보안뉴스 창간 19주년을 축하합니다!!

[DB보안-4]“DBA와 DB보안관리자 구분, 관리해야”

2008-12-04 09:01
  • 카카오톡
  • 네이버 블로그
  • url
+ -

DB제품 골라낼 기준 및 DB보안 관리 포함된 정책 수립 필요
이번 장에서는 DB관리의 어려움과 그에 따른 DB보안의 문제점은 무엇이 있는지 알아봤다. - 편집자 주 -

<순서>
1. GS칼텍스 사건을 통해 본 DB 보안
2. 정부, 내부정보유출의 심각성 인식하다
3. 내부정보유출솔루션의 정립 및 소개
4. DB관리와 DB보안의 문제점
5. DB보안, 왜 필요한가?


지금까지 보안에 대한 중요성은 꾸준히 부각되어 왔지만, 정작 회사의 중요한 정보를 담고 있는 데이터베이스는 원활한 서비스를 위한 성능관리에만 초점이 맞춰졌을 뿐, 치밀한 보안 관리가 이루어지지 않았다. 그리고 최근의 GS칼텍스 개인정보 유출사건은 DB보안의 중요성을 깊게 각인시켰다.

하지만 DB에 관한 모든 권한을 가진 관리자에 따라 고의로 혹은 실수로 정보가 유출되거나 악용될 수 있는 가능성이 있다. 또한 외주개발이 증가하고 있는 환경에서 많은 개발 및 테스트 시스템이 개발 및 테스트의 편의와 효율성을 위하여 업무용 DB의 내용을 일부 혹은 전부를 복사하여 생성되는데, 이에 대한 접근 통제 및 감사는 거의 이루어지지 않고 있는 것이 현실이다. 이에 DB관리에 있어 어려움과 DB보안의 문제점은 무엇인지를 살펴본다.

■ 데이터베이스 관리자와 보안관리자 구분, 서버 관리해야
박원규 소프트포럼 소프트웨어사업본부장은 “DB보안 제품을 적용해 DB관리하려면 DB자체를 관리하는 DBA(데이터베이스 관리자)와 DB보안을 관리하는 보안관리자로 구분해 DB서버를 관리해야 한다”고 조언했다.

왜냐하면, “이렇게 역할을 분리하여 DBA는 암호화된 데이터일 경우에는 실제 데이터의 내용은 확인 할 수 없지만 DB서버 자체의 관리는 가능하다. 또한 보안 관리자는 DBA권한이 없기 때문에 DB에 대한 접근권한을 가질 수 없지만 DB보안 정책에 대한 정책정의와 관리를 할 수 있다. 이렇게 보안 관리자와 DB관리자를 분리함으로써 권한이 한 사람에게 집중되었을 때보다 내부직원에 의한 데이터의 유출 사고를 봉쇄 할 수 있기 때문”이라고 박원규 본부장은 말했다.

또한 박 본부장은 “단, 데이터를 암화화해 저장함으로써 일반 평문을 저장할 때 보다 데이터를 암ㆍ복호화하는 프로세스가 추가됨으로써 이에 대한 부하가 추가된다. 또한 평문을 암화화 하게 되면 데이터의 순차성이 깨지게 돼 Index테이블을 이용하는 컬럼에 대한 데이터를 암호화하게 되면 Index를 활용 할 수 없으므로 부분 검색 속도에 영향을 줄 수 있다”고 말했다.

■ DB보안 제품, 요구사항 충족하는 제품 골라낼 기준 없어
정재훈 신시웨이 대표는 “현재 시스템은 실사용자 중심이 아닌 계정중심으로 운영되고 있으며, DB사용기록을 제대로 남기지 못하고 있는 것이 현 DB관리와 보안의 가장 큰 문제점”이라고 말했다.

아울러 정재훈 대표는 DB솔루션 시장의 현 문제점은 “DB시장은 다양한 제품들로 넘쳐나고 있고, 제품을 구매하고 자 하는 수요자에게는 보안의 요구사항에 대한 뚜렷한 정책이나 목표가 없고, 보안요구사항에 충족하는 제품을 골라낼 만한 기준이나 변별력이 없는 것이 현재 DB보안 솔루션 시장을 혼란케 하는 요소”라고 꼬집었다.

■ DB보안 관리 포함된 정책 수립 필요
윤영필 펜타시큐리티 부장은 “DB관리는 기간 시스템인 DB시스템에 대한 가용성 보장을 그 목적”으로 하지만 “DB보안은 데이터 자체가 안전하게 보관되고 있는지 적법한 권한을 가진 자가 이를 사용하는 지를 통제 및 관리하는 것을 그 목적으로 하기 때문에, DB관리의 목적에 반한다고 생각할 수 있다”고 말했다.

즉 윤영필 부장은 “DB보안을 위해서는 추가적인 DB관리 주체와 항목들을 고려해야 하는데 이것이 기존의 DB관리 영역에 추가되어야 하는 부분이기 때문에 이를 고려하지 않은 관리자에게는 가용성을 해치는 것”으로 생각할 수 있다는 것이다.

아울러 윤 부장은 “이러한 문제는 DB보안이 DB관리의 새로운 영역으로 고려돼 관리 정책이 수립되는 문화 정착으로 해결해야” 하며, “IT시스템 전 분야에 걸쳐서 보안 기능이 고려되는 것과 같이 시스템 관리 영역에 있어서도 보안 관리가 포함된 정책 수립이 필요”하다고 덧붙였다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

    • 라온피플

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 유니뷰코리아

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TNTKOREA

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 한국씨텍

    • 비전정보통신

    • 와이즈콘

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 위트콘

    • 케비스전자

    • 현대틸스
      팬틸트 / 카메라

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 세연테크

    • 구네보코리아주식회사

    • 포엠아이텍

    • 넥스트림

    • 씨게이트

    • 안랩

    • 파고네트웍스

    • 앤앤에스피

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 인빅

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 새눈

    • 인더스비젼

    • 일산정밀

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 네티마시스템

    • 에이앤티글로벌

    • 알씨

    • 에이앤티코리아

    • 레이어스

    • 메트로게이트
      시큐리티 게이트

    • 이엘피케이뉴

    • 미래시그널

    • 엘림광통신

    • 엔시드

    • 엔에스티정보통신

    • 제네텍

    • 넥스텝

    • 혜성테크원

    • 포커스에이아이

    • 티에스아이솔루션

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기