본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

[보안동향] SAP DB 암호화?
이것만 기억하세요! 1편

2022.01.12

금융권 차세대 프로젝트를 진행할 때 빠지지 않는 것이 있습니다. 바로 ‘DB 암호화’인데요. 그렇다면 DB 암호화는 왜 해야 하는 걸까요?

기업 내 고객정보와 같은 중요 정보는 주로 데이터베이스(DB) 내에 저장하게 되는데요. 이런 중요 정보를 안전하게 보호하기 위해 암호화해 보관하게 됩니다. 개인정보보호법 등과 같은 법령에서 개인정보를 안전하게 저장 및 전송해야 한다고 규정하고 있죠. 이를 지키지 않으면 벌금이나 과태료를 내야 합니다.

그럼 어떤 정보를 어떻게 암호화해야 할까요? <개인정보의 암호화 조치 안내서(2021년 개정판)>를 살펴보면 반드시 암호화해야 하는 정보를 알 수 있습니다.

법령에서 규정하는 암호화 항목

개인정보보호법에서 말하는 암호화 대상 항목

출처: 개인정보의 암호화 조치 안내서 (2021년)

비밀번호 암호화 조치

출처: 개인정보의 암호화 조치 안내서 (2021년)

(본인 식별 및 인증 시) 바이오 정보 암호화 조치

출처: 개인정보의 암호화 조치 안내서 (2021년)

암호화 적용 기준 요약표

출처 : 개인정보의 암호화 조치 안내서 (2021년)

또한 금융권에 속하는 금융회사들은 신용정보에 대해서도 추가로 암호화해야 합니다. 금융회사가 의무적으로 암호화를 적용해야 하는 항목을 알아보겠습니다.

금융회사의 법령상 암호화 적용 의무 항목

출처: 금융 분야 개인정보보호 가이드라인

위와 같이 암호화 적용 기준 관련 법령을 알아보았습니다. 실제로 현재 진행 중인 모 프로젝트에서도 관련 법령에 따라 DB 암호화 정책(안)을 다음과 같이 수립했습니다.

출처: LG CNS 프로젝트 수행사례

일반 DB의 경우, 암호화를 적용하려면 개인정보의 길이가 늘어나거나 타입이 변경되고 원시 테이블의 구조 변경이 필요합니다. 그런데 이러한 변경은 응용시스템 수정이나 DB 성능 저하와 같은 문제를 발생시킬 수 있습니다. SAP DB에서는 데이터 구조 변경에 여러 가지 제약을 가지고 있어 일반 DB 암호화와는 다른 방식이 필요합니다.

SAP DB의 특성 및 고려사항

SAP DB의 특성과 고려해야 할 사항을 알아보겠습니다.

1) SAP Table은 잘 정의된 Data element를 이용해 데이터 유형을 표준화하고 가독성을 높이는 구조를 가지고 Domain의 기술적인 속성을 참조해 필드의 속성을 정의합니다. 필드를 정의할 때 반드시 Data element를 써야만 하는 것은 아니지만, 프로그램 개발의 품질과 생산성을 위해 Data element를 이용해 Field를 정의합니다. SAP DB 암호화 적용 시 일반 DB 암호화 방식을 적용하면 데이터의 속성이 변경되고 테이블 구조 변경이 발생하게 됩니다.

출처 : SAP Data Element , 정보보호학회지 제23권 1호, 2013.2

2) SAP 시스템은 유지보수 시 지속적인 기능 변경과 업데이트가 발생합니다. 따라서 SAP 표준을 준수하지 않는 Data 구조로 변경되면 향후 업데이트 시 제약사항이 되어 곤란하죠. SAP 솔루션은 표준기능에 영향을 미치지 않는 범위에서 추가 기능을 개발하는 것을 허용합니다. 하지만, 표준으로 제공하는 기능이나 프로세스가 회사의 환경에 맞지 않는 경우 일부 기능을 개발하고 추가할 수 있는데요. 이것을 CBO(Customer Bolt-On)라고 합니다. 하지만 SAP 표준 기능을 직접 변경하는 작업, 예를 들어 표준 테이블의 필드를 변경하거나 프로그램 코드를 변경하는 것은 권장하지 않습니다.

3) SAP 시스템은 ‘ERP(Enterprise Resource Planning, 전사자원관리)’로 기업의 경영 및 관리를 위한 시스템입니다. 회사 내 각 부문에 걸쳐 개별적으로 운영되던 각종 경영자원을 하나의 시스템에서 통합 관리함으로써 생산성을 극대화하죠. 기업 전체 시스템이 유기적으로 연관돼 데이터를 입력하게 되면 ERP 시스템으로 데이터가 실시간 연계되므로 DB 암호화 적용 시 장애 및 연관된 시스템에 대한 영향도를 사전에 고려해야 합니다.

일반 DB에 대한 암호화 방식은 Plug-in 방식과 API 방식을 이용해 DB 암호화를 수행하는데요. 평문을 암호화하기 위해 테이블 필드 길이 사이즈 변경 등 구조변경이 발생하게 됩니다. 그래서 앞서 말한 SAP DB의 특성을 고려해 테이블 구조변경 없이 암호화하는 토큰 암호화 방식을 사용하게 됩니다.

지금까지 법령에서 규정하는 암호화 항목과 SAP DB의 특성 및 고려사항을 알아보았습니다. 다음 글에서는 SAP 암호화 방식을 자세히 살펴보도록 하겠습니다.

[참고]

개인정보의 암호화 조치 안내서 (2021년), 개인정보보호위원회
금융분야 개인정보보호 가이드라인(2020년) , 한국인터넷진흥원
SAP DB 암호화에 대한 고찰, 정보보호학회지 제23권 1호, 2013.2
SAP 데이터 암호화의 두 가지 방식 – 지디넷코리아 (https://zdnet.co.kr/view/?no=20150227064038)

글 ㅣ LG CNS 사이버시큐리티팀 김진환 책임

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

구독하기
목록

관련 아티클