천만 고객정보의 유출 사고

천만 고객정보의 유출 사고.

내부 운영자의 보안 유출은 어떻게 할 도리가 없다라는 자조섞인 보안담당자의 한탄 소리가 들르는 듯 하다.

하지만 그 보안담당자(관리자)가 정말 보안에 대해서 아는 사람이라면 분명 내심으로는 막을 수 있었는데 이래저래해서 막지 못했다는 생각을 하고 있으리라....

그렇다 막을 수는 있었다. 다만 보안이라는 것이 하나를 강화하면 다른 무엇인가를 버려야 하는 법.

보안강화는 곧 편의성의 저하를 가지고 온다.

이는 정책적이든 기술적 보안 강화든 마찬가지의 Side Effect를 가지고 온다.

금번 사태에 가장 쉬운 사전 대책은 고객정보 DB의 암호화를 생각할 수 있다. 특히 주민번호나 패스워드와 같은 중요 개인정보는 단방향 암호화를 하면 적절한 대응책이 될 수도 있을 것이다. 다만 모든 암호화는 Encryption과 Decryption 과정에 따른 성능 저하를 초래한다.

개발자들은 개발의 어려움을 어필하며 반발할 것이며 경영진에게는 좀더 높은 수준의 보안으로 인하여 정보보안과 직접적 연관이 없는 추가 투자 요소(H/W 증설이나 App Tuning과 같은)가 있음을 설득하고 추진해야 하는 또다른 과제가 존재한다.

문제는 아직까지는 이런 불편한 상황을 애써 모른채 하거나 주변 여건으로 인해 불가하다는 입장으로 시간을 보내도 이슈화되기 전까지는 큰 문제가 없을 뿐만 아니라 누군가가 지적하고 개선할 수 있도록 하는 시스템이 갖춰져 있지 않은 경우가 많다는 것이다.

그나저나 이번 기회에 DB 암호화 솔루션 업체들의 영업기회가 좀 늘어날려나 모르겠다.