DB보안 (DB암호화 툴) 이란?
1. DB 보안 솔루션의 방식
접근제어 및 감사(Auditing) 방식 : 유출 자체는 100% 막을 수 없으나 사후 감사자료(Log)를
통해 법적 처리를 할 수 있는 제품
제품 종류 : 샤크라, DB Safer, DB-i, N 그리핀 (모두 국산)
샤크라 ; Networkng Sniffing 방식
DB Safer ; Gateway 방식
N 그리핀 ; Hybrid 방식
DB 암호화 제품 : 중요 Data를 Column 단위로 암호화 하고 암호화한 Column에 대한 Auditing
Log를 암호화 하여 남김, 유출을 원천 봉쇄하는 최종 보안 툴
제품 종류 : Cube One, D'AMO, SafeDB, Secure.Data (Secure.Data는 외산)
세 종류 모두 DB서버에 Agent를 두고 NT에 관리툴을 통해 관리함.(외산 제외)
위의 두 종류는 서로 보완 관계라고 볼 수 있다. (나중에 어떤 형태로 벼날지는 모르지만,,)
2. Auditing이 100% 가능 한가?
Trigger를 사용하지 않는한 SQL 문에 대한 100% Auditing은 기술적으로 불가능 하다.
그러나 불행히도 Trigger를 사용하게 되면 부하가 커진다.
3. 보안툴 적용과 성능
상식이 겠지만 어떠한 보안 제품인 경우에도 보안성이 높아지면 편리성과 성능은 감소하게 된다.
(두가지 모두 만족 하는 제품은 지구상에 없으므로 포기 하시길,,,^^)
요는, 원하는 만큼의 보안성을 확립 하는데 얼만큼의 성능상의 저하를 감수 할 수 있느냐가 관건
이 겠지요.
즉, 성능 감소는 최소가 되어야 겠지요.
4. DBMS 자체 암호화 기능
Oracle의 경우도 자체 제공 되는 암호화 패키지를 설치 하면 Data의 암호화가 가능 하다.
그러나 두가지 불리한 점이 있으니,
첫째, Initialization Vector 방식으로 암호화 하지 않는다. (이런 방식이 아니면 "A"를 암호화
하면 항상 "QW12B" 이런식으로 나온다. 이것은 해커로 하여금 유추 해석이 가능케 한다)
둘째, 부하가 커서 사용하기 힘들어 진다.
이런 이유로 잘 사용하지 않는다.
5. DB암호화 제품 선정시 고려할 사항 (1 ~5 항은 필수)
1. SEED와 ARIA 알고리즘의 지원 여부 (국정원 떄문에,,)
2. 암호화한 후 Index Searching을 성능 저하 없이 자유자재로 할 수 있는지 여부
--> 일치 검색만 지원 되면 필연적으로 Full Scan 이 일어나 대량 트랜잭션을 가진 DB는
현실적으로 쓸 수가 없음.
3. 초기 적용시 DB의 Down Time이 적을것
--> DB크기나 정책에 따라 달라지지만 보통 3 ~ 10시간 정도 소요 되는데 서비스가 중단되는
사태가 발생함 (차후 암호화 적용 대상이 추가 될때 마다 발생함)
4. 대용량/대량트랜잭션 DB를 현실적으로 지원할 수 있을것
5. Initialization Vector 방식으로 암호화 하는지 여부
--> 그렇지 않으면 "A"를 암호화 하면 항상 "QW56HJ"와 같은 형태로 Encryption 되어 해커로
하여금 유추 해석을 할 수 있게 함.
6. DB를 모르는 보안 담당자가 접근 권한부여 및 암호화 대상 적용 등을 손쉽게 할 수 있도록
GUI를 지원 해야함
--> SQL* plus를 이용해서 하는 경우는 결국 DBA가 다 한다는 얘기가 되므로 보안이 취약해짐
6. 출시된 제품 종류 (2006. 1월 현재)
1. D'AMO - 펜타시큐리티 : 출시된지 약 2년 가까이 된 제품. 인지도는 좋은 편.
Index Searching시 전방 일치 또는 범위검색 안됨 (Full Scan 함)
초기 적용시 DB 서비스 중단됨
SEED 지원
2. SafeDB - 이니텍 : 출시 된지 약 1년 정도,, 인지도는 중간 정도.
역시 Index Searching시 전방 일치 또는 범위검색 안됨 (Full Scan 함)
초기 적용시 DB 서비스 중단됨
SEED 지원
3. Secure.Data - 미국 Protegrity : 국내 소개된지 약 4~5년 정도,, 인지도는 미약
Customizing 하면 Index Searching 가능 (완벽하지는 않지만,,)
초기 적용시 DB 서비스 중단됨
SEED 지원 안됨
4. Cube One - 이글로벌시스템 : 2005년 12월 출시,, 인지도는 미약
AP수정 없이 Index Searching 가능 (전방일치, 범위검색 모두)
초기 적용시 DB 서비스 중단이 거의 없음
SEED, ARIA 지원
출처 : [직접 서술] 블로그 집필 - whehstjq님의 블로그
댓글 없음:
댓글 쓰기