시스템 보안 – 2. DB 암호화 솔루션 개념 DB 암호화는 데이터 보안의 일종으로 데이터베이스에 저장되어 있는 데이터를 암호화하여 데이터 유출 시에도 정보 유출을 방지하는 솔루션이다.특히 금융권이나 기술개발 측 데이터는 개인정보와 주요 거래정보, 기업기밀 등을 저장하고 있어 데이터 보호가 필수적으로 필요한 부분으로 DB 암호화가 뒤따라야 한다.개인정보보호법에 따라 개인정보를 수집, 보관할 경우 안전한 알고리즘으로 암호화 조치를 취해야 한다.
<DB 암호화 솔루션 구성도>
데이터베이스 암호화 방식: API 방식, 플러그인 방식(하이브리드 방식)과 파일 암호화가 있다.
암호화 방식의 개념과 장점과 단점 API방식:데이터베이스 단위가 아닌 외부 어플리케이션 영역에서 암호화를 수행 ○ 장점:암호화 수행 때도 DB서버에 부하 없이 DB구축 비용이 상대적으로 싼 ○ 단점:DB내부 연산에서 암호화된 데이터 처리 불가능한 플러그 인 방식 ○ 개념:DBMS자체에 플러그 인 방식으로 암호화 모듈을 설치하여 암호화를 운영 ○ 장점:구축이 용이, 애플리케이션으로부터 독립성을 제공 ○ 단점:성능 문제 발생 시 쿼리 수정할 필요가->DB서버 부하 발생 시 플레이스 방식 ○ 개념:DB내부 연산에서 암호화된 데이터 처리 불가능한 플러그 인 방식 ○ 개념:DBMS자체에 플러그 인 방식 ○ 더 빠른 암호화 성능, 단점:암호화 이외의 DB보안 기능을 지원하기 위하여 별도 패키지 이용 하이브리드 방식(API+플러그 인)개념:플러그 이손 방식의 성능 저하 이슈 개선 때문에 API방식의 장점 채용, 성능이 우선되는 환경에서는 API방식을 적용, 성능 영향이 민감하지 않은 환경에서 플러그 인 방식을 적용하는 방식으로 유동성 있는 구축
※출처:m.blog.naver.com/PostView.nhn?blogId=futureds&logNo=90158653671&proxyReferer=https:%2F%2Fwww.google.com%2F기능 DB암호화 솔루션은 DB에 저장된 데이터에 대해서 어두운/복호화를 지원하고 액세스 권한의 설정, 감사 및 이력 관리 등 DB암호화에 대한 전반적인 기능을 제공하고 있다. 게다가, 솔루션 적용 이후 서버 성능과 암호화 방식과 키 관리 등을 고려해야 한다. 종래는 키 관리를 DB서버 내에 설치 운영하고 있었으나 현재는 별도의 키 서버를 운영하는 것을 권고한다. 솔루션 기능 중 암호화 및 접근 권한 설정에서는 암호화 대상을 정의하고, 사용자 및 그룹마다데이터 접근 권한을 설정한다. 그리고 암호화하는 키에 관해서도 관리 정책을 설정하는 기능을 담당한다. 어두운/복호 기능에서는 암호화 알고리즘을 정의하고, 사용자별 데이터 액세스 제어 및 키를 관리한다. 국가 정보원 IT보안 인증 사무국에서는 DB암호화 제품 구축 시에 어느 정도 구축되어야 하는지 요구 사항과 기능을 제시하고 있다.(아래 그림 참조)
<DB암호화제품 핵심보안 요구사항>
위와 같은 사항이 요구되는 이유는 암호화 대상이 일반 파일이나 네트워크가 아닌 DB이기 때문이다.서비스의 연속성을 위해 기존 DB 제약사항의 유지나 안정성이 중요시 되어야 한다.따라서 키 관리를 포함하여 보안 요구사항을 준수해야 한다. DB암호화솔루션개발사별 특징
<케이 싸인-SecureDB>-SEED, TDES, AES등의 암호화 알고리즘 제공-플러그 인 방식, SPIN(Token)방식의 제공-ORACLE, MSSQL, MySQL, MariaDB, Cubrid지원-RBAC기반의 사용자 액세스 제어<한컴 시큐어-XecureDB>-ARIA, SEED, AES, 3DES, SHA2등의 암호화 알고리즘 제공,-API암/복호 모니터링-ORACLE, MSSQL, MySQL, Tiebrid지원-RBAC기반의 사용자 액세스 제어<HIB>한 방식 제공-국정원 암호 검증 제도(CMVP)인증 모듈 사용<PENTA보안-D’Amo>-국내외 표준 FIPS인증 암호 알고리즘 제공-키 관리, 접속 제어 기능 제공/중앙 집중형로그 관리-ORACLE, MSSQL, Altivase, DB2지원-플러그 인 방식, 쿠폰 방식, Transformer방식 제공-PETRA접속 제어 솔루션과 연동, IP베이스 접근 제어 수행<신세 웨이-PETRA CIPHER>-키 관리 서버의 이중화 및 로컬 관리-칼럼 단위 암호화 기능 분리-암호화 데이터 접근에 대한 감사 로그 조회-ORACLE, Altivase, MSSQL, DB2등 다양하게 지원 C언어 기반 모듈 사용, 고속 프레임, 복호화<Vormetric-Voremetric Data Security>-3DES, AES, ARIA등의 암호화 알고리즘 제공-정형 및 비정형 데이터 암호화 제공-하드웨어 암호 가속화 기술 지원-ORACLE, MSSQL, Sybase, MongoDB등의 지원 커널 암호화 방식
<DB 암호화 솔루션 구축 이전 고려사항> – 암호화 대상 및 범위를 위험도 분석결과에 따라 철저히 분석 – 국내외 연구기관에서 검증된 암호화 알고리즘 적용 – 개인정보는 양방향 개인정보 필수적용 – 암호화 인덱스 지원, 성능을 고려하여 부분암호화 적용 – 암호화 적용 – 암호화 키, 마스터 키 등 모든 키를 생성부터 폐기까지 안전하게 관리 원본출처 : [보안] 보안 솔루션 종류 – 시스템 보안_2 : DB암호화 (tistory.com)
