오라클이 국내 공공분야 DB암호화 시장까지 손길을 뻗친다. 압도적 점유율을 자랑하는 데이터베이스관리시스템(DBMS) 사업과 영업·기술적 연계를 바탕으로 기존 시장 구도에 상당한 파장을 미칠 전망이다. 암호모듈검증제도(KCMVP) 검증필을 받은 고려대 암호모듈 탑재를 공공부문 진입에 필요한 적법성 근거로 제시하는 가운데 일각에서는 편법 적용이라는 의혹도 제기된다.
21일 업계에 따르면 한국오라클은 옵션 형태로 제공하는 자체 DB암호화 솔루션 `오라클 ASO(Advanced Security Option)`에 고려대가 개발한 암호모듈 KLIB를 탑재해 국내 공공부문 고객 대상 영업을 전개 중이다. 공공부문 DB 시장 대형 고객 중 한 곳인 국민건강보험공단에는 이미 도입을 마친 것으로 알려졌다.
전자정부법에 영향을 받는 국가·공공기관에서는 구간암호화와 DB암호화 제품 등 암호기능이 포함된 솔루션을 도입할 시 반드시 KCMVP 검증필 암호모듈 탑재가 필요하다. 이 때문에 펜타시큐리티와 이글로벌, 케이사인, 한컴시큐어 등 국내기업이나 해외 기업으로는 유일하게 자체 암호모듈로 KCMVP 검증을 받은 보메트릭을 제외하고 외산 솔루션은 시장 진입이 어려웠다.
한국오라클은 오라클ASO에 적용된 자체 암호모듈 대신 검증필을 받은 고려대 암호모듈 탑재로 규제 이슈를 해결했다. 오라클 DB엔터프라이즈 에디션에 포함된 DBMS크립토 패키지에 사용권 계약을 맺은 고려대 암호모듈을 담아 오라클ASO에서 제공하는 인터페이스로 이용하는 형태다.
오라클ASO는 DBMS 커널 단에서 암·복호화를 진행하는 TDE(Transparent Data Encryption)와 주민번호 등 개인정보를 보이지 않도록 가리는 마스킹 기능을 제공한다. DBMS 벤더가 직접 개발한 기술이기 때문에 별도 DB암호화 솔루션 대비 성능저하 문제와 도입 편의성 등에서 우위가 있다. 옵션으로 제공되는 만큼 기존 오라클 DBMS 고객 대상으로 영업 효율성도 높다.
다만, 일각에서는 오라클이 편법적인 방식으로 고려대 암호모듈을 탑재해 공공부문에 진출했다는 의혹이 제기된다. `탑재`라는 표현을 사용했을 뿐 실제 오라클ASO의 핵심 암호화 기능은 검증필을 받지 않은 자체 암호모듈이 여전히 사용된다는 것이다.
KCMVP는 `암호알고리즘검증기준 V2.0`에 따라 AES와 ARIA, SEED, LEA 등 국내외 다양한 표준 알고리즘 정상구현 여부를 검증한다. 반면 오라클 TDE는 AES와 트리플DES 등 일부 암호표준만을 지원한다.
암호모듈 시험기관 문의 결과 KCMVP제도에서 정합 시험은 해당 제품의 일반적인 보안 기능과 탑재된 검증필 암호모듈을 통한 암호처리 기능 수행여부에 대한 확인 절차다. 탑재된 검증필 암호모듈이 꼭 자체 개발한 검증필 암호모듈일 필요는 없다. 타 업체 검증필 암호모듈도 사용 가능하다. 암호가 주기능인 정보보호시스템에서 모든 암호처리는 반드시 `검증필 암호모듈`을 통해 제공돼야 한다.
편법 의혹과 관련해 한국오라클 관계자는 별다른 공식 입장을 밝히지 않았다.
박정은기자 jepark@etnews.com
