데이터보안이란 기업에 주요 정보의 유출을 보호하기 위한 기술로, 암호화, 접근통제, 인증 및 전문 보안솔루션을 이용할 수 있습니다. 이 문서에는 지난 글에 이어서 데이터보안 기술을 추가로 알아보겠습니다.
데이터보안 기술
데이터 보안을 위해 암호화 기술, 모니터링 및 관리체계 적용등의 방법이 있습니다. 필요한 경우 데이터 보안을 전문 솔루션을 활용할 수 있습니다.
- 데이터 보호기술 (암호화, 키관리, 마스킹)
- 감사 및 모니터링
- 정보보호관리체계 (ISMS, ISO 27001, 제로트러스트)
- 데이터보안 솔루션 적용
감사 및 모니터링
모든 데이터 베이스의 활동을 기록하여 특이사항 발생시 감사 및 모니터링 할 수 있어야 합니다. 만약 이기종 DB를 사용할 경우 이들을 동시에 체크할 수 있는 중앙관리방식이 편리합니다. (예, 대시보드)
DB 감사의 종류는 크게 다음의 3가지 유형으로 나뉩니다. 각 DB 별로 감사기능 사용여부 및 범위를 설정할 수 있으니 참고 바랍니다.
| 감사 종류 | 설명 |
| 문장감사(Statement Audit) | 사용자가 실행하는 SQL 문에 대한 감사입니다. Audit 기능에서 지정된 문장을 실행할 경우에만 로그로 남기도록 할 수 있습니다. |
| 권한감사(Privilege Audit) | 사용자가 특정한 권한을 사용했을 때 이를 로그로 남깁니다. |
| 객체감사(Object Audit) | 특정 객체에 대한 작업을 수행했을 때 기록을 남깁니다. |
정보보호 관리체계
기업 내 정보보호 관리를 위한 정책 수립, 관리책임자 임명 등의 전담 조직이 제대로 꾸려지고 운영되는지에 대해서 심사하고 인증하는 방식으로 데이터 보안을 강화할 수 있습니다.
국제인증으로는 ISO 27001 인증이 있으며, 총 11개의 통제항목 중에 ‘자산관리’ 항목에서 기업내 주요 자산에 대한 등급분류 및 보호방법을 심사합니다. 국내 인증은 KISA에서 주관하는 ISMS, ISMS-P 인증이 있습니다. ISO 27001을 베이스로한 정보보호 관리체계 인증으로 기업에 따라 의무적으로 받도록 규정하고 있습니다.
데이터보안 솔루션
앞서 설명드린 여러 데이터 보안기술을(암호화, 감사 및 로깅) 결합한 전문 솔루션을 통해 보다 강화된 보안을 적용할 수 있습니다.
DLP 기술
Data Loss Protection (DLP) 기술은 앞서 설명한 접근제어, 암호화 기술에, 필터링 및 정책관리 기능을 포함한 통합 보안솔루션입니다.
| DLP 기술 | 설명 |
| 접근제어 | 역할기반 접근제어(RBAC) 및 XACML 기술을 통해 공유된 자원이나 시스템에 대한 사용자의 접근을 제어합니다. |
| 암호화 | 대칭키 기반의 DES, AES 기술을 통한 블록 암호화(파일) 및 공개키 기반 인증을 수행합니다. |
| 필터링 | 트래픽이나 콘텐츠에 대해 인식하고 비정상 패킷에 대한 필터링을 수행합니다. |
> 오피스키퍼 통합 PC 보안 DLP 솔루션 (1만개 이상의 고객사, 7가지 기능통합)
DB 암호화
일반적으로 DB 암호화는 암호화 모듈을 설치하는 위치에 따라 플러그인, API, 프록시방식으로 분류할 수 있습니다.
| DB 암호화 | 특징 |
| 플러그인 방식 | 암호화 모듈이 DB 서버 안에 Plugin 형태로 설치되는 방식으로, 서버의 리소스를 사용한다는 단점이 있습니다. (CPU 10% 내외 사용) |
| API 방식 | 별도의 애플리케이션 서버 단에서 암호화를 하는 것으로 플러그인 방식의 DB 서버 리소스를 사용하지 않는 것이 장점입니다. 단 언어별 별도의 API 구축이 필요하여 별도 개발이 필요할 수 있습니다. |
| 프록시 방식 | 별도의 프록시 서버를 이용해 독립적으로 암호화 Agent를 구성하는 방식으로 부하 분산에 효율적입니다. |
클라우드 데이터보안
지금까지 기업 내부 솔루션 관점에서 데이터보안 기술을 살펴보았습니다. 클라우드 서비스를 이용할 경우 기업 외부에 설치 운영되는 경우가 많습니다.
1. 이중인증, MFA 적용
로그인 시 별도의 생체정보(지문, 홍채) 및 지식기반(생년월일) 등의 2가지 요소를 결합해 인증하는 이중인증(2 Factor)을 적용하거나 이를 병렬적용하는 MFA 멀티팩터인증을 사용할 수 있습니다.
또한 제로트러스트 정책에 기반하여 이미 인증된 사용자가 사용하려는 각 서비스 별로 인가를 수행하거나 감사 및 로깅을 통해 사후 점검을 하는 방식을 사용할 수도 있습니다.
2. 암호화
구글이나 AWS와 같은 상용 클라우드 서비스의 경우 이미 각 서비스 계층에 따라 암호화를 적용하고 있으니 보다 편리합니다. (e.g. 구글 데이터 암호화 사례)
3. 네트워크보호
멀티클라우드를 사용하는 경우라면 자체적으로 프라이빗 클라우드를 구축 운용할 수도 있을 것입니다. 이 경우 SIEM 을 통한 보안정보 이벤트를 관리하거나, DDoS 공격을 막기 위한 DNS 싱크홀이나 트래픽 분산을 위한 솔루션을 고려할 수 있습니다.
이상으로 데이터보안 기술 및 솔루션에 대해서 알아보았습니다.