 등 개인정보를 보유하고 있으며, 이를 기반으로 서비스를 수행하는 산업 전반으로 확산될 것으로 보인다.   다양한 솔루션 등장, 업계 움직임 활발 이러한 시장 흐름에 따라 최근 다양한 방식으로 구현된 DB보안 솔루션이 시장에 출시되고 있으며, 관련 사업을 하는 업체들도 속속 늘어나고 있다. 사실 DB보안 기술은 그 수준과 방식에 차이는 있겠지만 최근 개발된 기술이 아니라 1980년대부터 개발된 것으로 알려져 있으며, 2000년대 초반 전문 솔루션이 시장에 소개되기도 했다. 하지만 인식이 낮아 시장에서 별다른 호응을 얻지 못했다. 일부 업체에서 외산 솔루션을 선보였지만 수요 부족으로 일찌감치 사업을 포기하기도 했다. 현재 DB보안 제품을 내놓고 사업을 펼치고 있는 업체들은 금융 IT사업을 펼쳐왔거나 DB 관련 사업을 해온 업체 또는 보안업체들이 주류를 이루고 있다. 주요 업체로는 바넷정보기술, 소프트포럼, 웨어밸리, 이니텍, 한국전자증명원, 피앤피시큐어 등을 들 수 있다. 이들 업체는 올해부터 시장이 크게 활성화될 것으로 보고 채널 영입 등 본격적인 사업화 준비를 벌이는 한편, 금융 및 통신사, 공공기관들에 적극적으로 제품을 소개하고 있다. 현재 시장에 나와 있는 DB 보안 전문 제품은 DB 암호화 솔루션과 접근제어, 모니터링 및 감사 솔루션 등이다. 이러한 솔루션은 ▲시스템 운영과 보안 관리 업무, 역할 및 권한을 분리하고 ▲DB 내 정보 자체를 암호화 하거나 ▲접근제어를 수행하도록 해 접근권한 관리체계를 강화하고 ▲접근기록을 저장해 행위 로그를 남기고 이를 분석하는 기능을 수행한다. 하지만 하나의 제품이 이 모든 기능을 포괄하지는 않고 있어 각각의 솔루션은 상호보완적으로 운영된다. 현재 나와 있는 솔루션은 기본적으로 접근제어 기능은 모두 제공하지만 암호화와 감사 솔루션은 각각의 전문 기능을 중심으로 제공되고 있다.   암호화 솔루션, DB 자체에 강도 높은 보안성 제공 DB 암호화 솔루션은 DB의 테이블이나 컬럼 단위로 저장된 데이터를 암호화하고 DB 접근을 권한에 따라 제어함으로써 중요한 정보 자체를 보호하는 솔루션이다. 현재 소프트포럼의 ‘제큐어(Xecure) DB’, 이니텍의 ‘세이프(Safe) DB’, 펜타시큐리티의 ‘디아모(D’Amo)’와 한국전자증명원에서 공급하는 ‘데이터시큐어(DataSecure)’ 등이 해당된다. 암호화 솔루션은 크게 소프트웨어와 하드웨어로 나뉘는데, 현재 국산 제품은 모두 소프트웨어로 구현되어 있다. 소프트웨어 제품은 적용 및 구성 방식에 따라 애플리케이션 API와 DBMS 플러그인 또는 에이전트 방식으로 구분된다. 애플리케이션 API는 가장 먼저 구현되었지만, 애플리케이션 수정을 거쳐 DB에 설치된다는 면에서 보안성은 높지만 설치 및 관리에 사용자 불편과 부담을 준다는 면에서 최근에는 프로그램 수정이 필요 없는 플러그인 또는 에이전트 방식으로 옮겨지고 있다. 하드웨어 방식은 한국전자증명원에서 공급하는 미국 인그리안의 ‘데이터시큐어’가 현재 유일하다. 지난달 이 제품을 국내에 정식 출시한 한국전자증명원은 이 제품이 네트웍에 설치되어 DB 서버에 부하를 줄 수 있는 소프트웨어의 단점을 해소했으며, 오라클, MS SQL, DB2 등 DBMS 플랫폼에 관계없이 지원할 수 있다는 점을 장점으로 내세우고 있다. 소프트웨어 방식의 솔루션도 컬럼 단위의 선택적인 암호화 적용 기능으로 성능 저하 요인을 최소화 하고 있다. 이들 암호화 솔루션은 모두 DB 접근제어 기능과 암호화된 컬럼에 대한 감사 로그 생성, 백업 및 복구 기능을 지원한다. 현재 소프트포럼이나 이니텍, 한국전자증명원의 플러그인 방식 솔루션이나 하드웨어 솔루션은 적용 사례는 없으며, 펜타시큐리티의 ‘디아모’만이 지난해부터 활발한 영업으로 이미 다양한 산업군에 적용되어 있다.   접근제어 및 감사 솔루션, 실시간 감시 및 로깅 강점 접근제어 및 모니터링/감사 솔루션은 DB 액세스 관리 통제와 DB의 실시간 감사(Auditing)에 그 목적을 두고 있는 솔루션이다. 설치 시에 애플리케이션을 변경할 필요가 없고 DB에서 운영되는 정보 자체를 암호화하는 것이 아니기 때문에 사용자 부담이 비교적 적어 이 분야의 업체별로 다양한 적용사례를 보유하고 있다. 구현 방식으로는 크게 네트웍 패킷 스니핑과 게이트웨이 방식으로 나뉘는데, 스니핑 방식은 웨어밸리의 ‘샤크라(Chakra)’가, 게이트웨이 방식은 피앤피시큐어의 ‘DB 세이퍼(Safer)’와 바넷정보기술의 ‘미들만(Middleman)’이 대표적이다. 스니핑 방식의 솔루션은 DBMS에 접속하지 않고 네트웍 상의 TCP/IP 패킷을 스니핑 해 SQL.NET 패킷만을 선택해 분석, SQL 및 사용자 정보를 실시간 추출해 저장한다. 패시브 모드로 구성되어 보안시스템 자체에 문제가 생겨도 DB 운영에 영향을 미치지 않으며, 설치 시에 DB 환경을 변경할 필요가 없다. ‘누가 언제 어디서 무엇을 어떤 애플리케이션으로’에 해당하는 다양한 업무와 사용자/시간대별로 로깅 기록을 세부화해 기록하며, 이상 행위 발생 시 추적과 통계, 분석이 가능하다. 이 솔루션은 추적 및 감사에 전문성을 갖고 있어 ‘사후 통제’용일 뿐 능동적인 보안 지원이 약하다는 지적에 따라 웨어밸리는 현재 게이트웨이 옵션을 추가하고 있다. 피앤피시큐어의 ‘DB 세이퍼’는 게이트웨이뿐 아니라 스니핑 방식도 동시 지원하고 있다. 하지만 한층 높은 보안 수준과 관리 편의성 면에서 향후 인라인 게이트웨이 방식이 대세가 될 것으로 보고 이를 집중적으로 시장에 소개하고 있다. 이 제품은 인라인 방식의 경우 DBMS나 클라이언트 설정 변경이 필요하지 않으며, 모든 SQL에 대한 실시간 감시 및 로깅을 감시해 로그 및 통계 보고서를 생성한다. 또한 DB 서버 숫자와 관계없이 중앙에서 집중 관리한다. 바넷정보기술의 ‘미들만’도 클라이언트와 DB 사이에 전용 ‘미들만’ 서버를 설치해 클라이언트에서 DBMS에 접속하는 사용자의 허가되지 않은 접근을 통제하고 모든 접속 기록을 로깅해 분석한다. 각 업무 담당자별로 DB 액세스 툴(M-Client, Golden, Toad 등) 및 DB 작업종류(DML, DCL, DDL 및 I,S,U,D)의 허용여부를 선택하여 운영할 수 있으며, 주요 작업마다 승인 프로세스를 거친 후 SQL이 실행되어 사전 통제에 효과적이다. 또한 클라이언트로 접속하여 작업하고 있는 모든 세션 정보는 미들만 매니저에서 실시간으로 모니터링 한다.   DB 접속 제어 솔루션 사전 보안 체계 보장 접바넷정보기술과 웨어밸리는 또한 보안 개념을 접목한 DB 툴인 ‘미들만 클라이언트’와 ‘트러스티드 오렌지(Trusted Orange)’를 보유하고 있다. 웨어밸리의 ‘트러스티드 오렌지’는 DB 성능관리 솔루션으로 잘 알려진 ‘오렌지’의 별도 버전이다. 이들 솔루션은 권한이 부여된 사용자 인증과 접근통제, DB 성능관리를 함께 지원한다는 면에서 근원적인 DB 관리의 요구사항을 충족하고 있다. 기업 내 사용 DB 툴을 표준화해 적절한 DB 액세스 프로그램 개발과 SQL 작성, 튜닝을 지원하는데, SQL 작업 수행 이전에 사용자에 부여된 권한계정으로 DB 접근관리를 수행하며 해당 결재 프로세스를 밟아 SQL을 실행하기 때문에 사전 보안 체계를 보장한다. 이들 제품은 저마다 보유한 매니저와 연동해 사전 및 사후 통제를 수립할 수 있다.   DB 성능 저하 및 관리포인트 증대 우려가 확산 걸림돌 B보안을 적용하기 위해서는 기존의 시스템의 변경이나 부하 없이 검증 가능한 DB 보안 체계를 구성해야 하며, 기존 업무와 조직 변경을 최소화하면서 통제 프로세스를 구현해야 한다. 또한 서비스 역할 비중이 높은 DB는 적용 후 성능 저하와 솔루션 자체의 장애 시의 대책도 마련되어 있어야 한다. DB 관리자들이 적용 시 가장 우려하는 것도 바로 이러한 점인데, 초창기의 DB보안 기술은 시스템 변경이나 성능 저하 현상이 두드러지거나 보안 솔루션을 적용한 후 DB 관리보다 보안 관리 포인트가 늘어나는 불편함을 겪기도 했다. 최근 DB보안 출시되고 있는 제품은 이러한 단점을 크게 해소했으며, 앞으로 지속적인 보완이 이뤄질 것으로 보인다.   주요 공급업체 전략   바넷정보기술 작년 5월 솔루션 ‘미들만’을 출시해 산업은행과 한국증권금융 등에 적용했다. 현재까지는 직접 영업을 벌이고 있지만 앞으로 금융권을 제외한 일반기업과 관공서는 전문 협력업체들과 제휴해 영업력을 극대화할 방침이다. 현재 협력업체를 타진하고 있고 지방 6개, 수도권 3개 총판을 선정할 예정이다. 올해 30개 사이트 적용을 목표로 하고 있으며, 10~15억원의 매출을 기대하고 있다.   웨어밸리 올해가 ‘샤크라’ 제품의 매출 확대 원년이 될 것으로 보고 활발한 사업을 벌이고 있다. 직접영업과 채널을 통한 간접영업을 병행하는 것을 기본으로 상반기 중 협력업체망 구축을 완료할 예정이며, 현재 샤크라의 총판을 담당한 업체를 찾고 있다. 올 초 서울특별시 지하철공사 및 국민은행, 금융감독원, 한국무역정보통신, 대우증권 등에 공급한 실적을 바탕으로 금융 및 공공 대상 영업을 강화할 방침이다. 상반기 중 ‘샤크라’의 게이트웨이 신제품을 출시하며, 현재 지원 플랫폼인 오라클 외에 사이베이스, DB2, MS-SQL 등으로 적용 DB를 확대한다. 또한 기존의 윈도우즈 환경 뿐만 아니라 유닉스 환경도 지원할 계획을 갖고 있다. 개인정보보호와 관련된 움직임이 활발한 일본 등 해외 수출을 포함해 올해 ‘샤크라’와 ‘트러스티드 오렌지’ 제품으로 50억원의 매출을 기대하고 있다. 일본 시장에는 올 들어 이스즈 자동차 등 5개 업체에 샤크라 제품을 공급한 바 있다.   이니텍 지난해 8월 기존 DB보안 솔루션을 보완, 강화해 DBMS 플러그인 방식의 ‘세이프 DB’를 새로 출시했다. 이 제품을 주력으로 가장 수요가 많을 것으로 예상되는 금융 시장을 대상으로 영업을 강화하며, 점차 목표 시장을 확대할 전략이다. ‘세이프 DB’의 지속적인 성능 향상을 벌일 예정이며, 향후 게이트웨이 제품 개발도 염두에 두고 있다. 올해 이 사업 분야에서 10억원 내외의 매출을 기대하고 있다.   소프트포럼 현재 DB보안 제품 ‘제큐어 DB’를 업그레이드하기 위해 DB전문업체에 아웃소싱 작업을 진행하고 있다. 타 암호화 솔루션과 영업을 병행하고 있으며, 올해 DB보안 사업으로는 5억원의 매출을 예상하고 있다.   펜타시큐리티 지난해 초 ‘디아모’를 내놓고 본격적인 사업을 시작한 후 기업은행, LG필립스, SK텔레콤, 산업자원부, 서울대학교 등 15개의 사이트를 확보했다. 이같은 성과를 바탕으로 올해 채널을 통해 대대적인 시장 확산을 꾀할 방침이다. 현재 내부적으로 올해 100개 사이트에 ‘디아모’를 적용하는 ‘디아모 100 캠페인’을 실시하고 있다. 매출 목표는 50억원(협력사 및 해외매출 제외)이다.   피앤피시큐어 2003년 12월 접근제어 및 감사 솔루션으로 ‘DB 세이퍼’를 출시하고 지난해 활발한 영업을 벌여온 피앤피시큐어는 KTF, 서울대학교 등 10여곳에 제품을 공급했다. 핵심 기술 개발에 집중하고 기타 보완 기술 및 영업은 모두 아웃소싱하는 체제를 유지하고 있으며, 현재 KWISE와 애플SI에서 총판을 담당하고 있다. 올해 DB보안 시장이 불붙어 내년 크게 성장할 것이라고 기대하고 있으며, 현재 DBMS 지원 플랫폼을 확대하고 특화 기능을 개발하는 등 제품 업그레이드 작업을 진행하고 있다. 올 매출 목표는 20억원이다.   한국전자증명원 지난해 말 미국 인그리안과 ‘데이터시큐어’ 제품의 국내 총판 계약을 맺고 1월부터 사업을 시작했다. 설치 및 관리가 간편하고 성능이 뛰어난 하드웨어 일체형 제품이라는 강점을 부각하며 시장을 공략할 예정이다. 현재 보유한 서울 및 지방(충청, 대구경북, 광주전남) 협력업체를 추가 확대할 예정이며, 제품을 알리기 위한 상반기 솔루션 세미나도 계획하고 있다. 이 제품으로 올해 최소 30억원의 매출을 거둔다는 목표를 세우고 있다.   퓨쳐인포넷 개인정보 유출 방지 정보보호 사업 진출 퓨쳐인포넷은 데이터베이스 정보보안 솔루션 공급업체인 위즈메카에 대주주로 참여하여 국내 정보보호시장에 진출키로 했다. 미국에 본사를 두고 있는 Protegrity사의 데이터베이스 암호화 및 보안 정책 관리 솔루션(Secure.Data)의 한국 총판인 위즈메카가 공급하고 있는 데이터베이스 보안 솔루션은 세계적으로 유명한 대형 포탈사이트, 금융권, 일반 기업, 통신 사업자 등 전 산업 분야에 공급되어 그 성능과 안정성이 검증된 제품이다. 퓨쳐인포넷의 이정희 대표는 “지금까지의 정보보호는 주로 외부 침입자에 대한 대비책으로써 방화벽, 서버보안, 네트웍 보안, PC 보안, IDS, IPS 등으로 이루어져 왔으나, 이제는 내부자 보안 중요성이 매우 강조되고 있다.”면서 “이러한 환경적 요구에 적합한 최고의 솔루션을 공급함으로써 국내 시장을 선점 하는 것을 물론, 원시자료의 암호화를 통하여 중요정보의 보호는 물론 정보 누출 시에도 그 피해를 최소화 하여 고객에게 최고의 만족도를 제공할 것”이라고 말했다.  

(주)피앤피시큐어

대표이사   박천오

대표번호   1670-9295          영업문의   sales@pnpsecure.com

사업자등록번호   107-86-44093

서울특별시 강서구 마곡서로 182(마곡동, 피앤피스테이션)


Copyright ⓒ 2023 pnpsecure All rights reserved. |개인정보 처리방침