"시큐어디비"의 두 판 사이의 차이

㈜케이사인

시큐어디비(SecureDB)는 ㈜케이사인이 개발한 데이터베이스 암호화 솔루션이다.

개요

시큐어디비는 커널 암호화 방식으로 데이터베이스 파일을 직접 암호화하고, 접근제어와 감사기록 기능이 추가되어 데이터베이스 보안의 최적화 된 솔루션이다.^[1] 통합 데이터베이스 보안 솔루션인 ㈜케이사인의 시큐어디비(KSign Secure DB)는 데이터 암호화, 접근제어 및 로그 감시를 통해 기업 내 중요한 데이터를 보호한다. 시큐어디비는 이러한 데이터베이스 보안 기능을 수행함으로써 최근 문제가 되고 있는 개인정보 유출 및 내부자에 의한 정보 유출을 막을 수 있다. 시큐어디비는 데이터베이스의 유출을 사전 방지하기 위해 데이터를 컬럼 단위로 암호화하고, 세분화된 접근 제어 기능을 제공하며 선택적인 감시 기능으로 사후 책임추적을 가능하게 하는 통합 데이터베이스 보안 제품이다.^[2] 또한 금융권 중 저축은행, 캐피털, 대부업체들을 중심으로 사용되고 있는 x86 프로세서 기반 윈도/리눅스 서버 환경에서 자체 IT 전문가가 없어도 데이터베이스 암호화 솔루션을 도입할 수 있다.^[3]

구성

시큐어디비 구성도

구성도^[2]

구성 요소	설명
시큐어디비 서버 (SecrueDB Server)	분산 DBMS에 대한 통합보안정책인 암호, 접근제어, 감사기록 등을 설정 암호키의 중앙 집중 관리
시큐어디비 에이전트 (SecrueDB Agent)	각 DBMS에 플러그인 형태로 동작하여 사용자의 접근 시도에 대한 1차적인 차단 중앙에서 관리되는 보안 정책에 따라 보호대상 오브젝트에 대한 암호화, 접근제어, 감사기록 적용
시큐어디비 관리자 (SecrueDB Admin)	데이터베이스 보안관리자의 통합 데이터베이스 보안 관리를 위한 GUI 기반 관리 도구

특징

시큐어디비의 몇가지 특징으로는 첫째, 보안시장에서 검증된 제품이다. 다수의 공공·교육·금융 분야에서 성공적 구축과 안정적 운영으로 검증된 안전성이 보장된 제품이다. 암·복호화가 수행의 핵심 기능이 운영 체제 커널 레벨(kernel level)에서 동작하기 때문에 암호화 파일에 대한 인위적 조작이 불가능하며, 악성 코드로부터 안전하게 보호된다.^[4] 둘째, 다양한 방식의 데이터 암호화가 가능하다. 정형 데이터에 대한 암호화부터 비정형 암호화에 이르기까지 다양한 방식의 암호화를 지원하여 고객사 내부 환경에 적합한 암호화 방식의 적용이 가능하다. 셋째, 컴플라이언스를 준수한다. 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법 등 개인정보에 대한 각종 법률 준수 기반을 마련하고 컴플라이언스 확보가 가능하다.^[5] 넷째, 적용 용이성이다. 운영체제의 커널에서 파일 단위의 암·복호화를 수행함으로써, 기존 응용 애플리케이션 소스 코드 변경 없이 손쉬운 적용이 가능하며, 암호화 이후의 성능 저하를 최소화할 수 있다. 다섯째, 보안이 강력하다. 기존 파일 암호화 제품과 달리 상세 레벨의 권한 관리 및 감사 기록 관리가 가능하다. 암호화 대상 정보인 테이블 및 컬럼, DBMS 사용자, IP 주소, 접근 시간대 및 응용 프로그램 레벨의 다양한 조합으로 접근 권한 및 감사 로그를 관리할 수 있다.^[4] 여섯째, 파일 암호화이다. GUI 기반의 암호화 상태를 모니터링할 수 있고, 접근 통제에 따른 감사기록이 생성된다. 별도의 설치가 필요하지 않은 웹 기반의 관리 페이지를 제공한다.^[1]

기능

• 데이터 암호화

응용 프로그램에서 암·복호화할 수 있으며, DBMS 부하를 분산시킨다. 암·복호화 처리 속도가 우수하여 대량 데이터 처리에 용이하다.^[5]

• 강력한 접급통제

개발자·사용자·운영자 ·보안관리자 별 역할을 부여하고 RBAC 기반의 접근 통제가 가능하다. 암호화 및 비암호화 데이터에 대해 접근을 제어할 수 있다.^[5] 데이터베이스 로그인 시 권한 확인, 테이블 단위의 권한 확인, 사용자, IP주소, 시간, 응용프로그램 등 조건 별 접근 통제가 가능하다.^[2]

• 세분화된 감사기록

감사로그에 대한 자동 백업 및 암호화하여 저장할 수 있다. GUI 기반 관리자가 설정하는 모든 정책에 대한 행위기록 및 통계 등 보안 관리자 중심의 관리툴을 제공한다.^[5]

• 데이터베이스 무중단 서비스

데이터베이스 에이전트는 암호화 대상 컬럼에 대한 초기 암호화 작업을 백그라운드로 처리한다. 암호화를 위한 초기 작업 시 데이터베이스 서비스 중단 시간을 최소화한다. DBMS 서비스 중단 없이 기존의 어플리케이션에 대한 서비스를 유지한다.^[2]

구축 방식

• 플러그인 방식

플러그인 방식은 응용프로그램 수정이 필요하지않다. 기존 운영 시스템에서 변경없이 암호화를 적용할 수 있다. 사용자별 접근 통제에 대한 권한 부여가 가능하며, 단기간 내 구축에 용이하다. 하지만 대용량 데이터의 경우 암·복호화 과정이 DBMS에서 수행되므로 DBMS에 부하가 발생하게 된다. DBMS 부하 증가로 시스템에 영향을 끼치게 된다. 적용 시스템은 홈페이지 등 단순 시스템이나 Simple&Small Size 시스템에 유리하다.^[6]

• API 방식

대용량 데이터의 암·복호화 과정이 프로그램 안에서 수행되므로 DBMS 부하가 분산되는 효과가 있다. DBMS 부하가 적어 속도가 증가하게 되며, 시스템에 영향도가 낮아지게 된다. DB API 방식으로 구축할 시 암복호화 함수를 DBMS에서 직접 호출함으로써 플러그인을 적용하면 효과를 동일하게 볼 수 있다. 단, 기존 응용 프로그램 수정을 통한 암호화 적용에 따른 인력 투입과 구축 기간이 장기간 소요된다. 암호화 적용 대상 컬럼이 주요 키로 존재하는 경우 전체 데이터 검색(full scan) 시 DB의 성능이 악화된다. 또한 사용자 별 접근 통제가 불가능하다. 적용 시스템은 대용량 온라인 트랜잭션 시스템이나 성능 최우선의 온라인 집중 환경에 유리하다.

• 하이브리드 방식

데이터베이스에 대한 부하는 WAS로 분산시키며 암호화 컬럼에 대한 인덱스를 적용한다. 애플리케이션의 수정을 최소화 할 수 있으며 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능을 개선할 수 있다. 단, 데이터베이스 서버의 일부 부하가 발생할 수 있고, 애플리케이션의 일부를 수정해야할 수도 있다. API 적용 암호화 데이터에 대한 색인 검색 및 접근통제, 감사로그를 지원하지않고, 암호화 적용을 위해 데이터베이스 스키마를 변경해야한다. 적용 시스템은 중형 규모의 성능 우선의 온라인 집중 환경에 유리하고, 애플리케이션 수정이 가능한 시스템에 적용할 수 있다.

각주

참고자료

• SecureDB(Kernel방식) - https://jsecureplatform.com/wp-content/uploads/2016/03/secureDB-kernel.pdf
• 소프트웨어카탈로그 공식 홈페이지 - https://www.softwarecatalog.co.kr/src/Item/ItemMaster.aspx?Serial=8501
• 손경호 기자, 〈케이사인, 소스코드 고칠 필요없는 DB암호화 SW 공개〉, 《지디넷코리아》, 2014-02-06
• KT클라우드 공식 홈페이지 - https://cloud.kt.com/portal/ktcloudportal.epc.productintro.ucloud_server_image.SECUREDB.html
• 케이사인 공식 홈페이지 - http://www.ksign.com/page/0201e.php
• Chelsa Mckee, 〈주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation〉, 《SlideServe》

같이 보기

• ㈜케이사인
• 보안 솔루션

이 문서는 로고가 필요합니다.

이 시큐어디비 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.