소만사 최일훈 연구소장의 DB방화벽 바로알기 칼럼을 총 8회에 걸쳐 연재할 예정이다. 짧고 쉬운 문체로 설명한 만큼, DB방화벽에 대한 이해도를 높이고 개인정보유출방지를 목적으로 DB방화벽 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. <편집자 주>
지금부터는 고급기능이야. ‘DB방화벽’ 고수를 노려보는거지! 준비되었나?
개인정보처리자의 실수?고의로 발생하는 보안사고
‘DB방화벽’ 고급기능 첫번째는 DB접속후 ‘엔드포인트(終點)’에서 개인정보오남용을 막는 기능이야. 예를 들어, 보안담당자가 주민번호 1만건을 요청하는 쿼리문을 발견했다고 가정해보자. 보안담당자는 개인정보오남용행위 한 건 잡았다는 마음으로 당당하게 쿼리를 던진 직원에게 가서 “무슨 일로 개인정보를 이렇게 많이 가져갔어요?”라고 물어보겠지. 그러면 그 분은 눈도 안 마주치고 “업무 때문에 가져갔어요. 왜?”라고 퉁명스럽게 답변하는거야. (어…이게 아닌데…밀린다…) 그러면 “네, 알겠습니다. 수고하세요. 나중에 업무 끝나면 지워주세요.” 하고 나올 수 밖에 없어. 나중에 내부직원이 개인정보를 PC에서 웹메일, USB, 출력물로 유출해도 알 턱이 없어. 보안사고는 대부분 개인정보취급자인 내부직원의 실수 혹은 고의로 일어나는데, 내부직원이 업무상 명목으로 개인정보를 PC에 복제해놨다가 해킹당해서 유출되거나 또는 고의로 웹하드에 올리면 손쓸 방도가 없어.
개인정보결과값 복제를 통제하는 ‘DB방화벽’
그래서 ‘DB방화벽’은 쿼리통제에만 만족하지 않고, 쿼리에 대한 결과값, 즉 개인정보 복제도 통제하고 있어. 개인정보를 눈으로만 조회하게 하고 복제, 출력 등 재가공하는 것은 막는거지. B기업의 개인정보 1천만 건 유출사고는 쿼리툴로 DB내 개인정보를 조회하고 PC에 복사?저장하는 방식으로 일어났는데, 사전에 쿼리결과값 복제를 막았다면 발생하지 않았을거야.
사고발생시 블랙박스처럼 촬영하는 ‘DB방화벽’
‘DB방화벽’은 쿼리툴에서 개인정보출력과 파일복제가 발생하면 차단하기도 하지만 블랙박스처럼 그 당시 화면을 30초 전후로 촬영하기도 해. 무조건 통제하면 업무능률이 떨어져서 직원불만이 커지니까 차단보다는 기록을 택한 거지. 자동차나 비행기의 블랙박스 같은 기능으로 증거가 고스란히 남기 때문에 유출사고 발생시 감사자료로 활용할 수 있어.
글. 소만사 최일훈 소장 acechoi@somansa.com
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>