DB 보안의중요성및 IT 의과제 이진호 DB 기술팀부장한국오라클

Similar documents
<4D F736F F F696E74202D F6E20325F32BFF93033C0CF5FBFA3C5CDC7C1B6F3C0CCC1EE20C8AFB0E6BFA1BCADC0C720BAF1C1EEB4CFBDBA20C1A4BAB8BAB8C8A3B8A620C0A7C7D120BFC0B6F3C5AC20BAB8BEC820BCD6B7E7BCC75FB1E8C5C2C7FC2E

Slide 1

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

DW 개요.PDF

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

´ÙÁß Row °á°ú¸¦ ´ÜÀÏÇàÀ¸·Î Äĸ¶·Î ºÐ¸®ÇØ Ãâ·ÂÇÏ´Â ¹æ¹ý

Security Overview


예제소스는 에서다운로드하여사용하거나툴바의 [ 새쿼리 ]( 에아래의소스를입력한다. 입력후에는앞으로실습을위해서저장해둔다. -- 실습에필요한 Madang DB 와 COMPANY DB 를모두생성한다. -- 데이터베이스생성 US

MS-SQL SERVER 대비 기능

ETL_project_best_practice1.ppt

소만사 소개

<C6EDC1FD2DBBE7C0CCB9F6C5D7B7AFB9E6C1F6B9FD20C1A6C1A4C3CBB1B820B1E4B1DEC1C2B4E3C8B82E687770>

F1-1(수정).ppt

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

<4D F736F F F696E74202D20352E B8A620C5EBC7D120B0B3C0CEC1A4BAB820BAB8C8A320B9D720B3BBBACEC5EBC1A6BFA120B4EBC7D120C1FAB9AEB0FA20C7D8B4E45FC0CCC1F8C8A32E BC8A3C8AF20B8F0B5E55D>

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

13주-14주proc.PDF

Microsoft PowerPoint - S2_DataVault.ppt

KISA-RP hwp

감사칼럼 (제131호) 다. 미국과 일본의 경제성장률(전기 대비)은 2010년 1/4분기 각각 0.9%와1.2%에서 2/4분기에는 모두 0.4%로 크게 둔화 되었다. 신흥국들도 마찬가지이다. 중국, 브라질 등 신흥국은 선진국에 비해 높은 경제성장률을 기

금오공대 컴퓨터공학전공 강의자료

시각형 상사 vs 청각형 상사

<BCADBFEFC1F6B9E6BAAFC8A3BBE7C8B85FBAAFC8A3BBE C1FD2831B1C7292E687770>

기업의 주요 정보자산의 보호와 관리를 위한 성공적 보안 모델

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Microsoft PowerPoint - 6.pptx

, ( ) 1) *,,,,. OECD ,. OECD.. I. OECD, 1) GDP,,.,,,.,., *,. 1) (state owned enterprises),.

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

untitled

untitled

歯sql_tuning2

Spring Boot/JDBC JdbcTemplate/CRUD 예제

국내 디지털콘텐츠산업의 Global화 전략

비식별화 기술 활용 안내서-최종수정.indd

이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은

.....

최종_백서 표지

<B1E2BEF7C1F6B9E8B1B8C1B6BFF85F F B1C72031C8A328BFC9BCC232B5B5295F31B1B32E687770>

......(N)


SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

DBMS & SQL Server Installation Database Laboratory

Output file

ecorp-프로젝트제안서작성실무(양식3)

암호내지

MySQL-Ch05

KISO저널 원고 작성 양식

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

(Microsoft PowerPoint - CSO\270\246 \300\247\307\321 \277\300\266\363\305\254 \272\270\276\310 \274\263\270\355\310\270\( \)_revised.ppt)

권두논단(2월).hwp

, Analyst, , Table of contents 2

Microsoft Word - SQL튜닝_실습교재_.doc

Intra_DW_Ch4.PDF

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서

PowerPoint 프레젠테이션

<443A5CB1E8BFF8BAD05C B3E2B0E6C1A6C6F7C4BFBDBA5C C E2E2E>

......CF0_16..c01....

03여준현과장_삼성SDS.PDF

규제개혁논의및주요국사례 재정지출분석센터

RDB개요.ppt


KDTÁ¾ÇÕ-2-07/03

법제코너 저자권의 이해 저작권의 의의 세계 각국은 보호의 정도에는 조금씩 차이가 있으나 일반적으 로 두 가지의 근거로서 저작권을 보호하고 있다. 하나는 저작권 을 창작자 개인의 인격적 경제적 권리로 인정하는 것이고 다른 하나는 지적 창작의 결과를 보호함으로써 사회적 경

13.11 ②분석

ORACLE-SQL

< B1B9B0A1BEC8BAB8C0DAB7E1C1FDC6EDC1FD283134C0CF20C3D6C1BE292E687770>

PowerPoint 프레젠테이션

1.장인석-ITIL 소개.ppt

@OneToOne(cascade = = "addr_id") private Addr addr; public Emp(String ename, Addr addr) { this.ename = ename; this.a

Portal_9iAS.ppt [읽기 전용]

13.11 ①초점

untitled

8 장데이터베이스 8.1 기본개념 - 데이터베이스 : 데이터를조직적으로구조화한집합 (cf. 엑셀파일 ) - 테이블 : 데이터의기록형식 (cf. 엑셀시트의첫줄 ) - 필드 : 같은종류의데이터 (cf. 엑셀시트의각칸 ) - 레코드 : 데이터내용 (cf. 엑셀시트의한줄 )

untitled


Newsletter Channel 09

15_3oracle

untitled

금오공대 컴퓨터공학전공 강의자료

Efficiently manage information throughout its lifecycle, relative to its business value Orchestration Storage Infrastructure Management Hierarchical S

<B0B3C0CEC1A4BAB85FBAB8C8A3B9FDB7C95FB9D75FC1F6C4A7B0EDBDC35FC7D8BCB3BCAD C3D6C1BE292E687770>

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

歯PLSQL10.PDF

단답형 (26 회기출문제 ) 1. 아래와같은테이블이있을때아래의 SQL 결과에대해서 Oracle, SQL Server 순서로적으시오 TAB1 COL1 CHAR(10) COL2 CHAR(10) INSERT INTO TAB1 VALUES ('1',''); INSERT INT

본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시( )됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를

PowerPoint 프레젠테이션

감사칼럼 (제88호) 바람직한 중소기업 내부회계관리제도모범규준 제정을 위한 제언 I. 서 론 2005년 6월 23일 내부회계관리제도운영위원회 (위원장 : 송인만 성균관대학교 교수) 에서는 회사 가 내부회계관리제도를 설계 운영 평가 보고 하는데 필요한 지침

208 국가정보연구 제2권 1호

양식 1

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

J2EE & Web Services iSeminar

hw 2006 Tech guide 64p v5

서현수

Connection 8 22 UniSQLConnection / / 9 3 UniSQL OID SET

Microsoft Word - [Revised]06_DB_US_EN_WP_Sec11gR2_¹ÚÁö¿µ.doc

고용허가제와 방문취업제 외국인의 취업 및 사회생활 사본

Slide 1

<5BB3BBC1F65D20B1E2BEF7C1F6B9E8B1B8C1B620BBF3B9FD20B0B3C1A420B0F8C3BBC8B82E687770>

Transcription:

DB 보안의중요성및 IT 의과제 이진호 DB 기술팀부장한국오라클

I. 정보보호산업의패러다임변화

정보보호산업의패러다임전환 정보보호산업 지식정보보안산업 1990 년대 2004 년대 2007 년대 2010 년이후 IT 시스템보안네트워크보안개인정보보호 v IT 보안기술 및제품간융합 v IT 융합산업보안 아마추어해커 웜 바이러스 산업기밀탈취 조직화된해킹범죄 통합보안 웹사이트손상 지엽적인위협 대량개인정보유출 지속적인위협 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사

전세계정보보호산업의강화요인 기업의부정으로인하여각종규제가강화되는계기가됨 한국 한국 07/05 Bernard Ebbers is serving 25 year prison sentence and paid US $50 Million in fines 11/07/06 Ex-CA Boss gets 12 years and $US 8 Million fine?? 충분하고지속적인내부통제에대한필요 : 비즈니스의효율적인운영을보장 관련법규, 규제준수여부를입증 주요재무리포트에대한신뢰도증가 글로벌기반의비즈니스영위능력 지역적, 국가적지침, 법규, 규제등의요구사항

전세계적인보안규제의강화현황 CA SB 1398 CA AB 1950 CA SB 1386 PIPEDA DPA RIP Sarbanes-Oxley HIPAA LOPD FDA CFR Part 11/Annex 11 GLB FISMA Personal Data Protection Law Bill 3494/2000 Bill 321/2004 Law f/protection Of Personal Data Nov2000 Companies Act BDSG KonTraG Basel II IAS EUPD Reg. 357 King II Rpt 자통법 KSOX 전자서명법개인정보보호법 Banking Act Japan Privacy JSOX CLERP 9 AS4360 PA&PAA AMERICAS HIPAA FDA CFR 21 Part 11 OMB Circular A-123 SEC and DoD Records Retention USA PATRIOT Act Gramm-Leach-Billy Act Federal Sentencing Guidelines Foreign Corrupt Practices Act Market Instrument 52 EMEA EU Privacy Directives UK Companies Law Restriction of Hazardous Substances APAC J-SOX, C-SOX, K-SOX, C49, etc CLERP 9 : Audit Reform and Corporate Disclosure Act (Australia) Stock Exchange of Thailand Code on Corporate Governance Global IFRS Basel II OECD Guidelines on Corporate Governance

II. 국내보안시장현황

국내정보보안시장현황 정보보호산업 : 매년 8.4% 성장예상 2002 년부터 2005 년까지 16% 성장에비해둔화 DB 보안및암호화는전체산업매출의 3 % 미만 DB 보안 : 매년 4.9% 성장예상 DB 암호화 : 매년 8.4% 성장예상 1,200,000 1,000,000 800,000 714,944 772,412 849,197 926,791 1,004,385 25,000 20,000 15,000 DB 암호 DB 보안 600,000 400,000 10,000 14,623 15,403 16,210 17,017 17,824 200,000 5,000 0 0 1,850 2,021 2,218 2,415 2,612 ( 백만원 ) 2007 2008 2009 2010 2011 ( 백만원 ) 2007 2008 2009 2010 2011 정보보호산업추세 DB 보안산업추세 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사참조및수정

국내정보보안시장현황 2007 년 2008 년 바이오인식 침입차단 ( 방화벽 ) 보안관리 Anti Virus 침입방지 (IPS) PC보안 DRM( 디지털저작권 ) 접근관리가상사설망 (VPN) 통합보안 (UTM) 운영체제보안공개키구반구조 (PKI) DB보안 / 암호화인증제품기타제품 Anti Spam 200,000 180,000 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 ( 백만원 ) 공공기관금융기관교육기관대기업중소기업기타 179,080 162,332 123,037 100,491 47,669 42,831 31,565 34,624 19,236 20,391 5,642 5,514 시스템및네트워크정보보호제품정보보호서비스 ( 백만원 ) 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사참조및수정

국내기업정보보호의실태 필요성의부재및무관심 소스 : KISA( 한국정보보호진흥원 ) 2007 정보보호실태조사기업편, 국정원 2008 국가정보보호백서

정보보호수준자체평가 2006 년에비하여 2007 년의자체평가결과가전체적으로낮아짐 최근해킹및바이러스등사이버테러가급증에따라자체정보시스템에대한정보보호대책이부족함을인식 소스 : 2008 국가정보보호백서

해킹보다무서운내부자정보유출 내부자에의한정보유출유형 임직원및퇴사자의정보유출비율 > 80% 퇴직자유출비율증가추세 회사재직중핵심기술확보, 퇴직후재취업등으로유출 유치과학자 5% 용역업체 2% 현직직원 27% 투자업체 2% 협력업체 8% 유치과학자 3% 전직사원 49% 현직사원 44% 퇴직직원 60% 2003년이후발생한신분별적발현황 61건대상으로조사주체별적발현황피해규모 (32조?) 소스 : 국정원산업기술유출센터

내부자정보유출사고의특성 발생빈도는작지만그영향은치명적 % of organizations effected 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% $180,000,000 $160,000,000 $140,000,000 $120,000,000 $100,000,000 $80,000,000 $60,000,000 $40,000,000 $20,000,000 $0 Total Cost of Loss Virus Insider Abuse Denial of System Unauthorized Theft of Financial Telecom Sabotage of Net Access Service Penetration Access by Proprietary Fraud Fraud Insiders Information Nature of Security Breach 소스 : CSI/ FBI Computer Crime and Security Survey 2002

개인정보침해피해현황및영향 대형개인정보유출사건으로인한본견적인사회문제화 개인정보 ( 주민번호, 암호 ) 에대한암호화의의무화움직임 ( 정통망법 ) 개별소송의결과를나머지피해자에게자동적용하려는움직임 소스 : KISA( 한국정보보호진흥원 ) 2007 정보보호실태조사기업편

DB 보안 v.s 성능 접근제어에따른성능저하 암호화에따른성능저하및응용프로그램의대대적인수정 기존스키마의구조변경및용량증가 기존데이터베이스기능사용의제약 암호화된인덱스의범위검색을위한공인된알고리즘의부재 * 운영환경 보안적용 운영환경 보안적용 8000 7000 No!!!! 8000 7000 Yes!!!! 6000 5000 접근제어 6000 5000 접근제어 암호화 4000 암호화 4000 3000 3000 2000 2000 1000 1000 0 (TPS) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 0 (TPS) 1 2 3 4 5 6 7 8 9 10 11 소스 : ETRI 데이터베이스암호화와제품동향 (2007.2), 데이터베이스암호화와검색기술동향 (2007.12)

D E M O N S T R A T I O N SQL Injection

D E M O N S T R A T I O N Protect you asset from SQL Injection

웹사용자근간 DB 접근제어 웹사용자의보안레벨에근거한 DB 접근제어 웹사용자가어떤 DB 작업을수행했는지감사 Oracle Database VPD Policy Applications Application User ID ORACLE E-Business Suite ORACLE WEBLOGIC Application User ID Label Policy Audit Policy Audit Vault DV Policy Application 사용자 A 가언제, 어떤 SQL 을수행했는가?

VPD 예제 DBMS_RLS.ADD_POLICY( object_schema => 'scott', object_name => 'emp', policy_name => 'hide_sal_policy', policy_function => 'hide_sal_comm', sec_relevant_cols => 'sal,comm', sec_relevant_cols_opt => dbms_rls.all_rows); 특정부서 (sales) 의급여, 보너스만보여주도록정책설정 SALES 부서를제외한다른부서의 SAL, COMM 은 null 로표시 ENAME DNAME JOB SAL COMM ---------- ------------ --------- ------- ------ CLARK ACCOUNTING MANAGER KING ACCOUNTING PRESIDENT FORD RESEARCH ANALYST ADAMS RESEARCH CLERK SMITH RESEARCH CLERK SCOTT RESEARCH ANALYST WARD SALES SALESMAN 1250 500 TURNER SALES SALESMAN 1500 0 JAMES SALES CLERK 950 0 BLAKE SALES MANAGER 2850 0 MARTIN SALES SALESMAN 1250 1400

VPD 를통한개인정보유출방지 웹에정식으로로그인한사용자에게만정보제공 로그인한계정에해당하는정보만제공 SELECT, INSERT, DELETE, UPDATE 적용대상 : 주민번호, PASSWORD 등?? 왜주민번호와암호만 SQL INJECTION 이안되지?

SQL ID 비교를통한 SQL 실행제어 SQL ID 를 Database Vault 의명령어제어조건으로응용 인증된 SQL ID 의선별 : V$SQL, EM SQL tuning set 지정된 SQL ID 만특정객체에대해서허용 SQL Force Matching ID SQL ID 비교 검증된 SQL IDs 7473636416010971933 8849715900913719906 4731924230495539312 3189178367468740125 6348669860638267536 SQL 요청 일치 SQL 수행 Command Rule 불일치 X X X 감사

Oracle 보안솔루션로드맵 Internal 위협 Command Rules Management DBA Dev Service External 위협 Interface H/W Admin Interface Finance <Built-In Factors> User Factors Network Factors Database Factors Runtime Factors Extensible Application User Role Data Masking VPD 보안 Policies 기업의중요비즈니스 Data OLS Database Vault Realms Command Rules ASO (TDE) Audit Vault (FGA) IT Compliance 계정관리에따른접근제어 DBA 와보안관리자권한분리 보안정책수립 (Policies) Rule base Access Control Audit Vault 를통한감사정보시스템 Others Partners Realm Rule set

Oracle DB 보안솔루션 Solutions for Privacy and Compliance 중요 DATA 암호화처리 : 오라클커널에서수행하는어플리케이션에투명한암호화처리 TDE (Transparent Data Encryption) 내부자의 DB 접근통제수단필요 : Package 및 Application 전용유저, 일반유저, 백업계정권한분리 Database Vault, VPD, OLS 과도한권한설정에따른권한관리의어려움 : 보안 Policy 및별도의보안 Rule set 적용 Database Vault 에의한접근및권한제어 개발및테스트과정에서의데이터유출 : 개발및테스트를위해 Masking 처리된 Data 제공 DataMasking 강력한통합감사정보시스템구축필요 : 감사정보수정및변경불가 Audit Vault, FGA

Ready for Run!!