데이터보안 운영실태 개선방안file.hanrimwon.com/warevalley/n02/DQC_S.pdf3. Performance(성능) 장 4. IT Compliances (법령) 요구 대응 5. 인력 지원 요청 6. 신속한

데이터보안 운영실태 및 개선방안

How to protect sensitive data in your database?

김 범 / WAREVALLEY

데이터품질인증심사원(데이터보안무문, DQC-S)

Database security and management, WAREVALLEY. http://www.warevalley.com

FDS : 카드 도용방지 시스템 (Fraud Detection System)

IT 서비스 기업에 의해 개발된 FDS를 사용한 5곳의 카드사 중 3곳의 카드사에서 외주 직원에 의해 대규모 개인정보 유출 사고 발생 (주소, 주민번호, 전화번호, 카드번호, 만료일자, 계좌번호)

2014 신용카드 개인정보 유출사태

FDS System (개발계)

FDS System (운영계)

인가된 고객사 PC (File Copy is allowed)

외주직원 노트북 (File Copy is allowed)

국민카드

롯데카드 농협카드

• Not Encrypted • Not Masked • Not Approved • Allowed Copying


2014 신용카드 개인정보 유출사태

데이터 보안 위협 대응기술 Access to, deletion of, or changes to data: DAP

Access using inappropriate or non-approved channels: DAP, VA

Schema modifications: DAP

Unauthorized addition of user accounts or modification of existing accounts: DAP, VA

Access to excessive amounts of data or data not needed for legitimate work: DAP, WF

Access to data outside standard working hours: DAP, WF

Access to Sensitive Data ENC

Access to live production systems: DAP, MSK

Unapproved changes to databases or applications that access the database: DAP

Out-of-cycle patching of production systems: DAP

2014 신용카드 개인정보 유출 원인. Over 20 Million Sensitive personal & financial data has been stolen.

DAP : DB 접근제어(Database Audit and Protection) VA : DB 취약점분석 (Database Vulnerability Assessment (Scanning Security Hole)) WF : DB 작업결재 (Database Work Approval) ENC : DB 취약점 분석 (Database Encryption) MSK : 데이터 마스킹 (Dynamic Data Masking)


일반적인 IT 비용 투자 형태

DBA Application Developers System Integrators

데이터 구축, 분석, 활용

Security Manager

데이터 보안

데이터 구축, 활용, 분석을 통한 새로운 가치 창출에 집중 데이터 보안은 이보다 낮은 우선 순위


데이터 보안에 대한 인식

Image Source – oveqna.com

1. 기존 Application과의 호환성 2. Multi-Platform (다양한 DBMS) 호환성 3. Performance(성능) 보장 4. IT Compliances (법령) 요구 대응 5. 인력 지원 요청 6. 신속한 장애 복구 7. 적은 예산

나의 소속은 어디?.. 1. Customizing 개발 2. 인력상주 지원 3. 분석 리포트

데이터 보안의 운영 주체는 솔루션 업체가 아닌 사용자이며, 정책, 조직, 운영관리의 주체도 사용자이다.

“솔루션 샀으니깐 다 해줘야 하는 거 아냐?”


데이터 보안 운영 현실

Image Source – oveqna.com

1. 누가 담당 ? : DBA vs. 보안관리자 2. DBA : DB 내에 어떤 데이터 들이 ? 3. 보안 담당자 : 난 DB를 잘 몰라.. 4. 접근제어 규칙을 어떻게 ???? 5. 암호 키는 어디에???? 6. 솔루션들이 알아서 동작하겠지??

나의 소속은 어디?.. 1. 로그 관리/분석 2. 정책 설정/변경 3. 키 관리/백업

상당수의 DBA는 자신이 운영하는 DB에 어떤 어플리케이션이 운영되고 어떤 데이터 들이 얼마나 존재하는지 모르는 경우가 많다.

“솔루션 샀으니깐 다 해줘야 하는 거 아냐?”


데이터 보안 운영 개선

데이터 자산 식별, 위험등급 데이터 보안 정책, 규칙, 담당자

데이터 구조 파악 어플리케이션, 연계 시스템 접속 사용자 식별 기타 IT 인프라 보안

데이터 보안 기술 접근제어, 마스킹 암호화 작업결재 취약점 분석

운영 모니터링, 분석 정책 및 규칙 개선

DB 보안 솔루션은 데이터 보안 기술의 집합체일 뿐, 전반적인 데이터 보안 개선 활동은 사용자의 역할 !


2014 데이터보안 프레임워크

데이터 보안 정책 및 기술 (DQC-S 2012) 1. Database Audit and Protection / Masking 2. Database Encryption 3. Database Work Approval 4. Database Penetration Test / Scan Hole 운영계

Databases 운영 모니터링과 감사 1. Audit and report for compliances 2. Monitor and enforce review of policy exceptions

개발계 / 백업 Databases

데이터 자산 식별 및 등급 부여 1. Discover where sensitive data resides 2. Classify and define data types 3. Define security policies and metrics

Database Security Model 2014 of DQC-S


운영계 Vs. 개발계

운영계 Databases

OLTP / OLAP

개발계 및 백업 Databases

OLTP / OLAP

ETL Cleansing / Masking / Encryption

Sensitive Data ??

Sensitive Data

DQC-S Database Security Actions • Discovery and Define sensitive data • Secure and Protect sensitive data • Monitor and Audit

상대적으로 보안적용이 약한 개발계 혹은 백업에도 보안강화 !


데이터베이스와 연계시스템, 사용자

Production Databases

OLTP / OLAP

Sensitive Data

Application Servers Service Users

Sensitive Data ??

Authorized Users ( DBA / System Operators )

Sensitive Data ??

Sensitive Data ??

데이터베이스에 접속하는 모든 시스템 및 사용자의 작업이력 추적 및 통제


데이터베이스 사용자

운영계 Databases

OLTP / OLAP

Sensitive Data

Sensitive Data ??

1. 데이터 레코드 저장 및 2차 유출 방어 2. 데이터 마스킹을 통한 기밀 정보 노출 금지 3. 칼럼레벨 암호화를 통한 2차 방어 구축

Printer File Copy E-Mail

인가된 사용자 ( DBA / System Operators )


데이터베이스 작업결재

운영계 Databases

OLTP / OLAP

Sensitive Data

1. 데이터 구조 변경, 데이터 변경에 대한 이중 검사 2. 사용자 작업 이력 및 결재승인 내역 3. 사용자 실수에 의한 장애 및 의심스러운 행위 방지

Database User / Staff

Database Manager / DBA

IT Auditor / CIO

2. Request

1. Request

3. Approve / Reject

4. Approve / Reject 5. Execute or Not


SQL Injection 공격 탐지

1. 정기적인 DB 취약점 분석 (DBMS 오류 및 운영설정 오류) 2. SQL / Application 프로파일링

운영계 Databases

OLTP / OLAP

Application Servers

Authorized Users ( DBA / System Operators )

SQL / Application Profiling to detect Malicious(or new) SQL query

Scanning Security Hole 1. 모의해킹 2. 보안감사


데이터베이스 암호화 (API)

1. WAS/Application Server에서의 암복호화 수행 2. DBMS에서의 리소스 부담 적음 3. 어플리케이션 수정에 따른 비용과 기간에 대한 부담

Encryption Policy Key Management

780226-2468024 25A8B8-93F1EB

860623-1552133

운영계 Databases

OLTP / OLAP

Service Users

Service Users

Database Security Manager

25A8B8-93F1EB 9EAB1-7BCC715

WAS


데이터베이스 암호화 (Plug-in)

1. DBMS 상에서의 칼럼 별 암.복호화 2. DBMS에서의 리소스 부담 3. 어플리케이션 수정의 불필요 4. DBMS 내부에 암호화 정책 및 키 정보가 없어야 ..

780226-2468024

운영계 Databases

OLTP / OLAP

Service Users

Database Users SQLPLUS, Orange, Toad ..



780226-2468024


데이터베이스 암호화 (Table space, File Level)

1. DBMS 상에서의 테이블스페이스나 파일레벨의 암.복호화 2. DBMS 커널 상의 암.복호화로 리소스 부담 적음 3. 어플리케이션 수정의 불필요 4. 사용자 식별이 되지 않음 !

780226-2468024

운영계 Databases

OLTP / OLAP

Service Users

Database Users SQLPLUS, Orange, Toad ..



780226-2468024


데이터베이스 암호화 운영 Review

1. 암호화 키 관리 문제: • DB 서버 내 암호화 키가 운영되는 경우가 많으며, 이는 장애 시 데이터 복구가

불가능한 상황이 발생하거나, 암호화 구조를 잘아는 엔지니어에 의해 쉽게 탈취 혹은 임의 데이터 복호화가 가능 하다.

• 대부분의 사용자는 암호키가 어디에 있는지 모르며, 솔루션 업체에 의존한다.

2. 암호화 정보 관리 문제

• 상당 수의 암호화 솔루션은 DB 서버 내부에 평문으로 암호화 대상 테이블 이름, 칼럼 이름, 알고리즘, 키(혹은 얼라이어스)가 레코드 형태로 존재하며 몇가지 권한만 있으면 이에 대한 정보는 쉽게 노출된다.

3. 암호화 수행 이력 및 복호화 이력 관리 문제

• 암호화가 구축된 사용자의 현황을 보면 언제,누가,어떤 칼럼을 암호화 했는가에 대한 이력이 존재하지 않으며, 이는 정보 유출 시에 유출범위를 파악하기 어렵게 만든다.

• 상당수의 암호화 솔루션들은 복호화를 수행한 정보(IP, application, DB계정, SQL Full text)를 남기지 않는다.

4. Tablespace-File 레벨 암호화

• 테이블스페이스 형태의 암호화는 성능은 좋으나, 사용자 식별을 하지 못하는 치명적인 단점을 가지고 있음에도 불구하고, 법적 구속력에 대응하기 위한 수단으로만 활용한다.


데이터 마스킹(Dynamic Data Masking)

1. DBMS내이 모든 데이터는 평문(Plain Data)으로 존재 2. 기존 어플리케이션의 수정 불필요 3. DBMS에 대한 성능 영향 불변

780226-2468024


OLTP / OLAP

Service Users

Authorized Database Users


평문 존재

780226-2468024

Unauthorized / Low Level Database Users


데이터베이스 패스워드 은닉

1. 아웃소싱 엔지지어나 개발자에게 불필요한 DB 패스워드 노출 금지

운영계 Databases

OLTP / OLAP

Authorized Database Users

Outsourcing Engineer

I don’t know password

I don’t know password

I know password, But I can hide password

from them


데이터베이스 가상계정

1. 개인별 DB계정 부여 가능 및 공유 금지 2. 동일한 DB계정이라도 작업 제한이나 데이터 접근 제한


OLTP / OLAP

High Level Database Users

(Virtual account : HIUSER)

I can use ‘A’, ‘B’ and ‘C’ DB Accounts :

A, B, C

Low Level Database Users

(Virtual account : LOUSER)

I can use ‘A’ and

‘Query’ only

‘LOUSER’ is not allowed ‘B’, ‘C’ and ‘DML’


데이터 보안 강화 Action

1. 보안 강화를 위한 다양한 정책 마련

사용자의 비정상적인 접근에 대한 패턴을 인식하여 차단

• 단위 시간 동안의 임계치 이상의 로그인 실패, SQL 실패 탐지 정책

• 단위 시간 동안의 임계치 이상의 DB 접속 횟수, 데이터 조회 및 변경 횟수 탐지 정책

• 단위 시간 동안의 임계치 이상의 개인 정보 접근 경고 정책

• Where 절 없이 사용되는 DML 및 Select * 쿼리에 대한 경고 정책

인가되지 않은 작업에 대한 탐지

• Tablespace, table, user에 대한 인증되지 않은 create/modify/drop 탐지 정책

• 인증되지 않은 권한 변경 및 사용자 패스워드 변경 탐지 정책

• 인증되지 않은 데이터베이스 시작/재시작/정지/백업에 대한 탐지 정책

2. 개인 정보 스캔 기능 및 접근 이력 보고서

데이터베이스 내에 존재하는 개인 정보 및 중요 정보 스캔

• 데이터베이스 내에 산재되어 있는 중요 정보를 탐지하여, 정책 및 보고서에 반영

• 전화번호, 카드번호, E-mail, 주민번호, 여권번호 등 기본 패턴 제공 / 사용자 패턴을 지정하여 스캔

개인 정보 및 중요 정보에 대한 접근 이력 보고서

• 스캔 기능을 통해서 탐지된 개인 정보 테이블 및 컬럼에 대하여 선택적인 접근 보고서

• 개인 정보 및 중요 정보에 대한 일별/주간별/월별 접근 이력 보고서



3. 정보보호 관련 법령 대응 보고서

정보보호 감사 데이터 요구에 대응 가능한 보고서

• 점검 대상 기간 중, 가장 많은 양 또는 가장 많은 횟수의 고객 개인 정보를 조회 또는 다운로드한 내역

• 월별 가장 많은 양 또는 가장 많은 횟수로 고객 개인 정보를 조회 또는 다운로드한 내역

• 정규 승인 절차를 따르지 않은 조회 및 다운로드 내역

• 특정 기간 내에 조건을 변경하면 지속적으로 대량의 데이터를 조회 또는 다운로드한 내역

• 개인 정보 처리 시스템 조회, 다운로드 시도 및 실패가 가장 많은 계정, IP 목록

• IP 대역 별 (외주, 사설) 대량 데이터 조회 및 다운로드 내역

4. 정책 변경 및 권한 변경에 대한 이력 관리

보안 정책 변경 이력 조회 및 복원 기능

• 보안 정책에 대한 자체 이력 정보 관리 기능 제공 (시간, 작업자, 작업 내역 등)

• 과거 정책과 현재 정책의 비교 기능

• 정책을 선택적으로 백업하고 과거 정책 중 선택적으로 복원하는 기능

• 보안 정책 적용 이력에 대한 보고서

사용자 DB 접속 권한 변경 이력 관리 기능

• 사용자 또는 그룹에게 부여된 DB 접속 권한의 변경 사항 조회 보고서

• DB별로 부여된 사용자 및 그룹의 변경 이력 조회 보고서



5. 보안 강화를 위한 고급 기능

데이터베이스 내부 객체 수행에 대한 통제 기능 및 변경 이력 관리

• Stored Procedure, Trigger, Function, View, Synonym의 내용 변경 이력 관리 기능

• Stored Procedure, Trigger, Function, View, Synonym의 내용에 따른 통제 정책

• 각 객체의 본문 조회 기능

• DB-Link에 대한 통제

개선된 개인 정보 및 중요 정보 마스킹 기능

• 테이블과 컬럼을 지정하던 방식에서, 패턴을 인식하여 자동으로 마스킹하는 기능

• 각종 보고서의 중요 정보를 마스킹하여 제공하는 기능

6. 부가 기능

Ad-hoc 보고서 제공

• 사용자 정의 보고서를 채택하였으며, 원하는 보고서에서 필요한 정보를 선택하여 재구성할 수 있는 기능

중앙 관리 및 Site 관리 기능

• 여러 대의 접근통제 서버의 통합 관리 / Site로 분리하여 정책 및 사용자 관리

Auto Discovery 기능 제공

• 네트워크에 존재하는 데이터베이스 및 서버를 감지하여 알려주는 기능



7. 가상 계정 통제 및 ID/PASSWORD 저장 통제

가상 계정 통제 기능 제공

• DB 계정의 패스워드를 DB Tool에서 자동 입력 -> DB 계정 패스워드 유출 방지 (선택 적용 가능)

• DB 접근제어시스템의 계정 별로 할당된 DB 계정만 접근 가능하도록 통제하는 기능

ID/PASSWORD 저장 통제 기능

• DB Tool 에서 접속한 DB 계정과 패스워드를 저장하지 못하도록 DB 접근제어시스템에서 통제하는 기능

(2013년 320대란 이후, 금감원 지시 사항)

• ID/PASSWORD 통제 기능이 포함되지 않은 DB Tool 사용시 차단 기능 제공

8. 대용량 데이터 조회에 대한 결재 기능

개인 정보 및 중요 정보의 대용량 조회에 대한 결재 기능

• 지정된 개인 정보 및 중요 정보에 대해서 지정 개수 이상의 데이터 조회 시에 결재를 받도록 하는 기능

• 사전 승인 방식이 아닌 실시간으로 대용량 조회 정책을 검사하여, 지정된 개수 이상의 데이터 조회 시에는 조회 작업을 중단하고 기안을 하도록 하는 기능

• 결재자의 승인 후에는 모든 데이터 조회

• 대용량 데이터 조회 이력 및 승인/부결 내역 관리



9. 데이터 반출 통제 및 이력 관리

파일 저장 통제 기능 개선

• 전체 파일로 결재를 받지 않고 부분 데이터로 결재 가능하도록 개선 (대용량 처리 가능)

• 결재된 파일이라도 지정된 횟수만큼만 다운로드 가능하도록 통제

데이터 반출 시도에 대한 이력 관리 제공

• DB Tool에서의 데이터 Copy, Print 등 외부 반출 시도에 대한 이력을 DB 접근통제시스템에서 관리

• 실행 시간, 대상 데이터베이스, DB 계정, 조회 문장, 작업 내역, 시도 결과를 저장 및 조회

• 데이터 반출 시도에 대한 이력 보고서

파일 저장 시 저장 디스크 및 디렉토리 통제 기능

• DB Tool 에서 데이터를 파일로 저장 시에 DB 접근통제시스템에서 지정한 위치에만 저장 가능하도록 통제

• 사용자 별, 데이터베이스 별, 쿼리 별 통제 정책 적용

10. DB Tool의 작업 이력 관리

DB Tool에서의 작업 내역을 DB 접근통제 시스템에서 관리

데이터보안 진단 및 인증 (DQC-S)

How to protect sensitive data in your database?

김 범 / WAREVALLEY

데이터품질인증심사원(데이터보안무문, DQC-S)


데이터 보안 진단 및 인증

데이터 보안 인증 (DQC-S, Database Quality Certification-Security) 데이터 보안 인증이란 공공·민간에서 구축·활용 중인 데이터베이스를 대상으로 접근제어, 암호화, 취약점분석, 작업결재 등 데이터베이스 보안에 구체적인 체계를 마련하고 기술요소 전반을 심사하여 인증하는 것을 의미.

데이터보안인증기관 : 한국데이터베이스 진흥원 (www.kdb.or.kr)

데이터보안인증홈페이지 : www.dqc.or.kr

데이터보안인증수준

1단계 – Level 1 – 데이터베이스 접근통제 2단계 – Level 2 – 데이터베이스 암호화 3단계 – Level 3 – 데이터베이스 작업결재 4단계 – Level 4 – 데이터베이스 취약점분석

http://www.kdb.or.kr/

http://www.dqc.or.kr/



기밀성 무결성 가용성

DB보안 3요소

데이터노출

부적절한 변경

부적절한 접근

정당한 접근의 차단/거부

DB서비스 실패

DB의 물리적인 손상

보안 취약점 노출

접근제어

백업

감사 및 모니터링

사용자 인증

암호화

취약점 분석

접근제어

암호화

작업결재

운영/개발환경 분리 개인정보보호에 관한 법률

DB보안 솔루션 동향

작업결재

취약점분석

DB보안 위협요소 및 동향 DB보안

통제 방법 사례 DB보안

통제 방법 그룹핑

권한 관리

데이터 보안 인증 프레임워크



데이터 보안 인증 프레임워크

접근제어 암호화 작업결재 취약점 분석

기획 DB 보안 정책수립

설계 접근제어 규칙 정의 암호화 규칙 정의 작업결재 규칙 정의 취약점 분석 계획

구축

우회 방지

원본 데이터 삭제

우회 방지 모의 해킹 제약 사항 유지

암호화 키 관리

환경 보완 내부보안 감사

보안 적용 시험

운영

보안규칙관리 취약점 수집

사용자 로그 관리 취약점 제거

모니터링

운영 리뷰

개인정보보호법에 바탕을 둔 DB 보안 가이드라인 및 인증 시행 (2012.04)



데이터 보안 인증에 대응하는 웨어밸리 DB보안 솔루션 (국내 유일)

접근제어 암호화 작업결재 취약점 분석

기획 DB 보안 정책수립

설계 접근제어 규칙 정의 암호화 규칙 정의 작업결재 규칙 정의 취약점 분석 계획

구축

우회 방지

원본 데이터 삭제

우회 방지 모의 해킹 제약 사항 유지

암호화 키 관리

환경 보완 내부보안 감사

보안 적용 시험

운영

보안규칙관리 취약점 수집

사용자 로그 관리 취약점 제거

모니터링

운영 리뷰

Chakra,

Chakra MAX

Galea

Chakra MAX,

Trusted Orange

Cyclone

개인정보보호법 / 데이터보안인증에 완벽하게 적합한 웨어밸리 만의 DB보안 제품구성


데이터 보안 설계 및 구축 방향

DB 취약점분석

(모의해킹 및 내부감사)

DB 접근 통제 및 작업결재

Server 접근통제 및 작업결재

Databases

Chakra MAX

Galea DB 암호화 (Column-Level)

사용자 측 DB 보안

사용자 측 DB 보안

DB 접근통제, DB 암호화 솔루션의 통합 운영 관리 DB 취약점 정보의 자연스러운 보안정책 연계 사용자 PC단까지의 DB 보안 강화 (DB Tool 제어)


데이터 보안 설계 및 구축 방향

고객정보 재무정보 인사정보 의료정보 교육정보

Business Application

(Web / WAS / Portal / GroupWare)

Database 입출력 기록/통제 Database 취약점 분석 및 제거 Database 기밀 데이터 암호화

일반 고객

Application 개발자

DBA

Out-Sourcing 개발자 / 컨설턴트

• 데이터베이스 접근계정 소유 • 무작위 Data 조회 및 변경 가능 • 데이터 다운로드 가능 • 다양한 DB Tool 사용

Application Level 보안 로직 점검 Network Level 보안 로직 점검

표준화된 DB Tool 선정으로 Database 사용자 작업 결재 Data Record 조회 후 다운로드 금지 사용자 작업에 대한 승인 내역 기록

Database Level 보안 강화


Contact us.

Seoul Office : 6F, Nuritkum Square R&D Tower, 1605

Sangam-dong, Mapo-gu, Seoul, Korea 121-795

Tel + 82.2.2132.5501

Japan Office : Shinkasumigaseki Bldg 18F., 3-3-2,

Kasumigaseki, Chiyoda-ku, Tokyo 100-0013 Tel +81.3.5532.8801

Online Contact :

[email protected] http://www.warevalley.com

30만 명의 전세계 사용자, 3,000개 이상 글로벌 고객사 데이터베이스 관리 및 보안 전문 기업 DB 접근통제, 암호화, 작업결재, 취약점 분석 2012, 2013 Gartner 리포트 연속 등재


Contact us.

한국(40%), 일본(45%), 대만(35%) 및 아시아 – DB보안 시장 1위 Gartner – 아시아 DB보안 시장 선두 기업 (2012년, 2013년) 산업통상자원부 – ATC우수기술연구센터 지정 (2013년)

통신 / 포털서비스

게임

병원 / 제약

그룹사 / 제조

금융

교육

공공

Documents

데이터보안 운영실태 개선방안file.hanrimwon.com/warevalley/n02/DQC_S.pdf3. Performance(성능) 장 4. IT Compliances (법령) 요구 대응 5. 인력 지원 요청 6. 신속한