[알아봅시다] 데이터 마스킹

DB 성능저하 없이 가짜 데이터로 해킹 방어

"고객님 개인정보 확인을 위해 주민등록번호 뒷자리 말씀해주시겠습니까."

고객센터에 문의사항이 있어 전화를 걸면 불가피하게 개인정보를 제공해야 할 때가 많습니다. 주민등록번호 뒷자리는 물론이고 전화번호나 집주소, 어느 때는 거래 은행이 어느 곳인지 다양한 정보를 대고 `본인'인 것을 확인 받기도 하지요. 안전한 거래를 위해 내가 누구인지 정확하게 확인하는 것은 왠지 안심이 되는 부분입니다.

하지만 문제는 최근 이런 콜센터와 같은 곳을 해커들이 집중 공격하고 있다는 사실입니다. 기업의 가장 중요한 핵심정보는 이 회사 시스템의 가장 깊숙한 곳 데이터베이스 시스템(DBMS)에 보관돼 있기 마련입니다. 이중, 삼중의 보안장치가 돼 있는 것은 물론, 이 곳에 숨겨져 있는 데이터에 접근하기 위해서는 복잡한 `인증'과 `허가'가 필요하기도 합니다.

그러나 이 데이터가 중요하다고 해서 깊숙한 곳에서 잠만 자고 있는 것은 아니지요. 기업 시스템 전체를 돌아다니며 활발한 활동을 합니다. 인터넷 뱅킹을 하거나 보험금을 지급 받거나, 통신요금을 낼 때 등 모든 기업활동에 빼놓지 않고 활용됩니다.

중요한 데이터를 보관하고 처리하는 DBMS를 해커가 공격하는 것은 쉽지 않지만, 이 중요한 데이터가 돌아다니는 `길목'을 지키고 있다가 `납치'하고 `강탈'하는 것이 최근 해커들의 수법이라고 보면 됩니다.

얼마 전 발생했던 KT의 1200만건(공식 확인 981만건)의 정보유출 사건 역시 KT의 내부 DB를 탈취한 것이 아니라 홈페이지라는 외부에 노출된 시스템을 뚫고 들어가 KT 가입자의 각종 개인정보와 은행계좌 같은 심각한 금융정보까지 탈취해 낼 수 있었죠.

그렇다면 해커의 이런 공격을 막기 위해 하루 수십만건의 접속이 이뤄지는 홈페이지나 수천번 이상의 전화를 받으며 정보를 조회해야 하는 콜센터도 DBMS와 같은 이중, 삼중의 보안 장벽을 구축해야 할까요. 물론 그렇게만 할 수 있다면 적어도 `보안' 측면에서는 더할 나위 없이 좋을 테지만 구현 비용이 천문학적으로 소요되는 데다 업무에도 심각한 지장을 줄 수밖에 없는 상황에 처하게 됩니다. 내부 DBMS에도 상당한 부하가 걸리게 되는 것은 자명합니다.

이런 딜레마를 해결하기 위해 고안된 기술이 바로 `데이터 마스킹'입니다. 다이내믹 데이터 마스킹, 디스플레이 마스킹, 리댁션 등 여러 가지 용어로 혼용되고 있는데, 한글로 번역한다면 `실시간 난독화'라고도 바꿔 볼 수 있습니다. 영어나 한글이나 다 어려운 이 기술은 의외로 구현해놓으면 상당히 단순한 방식으로 작동합니다.

예를 들어 123456-7890123이라는 고객의 주민등록번호를 처리할 때 허가된 내부 사용자에게는 이 주민등록번호가 원 데이터 그대로 보이지만, 콜센터나 홈페이지 등 외부로 빈번하게 노출되는 곳에서는 123XXX-78XXXXX와 같이 알아볼 수 없는 문자로 표시되거나 111111-2222222와 같이 가상의 데이터로 표기됩니다. 누구에게 어느 정도 수준의 정보를 보여줄 것인가는 해당 기업의 보안정책에 따라 설정해두면 그만입니다.

KT의 예를 다시 한번 들어본다면, 만약 해커가 KT 홈페이지를 뚫고 들어가 가입자 정보에 접근했다 하더라도 이 기술이 적용돼 있었다면 이 해커는 XXXX와 같은 의미불명의 문자열이나 혹은 가짜 고객번호를 받아들게 된다는 것입니다.

이런 데이터 마스킹 기술은 일각에서 `암호화나 각종 DB보안 기술은 성능저하를 일으킬 수 있다'는 지적에서도 자유롭습니다. 특히 DBMS를 개발하는 회사에서는 자사 DB와 완벽하게 연동된 데이터 마스킹 기술을 새롭게 구현해 소개하고 있는데, 이 경우 DB 소스에 대한 어떤 변경이나 조작도 가하지 않기 때문에 사실상 성능저하가 전혀 없다고 해도 과언이 아니라는 게 이들의 설명입니다.

현은석 오라클 테크놀로지세일즈컨설팅 부문 상무는 "애플리케이션에 대한 수정을 하지 않아도 DB 내 손쉽게 적용해 구현한다"고 강조합니다.

데이터 마스킹 기술을 적용해도 이를 제대로 관리하지 않으면 언제 또다시 해커가 `허락 받은 내부직원'처럼 가장해 중요한 데이터를 빼내갈지 모를 일입니다. 모든 보안 기술엔 100% 완벽이란 없습니다.

데이터 마스킹 역시 DB 성능저하와 같은 우려를 불식시키면서도 간편하게 고객정보를 보호할 수 있다는 장점이 있지만 이 역시 도입한 기업의 꼼꼼한 관리가 필요합니다.

현 상무는 "기왕이면 의미불명의 문자열보다는 마치 진짜처럼 보이는 가짜 데이터를 제공하는 것이 해킹 방어에 더 유리하다"면서 "보안은 결국 해커의 공격으로부터 `시간을 버는 것'이라는 점을 감안하면, 가짜 데이터로 해커를 혼란스럽게 하는 것이 기업의 해킹 대응에 보다 많은 시간을 벌어줄 수 있는 것"이라고 강조합니다.

강은성기자 esther@

< Copyrights ⓒ 디지털타임스 & dt.co.kr, 무단 전재 및 재배포 금지 >