아직도 개인정보보호법을 꼭 지켜야 되는지 물어보시는 경우가 있습니다.

우리는 그냥 경고나 지적하고 가겠지? 라거나 단속나오면 그때 하면 되지… 라고 매우 낙관적으로 생각을 하시는 경우를 봅니다.   분명한 것은 법이 이미 2011년9월30일부로 시행되었고 법 적용에 따른 특수성때문에 항목별로 유예기간을 둔 다음 최종적으로 2013년 3월말 부로 모든 개인정보보호법의 각 조항이 예외없이 적용되고 있습니다.  이미 2011년부터 유예기간을 적용받지 못했던 산업군에 속한 기업들은 예외없이 상당한 금액의 벌금과 함께 조치가 완료될 때까지 계속 검찰의 조치가 있었던 것을 직접 경험하였습니다.  해당기관의 기관장까지 처벌하겠다는 정부의 강력한 의지까지 발표된 것을 고려한다면 피해서 될 일은 아닌것이 분명합니다.

개인정보를 보유하고 있는 경우 단 두가지 선택만 있습니다.  가장좋은 방법은 개인정보를 삭제해 버리는 것입니다.  업무나 영업에 반드시 필요한 최소한의 기본 정보만 보유하고 나머지는 삭제 하여서 보호대상을 아예 없애버리거나 최소화 하는 것 입니다.   그러나 업무적으로 삭제할 수 없는 경우에는 반드시 암호화 및 접근제어등의 최소한의 보호조치를 해야만 할 것입니다.

솔루션개요

샤크라(Chakra MAX)는 국내 최초의 DB 접근제어 솔루션으로 데이터베이스에 접근하는 다양한 형태의 접근 경로를 감사 및 로깅하는 솔루션 으로 개인정보의 안정성 확보조치를 준수할 수 있게 하는 솔루션입니다.  이미 아시는 바와 같이 샤크라는 (주)웨어벨리에서 개발한 솔루션으로 업계에서 가장 인정받는 솔루션으로 IBM iSeries서버(OS400)부분의 접근제어를 위해 폐사와 협력하고 있습니다.

주요기능

DBMS에 원격으로 접속 하는 모든 DB Client의 작업 행위를 감시 합니다.

•  Inline 방식의 Gateway Type (FOD-Fail Over Device를 장착)
•  Proxy 방식의 Gateway Type
•  Sniffing 방식의 Passive Type
•  gateway 방식과 Sniffing 방식을 동시에 운영하는 Hybrid Type

DBMS 내부에서 접속하는 모든 DB Client의 작업 행위를 감시 합니다.

• Pipe 방식 접근을 감지하는 Local Agent 지원
• Local Loop 방식 접근을 감지하는 Local Agent 지원

DBMS 작업 통제를 위한 사용자 인증과 사전 결재를 지원 합니다.

• 사용자 접근 인증
• 결재 정책 (자동 결재, 사전 결재, 사후 결재)

사용자에게 기밀 정보 노출 방지를 위해 데이터 변조 전송(Masking)을 지원 합니다.

• Return Row의 Column Data 암호화 전송

DBMS의 서비스 무 정지 구성과 사용자의 안전한 작업을 위하여 이중화 구성을 지원 합니다.

• Active – Standby 구성 지원
• Active – Active 구성 지원
• 비상시 Bypass 구성 지원

DBMS 작업 Logging 과 Server에서 작업하는 모든 행위를 기록, 통제 합니다.

• SSH, Telnet, FTP, Rlogin, R-Command 모든 명령어 및 서버 반환 메시지 기록
• 통제 정책에 따른 비정상 행위 경보 및 통제

구성방법

주요특징

• 다년간 집적된 데이터베이스 프로토콜 분석 기술 적용
• 모든 프로토콜 분석 가능함.
• 패킷에 SQL이 포함되지 않은 Function 프로토콜도 해석 가능하며, 모든 응답 패킷 분석 가능
• 단일 게이트웨이 서버로 600개 DB의 접근제어 적용 (대기업 및 관공서 기관)
• 국내/외 최대 규모 스니핑 레퍼런스 적용
• 일본의 철저한 품질 점검 프로세스에서도 SQL 누락 없이 통과 하여 약 50여개의 구축 사이트 보유
• 관리자 프로그램을 통한 로그 검색 시, 메모리 부족으로 로그 검색 무 중단 서비스
• Trend Monitor를 통하여 과거 DB 접속 이력의 Re-Play 기능 제공
• Telnet(SSH)를 경유하여 sqlplus 작업일 경우도 결재 기능이 제공됩니다.
• 작업 중인 DB세션에서 결재 상신이 이루어져도 해당 툴이 Blocking되지 않습니다.
• 승인된 안건은 지정된 실행횟수를 초과해서 실행 할 수 없습니다.
• 안건 속성으로 “실행 가능 횟수”, “유효기간”, “긴급실행” 설정이 제공됩니다.
• 기안된 안건이 승인되어도 지정된 업무시간에는 실행되지 않게 가능합니다.
• 업무시간 작업 통제 기간을 설정하면 승인된 안건이라도 실행 통제가 가능합니다.
• 결재 단계 중에 DBA를 추가시켜 기안된 SQL문장으로 인한 장애 가능성을 검증 할 수 있는 “Tuning 의뢰” 기능이 제공됩니다.

기대효과

Chakra MAX는 강력한 DB 접근제어 솔루션으로 도입 후에는 고객의 DBMS의 정보를 보호하기 위한 보안 인프라의 핵심으로 자리 잡을 것 입니다. 그 동안 국내 및 해외의 수 많은 고객으로부터 제품의 성능 및 품질을 검증 받아 아시아 시장 점유율 1위의 명품 브랜드로 자라 잡았습니다.

• 국내 최대 13개의 외산/국산 DBMS 제품들을 모두 지원 합니다.
• 보호 대상 DB 트랜젝션에 대하여 100%의 로깅 및 감사 가능
• 개인정보보호법을 포함하여 수많은 법률 및 내부통제 규정들을 만족 합니다.
• 개인정보를 포함한 기업의 주요 정보자산을 안전하게 보호할 수 있습니다.
• 데이터 보안 체계 확립을 통한 대외 신인도 향상을 자져다 줍니다.
• 인가되지 않은 사용자의 DB 사용에 대한 완벽한 접근 통제
• 데이터 유출 사고 발생시 신속한 유출경로 파악을 통하여 즉각적인 대응방안 수립
• 다양한 보고서를 제공 (일별, 주간 별, 월별로 출력물 제공)
• -관리자 화면을 통한 쉬운 정책 적용.

구축사례

공공기관

대검찰청, 금융감독원(1~2차), 금융 연수원, 농업진흥청, 문화정보센터, 관세청, 교육인적자원부, 정부통합전산센터, 정통부 통합전산2센터, 국세청, 한국석유공사, 한국교육개발원, 대통령기록관, 서울시재난본부, 한국산업기술진흥협회, 서울지하철공사(1~5차), 공무원연금관리공단, 지역정보개발원, SH 공사, KOTRA, 인천광역시, 경주시, 송파구, 장흥군, 진도군, 노원구, 행정자치부, 한국청소년진흥센터, 공군본부, 공군군수보급소, 작전사령부, 국방품질관리소, 계룡대 체력단련장, 해양경찰청 등 외 다수

금융기관

국민은행, 외환은행, 신한은행, 삼성카드, 현대카드,  롯데카드, 마이비카드, 효성캐피탈, 대한투자증권, 대우증권, 메리츠증권, 키움닷컴증권, 푸르덴셜투자증권,

KB신용정보, 대우캐피탈, 고려상호저축은행, 삼성화재, 대한생명, 신한생명, 현대하이카, 미래에셋생명, PCA생명, SK증권, 상호저축중앙회, 교원나라상호저축은행 등 외 다수

서비스/ 제조/ 통신

POSCO, LG필립스, KT, 한화석유화학, 효성FMS, 삼성코닝정밀유리, 금호타이어, 서초케이블, 현대홈쇼핑, 삼성테스코(1~2차), 인터파크, 팍스넷, 그라비티, 세정, 중대의료원, 충주건국대 병원, 분당서울대병원, 마산삼성병원, 동국대경주병원, 충남대병원, 택시조합공제회, 대상정보기술, 대림산업, 한미약품, 현대모비스,

현대중공업, 현대미포조선, SBS골프채널, 한국무역정보통신, C&M커뮤니케이션, 스카이72, 현대백화점,

위메이드, 바른손게임즈, 한화리조트&호텔, 태영건설, 한빛소프트, 리츠칼튼호텔 외..

교육기관

건국대, 경원대, 대불대, 선문대, 대진대, 청운대, 대구대, 한국항공대, 전북대, 제주대, 경인교육대, 진주교대, 혜전대, 배화여대, 청주교대, 구미1대학, 성신여대, 경성대학교, 한국과학영재학교, 동아대학교, 영산대학교,  전라북도교육청, 대구한의대 외

해외사례

일본 : APA Hotel, Cybird, DNCC, ISID_Dentsu, IT Information Systems, K.K.Sekido, Kojima, Misawa Homes, NTT Data University, NTTData, Emobile, Yukoyuko, etc..

독일 : German Telecom, FITS(금융 DataCenter)