데이터보안 기술 및 솔루션 (2)

데이터보안이란 기업에 주요 정보의 유출을 보호하기 위한 기술로, 암호화, 접근통제, 인증 및 전문 보안솔루션을 이용할 수 있습니다. 이 문서에는 지난 글에 이어서 데이터보안 기술을 추가로 알아보겠습니다.

데이터보안 기술

데이터 보안을 위해 암호화 기술, 모니터링 및 관리체계 적용등의 방법이 있습니다. 필요한 경우 데이터 보안을 전문 솔루션을 활용할 수 있습니다.

  1. 데이터 보호기술 (암호화, 키관리, 마스킹)
  2. 감사 및 모니터링
  3. 정보보호관리체계 (ISMS, ISO 27001, 제로트러스트)
  4. 데이터보안 솔루션 적용

감사 및 모니터링

모든 데이터 베이스의 활동을 기록하여 특이사항 발생시 감사 및 모니터링 할 수 있어야 합니다. 만약 이기종 DB를 사용할 경우 이들을 동시에 체크할 수 있는 중앙관리방식이 편리합니다. (예, 대시보드)

DB 감사의 종류는 크게 다음의 3가지 유형으로 나뉩니다. 각 DB 별로 감사기능 사용여부 및 범위를 설정할 수 있으니 참고 바랍니다.

감사 종류설명
문장감사(Statement Audit)사용자가 실행하는 SQL 문에 대한 감사입니다. Audit 기능에서 지정된 문장을 실행할 경우에만 로그로 남기도록 할 수 있습니다.
권한감사(Privilege Audit)사용자가 특정한 권한을 사용했을 때 이를 로그로 남깁니다.
객체감사(Object Audit)특정 객체에 대한 작업을 수행했을 때 기록을 남깁니다. 

정보보호 관리체계

기업 내 정보보호 관리를 위한 정책 수립, 관리책임자 임명 등의 전담 조직이 제대로 꾸려지고 운영되는지에 대해서 심사하고 인증하는 방식으로 데이터 보안을 강화할 수 있습니다.

국제인증으로는 ISO 27001 인증이 있으며, 총 11개의 통제항목 중에 ‘자산관리’ 항목에서 기업내 주요 자산에 대한 등급분류 및 보호방법을 심사합니다. 국내 인증은 KISA에서 주관하는 ISMS, ISMS-P 인증이 있습니다. ISO 27001을 베이스로한 정보보호 관리체계 인증으로 기업에 따라 의무적으로 받도록 규정하고 있습니다.

데이터보안 솔루션

앞서 설명드린 여러 데이터 보안기술을(암호화, 감사 및 로깅) 결합한 전문 솔루션을 통해 보다 강화된 보안을 적용할 수 있습니다.

DLP 기술

Data Loss Protection (DLP) 기술은 앞서 설명한 접근제어, 암호화 기술에, 필터링 및 정책관리 기능을 포함한 통합 보안솔루션입니다.

DLP 기술설명
접근제어역할기반 접근제어(RBAC) 및 XACML 기술을 통해 공유된 자원이나 시스템에 대한 사용자의 접근을 제어합니다.
암호화대칭키 기반의 DES, AES 기술을 통한 블록 암호화(파일) 및 공개키 기반 인증을 수행합니다.
필터링트래픽이나 콘텐츠에 대해 인식하고 비정상 패킷에 대한 필터링을 수행합니다.

> 오피스키퍼 통합 PC 보안 DLP 솔루션 (1만개 이상의 고객사, 7가지 기능통합)

DB 암호화

일반적으로 DB 암호화는 암호화 모듈을 설치하는 위치에 따라 플러그인, API, 프록시방식으로 분류할 수 있습니다.

DB 암호화특징
플러그인 방식암호화 모듈이 DB 서버 안에 Plugin 형태로 설치되는 방식으로, 서버의 리소스를 사용한다는 단점이 있습니다. (CPU 10% 내외 사용)
API 방식별도의 애플리케이션 서버 단에서 암호화를 하는 것으로 플러그인 방식의 DB 서버 리소스를 사용하지 않는 것이 장점입니다.
단 언어별 별도의 API 구축이 필요하여 별도 개발이 필요할 수 있습니다.
프록시 방식별도의 프록시 서버를 이용해 독립적으로 암호화 Agent를 구성하는 방식으로 부하 분산에 효율적입니다.

클라우드 데이터보안

지금까지 기업 내부 솔루션 관점에서 데이터보안 기술을 살펴보았습니다. 클라우드 서비스를 이용할 경우 기업 외부에 설치 운영되는 경우가 많습니다. 

1. 이중인증, MFA 적용

로그인 시 별도의 생체정보(지문, 홍채) 및 지식기반(생년월일) 등의 2가지 요소를 결합해 인증하는 이중인증(2 Factor)을 적용하거나 이를 병렬적용하는 MFA 멀티팩터인증을 사용할 수 있습니다.

또한 제로트러스트 정책에 기반하여 이미 인증된 사용자가 사용하려는 각 서비스 별로 인가를 수행하거나 감사 및 로깅을 통해 사후 점검을 하는 방식을 사용할 수도 있습니다.

2. 암호화

구글이나 AWS와 같은 상용 클라우드 서비스의 경우 이미 각 서비스 계층에 따라 암호화를 적용하고 있으니 보다 편리합니다. (e.g. 구글 데이터 암호화 사례)

3. 네트워크보호

멀티클라우드를 사용하는 경우라면 자체적으로 프라이빗 클라우드를 구축 운용할 수도 있을 것입니다. 이 경우 SIEM 을 통한 보안정보 이벤트를 관리하거나, DDoS 공격을 막기 위한 DNS 싱크홀이나 트래픽 분산을 위한 솔루션을 고려할 수 있습니다.


이상으로 데이터보안 기술 및 솔루션에 대해서 알아보았습니다.

Leave a Comment