데이터베이스 보안과 정보 누설 대책에서 "암호화"와 "접근 제어"는 누가 더 중요한지를 늘 치열하게 경쟁하고 왔다.

이 두개는 보안에 대한 접근에서 서로 분명히 달리 장점과 단점도 각각 달라서 이용자들을 괴롭혔다.
그래서 이번에는 기본의 기본인 암호화와 접근 통제의 장점과 단점을 알아보고, 궁극적으로 정보 보호를 위해서 사용해야 할 솔루션은 무엇일지를 설명했다.

암호화 그리고 접속 제어

암호화 쪽에서는 접근 통제에 비해서 훨씬 높은 보안을 강조했다. 만일 정보 누출 사고가 발생한 때도 이미 암호화된 데이터라면 내용만은 노출되지 않고 안전한 것이며 암호화는 근본적인 보안 방법이라는 것이다. 그러나 전체의 보안 시스템 구축에 걸리는 기간이 비교적 길고 구축 후의 암호화 처리를 하다 보면 시스템 성능에 영향을 미칠 가능성이 있다는 점이 단점으로 지적되곤 했다.특히 속도와 안정성이 강하게 요구되는 금융 기관 등의 기업들은 성능 영향에 대한 예측이 어렵다는 점 때문에 암호화 시스템의 도입을 주저하기도 했다.

접근 통제 쪽은 암호화보다 간편한 구축 등 주로 시스템 가용성을 강조했다. 계정에 의해서 정보에 대한 액세스 권한을 부여하거나 차단하는 방법을 통해서 정보 유출 사고를 미연에 방지하는 효과가 있다는 본래 취지보다 오히려 시스템과 네트워크 성능에 미치는 영향이 암호화보다 적다는 점을 장점으로 홍보했다. 명분은 보안 도구인데도 보안에 대한 언급이 적다는 점은 아마 스스로도 단점을 인정하는 태도이다.암호화와 시스템 성능의 관계에 대한 막연한 혐의를 확실한 공포로 확대하기에도 언제나 앞장 선 접근 통제 쪽에서는 지금도 같은 입장을 취하고 있다.

암호화와 접근 제어는 오랜 경쟁을 통해서 단련된. 상대를 반면교사로 삼아 자신의 단점을 극복하고 자신의 강점을 더 끌어올리려는 노력을 해왔다.그리고 이제 양측 모두 충분히 단련된 것 같다.
둘 사이의 우위를 냉정하게 판단할 때가 됐다는 얘기다.

우선 암호화는 그동안 금융 기관 등의 시스템 성능과 속도 그리고 안정성 등에 매우 민감한 현장에 진입함으로써 기존에 다소 부족하다고 평가된 시스템 가용성 문제를 확실히 극복했다는 사실을 증명했다. 어플라이언스 일체형 방식의 도입 등 소프트웨어와 하드웨어를 포함하여 끊임없이 노력을 통해서 단점으로 지적됐던 속도의 문제도 완전히 해결했다.그 결과 지금은 누구나 "암호화는 보안 수준은 높다고는 해도 속도가 느린 것이 문제"라고 하지 않게 됐다.

한편 접속 제어는 장점의 홍보를 강화하는 방향을 선택했다."접근 통제의 하드웨어 하나만 설치하면 며칠에 모든 보안 문제가 깨끗이 해결된다."라는 말은, 기업의 보안 시스템 구축 담당자라면 누구든지 한번은 들어 본 듯한 홍보 대사이다. 조금만 집중해서 들어 보면 주객이 전도된 말이라는 사실을 금방 알아낼지도 모르지만 일단 듣기로는 꽤 좋게 들렸고 상당히 효과적이었다.그리고 암호화를 대체할 수 있다며 데이터 마스킹 기능 등을 자랑하기도 하지만 정보 보안 전문가들은 이를 말도 안 되는 쓸데없는 미신에 불과하다고 말한다.

정보를 보호하기 위한 궁극의 솔루션과는

이제 암호화와 접근 통제의 경쟁 1차전은 끝난 것이므로 기업이 보유한 자산인 정보를 보호하는 궁극의 솔루션은 무엇인지 판정할 때이다.

대부분의 보안 정책의 경우"정보가 절대 유출되지 않는 것"을 대전제로 하려는 경향이 있다. 유출을 근본적으로 막으려는 수많은 도구와 방법을 동원했음에도 불구하고 잇달아 발생한 대규모 정보 유출 사고를 생각하고 보면 매우 심각한 약점을 내포하고 있는 단순한 위기 관리 논리에 불과하다. 참으로 섭섭한 얘기지만 정보는 유출될 것이다. 정보가 더 넓고 빠르게 퍼지고 나가는 성질을 갖고 있으니 아무리 막으려고 해도 사람의 힘으로 막을 수 있는 것은 아니다. 정보 유출은 어쩌면 필연이다.그것이 정보의 고유 성질이다.

결국 정보 보안은 그저 보안 수준의 고저에 의해서 판단되어야 한다. 그것도 정보는 언제라도 유출될 가능성이 있다는 전제 아래, 유출을 막기 위해서 최선을 다해야 하지만, 만약 정보가 유출된 상황에서도 제대로 대비해야 한다. 그 필요와 위험성은 지금까지 일어난 여러 사건 사고가 이미 증명하고 있다. 암호화는 의미 있고 가치를 가진 정보를 변형하고 무의미하며 가치 없는 비트에 치환함으로써 정보 절도를 노리는 목적 자체를 근본적으로 파괴시키는 사고 방지 억제력이다.동시에 정보가 이미 유출된 상황에서도 정보의 내용이 노출되는 최악의 상황은 발생하지 않도록 하는 최종 병기 그리고 궁극의 무기이다.

예를 들면 황금을 무가치한 돌로 바꾸는 것이다. 돈을 노리는 사람은 많지만 돌을 노리는 자는 없다. 그냥 원상태로의 변환을 위한 열쇠, 즉 암·복호화를 위한 암호키를 아는 자만이 돌을 다시 돈으로 바꿀 수 있다. 누가 암호화 키를 갖는지 미리 지정함으로써 정보 접속 권한을 관리한다는 점에서 보면 키 관리를 적절하게 운용한다면 이는 접근 통제 방식이 제공하는 보안을 이미 포함하고 있음에 틀림 없다.그러므로 암호화와 접근 제어 경쟁 1차전이 우열을 가릴 수 없는 승부라면 제2차전은 암호화의 압도적 승리라고 예상하고 있다. 모든 정황이 그렇다.