Upload
chelsa
View
274
Download
1
Embed Size (px)
DESCRIPTION
주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안. 제안 솔루션 소개. 케이사인 솔루션 소개 DB 암호화 [ Plug In] 구성방식 일반적인 DB 암호화 구축 방안. 4 . 암호화 구축방식별 비교 5 . 암호 키 관리 기능 6 . 접근제어 및 감사 기능 7 . DB 통합 관리 기능 8 . 감사 및 장애 복구 기능. KSignSecure DB 주요 기능. - PowerPoint PPT Presentation
Citation preview
1 케이사인 솔루션 소개
2 DB 암호화 [Plug In]
구성방식
3 일반적인 DB 암호화 구축
방안
제안 솔루션 소개
4 암호화 구축방식별 비교
5 암호 키 관리 기능
6 접근제어 및 감사 기능
7 DB 통합 관리 기능
8 감사 및 장애 복구 기능
326
1 KSignSecure DB 솔루션 소개
KsignSecureDB 제품 개요
KsignSecureDB 제품 특장점
데이터 타입
암호화 기능
암호알고리즘
암호화 편리성
안정성
접근통제 기능
감사로그 및 모니터링
KSign Secure DB 소개
필드암호화
KSignSecure DB제품명제품명
케이사인제조사제조사
제품개요제품개요
bull DBMS 정보 선택적 암호화 User 별 인증 및 접근 통제
bull DBMS 운영 관리자와 DB 보안 관리자 역할 분리를 통한 DBMS 관리 보안 강화
bull 분산 환경의 다 중의 DBMS 시스템 중앙 보안 관리
bull GUI 기반의 다양한 통계 모니터링 기능
보안 관리자에 의해 선택된 특정 필드에 대한 암호화 수행응용 시스템 독립적인 암 복호화 절차 수행 ( 별도의 연동 작업이 필요하지 않음 )
접근통제
보안 관리자에 의한 개발자 사용자 관리자 (DBA 포함 )에 대한 역할 부여 및 RBAC 기반의 접근 통제DBMS 독립 모듈 (Secure DB Agent) 을 통한 자원 접근 통제
감사기록
GUI 기반의 DBMS 접근 및 서비스 관련 Event 에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴 제공
검증된보안 기능
국가정보원 보안적합성 검증필 및 암호모듈검증 모듈 탑재GS(Good Software) 마크 획득 행정정보보호용 인증 제품인덱스 암호화 암호키관리 및 접근통제 기법 기술 특허 제품
KSignSecure DB 주요 기능
접근통제
사용자 권한관리
APP 접근통제
감사추적관리
보고서 기능
bull 다양한 데이터 타입의 암호화 지원
bull 다양한 암호알고리즘 제공 (SEED TDES AES ARIAHash 등 )
bull 관리콘솔을 통한 암복호화 수행
bull 선택적인 initialization Vector 적용 가능
bull 암호화 비암호화 데이터에 대한 접근제어
bull RBAC 기반의 편리한 접근제어 정책 설정
bull DB 사용자 이외에 IP 응용프로그램 시간대 별 세부 접근제어 제공
bull 감사로그에 대한 주기적인 자동 백업 기능 통계기능
bull 암복호화 모니터링 및 수행내역 리포팅 기능
426
KSignSecure DB 시스템 구성은 다음과 같습니다
주요 인증획득 현황
2 DB 암호화 시스템 구성 [Plug In 방식 ]
GUI 기반 관리콘솔
526
2 1 DB 암호화 시스템 구성 상세설명 [Plug In 기준 ]
Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다
보안정책관리
암호화 키 관리
보안정책설정
감사기록통계
Server Admin
DB 서버 보안관리자 PC
TCP9001
TCP9002
TCP7070
AgentPackage
Agent
PolicyDB
view
암호화 테이블
응용프로그램
Client Tool
초기 암호화
데이터 암 복호화
접근통제
감사기록
SDB_USER ( 테이블 )
USER (테이블 )
USER ( 뷰 )
암호화 적용
TCP9003
extproc
626
22 Plug In 방식 암호화 적용 시 DB 구조 변경
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경
Table SDB_EMP Advanced Index
암호화후
Table EMP Unique Index암호화전
View EMPUnique Index
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
326
1 KSignSecure DB 솔루션 소개
KsignSecureDB 제품 개요
KsignSecureDB 제품 특장점
데이터 타입
암호화 기능
암호알고리즘
암호화 편리성
안정성
접근통제 기능
감사로그 및 모니터링
KSign Secure DB 소개
필드암호화
KSignSecure DB제품명제품명
케이사인제조사제조사
제품개요제품개요
bull DBMS 정보 선택적 암호화 User 별 인증 및 접근 통제
bull DBMS 운영 관리자와 DB 보안 관리자 역할 분리를 통한 DBMS 관리 보안 강화
bull 분산 환경의 다 중의 DBMS 시스템 중앙 보안 관리
bull GUI 기반의 다양한 통계 모니터링 기능
보안 관리자에 의해 선택된 특정 필드에 대한 암호화 수행응용 시스템 독립적인 암 복호화 절차 수행 ( 별도의 연동 작업이 필요하지 않음 )
접근통제
보안 관리자에 의한 개발자 사용자 관리자 (DBA 포함 )에 대한 역할 부여 및 RBAC 기반의 접근 통제DBMS 독립 모듈 (Secure DB Agent) 을 통한 자원 접근 통제
감사기록
GUI 기반의 DBMS 접근 및 서비스 관련 Event 에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴 제공
검증된보안 기능
국가정보원 보안적합성 검증필 및 암호모듈검증 모듈 탑재GS(Good Software) 마크 획득 행정정보보호용 인증 제품인덱스 암호화 암호키관리 및 접근통제 기법 기술 특허 제품
KSignSecure DB 주요 기능
접근통제
사용자 권한관리
APP 접근통제
감사추적관리
보고서 기능
bull 다양한 데이터 타입의 암호화 지원
bull 다양한 암호알고리즘 제공 (SEED TDES AES ARIAHash 등 )
bull 관리콘솔을 통한 암복호화 수행
bull 선택적인 initialization Vector 적용 가능
bull 암호화 비암호화 데이터에 대한 접근제어
bull RBAC 기반의 편리한 접근제어 정책 설정
bull DB 사용자 이외에 IP 응용프로그램 시간대 별 세부 접근제어 제공
bull 감사로그에 대한 주기적인 자동 백업 기능 통계기능
bull 암복호화 모니터링 및 수행내역 리포팅 기능
426
KSignSecure DB 시스템 구성은 다음과 같습니다
주요 인증획득 현황
2 DB 암호화 시스템 구성 [Plug In 방식 ]
GUI 기반 관리콘솔
526
2 1 DB 암호화 시스템 구성 상세설명 [Plug In 기준 ]
Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다
보안정책관리
암호화 키 관리
보안정책설정
감사기록통계
Server Admin
DB 서버 보안관리자 PC
TCP9001
TCP9002
TCP7070
AgentPackage
Agent
PolicyDB
view
암호화 테이블
응용프로그램
Client Tool
초기 암호화
데이터 암 복호화
접근통제
감사기록
SDB_USER ( 테이블 )
USER (테이블 )
USER ( 뷰 )
암호화 적용
TCP9003
extproc
626
22 Plug In 방식 암호화 적용 시 DB 구조 변경
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경
Table SDB_EMP Advanced Index
암호화후
Table EMP Unique Index암호화전
View EMPUnique Index
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
426
KSignSecure DB 시스템 구성은 다음과 같습니다
주요 인증획득 현황
2 DB 암호화 시스템 구성 [Plug In 방식 ]
GUI 기반 관리콘솔
526
2 1 DB 암호화 시스템 구성 상세설명 [Plug In 기준 ]
Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다
보안정책관리
암호화 키 관리
보안정책설정
감사기록통계
Server Admin
DB 서버 보안관리자 PC
TCP9001
TCP9002
TCP7070
AgentPackage
Agent
PolicyDB
view
암호화 테이블
응용프로그램
Client Tool
초기 암호화
데이터 암 복호화
접근통제
감사기록
SDB_USER ( 테이블 )
USER (테이블 )
USER ( 뷰 )
암호화 적용
TCP9003
extproc
626
22 Plug In 방식 암호화 적용 시 DB 구조 변경
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경
Table SDB_EMP Advanced Index
암호화후
Table EMP Unique Index암호화전
View EMPUnique Index
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
526
2 1 DB 암호화 시스템 구성 상세설명 [Plug In 기준 ]
Ksign Secure DB 설치정보는 다음과 같이 구성되어 있습니다
보안정책관리
암호화 키 관리
보안정책설정
감사기록통계
Server Admin
DB 서버 보안관리자 PC
TCP9001
TCP9002
TCP7070
AgentPackage
Agent
PolicyDB
view
암호화 테이블
응용프로그램
Client Tool
초기 암호화
데이터 암 복호화
접근통제
감사기록
SDB_USER ( 테이블 )
USER (테이블 )
USER ( 뷰 )
암호화 적용
TCP9003
extproc
626
22 Plug In 방식 암호화 적용 시 DB 구조 변경
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경
Table SDB_EMP Advanced Index
암호화후
Table EMP Unique Index암호화전
View EMPUnique Index
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
626
22 Plug In 방식 암호화 적용 시 DB 구조 변경
Plug In 방식의 암호화 적용 시 DBMS 스키마 구조 변경
Table SDB_EMP Advanced Index
암호화후
Table EMP Unique Index암호화전
View EMPUnique Index
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
726
21 시스템 구성도Secure DB 암호화 구축 시 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현하겠습니다
3 일반적인 DB 암호화 구축 방안
Hybrid 구축 적용
구 분 API 방식 Plug-in 방식
장 단점
장점bull DBMS 에 대한 부하 분산 효과 발생 및 성능 향상bull DBMS 부하가 적어 속도 증가 효과 발생으로 시스템 영향도가
낮음
bull 쿼리 수정이 없어 시스템 복잡도 감소bull 중요 컬럼에 대한 암 복호화 기능 제공bull 인덱스 구간 Searching 기능 제공
단점bull 쿼리수정 및 응용시스템 수정bull 암호화 컬럼이 key 로 존재하는 경우 Full Scan 으로 인한 DB 성능 악화
bull 데이터 암 middot복호화 과정이 DBMS 에서 수행되므로 DBMS 의 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 성능 최적화 - DB 에 대한
부하를 WAS 로 분산 - 암호화 컬럼에
대한 인덱스적용
장 점API 방식 Plug-in 방식
장점bull 부하분산
bull DB속도증가
단점bull 대량수정bull 인덱스 성능감소
장점bull 수정최소bull 인덱스 성능향상
단점
bull DB 부하bull 속도감소
API 와 Plug-in 의장점만 수용
사용자
WAS
DBMS통합 DB 시스템
관리자암호화 테이블Secure API
부하 낮은 쿼리
부하 높은 쿼리
Secure Agent
Veiw
Hybrid 방식 구성방안
Hybrid방식
구 분 API 방식 Plug-in 방식
적용 시 문제점
bull 암호화 컬럼이 Key 로 존재하는 경우가 많아 API 적용 시 성능저하 현상 발생하여 부적합
bull 부하분산이 되지 않아 DBMS 에만 집중부하 현상 발생
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
826
21 시스템 구성도KSignSecureDB 는 Secure DB 는 Plug In amp API 방식의 장점을 수용한 Hybrid 방식을 적용하여 부하 분산 및 성능향상을 목표로 하며 최적의 적용방안으로 암 middot 복호화 기능을 구현합니다
31 DB 암호화 성능 확보방안
DB 암호화 성능확보 방안
테이블 컬럼 인덱스
계좌잔액정보 계좌번호 주키 인덱스 외부키 인덱스
금융상품예치내역 계좌번호 외부키 인덱스
금융상품이자수취내역 계좌번호 주키 인덱스 외부키 인덱스
금융상품원장정보 계좌번호 주키 인덱스
금융상품해지내역 계좌번호 주키 인덱스 외부키 인덱스
변동금리정보 계좌번호 주키 인덱스 외부키 인덱스
자금운용계획정보 계좌번호 외부키 인덱스
신용카드계좌인출내역 신용카드번호 주키 인덱스
신용카드정보변경요청 신용카드번호 주키 인덱스
신용카드정보 신용카드번호 주키 인덱스
처리대상정보 이체번호 외부키 인덱스
은행이체정보 이체번호 주키 인덱스
계좌별이용기관정보 이체번호 주키 인덱스
통합거래처계좌정보 계좌번호 주키 인덱스
결의수령인정보 지급계좌번호 주키 인덱스
사용자정보 주민등록번호 일반 인덱스
암 호 화 전
암 호 화 후
효율적 업무설계 및 인덱스 접근성 높음
액세스 범위를 줄여 성능 향상
성능에 중요한 인덱스 ( 주요키 외부키 ) 를 액세스 하지 못함
조건 절에 포함되어도 테이블 전체 스캔
영향 받는 주요 인덱스
성능
저하
문제
해결
인덱스 컬럼 암 middot 복호화로인한 성능 저하 발생가능
함수기반 인덱스 사용
사용자
```
DBMS
Secure Agent
Veiw
암호화된 컬럼으로 Query 변경
Index 체계
Index 체계
Secure Index
일반 Query
bull 쿼리 수정이 없는 데이터 암 middot 복호화에 대해서는 약 15 정도의 DBMS 부하 발생
bull 쿼리 수정이 발생하는 데이터 암 middot 복호화에 대해서는 약 12 정도의 DBMS 부하 발생
일반적인 DBMS 성능 저하 요인
bull 인덱스 구간 Searching 기능 지원
bull 수정이 필요한 특정 쿼리에 대한 부하는 WAS 로 분산
DB 암 middot 복호화 성능 목표치 달성
5~ 10 이내 달성
Example
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
926
21 시스템 구성도
32 DB 암호화 성능 확보방안암호화 데이터 쿼리 튜닝
암호화 대상 업무 분석
구분 세중그룹업무 전체
암호화 적용 대상
테이블 1720 개 97 개
인덱스 2180 개 20 개
컬럼 33116 개 174 개
쿼리 21214 개 3152 개 성능관리 및 집중튜닝 대상
시 사 점
응답이 지연 될 경우 전체 업무에 영향
응답지연 쿼리 발생 가능
응답시간
RowsOLTP BATCH
5~10 이내
20 이내
암호화 후
암호화 전
강 원 랜 드
업무의 쿼리는 주로 분석형태 및 대용량 자료 쿼리 이므로 20 지연가능성이 있음
컬럼 암호화 후 외부 환경에 따라서 응답지원 쿼리가 발생 가능성 존재
체계적인 성능 관리
자사 성능 전문가 투입1
2
응답지연 쿼리
응답지연 쿼리 성능향상 방안
쿼리 튜닝을 통한 응답지연현상 해소
Example
DB 암 middot 복호화 적용 전ㆍ후 성능치
사용자
WAS DBMS
1 초 4 초
적용 전 ( 전체 응답시간 5 초 가정 )
20 80
예시
사용자
WAS DBMS
1 초 4 초 plusmn08Secure API
적용 후 ( 전체 응답시간 5 초 가정 )
Secure Agent
20 80+(15~20)
예시
구 분 API Plug-in Hybrid
성능 분석
기존 성능 + 50uarr
기존 성능 + 30 uarr
기존 성능 + (5~15)
uarr
성능 지연 발생
대비책
bull 성능 전문가 투입을 통한 성능 향상 지원bull 목표 성능치를 만족하지 못하는 부분에
대한 DB 튜닝 지속 지원
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1026
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 1최적화된 시스템 분석을 위해서는 시스템의 서비스 특징 및 시스템의 주요 부하 (LOAD) 유형을 면밀히 조사해야 합니다 시스템 부하 (LOAD) 유형에는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉠 수 있습니다
시스템 별 업무 유형 분석 방안
SQLSQLSQL
SQL서비스 암호화
테이블암호화 칼럼 SQL 유형
통합전산시스템 마스터 주민번호
SELECT 20개
UPDATE 3개
DELETE 1 개
hellip hellip hellip
+
On-Line 서비스 비중()
1
Batch 비중 ()2
File Batch 비중 ()3
원격 IF 비중 ()4
기타 비중 ()5
실무자
11
시스템 별 업무 별 APP 별업무 처리 유형 (On-LineBatchFile Batch 원격 IF 기타 ) 에
대한 서비스 부하 조사
서비스 부하 유형 부하 비중
통합전산시스템
(IBM p690)Oracle
10202(CPU)13GHz
24
On-Line 서비스 비중
()
서비스 90 야간 0
Batch 비중()
서비스 0 야간 50
File Batch 비중 ()
서비스 5 야간 20
원격 IF 비중()
서비스 5 야간 20
기타 비중 ()서비스 0 야간 10
암호화 대상
통합전산시스템
홈페이지
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1126
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 2업무 유형별 SQL 분석과 함께 운영 시스템에서 직접 SQL 수행 모니터링을 통해서 업무별 SQL 을 추출하고 개별 SQL 의 수행 비용 및 실행 계획을 기록하여 앞서 작성한 시스템 유형 분석의 SQL 과 대조를 해 보면 누락 SQL 에 대한 보완 작업을 진행 합니다
업무 SQL 모니터링 분석 방안
+
암호화 대상 운영 DB 에 대한 모니터링
시간 대 오전 오후 저녁 새벽
업무 프로그램 별 SQL 및 실행 계획 SQL 비용 조사
[ 서버 별 자원 사용 현황 조사 ]
+
[ 암호화 대상 테이블 SQL]11 22
SQLSQLSQLSQL
암호화 대상 칼럼에 대한 고 비용 SQL은 최적화 방안 마련
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
( 성능 이슈 )Full Scan 및 Bind 변수 미 처리 SQL은
별도 분류하여 고객 사에 조치 요청
0
20
40
60
80
100
1 분 3 분
동
서
북
[AP 별 SQL 부하 조사 ]33
암호화 대상 칼럼을 참조하는
SQL들을 AP 별로 분류하고
다시 이를 CRUD 별로 세분화
한다
서비스 종속성
SQL 유형
처리 유형
[ 튜닝 전략 ]
최적화 튜닝 전략 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1226
33 성능보장 핵심방안 _ 사전환경분석 _ 핵심 3사업 착수 후 DB 암호화에 대한 최적화 성능 시험을 마무리 하고 운영에 반영까지 완료하려면 시스템 간 종속성을 면밀히 체크하여 종속성이 높은 시스템들은 동시에 시험을 진행할 수 있도록 개발 환경 구성 및
시험일정을 수립 합니다
시스템 별 IF 종속성 분석 방안
고객
고객 번호고객명고객 거주지우편번호고객상태고객주소고객전화번호
고객 FAX 번호
주문
주문 번호주문일자주문상태
주문 ITEM BACKORDERED
수량
ITEM
ITEM 번호수량ITEM 명
주문 ITEM SHIPPED
수량선적일자
ER 모델
암호화 인증서
발행(PKI)
암호화 인증서
확인자동 적용
Oracle SSO Server
agent
agent
통합 로그인
첫 화면 제공
화면 제공고용보험
연동 대상 시스템
SSO
11
22
33
44
55
6677
88
SSO Server 로그인
[ 시스템 간 업무 종속 성 파악 ]11
+
고용관리 워크 넷
직업 훈련
실무자 및 DB 모니터링 (MACHINEAP 별 SQL) 을
통해서 얻은 정보와 네트워크 모니터링을 통해서
시스템 별 업무 종속성을 면밀히 파악 합니다 실무자
[ 시스템간 서비스 종속 관련 암호화 대상 테이블 파악 ]22
[ 업무 시스템 ERD]
+
33 [ 시스템간 네트워크 접속 IP
확인 ]
[ 최적화 된 DB 암호화 시험 일정 ]
포탈
통합 DB콜센터
SMS
기타
44[ 시스템에 대한 AP 별 부하 확인 ]
50
20
10
20
최적화된 시험 환경 구성
시험 일정 수립
조합
암호화 대상
고객등록정보
고객검사사용
자
업무종사자
협력사종사자
홈페이지
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1326
33 성능보장 핵심방안 _ 테스트 환경구성 방안
사전 환경 조사 내용을 기준으로 환경 구성 복잡도 (Simple -gt Complex) 업무 종속성 (종속성 없는 것 -gt 종속성 깊은 것 ) 성능 이슈 ( 낮은 것 -gt 높은 것 ) 등을 고려하여 환경 구성 유형을 분류합니다
암호화 적용 후 성능 테스트 환경구성 방안
시험 환경구성 고려사항
bull 운영과 동일한 OS Parameter 설정
bull 운영과 동일한 DB Parameter 설정
bull 운영과 동일한 데이터 환경 구성
bull 운영과 유사한 IF 환경 구성
1
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1426
33 성능보장 핵심방안 _ 테스트 환경구성 방안성능이슈 요건 및 단 기간내 (15 개월 ) 암호화 구축을 위해서는 업무 유형별 시험에서 최적화된 AP 튜닝이 이루어져야 하고 이는 On-Line 서비스 BatchFile Batch 원격 IF 기타로 나뉘어 수행 됩니다
암호화 적용 후 성능 테스트 환경구성 방안
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1526
33 성능보장 핵심방안 _ 성능 모니터링 방안시스템 별 업무 유형 별 AP(SQL 포함 ) 최적화를 한 이후 성능 시험을 통해서 AP 수행 최적화 상태를 최종 확인하는데 이에 대한 모니터링 기준으로는 ( 암호화 전 lt-gt 암호화 이후 )CPU 수행시간 Logical IOPhysical IO 값을 기준으로 성능 이슈 SQL 을 추출하여 분석 합니다
암호화 적용 후 성능 시험 모니터링 방안
운영
반영
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
DB 암호화 작업 수행 후 모니터링을
통해서 이상 비용 AP(SQL 포함 ) 는
최적화 수행해야 합니다
105 근사한 성능
목표치 달성 후 작업
절차서 작성
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1626
4 DB 암호화 구축 방식별 비교DB 암호화 구축 방식 4 가지로 Plug In amp API 방식과 Hybrid 구축 방식으로 나뉘며 구축 방법의 특장점은 아래와 같습니다
구분 Plug In 방식 API 방식 Hybrid 방식
장점
bull 응용 프로그램 수정 없음 (APP SQL 수정 )
bull 기존 운영시스템 변경없이 암호화 적용
bull 사용자별 접근통제에 대한 권한 부여 가능
bull 단기간내 구축에 용이함
bull 대용량 데이터의 암 middot 복호화 과정이 프로그램 단에서 수행되므로 DBMS 부하의 분산 효과
bull DBMS 부하가 적어 속도 증가 효과 발생으로
bull 시스템 영향도가 낮음 bull DB 에 대한 부하를 WAS 로 분산
bull 암호화 컬럼에 대한 인덱스적용
bull Application 수정 최소화
bull 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능 개선
bull DB API 방식 구축 시 암복호화 함수를 DBMS 에서 직접 호출함으로써 Plug In 적용 시 효과를 동일하게 볼 수 있음
단점bull 대용량 데이터의 경우 암 middot 복호화 과정이 DBMS
에서 수행되므로 DBMS 부하 발생
bull DBMS 부하 증가로 시스템 영향
bull 기존 응용 프로그램을 수정을 통한 암호화 적용에 따른 인력 투입 구축 기간의 장기간 소요
bull 암호화 적용 대상 컬럼이 메인 key 로 존재하는 경우 전체 데이터 검색 (Full Scan) 시 DB 성능 악화
bull 사용자 별 접근통제 불가
bull DB 서버의 일부 부하 발생
bull APP 일부 수정
bull API 적용 암호화 Data 에 대한 색인 검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
적용시스템
bull 홈페이지 등 단순 시스템
bull Simple amp Small Size 시스템에 유리
bull 대용량 온라인 트랙잭션 시스템
bull 성능 최우선의 온라인 집중 환경에 유리
bull 중형 규모의 성능 우선의 온라인 집중 환경에 유리
bull App 수정 가능한 시스템에 적용 가능
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1726
41 DB 암호화 구축 방식별 비교
DBMS 암호화 제품 형태별 장단점 비교
제품형태
설치 작동 장소 성능부하시스템부하
APP 수정
장점 단점 보안성
Hybrid 방식
bull Plug In DB 서버
bull API WAS 서버
bull OLTP 5~10 이내
bull Batch 50 이내있음
일부수정
bull Plug In 의 장정 amp API 장점
bull DB 서버의 일부 부하 발생bull APP 일부 수정bull API 적용 암호화 Data 에 대한 색인
검색 및 접근통제 감사로그 미지원
bull 암호화 적용을 위해 DB Schema 변경
높음
Plug In
방식
bull DB 서버
bull OLTP 5~10 이내
bull Batch 100~200 이내
있음일부수정
bull 색인검색 가능bull Application 수정의 최소화bull 접근제어 및 Audit 기능 지원
bull DB 서버의 부하 발생bull Batch 성능의 부하 발생
높음
API 방식
bull WASbull OLTP 3 이내bull Batch 50 이내
없음일부수정
bull Plug In 대비 약 5배 정도의 성능 우수함
bull DB 서버의 부하 없음
bull Application 전체 수정bull 색인검색 ( 일치 범위검색 ) 미
지원 및 DB 구조 변경 가능성 높음bull 접근제어 및 Audit 기능 미지원
낮음
DB기능
TDE
bull DB 서버bull 소형 DB 5 이내bull 대형 DB 미확인
있음(IO 부
하 )
수정없음
bull Application 수정 없음bull DB 마이그레이션 필요
bull DBA amp 보안관리자 권한 분리 불가bull 접근통제 키의 기밀성 부족
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1826
42 DB 암호화 구축 방식별 상세 기능 비교표
구분 Plug In 방식 API 방식 기존 Hybrid
보안성 bull 충족 bull 부분 충족 bull 충족
색인검색 bull 지원 bull 미지원bull Plug In 적용 컬럼 지원bull API 적용 컬럼 미지원
APP수정여부
bull SQL 수정 ( 성능 부하 Qeury) bull Application 전부 수정bull Plug In Application SQL 수정bull API Application 전부 수정
통합관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리 bull Manager 를 통한 중앙집중관리
암호화 알고리즘
bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12 bull SEED ARIA DES TDESSHA12
암호모듈탑재
bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재 bull 국정원 암호검증 모듈 탑재
암호키관리
bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리 bull DB 서버 table 에 저장 관리
접근제어 bull 지원 ( 암호화 컬럼에 한정 ) bull 지원 불가 bull 부분 지원 (Plug In 적용 컬럼에 한정 )
감사로그 bull 지원 bull 지원 불가 bull 부분 지원
사용자권한 분리
bull 지원 bull 지원 bull 지원
컬럼사이즈변경
bull 변경 bull 변경 bull 변경
DB 보안 ( 암호화 ) 적용 방식별 세부 기능 비교표
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
1926
5 암호 키 관리 기능DB 암호화 대상 정보에 대한 주기적인 암호 키 갱신 및 키 보안 관리를 통해 운영 DBMS 정보에 대한 높은 보안 수준을 보장합니다
암호 키 보안 관리 방안 암호 키 백업 관리 방안
Policy Server(KMS) DBMS 보안 Agent
]_[]_[ KeyMEnc AgentPubKey
Load Cert[Agent]
Gen Random M_Key
Gen Random C_Key
]_[]_[ KeyCEnc KeytM
C_Key 이용
수신 정보 저장
수신 정보 저장
키 노출 위험 제거
세션 종료 후 삭제
암호화 되어 백업된 암호화
키
암호 키 파괴 장애 복구
대응
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2026
6 접근제어 및 감사기록 관리 기능자원 (Table Column 등 ) 에 대한 IP 응용 시간 등에 대한 역할 기반한 접근 통제 기능을 통한 보안 관리 기능을 지원합니다
RABC 기반의 접근제어 다양한 환경의 접근 제어 기능
개인정보DB( 암호정
보 )
SCOTT
ldquo일반 사원rdquo Role 할당
조회 추가수정 삭제
권한
조회권한
① 통합 관리 툴을 이용한 역할에 대해 특정 자원 (TABLE 등 ) 에 대해 오퍼레이션 권한 (INSERT UPDATE DELETE SELECT)을 정의를 통한 접근 권한 정책 설정
① 각 직무 또는 비즈니스 단위로 ROLE( 권한 ) 을 식별② DB 계정 외 IP 주소별 접근 프로그램 접근 시간 등에 대한
자원 접근 통제 기능
SYSMAN
ldquo인사관리rdquo Role 할당
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2126
Plug-In(Filter)
7 DB 통합 관리 기능분산 DBMS 에 대한 암호 대상 설정 암호 키 관리 등 보안 관리자에 의한 통합 보안 관리를 지원합니다
DBMS DBMS DBMS
전용 관리 툴
[Policy Server]
통합 관리
감사 기록 관리
[DBMS]
접근 통제
구성 특징
분산 DBMS 시스템에 대한 통합 관리
DBMSTableColumn 별 암호 키 관리 등 정책 관리
분산 DB 통합 관리 기능
시간 별 IP 별 Application 별 접근 통제
DBMS Table Column 역할 별 접근 통제
다양한 조건 별 접근 통제
IP 역할 시간 등 다양한 조건별 감사기록 조회 관리
서비스 내역 관리자 운영 관리 내역에 대한 감사기록 생성
감사기록 생성 관리 기능
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2226
8 감사 관리 및 장애 복구 기능암호화 적용 및 접근통제 대상이 되는 Object( 테이블 ) 을 대상으로 감사 기록 수행 및 장애 발생 시 Auto Roll back 서비스 제공
DB 접근에 대한 감사 및 리포팅 기능 장애처리서비스
DB 보안 센터
초기 암호화 장애 시
서버 or 네트워크 장애
AgentAgent
1
2
Secure DBServer
장애 대응 기능
장애 대응 기능
bull DB 서버 장애 시 DB Agent 는 로컬 캐쉬에 저장된 정보 기반으로 서비스 수행
bull 데이터 암호화 과정에서 장애가 발생하는 경우 DB Agent 에서 자동으로 처리내용 롤백 처리
감사 및
보고서
감사 및
보고서
bull 오퍼레이션 내역 (SELECT INSERT UPDATE DELETE) 기록
bull 접근 테이블 DB 계정 IP 접근 프로그램 접근 OS 계정 수행쿼리 등의 세션 정보 기록
bull 다양한 조건 별 통계 보고서 및 그래프 기능 제공
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
구축 사례
1 성공 및 참고 구축 사례
2 구축 실적 ( 최근 1년 )
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2426
1 성공 및 참고 구축 사례성공적 구축 사례와 실패 사례를 분석하여 최적화된 구축 모델 선정 및 개선 사항을 도출하여 안정적인 DB 운영 서비스 실시
참고 사례 (G- 대민 서비스 ) 성공 사례 (S- 사 )
① 대용량 서비스 및 OLTP Batch 통계 업무에 단순 일반 Plug-In 방식을 이용한 DB 암호화는 어려움
② Business Logic 업무 (Batch Join 통계 등 ) 에 차별화된 성능이 보장되는 DB 암호화 기술 필요
대국민
Application
DB
보안
Plu
g-I
n공무원
암호화 DB
성능 저하발생
서비스 성능 자원 점유 확대 등에 따른 원하는 범위 적용 불가
사용량이 미미한 필드 일부 암호화 적용 (2 개 필드 )
성능적 이슈
직원 ( 국내 ) 직원 ( 국외 )
SPIN
DB
보안
Application
개인정보DB(
암호정보 )
50 개 테이블 2천 5 백 만건
초당 60 건 트랜잭션 서비스
암호화 성능 테스트 300 건( 초당 )
안정적 운영
① 대용량 서비스 및 OLTP Batch 통계 업무에 SPIN 방식을 이용한 DB 암호화로 성능 보장
② 개인신상정보 계좌정보 카드 정보 등 민간 정보에 대한 논리적 물리적 Zone 분리 및 접근통제로 보안 수준 향상
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2526
2 구축 실적 ( 최근 1년 )
대학 및 일반기업
공공 기관
위의 사이트 포함 약 150 여개 사이트 DB 암호화 솔루션 납품 및 구축
금융 및 통신
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)
2626
알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL 070-4213-8579 FAX 02-455-8579httpwwwrbsoftcokr영업대표 조용오이사 (010-9280-8579 yocho21paran-com)