신시웨이의 중추적인 역할을 하고 있는 R&D본부 접근제어팀은 6월 14일부터 20일 까지 제주시 영평동에 위치한 제주 R&D 센터에서 강도 높은 “페트라 5” 개발을 진행하였다. 접근제어팀은 지난 2017년 “페트라4.1” 릴리즈와 동시에 15년 동안의 DB 접근제어 노하우를 바탕으로 DB 접근제어의 Paradigm을 바꿀 “페트라5”를 기획하였으며, DB 접근제어의 트렌드 및 고객사 요구 사항, 국/내외 컴플라이언스를 분석하는 과정만 1년 이상 공을 들였다. 현재는 설계 단계를 지나, 기능 구현과 테스트/검증 단계를 거치고 있다.

특히 이번 “페트라5”는 품질 관리팀의 철저한 검증을 통하여, 그동안에 고객들의 불만 사항이었던 안정성의 문제를 대폭 개선 하고 있으며, 올해 2020년 하반기 Alpha와 Beta 버전을 각각 출시할 계획이다. 정식 출시 전 Alpha와 Beta 버전을 출시하는 이유는 출시가 늦더라도 고객에게 신뢰를 받을 수 있는 제품을 만들겠다는 접근제어팀의 포부가 담겨 있기도 하다.

과거 많은 기업들은 법규 준수를 위한 단순 로깅 기능만을 사용하였지만, 2011년 개인정보보호법 개정 이후 DBMS 접속을 통제하는 기능까지 확대하여 사용하였다. 그 후 2013년에는 개인 정보 유출 사례가 증가하고 개인정보보호법이 강화되면서 기업과 공공기관들이 DBMS 보안에 대한 인식이 강화되었고, 다양한 환경에서의 DBMS를 통제하도록 요구 사항도 변경되었다. 현재는 단순 DBMS통제와 로깅을 넘어 국/내외 각종 컴플라이언스를 만족해야 하는 것이 업계의 요구 사항이다.

또한 행안부, 금감원 등의 감사 사항에도 부합되어야 한다. 인사 연동, 계정 연동, Two-Factor 인증 등의 각종 환경과의 연동도 필요로 한다. 즉 이제는 단순 DBMS 접근 제어가 아닌 인프라를 통합으로 관리할 수 있어야 한다.

당연히 Cloud와 On-Premise도 함께 관리할 수 있어야 하며, 편리성과 효율성을 요구하는 것이 현재의 DB 접근제어의 트렌드라 할 수 있다. 이번 “페트라 5”는 이러한 것들을 모두 고려하였다. 지난 6월에 신시웨이에서 진행한 웨비나의 설문조사의 결과만 보더라도 많은 기업들이 법적 요구사항과 컴플라이언스를 중요하게 생각 한다는 것을 알 수 있다.

신시웨이 정재훈 대표 이사는 “과거에 말하는 자산이 동산, 부동산과 같은 유형물이 금전적인 자산이었다면, 점차 데이터(Data)가 자산이 되는 비중이 높아지고 있고, 미래에는 유형, 무형의 데이터가 우리가 지켜야할 자산이 될 것이다. 이것이 현재 시장 흐름이다. 우리는 이러한 데이터를 지키기 위한 노력하여야 하며 이러한 노력과 보안 인식은 이제 시작 단계라고 볼 수 있다. 지금도 수없이 많이 데이터가 쌓이고 있으며, 다양한 방식으로 저장하고 있다. DBMS에 저장하는 데이터는 그중 일부분이며, 우리는 하나의 플랫폼에서 이러한 모든 것을 지킬 수 있도록 편리한 소프트웨어를 제공하여야 하며, 앞으로 신시웨이가 나아가야 할 방향”이라고 이야기하였다.

또한 접근제어팀 박종한 팀장은 “이제는 보안 관리자가 모든 정책을 정의하고, 생성, 관리하는 시대는 끝났다. 정책은 편리하고 심플하게 관리되어야 하며, 오남용/이상징후 탐지, 실시간 모니터링, API 연동, 우회 접근 탐지 등을 제공해야 한다, 그동안 DB 사용 신청서 또는 DB 계정 신청서에 의해 관리자가 직업 권한을 부여하고 관리하였다면 이제는 DB 사용자가 직접 권한을 요청하고, 관리자는 승인과 탐지의 역할을 수행하여야 한다”라는 것을 강조하였다.

“페트라5”는 기본에 더욱더 충실하고, 외적인 부분을 강화하였다. 페트라의 강점중 하나는 국내 최초로 Data Parsing 기반으로 DBMS를 통제 한다는 것이다. 그렇기 때문에 표면적으로 보이는 통제가 아니라 schema, view, table, column, synonym 등을 완벽하게 구분하여 통제하며 이러한 기술은 아직까지도 신시웨이의 페트라가 유일하다.“페트라 5”는 이러한 Parsing 기술을 고도화 하였다.

많은 기업들이 DB접근 제어 솔루션을 도입 하고 있지만, 현재 까지도 DBMS에 저장된 개인정보 유출 사고는 국내/외 할 것 없이 내부 인력에 의한 유출 사고가 대부분이다. 사람이 직접적으로 관리하다 보니 아무리 관리를 잘 한다 하더라도 사람에 의한 인적 사고는 언제든 발생할 여지가 있는 셈이다.

마케팅팀 박병민 대리는 “INST(National Institute of Standards and Technology)에서 권장하는 가장 기본적인 접근 통제는 Separation of Duty 즉, 직무 분리와 최소 권한(Least Privilege)이 원칙이다. 또한 통제는 예방 > 탐지 > 교정 순으로 정의되고 관리되어야 하며, 무엇보다도 책임 추적성이 확보되어야 한다. 페트라5는 이 모든 것들을 사람에 의해서 관리되는 것이 아니라 소프트웨어에 의해서 철저하게 관리 되기 때문에, 보안 담당자는 승인과 모니터링만으로도 보안을 강화 할 수 있다.”고 덧붙였다.

지난 6월 신시웨이에서 진행한 웨비나에서 현재의 고객들이 또는 잠재 고객들이 무엇을 중요하게 여기고 실제로 얼마큼 도입이 되어 있는지에 대한 설문 조사를 진행한 결과 실제로 많은 응답자들이 법령과 컴플라이언스를 가장 중요하게 생각한다고 응답하였다. 이번 “페트라5”는 각종 법령과 컴플라이언스는 물론 『오남용/이상 징후 탐지』, 『통계 데이터 관리』, 『DB 계정 관리』, 『사용자 결재 관리』, 『SQL Tool』, 『데이터 스케줄링』, 『API』, 『웹 기반 UI』 등을 고도화 및 개발하여 3분기에 Alpha 버전을 제공할 예정 이다.