Page 1

Microsoft SQL Server Customer Solution Case Study

SQL Server 에 내장된 암호화 기술(TDE)로 전사 개인정보보호법 대응 기준 마련

Overview

“TDE 를 이용하면 책임과 관리 소재가 명확해 진다. 가령 장애가 나도 써드파티 솔루션을 쓸 경우

Country or Region: 대한민국 Industry: 제조

데이터베이스, 써드파티 솔루션 등 불러야 할 업체가 많지만 TDE 를 쓰면 한 곳에만 연락하면

Customer Profile LG 디스플레이는 모니터, 노트북, TV 등 중대형 디스플레이 분야와 모바일 등 각종 소형 제품에 사용되는 디스플레이 및 OLED, 플렉서블 등 차세대 디스플레이 분야를 선도하는 글로벌 기업이다. Business Situation 2011 년 9 월 개인정보보호법이 본격 시행되었다. 새로운 규제 준수를 위해 개인정보를 보관하고 있는 시스템들을 대상으로 데이터베이스 암호화를 추진해야 했다. Solution SQL Server 2000 기반으로 운영되던 개인정보보호 대상 시스템을 모두 SQL Server 2012 Enterprise Edition 으로 업그레이드 하였다. 그리고 기본 제공되는 TDE 기능으로 데이터베이스를 암호화 하여 개인정보보호법 시행 이전에 성공리에 규정 준수 준비를 하였다. Benefits  암호화 관련 전사 참조 모델 확보  관리 및 책임 소재 명확  비용 절감 효과도 커  새로운 심사평가기준 정립

된다. 또한 TDE 를 쓸 경우 암호화 관련 업무를 데이터베이스 관리자가 보면 되어 별도의 인력 증원 없이도 개인정보보법 대응이 가능하다” LG 디스플레이 EA 팀 강성윤 차장

LG 디스플레이가 개인정보호법 준수를 위해 전사 차원에서 데이터 플랫폼 환경을 정비했다. LG 디스플레이는 2011 년 보안 컨설팅을 통해 자사의 업무 시스템들에 담긴 개인정보 현황을 파악했다. 그리고 이들 시스템 중 불필요 하게 개인정보를 저장한 경우는 해당 데이터를 지우는 조치를 취하고 암호화가 꼭 필요한 시스템은 따로 선별해 2012 년 암호화 프로젝트를 추진했다. 프로젝트를 추진함에 있어 LG 디스플레이가 선택한 방법은 별도의 써드파티 솔루션을 들이지 않고 데이터베이스에서 기본 제공하는 암호화 기능(TDE)을 활용하는 것이었다. 이런 기준이 마련된 이유는 수십 개에 달하는 개인정보보호 대상 시스템에 일일이 써드파티 솔루션을 설치할 경우 운영 상 복잡도가 높아져 관리 업무 부담이 가중될 것이란 판단 때문이었다. LG 디스플레이는 TDE 기능을 통한 암호화를 기본 정책으로 잡고 접근 제어의 경우 기존에 활용하던 솔루션을 이용하였다. 그 결과 전사 데이터 플랫폼 환경에 가해지는 변화를 최소화 하되 암호화 수준을 높일 수 있었다. 그리고 개인정보보호법 본격 시행에 앞서 성공적으로 규제 준수를 위한 사전 준비를 마칠 수 있었다.


Situation LG 디스플레이가 전사 차원의 개인정보보호법 준수를 위한 기반 조성을 마쳤다. LG 디스플레이가 개인정보보법 대응에 본격적으로 나선 것은 2011 년 보안 컨설팅을 받으면서부터였다. 당시 집중적으로 살펴진 내용은 개인정보보호법 적용 대상 시스템을 어느 선까지 봐야 할지에 대한 기준을 세워 암호화 대상과 범위를 정하는 일이었다. 컨설팅 결과 도출된 결과는 LG 디스플레이 조차 놀랄 정도였다고 한다. 생각 보다 개인정보를 보관하고 있는 시스템 수가 많았던 것이다. 수십 개에 달하는 시스템을 먼저 추려낸 후 LG 디스플레이는 실질적인 암호화 대상 선별에 나섰다. 개인정보를 수집하지 않아도 되는데 불필요하게 보관하고 있는 경우가 많다는 것을 놓치지 않은 것이다. 보안, 애플리케이션, 개발 등 여러 이해관계자들의 참여 속에서 LG 디스플레이는 개인정보가 꼭 필요한 경우가 아니라면 데이터를 삭제하고, 업무 상 어쩔 수 없이 개인정보를 처리해야 하는 시스템을 골라 전사 차원에서 추진할 암호화 프로젝트 대상 목록에 이름을 올렸다. 다음으로 LG 디스플레이가 착수한 작업은 어떤 기술이 가장 적합한 가를 정하는 것이었다. 이는 사실 쉬운 일이 아니었다. 개인정보보호법이란 새로운 규제 등장으로 시장에 관련 솔루션들이 넘쳐나고 있었기 때문이다. LG 디스플레이는 두 가지 방안을 놓고 장고에 들어갔다. 첫 번째는 데이터베이스에 기본 탑재된 암호화 기능을 활용하는 것이었고, 두 번째는 국내 보안 업체들의 암호화 솔루션을 도입하는 것이었다. 성능적 이점, 유지보수의 편의 등 여러 관점에서 치밀한 검토가 이루어진 끝에 선택된 방안은 데이터베이스 암호화 기능(TDE; Transparent Data Encryption)의 활용이었다. 이와 관련해 LG 디스플레이 EA 팀 강성윤 차장은 “성능 평가는 사실 객관적 기준을 잡기가 쉽지 않아 큰 의미를 부여하기

어려웠다”라며 “호환성의 경우 써드파티 솔루션을 쓸 경우 한 업체의 제품을 도입하지 않을 경우 보장이 어렵다고 봤다. 특정 업체 솔루션만 들여오는 것도 방법이었지만 결정적으로 관리 포인트가 하나 더 늘어난다는 부담이 걸림돌이었다. 관리해야 할 것이 하나 더 늘면 장애 발생 시 책임 소재를 밝히는 것도 그만큼 더 어려워 지기 때문이다. 여러 조건을 고려했을 때 데이터베이스에 기본 내장된 TDE 기능을 이용하는 것이 가장 합리적이었다”고 말했다.

Solution LG 디스플레이는 2012 년 마이크로소프트 SQL 서버를 대상으로 본격적인 데이터베이스 암호화 프로젝트에 나섰다. 이번 프로젝트를 추진함에 있어 LG 디스플레이는 개인정보보호를 위한 세 가지 기술적 보호 조치 활동 중 암호화와 감사는 데이터베이스의 기본 기능을 활용하고 접근 통제는 기존에 사용하던 솔루션을 이용하는 것으로 정하였다. 데이터베이스에서 제공하는 인스턴스, 테이블의 컬럼에 대한 접근 제어 기능을 활용할 수도 있었지만 기존 전사 데이터 플랫폼 관리 환경에 변화를 최소화 하고자 기존에 사용해오던 접근 제어 툴을 쓰기로 결정한 것이다. 2012 년 추진된 암호화 프로젝트는 수십 개 시스템의 데이터베이스를 대상으로 진행되었다. 이중 Microsoft SQL Server 기반으로 운영되던 시스템은 사전 단계로 데이터베이스 업그레이드가 시행되었다. 대다수 시스템들이 SQL Server 2000 버전을 운영하고 있어 TDE 기능을 활용하려면 업그레이드가 필요했다. LG 디스플레이는 기존 2000 버전을 모두 SQL Server 2012 Enterprise Edition 으로 업그레이드를 하는 가운데 암호화 작업을 하나 둘 해 나아갔다. 이번 프로젝트에서 LG 디스플레이가 가장 신경을 많이 쓴 부분은 관련 부서 간 공조였다. 이와 관련해 강성윤 차장은 “이번 프로젝트는 보안, 운영, 개발 등 여러 부서가 수시로 공조해


진행하는 것으로 사전 합의하였다”라며 “긴밀한 협력 하에 데이터베이스 업그레이드와 튜닝이 이루어졌고, 필요에 따라 코드 수준에서 어플리케이션 개선 작업까지 병행되었다”라고 말했다. 이 과정에서 한국마이크로소프트 역시 한 몫 단단히 했다. LG 디스플레이는 한국마이크로소프트의 엔지니어들과 함께 데이터베이스 암호화에 따른 성능 손실을 최소화 하기 위해 튜닝에 만전을 기했고, 그 결과 암호화 이전과 이후 성능 차이에 따른 현업 사용자들의 불편을 최소화 할 수 있었다. 2013 년 초 현재 LG 디스플레이는 주요 업무 시스템 암호화 작업을 마치고 후속 작업으로 개인정보보호법 관련 현황 관리 시스템 개발, 디렉토리 서비스 이중화까지 마무리 하였다. 그리고 차기 과제로 중앙집중적인 암호화 키 관리 체제 정비를 계획하고 있다. 암호화 부문에서 기술 적용 표준을 TDE 로 통일한 것과 같이 운영과 관리 체제 역시 단위 시스템 차원이 아니라 전사 차원에서 중앙집중적으로 수행하기 위해 다양한 프로젝트를 기획한 것이다.

Benefits

이유로 이 시스템은 2012 년 암호화를 진행한 후 2013 년 물리적 차원의 장비 업그레이드가 계획되었다. LG 디스플레이는 2012 년 하반기 특허관리시스템의 데이터베이스를 SQL Server 2012 Enterprise Edition 으로 업그레이드 하였다. 동시에 평소 사용자들이 시스템이 너무 느리다고 말해왔던 것을 참조해 몇몇 부분을 간단히 손봤다. 그 결과는 기대 이상이었고, 향후 개인정보보호가 필요한 시스템의 경우 특허관리시스템을 참조 모델로 삼자는 쪽으로 내부 의견이 모아졌다. 강성윤 차장은 “특허관리시스템은 데이터베이스 업그레이드에 따른 수정 정도만 어플리케이션 차원에서 수행하고 데이터베이스 튜닝을 한 정도였는데 암호화 이후 성능이 개선된 사례”라며 “대대적인 소스 코드 수정을 하지 않았음에도 성능이 대폭 향상되는 효과를 거두면서 2013 년 예정이던 하드웨어 교체를 할 이유가 없어졌다. 현재 출입통제 시스템 등 암호화 추진 예정인 것들이 있는데 이 사례를 참조해 프로젝트를 진행하는 것을 고려 중이다”라고 말했다. 관리 및 책임 소재 명확

암호화 관련 전사 참조 모델 확보 LG 디스플레이는 수십 대에 달하는 시스템을 대상으로 암호화를 수행하면서 향후 신규 수요가 발생할 때 참조할 수 있는 모델(Best Practice)을 확보하는 성과를 거두었다. 그 모델은 바로 특허 출원자와 외부 사용자 개인정보를 담고 있어 암호화 대상으로 선정된 ‘특허관리시스템’이다. 이 시스템은 IT 부서가 아니라 현업 부서에서 관리되어 왔다. 새로운 요구 조건이 생길 때마다 신규 개발이 이루어지다 보니 자연스럽게 성능 이슈가 꾸준히 제기되어 왔다. 한 개발자가 꾸준히 개발한 것이 아니라 프로젝트 때마다 다른 개발자가 투입되다 보니 코드 수준에서 성능 병목을 야기하게 된 것이다. 이런

SQL Server 2012 Enterprise Edition 의 TDE 기능을 전사 개인정보보호법 대응을 위한 표준 암호화 기술로 정하면서 LG 디스플레이는 ‘표준화’가 갖는 다양한 이점을 누릴 전망이다. 이중 가장 큰 기대를 모으는 이점은 바로 관리 및 책임 소재가 명확해 지는 것이다. LG 디스플레이가 개인정보보호법 대응 전략을 세우면서 명확히 한 것은 “써드파티 솔루션은 두지 않는다” 였다. 새로운 규제가 생길 때마다 관련 솔루션을 들이는 것은 단위 업무 차원에서 보자면 신속한 대응이 가능하다는 점에서 유리하다. 하지만 시야를 전사 차원으로 넓히면 관리 포인트가 늘어난다는 단점이 보이게 된다. LG 디스플레이는 개인정보보호법이란


For More Information 마이크로소프트 제품과 서비스에 대한 추가 정보를 원하시면 홈페이지를 방문해 주십시오. http://www.microsoft.com/korea/ LG 디스플레이에 대해 더 자세한 정보를 원하시면 홈페이지를 방문해 주십시오. http://www.lgdisplay.com

규제에 효과적으로 대응하는 방법은 전사 차원에서 지속적으로 관리, 통제 메커니즘이 작동하도록 하되 기존 데이터 플랫폼을 더 복잡하게 만들고 동시에 관리 부하를 늘리면 안 된다고 판단했다. 강성윤 차장은 “TDE 를 이용하면 책임과 관리 소재가 명확해 진다”라며 “가령 장애가 나도 써드파티 솔루션을 쓸 경우 데이터베이스, 써드파티 솔루션 등 불러야 할 업체가 많지만 TDE 를 쓰면 한 곳에만 연락하며 된다고 말했다. 그는 또한 “전사 차원에서 보면 기존에 없던 새로운 솔루션을 들여온다는 것은 결국 인적 자원을 추가 배치해야 한다는 소리나 마찬가지다”라며 “TDE 를 쓸 경우 암호화 관련 업무를 데이터베이스 관리자가 보면 되어 별도의 인력 증원 없이도 개인정보보법 대응이 가능하다”고 말했다.

한편 LG 디스플레이는 이번 개인정보보호법 프로젝트 추진을 계기로 새로운 데이터베이스 심사평가기준을 정립했다. 전사 차원에서 모든 데이터베이스 현황을 파악하면서 보안 외적인 관점에서 개선 포인트를 찾아낸 것이다. LG 디스플레이는 향후 현업 부서에서 기존 데이터베이스 고도화 또는 신규 시스템 개발 계획을 잡을 때 새로운 심사평가기준 항목을 적용할 계획이다. 강성윤 차장은 “이번에 개인정보보호법 준수 프로젝트를 전사 차원에서 시행하면서 중소 규모 데이터베이스에 대한 관리 기준도 새로 잡게 되었다”라며 “기존에 오라클로 운영되었지만 데이터베이스 크기가 작을 경우 상대적으로 유지보수 비용 이점이 큰 SQL Server 로 업그레이드를 권고할 계획이다”라고 말했다.

비용 절감 효과도 커 TDE 가 전사 데이터베이스 암호화 표준이 되면서 자연히 비용 절감 효과도 따라오고 있다. LG 디스플레이의 경우 기존에 쓰던 SQL Server 의 버전 업그레이드 시기와 맞아 떨어지다 보니 비용 절감 효과는 더욱 더 현실적으로 다가왔다. 써드파티 솔루션 도입 비용을 들이지 않고도 버전 업그레이드와 암호화를 모두 처리했기 때문이다. 이런 비용 효과는 암호화 관련 신규 수요가 생길수록 더해져 갈 전망이다. 따로 비용을 들일 부분이 없기 때문이다. 참고로 SQL Server 2012 Enterprise Edition 의 경우 TDE 외에도, 암호 키 및 인증서 관리 등 암호화 기술과 함께 인스턴스 및 데이터베이스 감사(Audit) 기능 등 개인정보보호법 준수에 필요한 기능이 기본으로 제공한다.

Microsoft Server Product Portfolio 마이크로소프트의 서버 제품군에 대한 보다 자세한 정보는 한국마이크로소프트 홈페이지를 통해 확인하실 수 있습니다. http://www.microsoft.com/korea/servers/h ome.mspx

데이터베이스 도입에 대한 심사평가기준 정립

Software and Services 

This case study is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY. Document published April 2013

Microsoft Server Product Portfolio

− Microsoft SQL Server 2012 Enterprise Edition

테스트  
Read more
Read more
Similar to
Popular now
Just for you