Q. 국내 DB 암호화 제품에는 어떤 것들이 있는지요? 또 웹서비스 성능의 저하 없이 DB 암호화하는 방법에 대해 궁금합니다. DB암호화 구축 및 제품 선정 시 가장 중점을 두고 검토할 사항은 어떤 것인가요?


A-1. DB암호화 제품에는 API 방식, 플러그인 방식, 어플라이언스(Appliance) 제품 등 3가지가 있습니다. API 방식의 제품은 AP서버에 설치해 애플리케이션을 수정해야 하며, 암·복호화 부하는 AP서버에 생기고 색인검색이 불가능합니다. 주로 비밀번호 암호화 용도로 쓰입니다. 그리고 어플라이언스 제품은 AP서버와 DB서버 사이에 설치되는데, 애플리케이션을 수정해야 하며 암·복호화 부하는 Appliance에 생기고 색인검색이 불가능합니다.

주로 비밀번호 암호화 용도로 사용됩니다. 또 하나 Plug-In 제품은 DB서버에 설치되며 애플리케이션의 수정이 불필요하고 암·복호 부하는 DB서버에 생기며 색인검색이 가능합니다. 제품별로 암호화된 인덱스를 통한 검색을 지원하지는 못합니다. DB암호화 구축 및 제품 선정 시 검토할 사항으로는 DB운영성, 강화된 국정원 보안적합성 검증기준을 만족하는 보안성, DB운영을 불가능하게 하는 제약사항과 성능저하가 최소인지 여부 등을 검토해야 합니다.
(이준택 한양대학교 교수/joontaiklee@gmail.com) 

A-2. DB의 데이터를 암호화할 수 있는 방식은 일반적으로 컬럼 암호화 방식과 블록 암호화 방식으로 나눌 수 있습니다. 컬럼 암호화 방식은 암·복호화 위치에 따라 Plug-In, API 및 혼합 방식인 Hybrid 등의 방식이 있고 블록 암호화 방식은 TDE, 파일 암호화 방식이 있습니다. DB 암호화 구축 시 고려사항은 암호화 대상 및 범위를 선정해야 합니다.

DMZ 구간의 개인정보는 반드시 암호화를 해야 하나 내부망은 위험도 분석 결과에 따라 적용 여부 및 적용범위를 정하고 국내 법·규정에 명시된 정보를 우선으로 암호화 대상을 선정합니다. 그리고 암호화 알고리즘을 적용해야 합니다. 국내외 암호 연구기관에서 권고하는 알고리즘으로 비밀번호는 일방향 알고리즘을 적용하고 그 외의 정보는 양방향 알고리즘을 적용합니다.

또한 암호화 적용시 인덱스 유지 등 성능을 고려해야 하며, 부분암호화 등을 적용하는 방안을 검토하고 암·복호화 키, 마스터키의 생성부터 폐기까지 안전하게 관리해야 합니다. 특히, DB 보안을 위해서 DB 암호화뿐만 아니라 실제 구축 시 에는 접근통제, 성능 이슈 등도 함께 고려할 필요가 있습니다.
(이종현 성공회대학교 정보통신공학과 겸임교수/ phd.yanni@gmail.com)
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>