정보는 암호화 되어 있기 때문에 유출되지 않는다. DB 접근제어는 DB암호화에 비해 구축하기도 쉽고 기존 DB서버 운영에도 별다른 변화가 없기 때문에 개인정보보호가 대두되기 전부터 이미 많은 데이터센터에서 도입해서 운영 중이다.
반면에 DB암호화는 구축과 운영의 난이도 때문에 아직까지 널리 확산되지는 않았지만 이번 개인정보보호법에서 ‘암호화’라는 요건이 명시되면서 보안 관리자들의 골칫거리로 떠올랐다.어떤 방식의 DB보안을 선택할 것인가DB보안, 즉 DB암호화를 하는 방법에는 여러가지가 있어서 DB암호화를 처음으로 도입하려는 전산 관리자로서는 어떤 방식을 선택해야 하는지 혼란스러울 수도 있다. DB보안 방식들의 개념, 장단점을 살펴보자면,1. TDE(Transparent Database Encryption)암호화를 풀 수 있는 암호화 키를 DB서버에 파일 형태로 두는 것이다. 이 기능은 오라클이나 MS-SQL등의 DB 업체를 통해서 구매할 수 있다.
이 방식의 장점은 속도가 가장 빠르다. DB를 사용하는 애플리케이션을 수정할 필요 없다. 단점은 DB서버 CPU에 부하가 발생하고, DB서버 파일 시스템이 해킹당하면 암호화 키도 유출할 수 있다는 점이다. 체계적인 암호화 키 관리도 어렵다. 2. TDE + HSM(Hardware Security Module) 암호화 키 자체를 암호화해 DB서버의 파일에 두고, 키를 암호화하는데 사용한 또 다른 키는 DB서버 외부의 HSM(Hadware Security Module)에 보관한다. HSM이란 키를 안전하게 보관하기 위한 전용 하드웨어 장비로, 세이프넷, 탈레스 등의 전문 업체가 있다. 암·복호화 작업이 실행 중인 동안에는 키가 DB서버의 메모리에 존재한다.이 장점은 TDE 방식과 동일하다. 단점은 DB서버 CPU에 부하가 발생하고, DB서버 메모리가 해킹당하면 암호화 키도 유출이 가능하다는 점이다. 암·복호화 작업으로 인한 DB서버의 CPU 사용률도 증가하며, 체계적인 키 관리도 어렵다. 3. 소프트웨어 기반 DB암호화
암호화 키는 DB서버에 존재하지 않고 별도의 키 저장서버에 있다가, 암·복호화 작업이 일어나는 동안에만 DB서버의 메모리에 로딩된다. 소스 수정 없이 투명한 암호화를 적용할 수 있는 플러그인 방식과, 애플리케이션 단에서 명시적으로 암·복호화를 실행해야 하는 API 방식 두가지가 사용된다. 소프트웨어 기반 DB암호화를 사용하려면 전문 DB암호화 솔루션을 도입해야 한다.이 방식은 체계적인 키 관리가 가능하고, 키가 DB서버에 상주하지 않으므로 TDE방식보다 높은 보안성을 제공하는 것이 장점이다. 단점은 DB서버 CPU에 부하가 발생하고, TDE 방식에 비해 속도가 다소 느리다는 점이다. 또 암·복호화 작업이 실행중인 동안 DB서버 메모리가 해킹당하면 키 유출도 가능하다. 4. 하드웨어 기반 DB암호화
암호화 키는 암호화 전용 하드웨어에 저장돼 있고, 암·복호화 작업이 필요하면 키가 DB서버로 가는 대신에 데이터가 암호화 전용 하드웨어에 가게 된다. 소프트웨어 기반 DB암호화와 마찬가지로 플러그인 방식과 API 방식을 지원한다. 국내에는 세이프넷의 ‘데이터시큐어(DataSecure)’가 이 방식의 DB암호화를 지원하고 있다.이 방식의 장점은 키 유출 가능성을 근본적으로 차단하며, DB서버 CPU에 부하를 주지 않고 체계적인 키 관리도 가능한 데 있다. 하지만 TDE와 소프트웨어 방식에 비해 속도가 다소 느리다.
데이터베이스 암호화, 안전성이 관건이같은 다양한 암호화 기법 중 암호화 키를 암호화 데이터와 분리해 전용 장비에 보관함은 물론, 실제 암·복호화 작업시에도 키가 전용 장비로부터 데이터베이스 서버로 이동하지 않게 해 DB 서버가 아닌 전용장비에서 대신 처리하게 하는 것이 가장 안전하다고 볼 수 있다. 고객관리시스템을 구동하기 위해 가장 기초적이면서 중요한 것은 고객의 데이터를 수집하는 일이다. 하지만 앞서 설명한 사례 이외에도 셀 수 없을 만큼 많은 개인정보 유출로 인해, 기업과 공공기관 등에서는 고객(소비자)들의 신뢰를 잃었다. 이제 많은 사람들이 웹사이트 가입이나, 오프라인에서 행해지는 고객관리, 개인정보수집에 부정적인 반응을 보인다. 최근에 인터넷의 급격한 발전과 같이 기업의 정보와 인프라 의존도가 높아지고 있으므로, 정보의 유출과 탈취, 변조 같은 침해사고가 확산되고 있다. 우리나라 인터넷의 사용은 최고수준이지만, 정보보안은 그에 미치지 못하는 실정이다. 때문에 많은 기업들이 정보보안 사고로 인한 금전적인 손실과 이미지 훼손 등의 직간접적인 피해를 겪고 있다. 이제는 고객 개인의 노력 뿐 아니라 기업과 국가 차원의 체계적인 정보보안이 필요하다고 생각된다.
<과제를 마치며 조원이 느낀점>
어디선가 이런글을 본적이 있습니다. 1:6의 법칙이라고 .... 새로운 한고객을 끌어들이는데는 120 불이 들고 기존의 고객을 행복하게 해주는데 겨우 20 불 밖에 들지 않는다. 이에 의해 CRM의 중요성이 상당히 부각 되었는데 , 그의 효과가 얼마나 대단한지 앞에서 살펴본 사례가 잘보여주고있습니다. 한번 구매한 고객을 계속 끌어들이기위한 여러가지 혜택들과 고객을 등급별로 구분하여 차등적인 서비스를 제공한다는 점은 고정고객을 늘이기 위한 아주 대표적인 방법이며 가장효과적인 방법일 것입니다. 그리고 CRM이라해서 무조건 모든고객을 다 챙기지말고 계속 구매가능하며 이윤창출에 도움이 될 고객에들을 집중관리를 하는, 즉 Demarketing을 섞어가며 해야할것같다고 생각이 듭니다. 한번 구매했다고하여 다시 살것같지않은고객을 모두안고 가려고한다면 엄청난 코스트 발생으로 인해 손실이 커질수도 있기때문입니다. 이런것만 잘 다듬에서 CRM을 실시한다면 가장 적은 input 으로 가장 큰 output 을낼수있는 방법중 하나가 바로 이 CRM이 아닐까란 생각을 해봅니다. 또한 실패사례를 조사해보면서 여러 가지 환경과 복합적인 요소가 고객관리에 영향을 미치고 성공하기 위해서는 환경과 여러 가지 조건이 잘 부합해야 함을 알았습니다.
고객관리가 결코 쉬운 문제가 아닌것 같습니다. 이번 학기 경영정보학원론 알찬 강의해주신 교수님 감사합니다.