DB 접근제어 기술은 내 외부 사용자의 접근 및 권한 제어, SQL 통제, 감사 및 로깅, 데이터마스킹, DB 암호화 기술을 이용합니다. 이 문서에서는 다양한 접근제어 방법을 통해 주요 정보의 유출을 사전에 차단할 수 있는 기술의 종류 및 솔루션에 대해 알아보겠습니다.
DB 접근제어 기술
우리나라 개인정보 보호법 및 유럽연합의 GDPR(일반데이터보호규정) 시행에 따라 데이터베이스 접근제어 필요성도 점차 커지고 있습니다.
DB 접근제어는 크게 인증, 통제, 마스킹, 모니터링, 감사(보고서) 기능을 포함합니다. 그리고 상용 솔루션에 따라 접근제어 기능과 DB 암호화 영역을 분리하거나 통합된 형태로 제공하기도 합니다.
DB 암호화의 경우 이전 글에서도 살펴본 바와 같이, 암호화 모듈의 실행 주체에 따라 시스템 성능저하나 애플리케이션 변경 폭이 커지는 문제점이 발생할 수도 있습니다.
1. 접근, 권한제어
사용자의 지식, 소유, 속성정보 등을 기반으로 로그인 시 접근을 통제하는 방법입니다. 더욱 강화된 인증방법으로 다음과 같은 2-Factor 인증이나 두 가지 이상의 인증 요소를 병렬체크하는 다중인증(MFA)을 도입할 수도 있습니다.
- 지식 기반: 로그인 암호, 비밀번호, 암호 패턴 등
- 소유 기반: One Time Password (OTP), 보안카드, 암호카드, 신분증 등
- 속성정보: 사람의 고유한 신체적 특징을 이용 (지문, 안면인식 등)
만약 기업 내 데이터베이스를 포함하여 여러 네트워크 서버 및 서비스의 접근을 통합적으로 관리하고자 한다면 IAM 통합계정관리 솔루션을 이용합니다. 멀티팩터인증에 관한 정보는 아래의 이전 글을 참고 바랍니다.
> 멀티팩터인증(MFA) 종류 및 장단점과 주요 솔루션 5가지
2. SQL 통제
정상적인 접근권한을 가진 사용자에 의한 SQL 질의어를 통해서 해당 정보에 접근할 수 있도록 관리하는 것을 말합니다.
접근제어 솔루션에 따라 사용자의 세션 및 SQL 질의 정보를 모니터링하여 접근을 통제하거나, DB 스키마 설계단계에서부터 Authorization을 고려하여 설계할 수도 있습니다.
3. 데이터 마스킹
보통 데이터 보호가 외부의 사용자를 대상으로 이루어진다면, 데이터마스킹은 내부 공격으로부터 기업을 방어하기 위한 솔루션 입니다. (가트너 리서치)
가령 은행의 콜센터 직원이 고객의 정보를 조회했을 때, 직원의 권한에 따라 ‘카드정보’, ‘은행 비밀번호’ 등이 접근가능하지 않도록 마스킹합니다. (아래 예)
4. 감사 및 로깅
DB의 작업을 모니터링하고 사용기록 정보를 수집하는 기능입니다. 특이상항이 발생한 시간대나 작업이 언제 누구에 의해 이뤄졌는지를 추적할 수 있습니다.
감사의 종류
- 문장(Statement) 감사: SQL 명령어(테이블 생성, 사용자 삭제) 등의 쿼리에 대해서 Audit을 수행합니다.
- 권한(Privilege) 감사: 특정 권한의 사용자가 수행한 모든 작업에 대한 쿼리문을 체크합니다.
- 스키마 오브젝트(Schema Object) 감사: 특정 스키마 오브젝트에 대해 수행된 쿼리문을 체크합니다.
로깅
외부 사용자의 활동 데이터뿐만 아니라 내부 사용자의 DB 접근 이력 등을 남기기 위한 목적으로 남기는 기록 데이터입니다.
5. DB 암호화
DB 암호화는 방식에 따라 플러그인 방식, API 방식, 프록시 방식, 커널 방식으로 구분할 수 있습니다. 보통 애플리케이션의 수정이 필요 없는 Plug-In 방식을 많이 사용하지만, 암호화 처리가 DB 서버내에서 처리되므로 CPU 사용 부담이 있습니다.
또한, 플러그인 방식의 단점을 보완한 API 방식은 별도의 암호화 모듈을 앱과 DB 서버 사이에서 모듈로 제공되는 형태입니다. 자세한 내용은 아래의 DB 암호화 기술의 종류와 특징에 대한 글을 참고 바랍니다.
DB 보안솔루션 분류
DB 보안솔루션은 크게 암호화 솔루션과 통합 접근제어 솔루션 업체로 분류할 수 있습니다. 암호화 솔루션은 이전 글에서도 소개한 바와 같이 웨어벨리, 신시웨이, 피엔시큐어 등의 업체들이 있습니다.
DB 접근제어 솔루션
데이터베이스 통합 접근제어 솔루션 업체는 크게 피앤시큐어와 넷앤드가 대표적입니다. 각 솔루션 별로 특징 및 지원범위에 대한 스펙은 아래를 참고하시기 바랍니다.
- 피엔시큐어 DBSAFER: 국내 시장점유율 1위 (60%). 오라클, MySQL, MariaDB, MSSQL, MongoDB 등의 다양한 DBMS 지원
- 넷엔드 HI-WARE: 다양한 사용자 인증 및 DB 접근권한 통제 솔루션(쿼리제어, 로그, 감사, 인증 기능)
이상으로 DB 접근제어 기술의 종류와 보안 솔루션에 대해서 알아보았습니다.