2023-02-01 01:20 (수)
[특별기고] 불확실성 시대, 효율적 데이터베이스 보안 전략
상태바
[특별기고] 불확실성 시대, 효율적 데이터베이스 보안 전략
  • 길민권 기자
  • 승인 2023.01.10 14:59
이 기사를 공유합니다

클라우드에서 데이터베이스 관리 위해 보안 고려 사항 증가
EDB 댄 가르시아(Dan Garcia) CISO
EDB 댄 가르시아(Dan Garcia) CISO

기업의 데이터 가치가 높아짐에 따라 강력한 보안 환경을 구축해야 한다는 요구 사항도 증가하고 있다. 특히 보안 위협 행위자들의 정교한 공격에 의해 Uber , Rockstar Games 및 Nvidia 등의 주요 글로벌 기업들이 침해 사고를 겪어 위기에 직면하는 상황을 자주 목격하고 있다. 물론 통제할 수 없는 위협은 항상 존재하지만 보다 적극적으로 사전 대응하기 위한 전략 수립과 실행이 중요한 시점이다. 

올해 IT 관리자와 비즈니스 리더들이 주목해야 할 보안 시장 전망은 다음과 같다.

◇클라우드에서 데이터베이스 관리 위해 보안 고려 사항 증가

조직들은 클라우드-우선 기술을 채택하여 도메인 내에서 더 빠르게 이동하면서 비용 및 시간 효율성을 개선하고 있다. 이러한 클라우드 활용 증가를 반영하듯 시장조사 기관인 가트너(Gartner)는 올해 말까지 전 세계 데이터베이스의 75%가 클라우드에 있을 것으로 예측한 바 있다. 대부분의 기업이 적어도 하이브리드 클라우드 환경으로 이동할 것으로 생각된다. 하이브리드 및 멀티 클라우드 등으로 이용자의 접근성이 좋아지면 보안 위협에 그만큼 더 노출될 수 있는 환경이 될 수 있다는 점도 간과해서는 안된다.

이러한 취약성의 위험을 최소화하기 위해 기업은 직원 교육 및 훈련을 강화해야 한다. 만약 사내 인력으로 클라우드에서 안전하게 확장할 수 없는 조직은 개인 정보 보호, 보안 및 클라우드 배포에 대한 입증된 경험을 보유한 신뢰할 수 있는 파트너를 찾아야 한다. 특히 클라우드에서 DBMS 운영을 위해 비용 효율적이며, 관리용이성을 제공하는 포스트그레스(Postgres)와 같은 오픈 소스 데이터베이스의 도입은 계속 증가할 것으로 예상되는 상황에서, 오픈소스 데이터베이스에 대한 정기적인 보안 업데이트, 버그 수정 등을 통해 보안 위협을 완화하기 위해 코드를 공개적으로 공유하는 대규모 개발자 커뮤니티를 참고하게 될 것으로 예상된다.

◇경제적 불확실성이 보안 취약성으로 이어져

인플레이션과 경제적 불확실성은 직원 해고와 예산 삭감으로 이어지고 있다. 그에 따른 전문 지식을 보유한 인력 리소스의 감소로 인해 보안 위협을 조기에 탐지하지 못할 수 있으며, 시스템이 고장나거나 마이그레이션의 필요성이 발생하기 전에 부족한 부분을 식별하는 작업이 어려울 수 있다. 이처럼 보안 전문 지식을 갖춘 인력을 보유하지 못하면, 특화된 기술을 적용해야 할 때 더 큰 영향을 미칠 수 있다. 특화된 기술 적용의 영향을 최소화하려면, 상대적으로 많은 조직들이 도입하여 다양한 활용사례를 공유하고 있는 포스트그레스(Postgres)와 같은 플랫폼이 적합하다.

경제적 불확실성으로 인해 투자가 최소화되는 상황에서는 새로운 DBMS 운영 지원 서비스 모델 도입을 고려할 수 있다. 보다 유연한 서비스 모델을 채택할 수 있으며, 기존에 3-4명의 DBA(데이터베이스 관리자)를 고용했던 조직은 인력 부족의 어려움과 운영상의 혼돈을 최소화 하기 위해 관리형 서비스 모델로 이동할 수 있다.

◇클라우드 데이터의 보호를 위해 TDE(투명한 데이터 암호화) 기술 주목받아

클라우드 전환을 가속화한 대기업, 특히 금융 서비스 기업 사이에서 데이터 보안에 대한 우려가 높아짐에 따라 TDE(투명한 데이터 암호화)가 주목을 받고 있다. 

TDE(투명한 데이터 암호화)는 데이터베이스 수준에서 데이터를 암호화해 DBA에게 모든 권한을 부여함으로써 데이터 보안을 크게 강화한다. 필요한 암호 해독 키가 없는 위협 행위자의 실수로 인한 우발적인 노출 및 무단 액세스로부터 기밀 데이터 및 기타 클라우드 데이터 자산을 보호할 수 있다. 이를 통해 조직은 보안 침해의 원인이 될 수 있는 여러 위협을 완화하는 보안 아키텍처를 구축할 수 있다.

◇CISO, 보안 강화는 물론 컴플라이언스 정책 운영 모두 수행해야

CISO는 정보 유출을 막기 위한 보안 강화와 컴플라이언스(규정 준수) 정책 운영을 모두 담당해야 한다. 기업이 속한 산업군의 특성에 맞춰 CISO는 비즈니스에 영량을 미칠 수 있는 보안 위협을 빠르게 확인하여 보호하고, 강력한 컴플라이언스 정책 운영을 통해 비즈니스 성장을 확장하고 새로운 규제 시장에 판매할 때 영업 팀이 마찰을 제거하도록 돕는 역할도 담당해야 한다.

또한 CISO는 정보 위험 프로그램(Information risk programs)을 통해 위협, 내부 환경 및 투자가 얼마나 효과적으로 운영되고 있는지 지속적으로 평가해야 한다. 이러한 분석이 비즈니스 파트너와 함께 수행되는 경우 투자 또는 지출 재할당을 통해 정보 위험과 규정 준수 목표를 모두 달성하는 동시에 비즈니스 성장을 실현할 수 있다. [글. EDB 댄 가르시아(Dan Garcia) CISO]

★정보보안 대표 미디어 데일리시큐!