시큐어디비
시큐어디비(SecureDB)는 ㈜케이사인(KSign)이 개발한 데이터베이스 암호화 솔루션이다.
목차
개요
시큐어디비는 커널 암호화 방식으로 데이터베이스 파일을 직접 암호화하고, 접근제어와 감사기록 기능이 추가되어 데이터베이스 보안의 최적화 된 솔루션이다.[1] 통합 데이터베이스 보안 솔루션인 ㈜케이사인의 시큐어디비(KSign Secure DB)는 데이터 암호화, 접근제어 및 로그 감시를 통해 기업 내 중요한 데이터를 보호한다. 시큐어디비는 이러한 데이터베이스 보안 기능을 수행함으로써 최근 문제가 되고 있는 개인정보 유출 및 내부자에 의한 정보 유출을 막을 수 있다. 시큐어디비는 데이터베이스의 유출을 사전 방지하기 위해 데이터를 컬럼 단위로 암호화하고, 세분화된 접근 제어 기능을 제공하며 선택적인 감시 기능으로 사후 책임추적을 가능하게 하는 통합 데이터베이스 보안 제품이다.[2] 또한 금융권 중 저축은행, 캐피털, 대부업체들을 중심으로 사용되고 있는 x86 프로세서 기반 윈도/리눅스 서버 환경에서 자체 IT 전문가가 없어도 데이터베이스 암호화 솔루션을 도입할 수 있다.[3]
2010년, 정보보호업체 ㈜지란지교소프트와 ㈜케이사인은 케이사인시큐어디비 제품에 대한 총판 계약을 체결하였다.
구성
구성도[2] 구성 요소 설명 시큐어디비 서버 (SecrueDB Server)
- 분산 DBMS에 대한 통합보안정책인 암호, 접근제어, 감사기록 등을 설정
- 암호키의 중앙 집중 관리
시큐어디비 에이전트 (SecrueDB Agent)
- 각 DBMS에 플러그인 형태로 동작하여 사용자의 접근 시도에 대한 1차적인 차단
- 중앙에서 관리되는 보안 정책에 따라 보호대상 오브젝트에 대한 암호화, 접근제어, 감사기록 적용
시큐어디비 관리자 (SecrueDB Admin)
- 데이터베이스 보안관리자의 통합 데이터베이스 보안
- 관리를 위한 GUI 기반 관리 도구
종류
정형데이터 암호화
데이터암호화, 접근제어 및 로그 감사를 통하여 기업 내 중요한 데이터를 보호하고, 개인정보 유출 및 내부자에 의해 정보 유출을 막을 수 있으며 이를 위해 데이터 컬럼 단위 암호화, 세분화된 접근 제어 기능 제공, 선택적인 감사 기능으로 사후 책임 추적을 가능하게 하는 통합 데이터베이스 보안 솔루션이다.[4]
특징
- 필드 암호화
- 보안 관리자에 의해 선택된 특정 필드에 대한 암호화를 수행할 수 있다. 응용 시스템의 독립적인 암·복호화 절차를 수행하며 다양한 데이터 타입의 암호화를 지원하고, 다양한 암호화 알고리즘을 제공한다. 선택적인 초기화 벡터(initialization vector)를 적용할 수 있다.[4]
- 접근 통제
- 보안 관리자에 의한 개발자, 사용자, 관리자(DBA 포함)에 대한 역할을 부여하고, RBAC 기반의 접근 통제가 가능하다. DBMS 독립 모듈을 통한 자원을 접근 통제하고, 암호화, 비암호화 데이터에 대한 접근을 제어한다. 데이터베이스 사용자, IP, 응용 프로그램, 시간대 별 세부 접근제어를 제공한다.[4]
- 검증된 보안 인증
- 국정원인증 국가용 암호제품 및 암호모듈을 탑재했고, GS(good software) 마크 획득 및 행정정보보호용으로 인증받았으며 암호키관리 및 접근제어 기법 기술 특허 제품이다.[4]
- 감사기록
- GUI 기반의 DBMS 접근 및 서비스 관련 이벤트에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴을 제공한다. 감사로그에 대한 주기적인 자동백업 기능도 있다.[4]
기능
- 암·복호화 기능
- 접근 권한 관리 기능
- 감사 로그 관리 기능
- 암호화 키 관리 및 관리자(Admin) 기능
비정형데이터 암호화
일정한 규격이나 형태가 아닌 그림이나 영상, 문서처럼 형태와 구조가 복잡해 정형화되지 않은 비정형 데이터를 유형에 따라 적절한 암호화 방식을 통해 최적화된 암호화를 지원한다.[4]
도입 배경
비정형 데이터란 일정한 규격이나 형태가 아닌 그림이나 영상, 문서처럼 형대와 구조가 복잡해 정형화되지 않는 데이터이다. 기업 데이터 중 정형과 비정형 데이터의 비율은 20대 80으로 비정형 데이터 비율이 압도적으로 높은 상황이다. 또한 2019년 1월을 기준으로 개인정보보호법이 개정되었는데, 제21조의 2의 암호화 적용 대상을 보면 데이터베이스 뿐만 아니라 제정되는 모든 개인정보 암호화가 필요하게 되었다. DBMS 뿐만 아니라 로그, 이미지, 녹취(음성, 영상) 등 비정형으로 저장되는 주민등록번호도 암호화가 필수가 되었기 때문에 이와 같은 암호화 방식이 도입하게 되었다.[4]
특징
- Pro-active 다양한한 암호화 알고리즘 제공
- 감사 로그 자동 백업 및 통계, 리포팅
- 최적화된 성능 및 보안 환경 지원 보장
- 기술 특허권 보유 및 국정원 암호 모듈 검증
기능
- 확장성
- 인프라 전 영역에서 최적화된 모델로 적용이 가능하고 국내외 표준 암호 알고리즘을 지원한다. 모든 운영체제, DBMS 및 개발환경 또한 지원한다.[4]
- 부하분산
- 응용단에서 암·복호화를 처리하므로 DBMS 부하가 분산되며 고객사 환경에 영향이 없는 유연한 적용으로 부하가 분산된다.[4]
- 성능 보장
- 암·복호화 처리 속도가 우수하고 대용량 데이터 처리에 용이하다. 파일 처리 방식과 스트림 처리 방식을 지원한다.[4]
- 보안 인증
- 장애 대응을 위해 키 관리 서버를 이중화로 구성하였다. 안전한 암호키 관리 및 국정원 암호화 검증 제품이며, 보안 향상을 위해 키 관리 서버에 HSM 탑재가 가능하다.[4]
특징
시큐어디비의 몇가지 특징으로는 첫째, 보안시장에서 검증된 제품이다. 다수의 공공·교육·금융 분야에서 성공적 구축과 안정적 운영으로 검증된 안전성이 보장된 제품이다. 암·복호화가 수행의 핵심 기능이 운영 체제 커널 레벨(kernel level)에서 동작하기 때문에 암호화 파일에 대한 인위적 조작이 불가능하며, 악성 코드로부터 안전하게 보호된다.[5] 둘째, 다양한 방식의 데이터 암호화가 가능하다. 정형 데이터에 대한 암호화부터 비정형 암호화에 이르기까지 다양한 방식의 암호화를 지원하여 고객사 내부 환경에 적합한 암호화 방식의 적용이 가능하다. 셋째, 컴플라이언스를 준수한다. 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법 등 개인정보에 대한 각종 법률 준수 기반을 마련하고 컴플라이언스 확보가 가능하다.[6] 넷째, 적용 용이성이다. 운영체제의 커널에서 파일 단위의 암·복호화를 수행함으로써, 기존 응용 애플리케이션 소스 코드 변경 없이 손쉬운 적용이 가능하며, 암호화 이후의 성능 저하를 최소화할 수 있다. 다섯째, 보안이 강력하다. 기존 파일 암호화 제품과 달리 상세 레벨의 권한 관리 및 감사 기록 관리가 가능하다. 암호화 대상 정보인 테이블 및 컬럼, DBMS 사용자, IP 주소, 접근 시간대 및 응용 프로그램 레벨의 다양한 조합으로 접근 권한 및 감사 로그를 관리할 수 있다.[5] 여섯째, 파일 암호화이다. GUI 기반의 암호화 상태를 모니터링할 수 있고, 접근 통제에 따른 감사기록이 생성된다. 별도의 설치가 필요하지 않은 웹 기반의 관리 페이지를 제공한다.[1]
기능
- 데이터 암호화
- 응용 프로그램에서 암·복호화할 수 있으며, DBMS 부하를 분산시킨다. 암·복호화 처리 속도가 우수하여 대량 데이터 처리에 용이하다.[6]
- 강력한 접급통제
- 개발자·사용자·운영자 ·보안관리자 별 역할을 부여하고 RBAC 기반의 접근 통제가 가능하다. 암호화 및 비암호화 데이터에 대해 접근을 제어할 수 있다.[6] 데이터베이스 로그인 시 권한 확인, 테이블 단위의 권한 확인, 사용자, IP주소, 시간, 응용프로그램 등 조건 별 접근 통제가 가능하다.[2]
- 세분화된 감사기록
- 감사로그에 대한 자동 백업 및 암호화하여 저장할 수 있다. GUI 기반 관리자가 설정하는 모든 정책에 대한 행위기록 및 통계 등 보안 관리자 중심의 관리툴을 제공한다.[6]
- 데이터베이스 무중단 서비스
- 데이터베이스 에이전트는 암호화 대상 컬럼에 대한 초기 암호화 작업을 백그라운드로 처리한다. 암호화를 위한 초기 작업 시 데이터베이스 서비스 중단 시간을 최소화한다. DBMS 서비스 중단 없이 기존의 어플리케이션에 대한 서비스를 유지한다.[2]
구축 방식
- 플러그인 방식
- 플러그인 방식은 응용프로그램 수정이 필요하지않다. 기존 운영 시스템에서 변경없이 암호화를 적용할 수 있다. 사용자별 접근 통제에 대한 권한 부여가 가능하며, 단기간 내 구축에 용이하다. 하지만 대용량 데이터의 경우 암·복호화 과정이 DBMS에서 수행되므로 DBMS에 부하가 발생하게 된다. DBMS 부하 증가로 시스템에 영향을 끼치게 된다. 적용 시스템은 홈페이지 등 단순 시스템이나 Simple&Small Size 시스템에 유리하다.[7]
- API 방식
- 대용량 데이터의 암·복호화 과정이 프로그램 안에서 수행되므로 DBMS 부하가 분산되는 효과가 있다. DBMS 부하가 적어 속도가 증가하게 되며, 시스템에 영향도가 낮아지게 된다. DB API 방식으로 구축할 시 암복호화 함수를 DBMS에서 직접 호출함으로써 플러그인을 적용하면 효과를 동일하게 볼 수 있다. 단, 기존 응용 프로그램 수정을 통한 암호화 적용에 따른 인력 투입과 구축 기간이 장기간 소요된다. 암호화 적용 대상 컬럼이 주요 키로 존재하는 경우 전체 데이터 검색(full scan) 시 DB의 성능이 악화된다. 또한 사용자 별 접근 통제가 불가능하다. 적용 시스템은 대용량 온라인 트랜잭션 시스템이나 성능 최우선의 온라인 집중 환경에 유리하다.
- 하이브리드 방식
- 데이터베이스에 대한 부하는 WAS로 분산시키며 암호화 컬럼에 대한 인덱스를 적용한다. 애플리케이션의 수정을 최소화 할 수 있으며 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능을 개선할 수 있다. 단, 데이터베이스 서버의 일부 부하가 발생할 수 있고, 애플리케이션의 일부를 수정해야할 수도 있다. API 적용 암호화 데이터에 대한 색인 검색 및 접근통제, 감사로그를 지원하지않고, 암호화 적용을 위해 데이터베이스 스키마를 변경해야한다. 적용 시스템은 중형 규모의 성능 우선의 온라인 집중 환경에 유리하고, 애플리케이션 수정이 가능한 시스템에 적용할 수 있다.
활용 사례 및 분야
- 전자복권발생시스템 복권발행 정보, 주민등록번호 암호화
- 국내 최대 패밀리레스토랑 아웃백스테이크 데이터베이스 암호화 구축
- 한국전력(전자입찰, 인사, 노무경영시스템) 데이터베이스 암호화 구축, 한국통신사업자연합회 데이터베이스 암호화(API) 구축(전기번호, 주민번호)
- 삼성전자 데이터베이스 암호화 표준화 제품 선정(국내 5개사 데이터베이스 암호화 제조사 BMT 3회 실시 후 선정/제품 신뢰도 검증)[8]
관련 기사
- 케이사인, 시큐어디비
- ㈜케이사인은 데이터베이스 암호화에 따른 업무시스템 처리속도 저하 문제를 해결한 제품인 시큐어디비를 앞세워 대기업 공략에 나설 계획이다. 시큐어디비는 SAP용 데이터베이스 암호화에 적용하는 개인정보 식별자(PIN) 기술을 적용한 '하이브리드 핀(hybrid pin)' 기술을 활용해 성능 저하 문제를 해결했다. 시큐어디비의 또 다른 강점은 개인정보를 선택해 암호화할 수 있으며, 다양한 데이터 타입을 암호화할 수 있다. SEED, TDES, AES 등 다양한 암호 알고리즘을 제공하고 관리콘솔을 통해 암·복호화를 수행할 수 있어 사용자의 편의성을 크게 높인 것이 특징이다. 사용자 인증 및 접근통제 기능, 감사로그 등 통계와 모니터링 기능을 갖추고 있어 사용자는 보다 안전하게 데이터베이스를 관리할 수 있다. 케이사인은 개인정보 데이터베이스 전체를 암호화해도 데이터베이스 성능에 거의 영향을 주지않는 시큐어디비 암호화 솔루션을 집중 공급하고 개인 정보유출사고를 줄이는데 주력할 계획이라 밝혔다. 또한 개인정보보호법 시행으로 국내 대기업 및 글로벌 기업을 중심으로 데이터베이스 암호화 시장을 선점하는 동시에 해외시장에도 본격 진출할 방침이다.[9]
- 제 2회 대한민국 SW품질대상, 대상 수상
- ㈜케이사인의 시큐어디비는 개인정보 유출을 차단하고 유출시 피해를 최소화한다. 국가정보원 암호모듈 검증, TTA GS 인증, 데이터베이스 암호 기술 특허권을 가진 솔루션으로 지금까지 1000개가 넘은 공공·금융·교육기관과 일반 기업에 도입됐다. 개인정보 암호화 적용과 안정적 운영으로 일선 현장에서 성능과 안전성을 검증받았다. 이러한 시큐어디비는 제2회 대한민국SW품질대상에서 대상을 수상하였다.[10]
- ㈜지란지교소프트와 기업총판 계약체결
- 정보보호업체 ㈜지란지교소프트는 ㈜케이사인과 케이사인시큐어디비제품에 대한 총판 계약을 체결하였다. 이에 ㈜지란지교소프트는 기존에 보유한 보안제품들과 함께 시큐어디비를 함께 공급해 기업이 강력한 보안정책을 운영할 수 있도록 지원한다. 기업총판체결에 대해 시큐어디비의 뛰어난 성능과 ㈜지란지교소프트의 영업/마케팅력이 더해져 매출 증가의 큰 시너지 효과를 기대하고 있다.[11]
- 데이터베이스 암호화 시장 확보
- ㈜케이사인은 SAP 데이터베이스 암호화 제품 시큐어디비를 주력으로 데이터베이스 암호화 매출을 150억원 정도로 예상하고 있는 기업이다. 글로벌 대기업 뿐만 아닌 공공기관 및 기업 등의 여러 고객사를 확보하고 있다. S그룹의 거의 모든 업종 계열사 및 한국고용정보원, 교통안전공단, 대법원, 경찰청, 국세청, 대검찰청, 행정안전부, 한국철도공사, 인청공항공사, 서울메트로 등 정부기관도 고객사로 확보하고 있다.[12]
각주
- ↑ 1.0 1.1 SecureDB(Kernel방식) - https://jsecureplatform.com/wp-content/uploads/2016/03/secureDB-kernel.pdf
- ↑ 2.0 2.1 2.2 2.3 소프트웨어카탈로그 공식 홈페이지 - https://www.softwarecatalog.co.kr/src/Item/ItemMaster.aspx?Serial=8501
- ↑ 손경호 기자, 〈케이사인, 소스코드 고칠 필요없는 DB암호화 SW 공개〉, 《지디넷코리아》, 2014-02-06
- ↑ 4.00 4.01 4.02 4.03 4.04 4.05 4.06 4.07 4.08 4.09 4.10 지란지교에스앤씨 공식 홈페이지 - https://jiransnc.com/
- ↑ 5.0 5.1 KT클라우드 공식 홈페이지 - https://cloud.kt.com/portal/ktcloudportal.epc.productintro.ucloud_server_image.SECUREDB.html
- ↑ 6.0 6.1 6.2 6.3 케이사인 공식 홈페이지 - http://www.ksign.com/page/0201e.php
- ↑ Chelsa Mckee, 〈주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation〉, 《SlideServe》
- ↑ 데이터 전문가 지식포털 공식 홈페이지 - http://www.dbguide.net/solution.db?mobile&boardStep=1&cmd=view&solutionUid=462
- ↑ 김지선 기자, 〈케이사인 '시큐어DB'〉, 《디지털타임스》, 2011-08-30
- ↑ 이호준 기자, 〈대상-케이사인 '케이사인시큐어DB'〉, 《전자신문》, 2015-11-24
- ↑ 김정완 기자, 〈지란지교-케이사인, '케이사인시큐어DB' 기업총판 계약체결〉, 《보안뉴스》, 2010-07-02
- ↑ 길민권 기자, 〈케이사인-케이사인시큐어디비〉, 《데일리시큐》, 2012-12-10
참고자료
- SecureDB(Kernel방식) - https://jsecureplatform.com/wp-content/uploads/2016/03/secureDB-kernel.pdf
- 소프트웨어카탈로그 공식 홈페이지 - https://www.softwarecatalog.co.kr/src/Item/ItemMaster.aspx?Serial=8501
- 손경호 기자, 〈케이사인, 소스코드 고칠 필요없는 DB암호화 SW 공개〉, 《지디넷코리아》, 2014-02-06
- 지란지교에스앤씨 공식 홈페이지 - https://jiransnc.com/
- KT클라우드 공식 홈페이지 - https://cloud.kt.com/portal/ktcloudportal.epc.productintro.ucloud_server_image.SECUREDB.html
- 케이사인 공식 홈페이지 - http://www.ksign.com/page/0201e.php
- Chelsa Mckee, 〈주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation〉, 《SlideServe》
- 데이터 전문가 지식포털 공식 홈페이지 - http://www.dbguide.net/solution.db?mobile&boardStep=1&cmd=view&solutionUid=462
- 김지선 기자, 〈케이사인 '시큐어DB'〉, 《디지털타임스》, 2011-08-30
- 이호준 기자, 〈대상-케이사인 '케이사인시큐어DB'〉, 《전자신문》, 2015-11-24
- 김정완 기자, 〈지란지교-케이사인, '케이사인시큐어DB' 기업총판 계약체결〉, 《보안뉴스》, 2010-07-02
- 길민권 기자, 〈케이사인-케이사인시큐어디비〉, 《데일리시큐》, 2012-12-10
같이 보기
이 문서는 로고가 필요합니다.