본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/ISMS-P 인증심사

(ISMS-P) DB 접근 제어 솔루션

by 노벰버맨 2021. 3. 27.

1. 개요

- DB 서버는 조직에 필요한 정보를 저장하는 서버로서 DBMS라는 관리 시스템에 의해 관리되며 인증과정을 거쳐 로그인한 후에 SQL이라는 질의어를 통해서만 해당 정보에 정상적으로 접근 가능

- 일반적으로 DB는 DMZ 구간이 아닌 조직의 가장 내부에 위치하고 있으며 DBMS 자체의 보안 기능과 타 솔루션이 접근 제어를 통해 제어

- 해킹보다는 DB에 접근 권한을 가진 사용자가 권한을 남용하여 정보를 유출하거나 변조하는 위협이 더 클 수 있음

 

2. DB 접근 제어 필요성

가. 세분화된 사용자 식별 

- DBMS에서 수행하는 통제는 DBMS 내부의 계정 단위로 구성

- 많은 조직에서 하나 혹은 소수의 계정에 필요한 모든 테이블을 생성한 후에, 다수의 내부 사용자가 동일 계정을 이용하여 DB에 접근

- 이럴 경우 DBMS에서 제공하는 보안 기능은 개개인을 식별할 수 없어서 세분화된 사용자 식별 및 상세 접근 통제가 불가능함

 

나. DBMS 부하 감소

- 모든 로그를 남기기 위해 DBMS에서 제공하는 감사 기능을 활성화할 경우 DBMS 시스템에 많은 부하가 발생

 

다. 기타 부가 기능 제공

- 마스킹(Masking) 기능

- 각종의 보고서 기능

- 로그 통합 기능

- 모니터링 기능

- 다양한 종류의 DBMS 통합관리 가능

다양한 DBMS를 운영할 경우 개별 DBMS의 보안 기능을 통합 관리하기 어려움

 

 

3. DB 접근 제어와 암호화 비교

가.DB 접근 제어

DB에 접근하여 수영하는 모든 SQL 명령을 저장

작업 수행에 꼭 필요한 권한을 통제

 

나. DB 암호화

데이터 마스킹 기능(권한이 없는 컬럼 정보만 마스킹 처리)-보안성, 편리성 확보

고유식별정보 등 핵심 정보 유출 방지

 

3. DB 접근 제어 구성 방식

가. Gateway-Proxy 방식

- DB 서버로 접속하는 모든 IP를 DB 서버로 통하도록 설정(클라이언트에 별도 프로그램 설치)

- DB 서버와 Application 서버 간에는 통제하지 않음

- 타깃 DBMS의 추가 가능

- Gateway 장애 대비 이중화 구성 가능

- 내부 사용자의 개인정보 및 대외비 유출에 대한 통제에 용이

- 사용자가 보안서버를 통해 DB에 접근

- 중앙 집중식 접근 통제

 

나. Gateway-Inline 방식

- 타깃 DB와 클라이언트 네트워크 사이에 인라인 구성

- 서버나 클라이언트에 별도의 에이전트 설치 또는 변경 불필요

- 규모가 크지 않고 DB 서버가 한 곳에 위치한 경우, 온라인 비중이 높지 않은 경우에 유리

- DB-Application, DB-Client 간에 모두 통제

- 트래픽으로 인한 속도 저하 발생 가능

- 보안 서버 다운 시 모든 업무 중단 우려, 때문에 소규모 기관에서 사용

 

다. Sniffing 방식

- 네트워크 선로 상의 패킷을 TAP 방식과 미러링 방식을 통해 패킷 분석/로깅

- 개개의 SQL 단위로 통제할 수 없고 로깅만 가능

- 권한이 없는 SQL을 수행하는 세션의 경우 DB 서버로 해당 세션을 종료시키는 명령어를 보내는 방법 등으로 통제하는 기능을 일부 제공

- 사후 감사의 의미에 비중을 두는 방식

- 서버와 클라이언트에 에이전트 설치나 설정 변경 불필요

- 네트워크에 부하 없이 구성 가능

- 외부 사용자 및 내부 사용자가 DB로 보내는 모든 패킷을 로그 서버에 저장

- 다수의 DBMS 관리 용이

 

라. Agent 방식

- 서버 자체에 접근 제어 및 로깅 기능을 포함한 Agent 설치

- DB에 직접 접근하는 전용 클라이언트를 포함해 모든 접근 루트 통제 가능

- DB 서버의 부하가 증가하고 성능 저하가 발생 가능함

- 시스템 정지의 리스크 우려

- 우회 경로 차단

- 오라클의 QEQ 완벽 처리

- Telnet, SSH 모두 지원

- 감시 및 접근 제어 가능

 

4. 관련 벤더 및 솔루션

- 모니터랩(DB Insight)

- 피앤피시큐어(DBSAFER)

- 신시웨이(Petra)

- 웨어벨리(Chakra MAX)

- 이니텍(SeNeapp)

- STG시큐리티(ToFAZ X) 

- 소만사(DB-i)

- 케이사인(SecureDB)

모노커뮤니케이션즈(ECHELON)

저작자표시 비영리 변경금지

'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글

(ISMS-P) 정보보호 최고책임자 지정신고 대상 및 제외대상  (0) 2021.05.02
(ISMS-P) 정보통신서비스 제공자 해당 여부  (0) 2021.05.02
(ISMS-P) 「전자금융감독규정시행세칙」 개정 (13.03.20) - 망분리 규제  (0) 2021.04.24
(ISMS-P) 정보보호 최고책임자 길라잡이 (한국인터넷진흥원)  (0) 2021.04.15
(ISMS-P) DB 암호화 솔루션  (0) 2021.03.27

관련글

댓글

티스토리툴바