[특집 : Product Review] STG security ToFAZ X
관리적, 물리적, 기술적 정보보호 방안부터 IT 컴플라이언스까지 해결
내부자의 데이터 접근제어 취약성, 기업정보 DB집중화로 인한 인가자 및 비인가자에 의한 데이터 임의 조작 및 유출 위험 증가에 대처할 수 있으며 쉽고 강력한 접근 정책과 최고 성능을 제공하는 DB방화벽 ToFAZ X에 대한 관심이 증가하고 있다. ToFAZ X는 기업의 정보자원인 DB에 대한 접근을 실시간으로 감시·통제하며 모든 작업 활동을 기록, 보관함으로써 사후 감사 자료를 제공할 수 있는 DB접근통제솔루션이다.

DB 보안이란 조직의 데이터베이스를 무단으로 사용하거나, 변경 또는 파괴하는 행위로부터 보호하는 것을 의미한다. 다수의 사용자가 접근하는 환경에서는 각 사용자 또는 사용자 집단이 자신들이 허가 받은 데이터에만 접근하도록 제어하는 기능이 제공되어야 하며 기밀성(Confidentiality)과 무결성(Integrity) 등으로 정보의 부당한 유출과 수정을 방지(Preventing), 탐지(Detecting), 제지(Deterring)해야 한다. 이에 내부자의 데이터 접근제어 취약성, 기업정보 DB집중화로 인한 인가자 및 비인가자에 의한 데이터 임의 조작 및 유출 위험 증가에 대처할 수 있으며 쉽고 강력한 접근 정책과 최고 성능을 제공하는 DB방화벽 ToFAZ X에 대한 관심이 증가하고 있다. ToFAZ X는 기업의 정보자원인 DB에 대한 접근을 실시간으로 감시·통제하며 모든 작업 활동을 기록, 보관함으로써 사후 감사 자료를 제공할 수 있는 DB접근통제솔루션이다. 현재 DB보안 솔루션은 크게 보안시장의 90%를 점유하고 있는 접근제어 방식과 DB암호와 방식으로 크게 두 가지로 나누어진다.
암호와 방식은 데이터를 암호화하여 그 자체로 보안성을 유지할 수 있다는 장점에 비해 DB를 암/복호화 하는 과정에서 물리적으로 많은 시간이 필요하다는 점과 암/복호화를 위한 에이전트의 장애 및 성능 저하가 문제로 지적되고 있다.
이에 반해 접근제어 방식은 기업 정보자원인 데이터베이스에 접근하는 모든 사용자에게 사용자ID, 시간, 주소, IP, SQL명령, DB계정 등의 기준을 적용하여 접근을 통제 하며 모든 작업 활동을 실시간으로 감사·통제를 할 수 있도록 하는 것으로 제품 설치가 용이하고 DB검색과 활용에 있어서 사용자 편의성이 높다. 단점으로 접근제어 관련 정책 설정을 위해 관리자의 시간과 노력이 요구되어진다. 이에 ToFAZ X는 쉽고 강력한 접근 정책을 사용하여 기업 환경에 따른 관리적, 물리적, 기술적 정보보호 방안을 만족하고 있다.

STG security DB접근통제솔루션 ToFAZ X의 핵심 기능
국내 규제 만족(IT Compliance)
● 국가정보원 검증필 암호화 모듈을 탑재한 최초의 DB방화벽으로 정보통신망이용 촉진 및 정보보호 등에 관한 법률 시행규칙과 개인정보의 기술적/관리적 보호조치 기준 준수
● 개인정보보호법을 만족하는 사용자 정의 기능인 공공기관의 개인정보보호에 관한 법률 및 시행규칙 제공
 
관리자 권한 분리 및 통제
모든 사용자에게 별도의 보안속성을 부여하고 관리자 권한에서도 사용자 별로 엄격히 구분하여 강력한 접근통제 정책을 제공한다.
쉽고 강력한 접근 정책
국정원 보호프로파일(MLS, RBAC)을 준수하며 실제 업무 권한이 고려된 이해하기 쉬운 보안정책을 제공한다.
 
감사기록 위·변조 방지 및 백업 기능
모든 감사기록 데이터를 실시간으로 국정원 인증 암호화 모듈을 사용하여 암호화하여 감사기록 데이터를 위·변조 할 수 없도록 하였으며 감시기록에 데이터에 대한 백업을 제공한다.

 
최고의 성능 DB
자체 개발한 아메바트리(Amoeba tree)엔진과 메모리 DB 사용으로 최고의 성능을 제공한다. 기존의 상용 RDBMS의 단점을 보완하기 위하여 ToFAZ X의 DB를 메모리에 탑재함으로써 Appliance 1대에 여러대의 대상DB 서버를 적용하더라도 DB 서버의 부하가 없다.
 
데이터베이스 접근 통제 및 실시간 감사
클라이언트 IP주소, 사용자 계정, SQL명령, 어플리케이션 또는 시간등의 정책에 의한 사용자의 접근 통제 및 실시간 감사를 한다. 

 
기타 기능
보고서 관리자를 통한 여러 형태로 구성 가능한 보고서 제공 과 텍스트, 테이블 또는 차트 등의 결과 출력 및 xls, txt, doc, pdf등의 다양한 형태의 결과 생성을 지원한다.
에스티지시큐리티(주)는 보안체계 설계 및 취약점 진단 등의 정보보호컨설팅전문 업체로써 보안컨설팅과 보안솔루션 구축 및 유지보수 등의 보안 SI/SM을 통한 보안사업 노하우가 축적된 ToFAZ X를 개발하였으며 DB접근통제부문 EAL 4등급 국제공통 평가기준(CC)인증을 진행하고 있다. 또한 각 기관의 DB 트래픽 규모에 따라 선택의 폭을 넓힐 수 있도록 3가지(Enterprise, Premium, Standard)의 Appliance를 제공하여 환경에 따라 선택하여 도입할 수 있도록 하였다.
<글 : 정보보호21c 편집부>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>