[보안] 보안솔루션의 종류 - 시스템 보안_2 : DB암호화

시스템 보안 - 2. DB암호화

 

솔루션 개념

 

DB 암호화는 데이터 보안의 한 종류로

데이터베이스에 저장되어 있는 데이터를 암호화해

데이터 유출 시에도 정보 유출을 방지하는 솔루션이다.

특히 금융권이나 기술개밭 쪽의 데이터들은

개인정보나 주요 거래정보, 기업기밀 등을 저장하고 있어

데이터 보호가 필수적으로 필요한 부분이고

DB 암호화가 동반 되어야 한다.

<DB암호화 솔루션 구성도>

데이터 베이스 암호화 방식에는 API방식, 플러그인 방식, 

그리고 인플레이스 방식과 하이브리드 방식이 있다.

암호화 방식	개념 및 장단점
API 방식	ㅇ개념: 데이터베이스 단이 아닌 외부 애플리케이션 영역에서 암복호화를 수행 ㅇ장점: 암복호화 수행시에도 DB서버에 부하 없음, DB 구축비용이 상대적으로 저렴 ㅇ단점: DB내부 연산에서 암호화된 데이터 처리 불가능
플러그인 방식	ㅇ개념: DBMS 자체에 플러그인 방식으로 암복화 모듈을 설치해 암호화를 운영 ㅇ장점: 구축이 용이, 애플리케이션으로부터 독립성을 제공  ㅇ단점: 성능 이슈 발생시 쿼리 수정 필요 -> DB서버 부하 발생
인플레이스 방식	ㅇ개념: 플러그인에서 더 나아가 DB 엔진 내부에서 암복호화 기능을 수행 ㅇ장점: 애플리케이션 환경에서 완변학 독립성 제공,           플러그인 방식보다 더 빠른 암호화 성능 ㅇ단점: 암호화 이외의 DB 보안 기능 지원을 위해 별도의 패키지 사용
하이브리드 방식 (API+플러그인)	ㅇ개념: 플러그인 방식의 성능 저하 이슈 개선을 위해 API 방식의 장점 채용,           성능이 우선시 되는 환경에서는 API 방식을 적용,           성능 영향이 덜 민감한 환경에는 플러그인 방식 적용하는 식으로           유동성 있게 구축

※출처: m.blog.naver.com/PostView.nhn?blogId=futureds&logNo=90158653671&proxyReferer=https:%2F%2Fwww.google.com%2F

 

 

 

기능

 

DB암호화 솔루션은 DB에 저장된 데이터들에 대해

암/복호화를 지원하고 접근권한 설정, 감사 및 이력관리 등

DB암호화에 대해 전반적인 기능들을 제공하고 있다.

추가적으로 솔루션 적용 이후의 서버 성능이라던가

암호화 방식과 키 관리 등을 고려해야 한다.

 

솔루션 기능 중 암호화 및 접근권한 설정에서는

암호화 대상을 정의하고 사용자 및 그룹별로

데이터에 대한 접근 권한을 설정한다.

그리고 암호화 하는 키 관련하여서도

관리 정책을 설정하는 기능을 담당한다.

암/복호화 기능에서는 암호화 알고리즘을 정의하고

사용자별 데이터 접근 제어 및 키를 관리한다.

 

국가 정보원 IT보안인증 사무국에서는 DB암호화 제품 구축시

어느정도 구축되어야 하는지 요구사항과 기능을 제시하고 있다.

(아래 그림 참조) 

<DB암호화 제품의 핵심보안 요구사항>

위와 같은 사항들이 요구되는 이유는

암호화의 대상이 일반 파일이나 네트워크가 아닌 DB이기 때문이다.

서비스의 연속성을 위해 기존 DB 제약사항 유지나 안정성이 중요시 해야한다.

따라서 키 관리를 포함하여 보안 요구사항을 준수할 필요가 있다.

 

 

벤더사별 특징

<케이사인 - SecureDB>         -SEED, TDES, AES 등 암호화 알고리즘 제공         -플러그인 방식, SPIN(Token) 방식 제공         -ORACLE, MSSQL, MySQL, MariaDB, Cubrid 지원         -RBAC 기반 사용자 접근 통제     <한컴시큐어 - XecureDB>         -ARIA, SEED, AES, 3DES, SHA2 등 암호화 알고리즘 제공         -API 암/복호화 모니터링, CPU 및 메모리 모니터링         -ORACLE, MSSQL, MySQL, Sybase, Tibero, DB2 지원         -플러그인 방식, 하이브리드 방식 제공         -국정원 암호검증제도(CMVP) 인증모듈 사용     <펜타시큐리티 - D'Amo>         -국내외 표준, FIPS 인증 암호 알고리즘 제공         -키 관리, 접근제어 기능 제공 / 중앙집중형 로그 관리         -ORACLE, MSSQL, Altivase, DB2 지원         -플러그인 방식, 쿠폰 방식, Transformer 방식 제공         -PETRA 접근제어 솔루션과 연동, IP기반 접근제어 수행     <신시웨이 - PETRA CIPHER>         -키 관리 서버 이중화 및 로컬 관리         -컬럼 단위 암호화, 관리자 권한 분리 기능         -암호화 데이터 접근에 대한 감사 로그 조회         -ORACLE, Altivase, MSSQL, DB2 등 다양하게 지원         -C언어 기반 모듈 사용, 빠른 암,복호화     <Vormetric - Voremetric Data Security>         -3DES, AES, ARIA 등 암호화 알고리즘 제공         -정형 및 비정형 데이터 암호화 제공         -하드웨어 암호 가속화 기술 지원         -ORACLE, MSSQL, Sybase, MongoDB 등 지원         -커널 암호화 방식

 

<DB암호화 솔루션 구축 이전 고려사항>

- 암호화 대상 및 범위를 위험도 분석 결과에 따라 철저히 분석

- 국내외 연구기관에서 검증된 암호화 알고리즘 적용 

- 개인정보는 양방향 개인정보 필수 적용

- 암호화 인덱스 지원, 성능을 고려해 부분 암호화 적용

- 암복호화 키, 마스터 키 등 모든 키를 생성에서 폐기까지 안전하게 관리

 

 

 

 

※내용에 대한 지적이나 댓글은 언제나 환영입니다.

 

 

※해당 본문의 내용과 사진은 모두 ADT캡스( 구)SK인포섹 )에서 발행한

    2021 IT정보보호 구축 가이드(무료배포)를 기반으로 정리한 것입니다.