HW 기반 DB보안...성능저하 '문제없다'

일반입력 :2011/05/10 10:01    수정: 2011/05/11 08:19

김희연 기자

금융권 업무 자체가 워낙 복잡해 보안을 적용하는 것 자체가 쉽지 않은 작업입니다. 특히 담당자들이 업무를 처리할 때 성능문제나 장애서비스 등의 부정이슈가 빈번히 발생하기 때문이죠. 때문에 솔루션을 구축하더라도 무용지물이 되는 경우가 많습니다.

모 금융권 IT담당자의 항변이다. 현대캐피탈 해킹과 농협 전산망 마비로 금융권 보안이 뜨거운 감자로 떠올랐다. 가장 큰 문제점으로 지적되고 있는 것은 보안때문에 솔루션 구축을 하고도 업무효율성 때문에 사용하지 않는다는 것이다. 하지만 금융권에서는 네트워크 간에 암호화되지 않은 중요정보가 이동되거나 필요한 보안통제 및 관리가 어렵기때문에 전문가들은 데이터베이스(DB)보안 등을 적용해 철저한 보안이 필요하다고 지적한다.

하지만 금융권들에게는 성능저하 문제를 먼저 개선하는 것이 과제로 남겨졌다. 금융권 업무의 특수성으로 업무 효율성과 보안이라는 두 마리 토끼를 모두 잡아야 하기 때문이다.

보안전문가들은 금융권에서 성능저하라는 고질적인 문제를 바로잡기 위해서 '하드웨어 기반'의 보안이 필요하다고 지적했다. 하지만 사실상 하드웨어 기반의 보안을 제공하는 것이 쉽지 않다. 하드웨어 기반의 에코 시스템에 적용하는 것 자체가 어렵기 때문이다.

현재 성능저하 문제를 해결을 통한 대세 흐름을 가장 빠르게 타고 있는 곳이 인텔이다. 인텔은 지난해 맥아피를 인수하면서 보안 사업을 본격화하고 있다. 올해 1월 인텔은 하드웨어 기반의 보안시대를 열 것이라고 공식선언한 바 있다.

이에 발맞춰 인텔은 중앙처리장치(CPU) 레벨에서 하드웨어 기반의 보안을 지원하는 금융권 및 엔터프라이즈를 겨냥한 인텔 고급 암호화 표준 신명령어(AES-NI)기술을 최초 선보였다.

인텔의 AES-NI는 하드웨어에서 직접 암호화해 중앙처리장치(CPU)를 성능저하없이도 효율적으로 이용할 수 있도록 했다. 인텔이 새로운 하드웨어 기반의 명령어를 추가해 작업을 신속하게 수행할 수 있도록 적용한 것이다. 보편적인 시그니처 기반의 보안 패러다임을 벗어나 하드웨어 기반으로 암복호화할 수 있도록 지원해준다.

인텔 측은 대부분 금융권에서 사용하는 유닉스 서버에서는 소프트웨어 방식을 사용할 수 밖에 없어 성능저하 문제를 해결하기 어려웠지만, 인텔이 CPU레벨에서 하드웨어 기반의 DB보안을 지원하면서 이런 금융권의 고민을 해소해 줄 수 있을 것 같다고 설명했다.

인텔에 따르면, 현재 CPU레벨에서 이 기술을 지원하는 것은 인텔이 유일하다. 나머지 서버관련 글로벌 업체들 중에서도 암호화 기능을 지원하더라도 별도의 장비를 구입해야 하드웨어 기반의 성능을 구현할 수 있다고 회사 측은 강조했다.

뿐만 아니라 서버기술 진화로 인텔은 클라이언트 단에서 이 기술을 적용하고 있다. 샌드브릿지에서는 개인화상용으로도 사용할 수 있다. 서버, 개인PC단까지 모두 적용 가능하다.

관련기사

윤은경 인텔코리아 전무는 인텔이 표준 명령어인 AES-NI를 인텔 Xeon5600에 탑재하면서 인텔의 인증실행기술(TXT)도 클라우드와 같은 대규모 가상화 환경에서 제공하고 있다면서 많은 기업들이 서버 성능저하 때문에 기본적인 프로그램만 이용해왔지만, 서버 속도 저하를 최소화해 데이터 암호화를 실행할 수 있는 하드웨어 방식의 암호 기법 도입이 필요하다고 말했다.

현대캐피탈 해킹사건으로 DB보안이 이슈가 됐다. 사실상 DB보안이 직접적인 문제요인은 아니었지만, 금융권에게 있어 암호화는 무척 중요한 보안요소임을 이번 사건을 통해 규명한 바 있다. 이에 대해 보안전문가들은 그동안 금융권에서 DB보안 솔루션을 도입하고도 성능저하를 문제삼아 적용해오지 못했지만, 하드웨어 기반으로 성능저하문제를 해결한다면 DB암호화를 통해 금융권 DB보안을 강화할 수 있을 것으로 예상한다고 말했다.