IBM, "데이터보안, 메인프레임에 맡겨라"

일반입력 :2012/07/12 11:59

김효정 기자

정보(데이터)가 핵심 자산이 돼버린 오늘날의 기업 환경에서 IT보안, 특히 데이터보안은 전사적 차원에서 관심을 받고 있다. 그러나 모든 기업이 그러한 것은 아니다. 여전히 대형 보안 사고나 운용 이슈가 끊이지 않고 있다. 한국IBM은 독자적 아키텍처로 시스템을 구성하는 메인프레임이 기업 보안 및 이에 따른 시스템 운영 문제를 해결하는 방법이라 강조한다.

SK커뮤니케이션즈나 EBS 등 대외적으로 알려진 보안 사고 이외에도 기업 내부에서는 크고 작은 보안 이슈가 끊임없이 발생하고 있다. 이에 따라 기업들은 내부적으로 보안을 강화하고 있는데, 여기서 또 ‘업무 효율성 저하’, ‘보안 비용 및 복잡성 증가’ 등의 부작용이 드러나기도 한다.

이 때문에 회사의 보안을 책임지는 최고정보보호책임자(CISO) 또는 최고정보관리책임자(CIO) 입장에서는, 보안과 업무 효율성 간에 잘 균형 잡힌 보안 체제를 구축하는 것이 매우 중요한 과제가 되고 있다. 만약 핵심 업무에 오픈 플랫폼 컴퓨팅 환경을 사용하는 기업에서는 보안 사고에 더 큰 경각심을 갖고 보안 투자를 검토 중에 있다.

IT 보안 전략의 수립은, IT 전반에 걸친 종합적인 측면에서 수립하되 실제 적용은 단계적으로 시행하는 것이 보안 강화와 효율성 측면에서 유리하다. 메인프레임을 갖고 있는 IBM의 보안 전략은 ‘사람, 데이터, 애플리케이션, 하드웨어 및 인프라’ 전체를 망라하는 보안 프레임워크를 가지고 융합적으로 문제를 대처하는 쪽으로 접근하고 있다.

■데이터보안, 컴퓨터 운영 플랫폼 특성에 따라 차이

이렇게 상호 연관된 부문을 통합 관리함으로써 ▲업무 복잡성 최소화 ▲비용 상승 최소화 ▲중복 규제를 최소화 하면서 효율적인 보안 시스템의 구축이 가능하도록 한다는 것이다. 사람, 애플리케이션, 하드웨어 및 인프라 같은 일반적인 항목 보다 컴퓨터 운영 플랫폼의 특성에 따라서 차이를 나타내는 데이터보안에 대해 보다 자세히 살펴보자.

데이터 보안은 크게 3 가지 기능 요소로 이루어져 있다. 첫째는 데이터 접근 통제 기능으로 사용자 ID 및 사용자 별 권한을 관리하는 것이다. 둘째는 데이터 암호화 및 키 관리 기능으로 ‘DB, 파일, 테이프 및 네트워크’ 데이터를 암호화하고 암호화 키를 안전하게 관리하는 것 이다. 셋째는 데이터 접근에 대한 모니터링 및 감사 기능으로 구성돼 있다.

먼저 ‘데이터 접근 통제’에서는 각 사용자를 역할 별로 세분화해서 권한 관리를 하는 것이 핵심적인 기능이다. 오픈 컴퓨팅 환경과 달리 메인프레임 환경에서는 사용자 권한 관리가 태생적으로 매우 정교하게 관리되고 있다. 오픈 환경에 있는 ‘ROOT’라고 하는 슈퍼 ID가 존재하지도 않으며, OS가 기본적으로 ‘시스템 관리자, 운영자, 업무 그룹, 개별 사용자’ 등으로 사용자를 세분화해 권한 관리를 통제하고 있다.

이렇게 함으로써 내부자에 의한 데이터 훼손이나 누출 가능성을 최소화 하고 있는 것이다. 예를 들면, 메인프레임 환경에서는 시스템 최고 관리자라 할 지라도 온라인 가동 중에 독단적으로 특정 디스크를 초기화하는 등의 행위는 구조적으로 막혀 있다.

다음으로 ‘데이터 암호화 및 키 관리’는 업무 중요도에 따라서 적합한 암호화 방식을 적용하는 것이 핵심이다. 하드웨어의 급격한 발달로 현재 시중에는 다양한 암호화 방식이 나와 있지만 암호화 대상 업무에 적합한 방식을 선택해야 한다. 암호화 방식에 따라서는 적용 후에 갑작스런 성능 저하나 장애가 발생될 수 있으므로 충분한 시간을 갖고 소규모 업무에서부터 점점 큰 업무로 이행해가는 적용 절차도 중요한 고려 사항이다.

메인프레임에서는 국제적으로 표준화된 암호화 루틴(T-DES, AES 등)을 하드웨어 칩에 탑재하여서 암호화를 수행하는 방식을 채택하고 있다. 이렇게 함으로써 보안과 성능 문제를 한꺼번에 해결하고 있다. 주요 사례로써 미국 최대 이동 통신사인 버라이즌의 데이터베이스(DB) 암호화 성공 사례다.

버라이즌이 DB 암호화의 전사적 적용에 소요된 기간은 2년이다. 시범 사업부터 점점 큰 규모의 업무에 단계적으로 적용했고, 메인프레임 하드웨어 칩 기반의 암호화 방식을 채택했다. 기존 애플리케이션의 수정이 필요하지 않은 암호화 방식을 채택한 것이 특징이고, 연관 부서 및 공급 업체와의 긴밀한 협조가 중요한 성공 요소임을 보여줬다.

마지막으로 ‘데이터 접근 모니터링 및 사후 감사 장치’에서는 실시간 모니터링과 완벽한 기록물 관리가 핵심 기능이다. 이 기능이 있다는 것 만으로도 부적절한 데이터 접근을 미리 차단해주는 효과가 있다. 예를 들면 CCTV가 달려 있다는 것 만으로도 범죄 가능성을 줄여주는 효과가 발생되는 것과 같다.

메인프레임은 오픈 환경과 달리 태생적으로 다수의 사용자가 함께 시스템 자원을 사용한다는 가정하에 만들어진 시스템이어서 기본적으로 데이터 접근 기록을 남기지 않고는 누구도 접근할 수 없으며, 보존된 기록물에 대한 접근도 강력한 통제 하에 이루어지고 있다.

관련기사

컴퓨터 플랫폼에 따른 데이터 보안의 차이를 비교한 자료를 보면, 각 IT 업체가 서로 자기방식이 우수하다고 주장하고 있어서 객관적인 판단이 용이하지 않다. 업계 일각에서는 윈도와 애플OS 보안사고를 비유해, 오픈 아키텍처 보다 독자적인 아키텍처가 보안에 유리하다고 주장하기도 한다.

이에 대해 한국IBM 관계자는 최근 미국 포레스터 연구소에 따르면, 데이터 보안 등급은 ‘메인프레임-유닉스-맥OS-리눅스-윈도’ 순위로 발표됐다며 이러한 이유로 아직 대형 금융권이나 기업에서 중요한 데이터는 메인프레임에 저장하고 있다고 강조했다.