데이터베이스 보안과 정보 유출 대책에서 "암호화"와 "액세스 제어"어느 쪽이 더 중요 일까 항상 치열하게 경쟁 해왔다.
이 둘은 보안에 대한 접근 방식에서 서로 명확하게 달리 장단점도 각각 다르므로 사용자들을 괴롭혔다.
그래서 이번에는 기본의 기본 인 암호화와 접근 제어의 장점과 단점을 살펴 궁극적으로 정보 보호를 위해 사용해서는 솔루션은 무엇일까을 설명하고 싶다.
암호화 및 액세스 제어
암호화 분들은 액세스 제어에 비해 훨씬 높은 보안을 강조했다. 만일 정보 유출 사고가 발생했을 때에도 이미 암호화 된 데이터라면 내용 만은 노출되지 않고 안전하므로 암호화야말로 근본적인 보안 방법이라는 것이다. 그러나 전체 보안 시스템 구축에 소요되는 기간이 비교적 길고 작성 후 암호화 처리를 해 보면 시스템 성능에 영향을 미칠 수 있다는 점이 단점으로 지적되기도했다. 특히 속도와 안정성이 강하게 요구되는 금융 기관 등의 기업은 성능 영향에 대한 예측이 어렵다는 점 때문에 암호화 시스템 도입을 주저하기도했다.
액세스 제어 분들은 암호화에 비해 간편한 구축 등 주로 시스템 가용성을 강조했다. 계정에서 정보에 대한 액세스 권한을 부여하거나 차단하는 방법을 통해 정보 유출 사고를 미연에 방지하는 효과가 있다는 본래의 취지보다는 오히려 시스템과 네트워크 성능에 미치는 영향이 암호화에 비해 적다는 점을 장점 으로 홍보했다. 명분은 보안 도구인데도 보안에 대한 언급이 적다는 점은 아마 스스로도 단점을 인정하는 태도 일 것이다. 암호화 및 시스템 성능의 관계에 대한 막연한 의심 확실한 공포로 확대하기로 언제나 앞장 섰다 액세스 제어 쪽에서는 지금도 동일한 입장을 취하고있다.
암호화 및 액세스 제어는 오랜 경쟁을 통해 다져진. 상대를 반면 교사로 자신의 단점을 극복하고 자신의 강점을 더 끌어 올리려는 노력을 해왔다. 그리고 또 양측 모두 충분히 다져진 것 같다.
둘 사이의 우위를 냉정하게 판단 할 때이 됐다는 얘기 다.
먼저 암호화는 지금까지 금융 기관 등의 시스템 성능과 속도 그리고 안정성 등에 매우 민감한 현장에 진입하여 기존에 다소 부족한 것으로 평가 된 시스템 가용성의 문제를 확실하게 극복했다는 사실을 증명했다. 장비 일체형 방식의 도입 등 소프트웨어와 하드웨어를 포함한 부단한 노력을 통해 단점으로 지적되어 온 속도 문제도 완전히 해결했다. 그 결과 지금은 모두가 "암호화는 보안 수준이 높다고는하지만 속도가 느린 것이 문제"라고 않게되었다.
한편, 액세스 제어는 장점 홍보를 더 강화하는 방향을 선택했다. "액세스 제어 하드웨어 하나만 설치하면 단 몇 일에 모든 보안 문제가 깨끗이 해결된다."라는 말은 기업의 보안 시스템 구축 담당자라면 누구나 한번 쯤은 들어봤을 법한 홍보 대사이다. 조금만 집중해서 들어 보면 주객이 전도 된 말씀이라는 사실을 바로 알 수 있지만, 일단들은 바로는 상당히 좋을 것 같은데, 그리고 아주 효과적이었다. 그리고 암호화를 대체 할 수 있다고 데이터 마스킹 기능 등을 자랑하기도하지만, 정보 보안 전문가들은이 말도 안되는 쓸데없는 미신에 불과하다고 말한다.
정보를 보호하기위한 궁극적 인 해결책은
또 암호화와 접근 제어의 경쟁 1 차전은 종료 된 것 같으니, 기업이 보유한 소중한 자산 인 정보를 보호하는 궁극적 인 해결책은 무엇인지 결정할 때이다.
대부분의 보안 정책의 경우 "정보가 절대 유출되지 않습니다"를 대전 제로하려고하는 경향이있다. 유출을 근본적으로 차단하고 수많은 도구와 방법을 동원 했음에도 불구하고 잇따라 발생한 대규모 정보 유출 사고를 생각해 보면 매우 심각한 약점을 내포하고있는 단순한 위기 관리 논리에 불과하다. 정말로 안타까운 이야기지만 정보는 유출되는 것이다. 정보는 더 넓고 빠르게 확산 성질을 가지고 있기 때문에 아무리 막으려해도 사람의 힘으로 막을 것은 아니다. 정보 유출은 어쩌면 필연적이다. 그것은 정보의 고유의 성질 이니까.
결국 정보 보안은 단지 보안 수준의 높낮이에 따라 판단되어야한다. 그것도 정보는 언제든지 유출 될 가능성이 있다는 전제하에, 유출을 막기 위해 최선을 다해야하지만, 만일 정보가 유출 된 상황에서도 제대로 갖추어야한다. 그 필요 위험성은 지금까지 일어난 각종 사건 사고가 이미 증명하고있다. 암호화는 의미 있고 가치있는 정보를 변형하여 무의미 쓸모없는 비트에 대체하여 도용을 노리는 목적 자체를 근본적으로 파괴하는 사고 방지의 억지력이다. 동시에 정보가 이미 유출 된 상황에서도 정보의 내용이 노출되는 최악의 사태가 발생하지 않도록하는 최종 병기 그리고 궁극의 무기이다.
비유하면 황금을 무가치 한 돌을 바꿀 것이다. 돈을 노리는 사람은 많지만, 돌을 노리는 사람은 없다. 단지 원래의 상태로 변환을위한 열쇠, 즉 어두운 복호화를위한 암호화 키를 알고있는 자만이 돌을 다시 금으로 바꿀 수있다. 누가 암호화 키를 갖는지를 미리 지정하여 정보 접근 권한을 관리한다는 점에서 보면 키 관리를 적절히 운용한다면, 이것은 액세스 제어 방식이 제공하는 보안을 이미 포함하고있는에 틀림 없다. 따라서, 암호화 및 액세스 제어 경쟁 1 차전이 우열을 가릴 수없는 승부 였다면, 2 차전은 암호화의 압도적 승리라고 예상하고있다. 모든 상황이 그렇다.
