[디지털데일리 이민형기자] 롯데카드가 지난해 발생한 개인정보유출사고의 불명예를 불식시키기 위해 원장(元帳) 실시간 암호화 환경을 구현했다. 또 복호화 키는 별도의 하드웨어보안모듈(HSM)을 통해 관리할 계획이다.

롯데카드의 원장 실시간 암호화와 키관리 솔루션은 한국HP에서 구축했으며 지난 2월 완료됐다. 원장 암호화 방식은 하드웨어(디스크 블록암호화)를 채택했으며, 키관리를 위해서 HP의 아탈라(Atalla) 솔루션이 도입됐다. 아탈라는 HP의 키관리 솔루션의 브랜드 이름이다.

14일 김정수 한국HP 부장은 “롯데카드는 카드 승인서버 내에 담긴 고객정보, 거래로그 등을 어떻게 보호할지를 고민하던 중 하드웨어 암호화 방식을 택하기로 결정했다. 성능저하 문제를 최소화할 수 있기 때문”이라고 설명했다.

이어 “기존 시스템에 영향을 끼치면 빈대 잡으려다 초가삼간을 태워먹는 상황이 발생할 수 있기 때문에 이러한 제약사항을 만족시키기 위해 응용프로그램 수정이 필요없고, 기존 시스템에 영향이 미미한 하드웨어 암호화 방식을 채택한 것”이라고 덧붙였다.

금융회사들은 DB접근통제 솔루션은 일찍부터 도입해 사용하고 있었으나 DB암호화에 대해선 매우 신중한 태도를 고수해왔다. 특히 실시간 거래내역이 저장되는 원장DB에 대해서는 성능에 대한 이슈로 DB암호화가 불가능에 가깝다고 주장해왔다.

실제 플러그인 방식이나 애플리케이션 프로그래밍 인터페이스 (API) 방식은 기존 시스템의 자원을 사용해 암호화·복호화를 하기 때문에 성능저하 문제가 발생할 수 있다.

하드웨어 방식 역시 디스크 전체를 암호화하기 때문에 특정 컬럼, 데이터를 찾거나 사용하기 위해서는 시간이 필요하지만 카드승인 내역 등의 일반적인 로그를 저장하기에는 적합한 방법이라 볼 수 있다.

하드디스크와 같은 저장매체를 한번에 암호화하면 되기 때문에 구축비용의 저렴, 구축시간의 절약도 강점 중 하나다.

김 부장은 “하드웨어 암호화를 통해 금융당국의 전자감독규정과 모범기준 준수, 정보보호관리체계(ISMS) 인증 등 컴플라이언스 이슈를 최대한 빨리 해소할 수 있었다”고 말했다.

롯데카드는 또 키관리 솔루션을 별도로 도입했다. 혹시나 발생할 수 있는 개인정보유출 사고를 미연에 예방하기 위해서다.

보안업계에서는 암호화보다 더 중요한 것이 키관리라고 지적하고 있다. 아무리 암호화를 철저하게 하더라도 키가 유출되거나 오용되면 암호화의 의미가 퇴색되기 때문이다. 이는 마치 자물쇠와 열쇠를 한 곳에 두는 것과 동일한 것으로 비유될 수 있다. 최근 세이프넷, 보메트릭, 펜타시큐리티 등 데이터암호화 업체들이 키관리를 내세우는 이유도 여기에 있다.

이와 관련 김 부장은 “하드디스크를 암호화하더라도 도난되거나 암호화 키를 분실할 수 있는 위험성이 잔존하기 때문”이라며 “롯데카드는 HP 아탈라를 통해 저장매체의 유출이나 도난시 발생할 수 있는 중요정보의 외부유출 위험성을 사전에 차단할 수 있었다”고 강조했다.

한편 아탈라는 개방형 키 관리 상호 운용 가능성 프로토콜(KMIP) 표준 컴플라이언스로 암호화 키를 관리하고 보호하는 솔루션이다. 클라우드 환경도 지원하며, PCI-DSS, 미국국립표준기술연구소(NIST) 등에서 지정한 표준을 준수한다.

한국HP를 비롯해 세이프넷, 보메트릭, 펜타시큐리티 등이 국내 키관리 시장에서 경쟁하고 있다.

<이민형 기자>kiku@ddaily.co.kr