DB 보안의중요성및 IT 의과제 이진호 DB 기술팀부장한국오라클

DB 보안의중요성및 IT 의과제 이진호 DB 기술팀부장한국오라클

I. 정보보호산업의패러다임변화

정보보호산업의패러다임전환 정보보호산업 지식정보보안산업 1990 년대 2004 년대 2007 년대 2010 년이후 IT 시스템보안네트워크보안개인정보보호 v IT 보안기술 및제품간융합 v IT 융합산업보안 아마추어해커 웜 바이러스 산업기밀탈취 조직화된해킹범죄 통합보안 웹사이트손상 지엽적인위협 대량개인정보유출 지속적인위협 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사

전세계정보보호산업의강화요인 기업의부정으로인하여각종규제가강화되는계기가됨 한국 한국 07/05 Bernard Ebbers is serving 25 year prison sentence and paid US $50 Million in fines 11/07/06 Ex-CA Boss gets 12 years and $US 8 Million fine?? 충분하고지속적인내부통제에대한필요 : 비즈니스의효율적인운영을보장 관련법규, 규제준수여부를입증 주요재무리포트에대한신뢰도증가 글로벌기반의비즈니스영위능력 지역적, 국가적지침, 법규, 규제등의요구사항

전세계적인보안규제의강화현황 CA SB 1398 CA AB 1950 CA SB 1386 PIPEDA DPA RIP Sarbanes-Oxley HIPAA LOPD FDA CFR Part 11/Annex 11 GLB FISMA Personal Data Protection Law Bill 3494/2000 Bill 321/2004 Law f/protection Of Personal Data Nov2000 Companies Act BDSG KonTraG Basel II IAS EUPD Reg. 357 King II Rpt 자통법 KSOX 전자서명법개인정보보호법 Banking Act Japan Privacy JSOX CLERP 9 AS4360 PA&PAA AMERICAS HIPAA FDA CFR 21 Part 11 OMB Circular A-123 SEC and DoD Records Retention USA PATRIOT Act Gramm-Leach-Billy Act Federal Sentencing Guidelines Foreign Corrupt Practices Act Market Instrument 52 EMEA EU Privacy Directives UK Companies Law Restriction of Hazardous Substances APAC J-SOX, C-SOX, K-SOX, C49, etc CLERP 9 : Audit Reform and Corporate Disclosure Act (Australia) Stock Exchange of Thailand Code on Corporate Governance Global IFRS Basel II OECD Guidelines on Corporate Governance

II. 국내보안시장현황

국내정보보안시장현황 정보보호산업 : 매년 8.4% 성장예상 2002 년부터 2005 년까지 16% 성장에비해둔화 DB 보안및암호화는전체산업매출의 3 % 미만 DB 보안 : 매년 4.9% 성장예상 DB 암호화 : 매년 8.4% 성장예상 1,200,000 1,000,000 800,000 714,944 772,412 849,197 926,791 1,004,385 25,000 20,000 15,000 DB 암호 DB 보안 600,000 400,000 10,000 14,623 15,403 16,210 17,017 17,824 200,000 5,000 0 0 1,850 2,021 2,218 2,415 2,612 ( 백만원 ) 2007 2008 2009 2010 2011 ( 백만원 ) 2007 2008 2009 2010 2011 정보보호산업추세 DB 보안산업추세 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사참조및수정

국내정보보안시장현황 2007 년 2008 년 바이오인식 침입차단 ( 방화벽 ) 보안관리 Anti Virus 침입방지 (IPS) PC보안 DRM( 디지털저작권 ) 접근관리가상사설망 (VPN) 통합보안 (UTM) 운영체제보안공개키구반구조 (PKI) DB보안 / 암호화인증제품기타제품 Anti Spam 200,000 180,000 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 ( 백만원 ) 공공기관금융기관교육기관대기업중소기업기타 179,080 162,332 123,037 100,491 47,669 42,831 31,565 34,624 19,236 20,391 5,642 5,514 시스템및네트워크정보보호제품정보보호서비스 ( 백만원 ) 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 소스 : KISA( 한국정보보호진흥원 ) 2008 국내정보보호산업시장및동향조사참조및수정

국내기업정보보호의실태 필요성의부재및무관심 소스 : KISA( 한국정보보호진흥원 ) 2007 정보보호실태조사기업편, 국정원 2008 국가정보보호백서

정보보호수준자체평가 2006 년에비하여 2007 년의자체평가결과가전체적으로낮아짐 최근해킹및바이러스등사이버테러가급증에따라자체정보시스템에대한정보보호대책이부족함을인식 소스 : 2008 국가정보보호백서

해킹보다무서운내부자정보유출 내부자에의한정보유출유형 임직원및퇴사자의정보유출비율 > 80% 퇴직자유출비율증가추세 회사재직중핵심기술확보, 퇴직후재취업등으로유출 유치과학자 5% 용역업체 2% 현직직원 27% 투자업체 2% 협력업체 8% 유치과학자 3% 전직사원 49% 현직사원 44% 퇴직직원 60% 2003년이후발생한신분별적발현황 61건대상으로조사주체별적발현황피해규모 (32조?) 소스 : 국정원산업기술유출센터

내부자정보유출사고의특성 발생빈도는작지만그영향은치명적 % of organizations effected 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% $180,000,000 $160,000,000 $140,000,000 $120,000,000 $100,000,000 $80,000,000 $60,000,000 $40,000,000 $20,000,000 $0 Total Cost of Loss Virus Insider Abuse Denial of System Unauthorized Theft of Financial Telecom Sabotage of Net Access Service Penetration Access by Proprietary Fraud Fraud Insiders Information Nature of Security Breach 소스 : CSI/ FBI Computer Crime and Security Survey 2002

개인정보침해피해현황및영향 대형개인정보유출사건으로인한본견적인사회문제화 개인정보 ( 주민번호, 암호 ) 에대한암호화의의무화움직임 ( 정통망법 ) 개별소송의결과를나머지피해자에게자동적용하려는움직임 소스 : KISA( 한국정보보호진흥원 ) 2007 정보보호실태조사기업편

DB 보안 v.s 성능 접근제어에따른성능저하 암호화에따른성능저하및응용프로그램의대대적인수정 기존스키마의구조변경및용량증가 기존데이터베이스기능사용의제약 암호화된인덱스의범위검색을위한공인된알고리즘의부재 * 운영환경 보안적용 운영환경 보안적용 8000 7000 No!!!! 8000 7000 Yes!!!! 6000 5000 접근제어 6000 5000 접근제어 암호화 4000 암호화 4000 3000 3000 2000 2000 1000 1000 0 (TPS) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 0 (TPS) 1 2 3 4 5 6 7 8 9 10 11 소스 : ETRI 데이터베이스암호화와제품동향 (2007.2), 데이터베이스암호화와검색기술동향 (2007.12)

D E M O N S T R A T I O N SQL Injection

D E M O N S T R A T I O N Protect you asset from SQL Injection

웹사용자근간 DB 접근제어 웹사용자의보안레벨에근거한 DB 접근제어 웹사용자가어떤 DB 작업을수행했는지감사 Oracle Database VPD Policy Applications Application User ID ORACLE E-Business Suite ORACLE WEBLOGIC Application User ID Label Policy Audit Policy Audit Vault DV Policy Application 사용자 A 가언제, 어떤 SQL 을수행했는가?

VPD 예제 DBMS_RLS.ADD_POLICY( object_schema => 'scott', object_name => 'emp', policy_name => 'hide_sal_policy', policy_function => 'hide_sal_comm', sec_relevant_cols => 'sal,comm', sec_relevant_cols_opt => dbms_rls.all_rows); 특정부서 (sales) 의급여, 보너스만보여주도록정책설정 SALES 부서를제외한다른부서의 SAL, COMM 은 null 로표시 ENAME DNAME JOB SAL COMM ---------- ------------ --------- ------- ------ CLARK ACCOUNTING MANAGER KING ACCOUNTING PRESIDENT FORD RESEARCH ANALYST ADAMS RESEARCH CLERK SMITH RESEARCH CLERK SCOTT RESEARCH ANALYST WARD SALES SALESMAN 1250 500 TURNER SALES SALESMAN 1500 0 JAMES SALES CLERK 950 0 BLAKE SALES MANAGER 2850 0 MARTIN SALES SALESMAN 1250 1400

VPD 를통한개인정보유출방지 웹에정식으로로그인한사용자에게만정보제공 로그인한계정에해당하는정보만제공 SELECT, INSERT, DELETE, UPDATE 적용대상 : 주민번호, PASSWORD 등?? 왜주민번호와암호만 SQL INJECTION 이안되지?

SQL ID 비교를통한 SQL 실행제어 SQL ID 를 Database Vault 의명령어제어조건으로응용 인증된 SQL ID 의선별 : V$SQL, EM SQL tuning set 지정된 SQL ID 만특정객체에대해서허용 SQL Force Matching ID SQL ID 비교 검증된 SQL IDs 7473636416010971933 8849715900913719906 4731924230495539312 3189178367468740125 6348669860638267536 SQL 요청 일치 SQL 수행 Command Rule 불일치 X X X 감사

Oracle 보안솔루션로드맵 Internal 위협 Command Rules Management DBA Dev Service External 위협 Interface H/W Admin Interface Finance <Built-In Factors> User Factors Network Factors Database Factors Runtime Factors Extensible Application User Role Data Masking VPD 보안 Policies 기업의중요비즈니스 Data OLS Database Vault Realms Command Rules ASO (TDE) Audit Vault (FGA) IT Compliance 계정관리에따른접근제어 DBA 와보안관리자권한분리 보안정책수립 (Policies) Rule base Access Control Audit Vault 를통한감사정보시스템 Others Partners Realm Rule set

Oracle DB 보안솔루션 Solutions for Privacy and Compliance 중요 DATA 암호화처리 : 오라클커널에서수행하는어플리케이션에투명한암호화처리 TDE (Transparent Data Encryption) 내부자의 DB 접근통제수단필요 : Package 및 Application 전용유저, 일반유저, 백업계정권한분리 Database Vault, VPD, OLS 과도한권한설정에따른권한관리의어려움 : 보안 Policy 및별도의보안 Rule set 적용 Database Vault 에의한접근및권한제어 개발및테스트과정에서의데이터유출 : 개발및테스트를위해 Masking 처리된 Data 제공 DataMasking 강력한통합감사정보시스템구축필요 : 감사정보수정및변경불가 Audit Vault, FGA

Ready for Run!!