데이터베이스 보안 요구사항에 대한 이해

정보조직에서 가장 중요한 정보자산 가치를 갖는 것이 바로 데이터베이스입니다. 실제로 정보보호의 가장 근본적인 보호대상이 바로 데이터베이스에 수록된 중요 정보 자산이라 할 수 있습니다. 데이터베이스 보안은 크게 DB 데이터 보안과 DB 관리자 보안으로 나눌 수 있으며 이를 토대로 효율적인 DBMS 보안 운영이 요구됩니다. 실제로 데이터베이스 보안 요구사항에는 무엇이 있는지 한 번 알아보겠습니다.

데이터베이스 보안 요구사항

DB 보안 유형

DB보안은 크게 물리적 보호와 권한보호, 운영 보호 3가지로 나뉩니다. 물리적 보호의 경우 자연재해나 컴퓨터 시스템 데이터에 손상을 주는 위험으로부터 DB를 보호하는 것을 말합니다. 두 번째, 권한 보호는 권한을 가진 사용자만이 특정 접근 모드로 DB에 접근할 수 있도록 보호하는 것을 말합니다. 마지막으로 운영 보호는 DB의 무결성에 대한 사용자 실수의 영향을 최소화하거나 제거하는 조치를 말합니다.

DB보안 요구 사항

1. 부적절한 접근 방지 

인가된 사용자의 접근만이 허락되고 모든 접근 요청은 DBMS가 검사를 합니다. 또한 데이터베이스 내의 데이터는 의미적으로 관련이 있으므로, 관련 데이터 항목 값에 직접 접근하지 않고 알려진 값들로부터 추론 가능합니다. 이는 레코드나 어트리뷰트(attribute)같이 파일보다 더 세밀한 객체에 대한 접근 통제를 적용해야 합니다.

2. 추론방지 

추론이란 기밀이 아닌 데이터로부터 기밀 정보를 얻어내는 가능성을 의미합니다. DB 내의 데이터는 의미적으로 상호 연관이 있을 가능성이 있고 데이터에 직접 접근하지 않고 가용한 데이터 값을 이용한 추론(inference)이 가능합니다. 통계적인 데이터 값으로부터 개별적인 데이터 항목에 대한 정보를 추적하지 못하도록 해야 하는 것을 의미합니다.

3. 데이터 무결성 

인가되지 않는 사용자의 데이터 변경이나 파괴, 저장 데이터를 손상시킬 수 있는 시스템 오류, 고장들로부터 데이터베이스를 보호해야 합니다. 적절한 시스템 통제와 다양한 백업 및 복구절차 등을 통하여 DBMS가 수행을 할 수 있어야 합니다.

4. 감사기능 

DB에 대한 모든 접근에 대한 감사 기록 생성이 되어야 한다적인 분석 및 추론에 의해 비밀 데이터가 노출되었는지 판단할 수 있는 근거가 됩니다. 

5. 사용자 인증 

별도의 엄격한 사용자 인증 방식이 필요합니다.

6. 복잡한 프로세스를 통한 DB 보호

데이터에 대한 등급분류를 통해 복잡한 프로세스를 통해 기밀성과 무결성을 보장해야 합니다.

DBMS 보안 기능

DBMS(Database Management System)은 2가지 보안 기능이 있는데, 하나는 접근제어이고 두 번째는 보안과 권한 관리가 있습니다. 접근제어(access control)는 DBMS는 로그인 과정을 통제하기 위해 사용자 계정과 비밀번호를 관리합니다. 두 번째, 보안 및 권한 관리는 DBMS는 특정 사용자 또는 사용자들의 그룹이 지정된 데이터베이스 영역만 접근할 수 있고 그 외의 영역은 접근할 수 없도록 통제하는 기능을 제공해야 합니다. 

DB 보안통제 

DB통제는 흐름통제, 추론통제, 접근통제를 통하여 인가된 사용자에게 암호화된 DB를 가용하게 하여 제공할 수 있습니다.

1. 흐름통제 

흐름 통제는 접근 가능한 객체들 간의 정보의 흐름을 조정하는 것을 말합니다. 정보의 흐름이라는 것은 X값을 읽어서 Y를 기록할 때 X에서 Y로 흐름이 발생되었다고 합니다. 예를 들어 X에서 Y로 데이터를 복사합니다. 또한 보안등급이 높은 객체에서 낮은 객체로의 정보 흐름을 제어합니다. 이는 기밀성을 위반하는 것이며 낮은 등급으로 객체 전달이 발생할 때 데이터 기밀성은 그대로 유지해야 합니다.

2. 추론통제 

추론 채널은 간접 접근을 통한 추론과 상관 데이터로 나누어집니다.

3. 접근통제 

인증된 사용자에게 허가된 범위 내에서 시스템 내부의 정보에 대한 접근을 허용하는 기술적 방법을 말합니다. 사용자가 DB에 접근할 때 접근권한(Access Right)이 있는지 검사하여 허용 여부를 결정합니다. 접근제어 시스템 구성은 다음과 같이 접근제어 정책과 규칙의 집합, 그리고 접근 메커니즘으로 구성되어 있습니다.

요약

여기까지 데이터베이스 보안 요구사항에 대해 알아보았습니다. 특정한 장애가 발생했을 경우, 기존의 DB를 백업해놓는 일은 매우 중요한 일입니다. 그렇기 떄문에 DB보안에 대한 철저한 요구사항을 필요로 합니다. DB보안 방식은 데이터를 통한 면밀한 분석이 요구되며, 기밀성과 무결성이 반드시 보장되어야 한다는 점 잊지 마시기 바랍니다.