<4D F736F F D B1E2C8B9BDC3B8AEC1EE2DBAAFC1F8BFED>

Similar documents
본 강의에 들어가기 전

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint - chap06.ppt

05 암호개론 (2)

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

1장 암호의 세계

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

PowerPoint Template

공개키 암호 방식

슬라이드 1

0. 들어가기 전

[Brochure] KOR_TunA

표지1

동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및

Microsoft PowerPoint - DPM File 암호화 솔루션 제안서_ pptx

Windows 8에서 BioStar 1 설치하기

PowerPoint 프레젠테이션

Cloud Friendly System Architecture

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

슬라이드 제목 없음

PowerPoint Template

Cryptography v3

1장 암호의 세계

hwp

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

슬라이드 1

Sequences with Low Correlation

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

untitled

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

A Study on the efficient mutual authentication mechanism using the agent server


본안내서는 개인정보보호법 에따라개인정보처리자가개인정보를안전하게 저장 전송하는데사용되는기술인암호화에대한안내를제공하고있습니다. 본안내서는개인정보처리자가고유식별정보, 비밀번호, 바이오정보등암호화대상개인정보의저장 전송시적용할수있는암호알고리즘, 수행방식, 사례등을제시하고있으며제

PowerPoint Template

Microsoft Word - 10[1].이호균.doc

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

Microsoft PowerPoint - 3장-MS SQL Server.ppt [호환 모드]

기초 암호화 기법

Microsoft Word - PLC제어응용-2차시.doc

슬라이드 1

TTA Journal No.157_서체변경.indd

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

hwp

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

CSA Summit Korea 2013

PowerPoint Presentation

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

[ 목차 ]

2002report hwp

PowerPoint 프레젠테이션

04 Çмú_±â¼ú±â»ç

슬라이드 1

말은 많은 Blockchain 2

Windows Server 2012

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

게시판 스팸 실시간 차단 시스템

Microsoft PowerPoint - note03 [호환 모드]

JDBC 소개및설치 Database Laboratory

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

041~084 ¹®È�Çö»óÀбâ

PowerPoint Template

Microsoft PowerPoint - chap06-2pointer.ppt

요약 숫자는현실을정확히보여줍니다. 세이프넷의데이터유출 / 침해인덱스 (breachlevelindex.com) 에따르면 1년전세계적으로매시간마다 6 만 8,개의기록들이손실되거나유출되었습니다. 이를연간으로따져보면 5억 9,5만건에달합니다. 문제는이숫자가데이터유출 / 침해건

저작권기술 Newsletter 2018 년 15 호 1 저작권신기술동향 (Hot Issues on the R&D) 저작권관련최신특허기술 N- 스크린스트리밍을위한 CAS 기술특허 해외저작권기술소개 불법스트리밍링크에대한차단기술 국내저작권기술소개 스트리밍콘텐츠에대한필터링기술

ad hwp

V. 통신망 기술

발신자 목적지 발신자 목적지 발신자 목적지 공격자 발신자 목적지 발신자 목적지 공격자 공격자

서현수

Microsoft Word - 한민호.doc

Windows 10 General Announcement v1.0-KO

<4D F736F F F696E74202D E DB0FCB0E820BBE7BBF3BFA120C0C7C7D120B0FCB0E820B5A5C0CCC5CDBAA3C0CCBDBA20BCB3B0E8>

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

[Brochure] KOR_LENA WAS_

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

consulting

Microsoft Word - 문필주.doc

관용 암호 방식

Microsoft Word - src.doc

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

이발명을지원한국가연구개발사업 과제고유번호 No 부처명 한국연구재단 연구관리전문기관 - 연구사업명 일반연구자지원사업 연구과제명 유무선통합환경에서의안전한클라우드데이터센터구축을위한지능형보안관제기술개 발 기여율 1/1 주관기관 순천향대학교산학협력단 연구기

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

메뉴얼41페이지-2


순서 I [ 동영상 ] 테이프암호화의필요성 II [Case Study] 암호화기술개발배경및도입효과 III 기존암호화솔루션의한계 IV IBM 테이프암호화의장점 V IBM 테이프암호화절차 VI IBM LT4 세대소개 1

PowerPoint Template

쉽게배우는알고리즘 6장. 해시테이블 테이블 Hash Table

Visual Studio online Limited preview 간략하게살펴보기

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

슬라이드 1

chap06.hwp

[로플랫]표준상품소개서_(1.042)

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

<4D F736F F F696E74202D20C0FCC0DABCADBDC4BCD6B7E7BCC720BCD2B0B3BCAD2E BC8A3C8AF20B8F0B5E55D>

4S 1차년도 평가 발표자료

Transcription:

국내 DB 암호화솔루션및관련알고리즘동향 변진욱평택대학교정보통신학과부교수 jwbyun@ptu.ac.kr 1. 서론 2. DB 암호화방식 3. 국내 DB 암호화솔루션소개 4. 검색가능한암호화기법소개 5. DB 암호화솔루션이슈및결론 1. 서론위키백과에기록된대한민국의정보보안사고목록을살펴보면, 큰대형보안사고가일년에평균약 4 회정도발생하였음을알수있다. 흥미로운사실은, 최근 10 년동안, DDoS 를이용하여악의적으로전산망을마비시키는공격을제외하고는모두개인정보유출사건이대형보안사고의주를이루었다는점이다. 불과일년전 2014 년 1 월에발생한주요카드사 ( 국민, 롯데, 농협 ) 의개인정보유출사고에서국민들의폭발적인분노를통해알수있듯이, 국민들이개인정보를바라보는시각과그권리에대한인식이더욱더강화되었다는것은누구도부인할수없다. 2015 년을살아가는대한민국국민이라면, 사용자의개인정보는이제더이상가볍게처리되어서는안되며, 막중한책임과부담을가지고안전하게보관되어야한다는사실을누구나인식하고있을것이다. 이러한급격한인식의변화에는 2011 년 3 월에제정되고 9 월에시행된개인정보보호법도한몫을했다라고판단한다. 더욱이 2014 년 8 월정보보호법개정령시행이후반드시법령근거가있어야지만주민번호를수집, 이용이가능하도록법이더욱강화되었다. 주민번호뿐아니라, 개인정보보호법, 정보통신망법, 전자금융감독규정, 신용정보업감독규정등에규정되어있는비밀번호, 고유식별정보 ( 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 ), 신용 * 본내용과관련된사항은평택대학교정보통신학과변진욱부교수 ( 031-659-8286) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 13

주간기술동향 2015. 2. 18. 카드번호, 계좌번호, 거래로그, 생체정보등은반드시암호화를해야하는대상에속하게되었다. 일반적으로법의개정및강화는관련법을준법화할수있는해당기술의시장형성및발전에큰영향을끼친다. 개인정보를보호할수있는가장손쉬운방법은개인정보가저장되는 DB 를암호화하는것이다. 이러한 DB 암호화솔루션의주요목적중하나는검색및응답성능이암호화후에도 DB 암호화전과최대한동일하게유지하는것이될것이다. 최근 2012 년 KISA 의지식정보보안산업실태조사에의하면, 2015 년에는콘텐츠 / 정보유출방지보안솔루션에대해약 3,974 억원의매출을전망하였다. 이는약 12.1% 의증가세로다른정보보안제품과비교했을때큰증가세를나타내고있다 [4]. 그중 DB 암호는 2015 년에는 425 억원그리고 2016 년에는약 450 억원의매출액을전망하였다 [4]. 이렇듯, 개인정보보보법개정령시행으로인해 DB 암호화및보안시장의규모가더욱커질것이라는점에대해이견을제시하는사람은없을것으로판단된다. 이에본고에서는최신 DB 암호화솔루션에대해서살펴본다. 먼저, DB 암호화방식을고찰하고, 국내상용화제품들에대해서홈페이지, 온라인신문기사들을기반으로, 소개한다. 그리고 DB 암호화에사용될수있는이론적암호알고리즘들의동향을분석하고, 끝으로 DB 보안시장의이슈에대해결론을짓는다. 2. DB 암호화방식일반적으로 DB 시스템은 DB 서버와이를이용하는응용서버로구성되며, 구축환경에따라최적의방법으로 DB 암호화방식을고려해야한다. 통상적으로 DB 시장에서는크게 DB 암호화방식을컬럼암호화방식과블록암호화방식으로분류한다. 컬럼암호화방식은보안을위한암 / 복호화모듈이 DB 서버에존재하느냐혹은사용자의응용서버에존재하느냐에따라플러그인, API 로분류하고둘을병합한하이브리드방식도존재한다. 블록암호화방식은 DB MS 에서제공하는암 / 복호화기능을이용하여파일을암 / 복호화하는방법이다. DB 암호화방식에대한자세한설명과적용시고려사항들에대해서는금융보안연구원에서작성한가이드라인을참고하기바란다 [1]. 컬럼암호화기반의세가지암호화방식과블록암호화방식에대한특징을간략히소개하면다음과같다. 14 www.iitp.kr

가. Plug-in 방식이방식은 DB 암 / 복호화를담당하는모듈이플러그인형태로 DB 서버에존재하여 DB 서버가직접암 / 복호화를담당하는방식이다. 즉, DB 내부에서어떠한형태로든지외부함수를호출하여암 / 복호화를수행하게된다. 이로인해, 사용자들의많은질의와대용량트랜잭션처리시 DB 서버가암 / 복호화를수행해야하므로 DB 서버내의 CPU 에부하가많이걸릴수있다. 나. API 방식 API 방식은응용서버에서보안라이브러리혹은 API 를이용하여암 / 복호화를수행하는방식이다. 이로인해, DB 서버의의존도가낮고부하를줄일수있으므로대용량트랜잭션처리시상대적으로좋은성능을낼수있다. 응용단에서직접 C, Delphi, java 등의언어로암 / 복호화를수행하기때문에 DB 성능의저하없이 DB 암호화시스템을구축할수있다. 다. 하이브리드방식플러그인과 API 방식의장점들만을취합하여 DB 암호화를수행하는방식으로서암 / 복호화모듈이응용서버와 DB 서버내에함께존재한다. 일부 SQL 질의에대해서응용서버의 API 방식으로수행하여 DB 서버의부하를줄일수있고, 또한나머지질의에대해서는플러그인방식을이용하여 DB 서버에서암 / 복호화를수행하며, 응용서버단의프로그램수정을최소화할수있는장점을모두갖게된다. 라. 블럭방식 (Transparent Data Encryption: TDE) 오라클, MS-SQL 과같은 DB 에서자체적으로제공하는암호화기능을이용하여응용프로그램의수정없이 DB 내부에서컬럼레벨의암호화를수행하는방식이다. 데이터파일을저장할때커널단에서암호화하여저장하고, 해당파일을가져올때커널단에서복호화하여메모리에가져오게된다. DB 서버커널단에서암 / 복호화가이루어지기때문에 SQL 질의의수정이없고기존 DB MS 시스템에서추가적인작업없이쉽게 DB 보안을유지할수있는장점이있다. 15

주간기술동향 2015. 2. 18. 3. 국내 DB 암호화솔루션소개 2015 년 1 월을기준으로, 국내 DB 암호화제품은총 11 개로파악되었다. 각제품에대한분석은자사홈페이지및관련기사들을바탕으로작성하였다. 모든 DB 보안솔루션을직접사용하여기능및성능을비교평가하는것은많은시간과비용이소요되므로매우어려운작업이다. 그러므로비교평가보다는자사홈페이지의제품소개사이트와최신관련기사들을바탕으로특징되는기능들을최대한간추려소개하였다. 자사홈페이지및신문기사에근거한제품소개이므로, 특정제품의소개내용이다른제품에서도공통적으로제공하고있는기능과특징일수있다. 가. XecureDB[5] 소프트포럼 (http://www.softforum.co.kr) 에서개발한솔루션으로, DB 암호화를위해부분, 선택암호화, 싱크 (SYNC) 암호화, 압축암호화라는특허기술이적용되었다. 소프트포럼은 2013 년에 데이터크기조정장치및방법 이라는이름으로압축암호화기술에대해특허를획득하였다. 이로인해 DB 스키마를변경하지않은상태에서평문의크기보다더작은크기의암호문을얻을수있게되었다 [16]. XecureDB 제품은부분암호화및선택암호화를이용하여컬럼기반암호화를수행하되선택된값중부분적으로만암호화하여검색속도를향상시킬수있다 [5]. 또한, 지속적암호화를위해싱크암호화기술을지원하며, 이를통해응용서버에는싱크 API 로, DB 서버에는싱크플러그인을이용하여지속적인암호화를수행한다 [5]. 나. KSignSecureDB[6] 케이사인 (http://www.ksign.com) 에서개발한솔루션으로, 데이터베이스와연동하는기존의응용프로그램에대한수정없이데이터를컬럼단위로암호화하며, 이중접근제어를통해인가된사용자및응용프로그램등에대해접근을허용한다 [6]. 또한, DB 접근제어기능시암호화가적용된컬럼과적용되지않은컬럼에대해서모두접근제어가가능한특징이있다 [6]. 최근, 케이사인에서는 2014 년에레드햇플랫폼기반의시큐어디비 (KsignSecureDB) 도출시하였다. 큰특징은 RedHat Linux 환경에서프로그램의수정을요구하지않으며, 기존의 DB 암호화방식에서이슈가되는 DB MS 스키마변경없이몇시간안에빠른설치와적용이가능하다는점이다 [17]. 16 www.iitp.kr

다. Galea[7] 웨어밸리 (http://www.warevalley.com) 에서개발한솔루션으로, 갈리아 (Galea) 는기본적으로컬럼단위의암호화를수행하고플러그인방식을지원한다. 웨어밸리는글로벌시장조사기관가트너가선정하는 소프트웨어리더 업체로 3 년연속선정되었다 [18]. 플러그인방식으로기인한 DB 성능저하를최소화하기위해갈리아는 N 개의다수의네트워크암 / 복호화서버를설치할수있다. 이론상으로무한개의네트워크암 / 복호화서비스를설치할수있으며, 네트워크성능만보장된다면데이터베이스의성능에주는영향을최소화하여암 / 복호화를진행할수있다고소개하고있다 [7]. 라. PETRA CIPHER[8] 신시웨이 (http://sinsiway.com) 가개발한솔루션으로, 2012 년처음으로국정원 CC 인증을획득한제품이다. 기본적으로컬럼단위의암호화를지원하고플러그인과 API 방식을모두지원한다. 속도가느린 SQL 에대해서는 Java API 와연결역할만수행하여내부로직을없게하였으며, 이로인해경쟁사대비 2~3 배뛰어난복호화성능을제공한다고소개하고있다 [8]. 특별히, DB 암호화솔루션과 DB 접근제어솔루션은공통적으로 DB 에접근하는사용자및 DB MS 에대한정보를함께사용하게되며, 신시웨이에서출시한페트라와페트라사이퍼는이러한정보를공유하여사용할수있도록설계되었다는점이장점이다 [19]. 마. ECHELON[9] 모노커뮤티케이션즈 (http://www.echelonway.com) 에서개발한제품으로국정원에서검증된자체암호모듈을탑재하여주요정보를컬럼단위로암호화하고접근통제기능과감사기능이탑재된 DB 보안솔루션이다 [9]. 자사홈페이지에서는크게네가지를특장점으로소개하고있다. 첫째, 애슬론의에이전트가질의어추출기능을보유하고있어응용서버단의커스터마이징을최소화할수있다는점이다. 둘째, 애슬론이제공하는함수를이용하여 DB MS 와별도로 (API 기반 ), 상용툴사용시암 / 복호화기능을제공한다. 그리고사용자가요청한질의어에대한접근차단, 암복호화기능을제공하고, 끝으로부하분산의기능이뛰어나대량의트랜잭션을암 / 복호화처리할수있다고소개하고있다 [9]. 17

주간기술동향 2015. 2. 18. 바. 셜록홈즈 DB 암호화 [10] 컴트루테크놀로지 (http://www.comtrue.com) 에서개발한솔루션으로기존의 API 및플러그인방식과는달리응용서버및 DB 수정을전혀하지않는 DB 암호화를수행한다 [10]. 2015 년 1 월셜록홈즈 DB 암호화및셜록홈즈 DB 접근제어가각각 CC 인증 EAL4 등급을국내업체중최초이자유일하게획득하였다 [20]. 셜록홈즈 DB 암호화솔루션은하이브리드방식으로, 셜록홈즈 DB 암호화장비가응용서버와 DB MS 사이에존재하여자체적으로 DB 내테이블컬럼분석을통해암 / 복호화여부를판단하고이를실시간으로암호화하게된다. 설치시응용서버의프로그램과 DB 에전혀수정이필요없고, 이중화구성지원으로중단없이 DB 암호화를수행한다. 다른제품과유사하게선택적, 부분적암호화, 인덱스검색, DB 스키마의수정없는암호화등을지원한다 [10]. 사. D Amo[11] 펜타시큐리티 (http://www.pentasecurity.com) 에서개발한솔루션으로, API, PLUG- IN, Hybrid 등다양한암호화방식을지원하고, 특정암호화방식만을사용하는것을지양하며고객환경에최적화된암호화기술을적용하고있다 [11]. 고객시스템아키텍처에따라성능과보안성을최적화하여적용할수있도록다양한제품군을보유하고있다 [11]. 펜타시큐리티는형태보존암호인 FPE(format preserving encryption) 암호기술에대해특허를보유하고있으며, DB 암호화제품에적용되어암호화후에도평문과암호문의길이가같도록하였다. 2013 년에버전 3.0 이출시되어다양한데이터타입및인코딩을지원하게되었고, 초기암호화, 실시간질의성능부분에서약 30% 성능이향상되었다고소개하고있다 [21]. 아. SoliDBase[12] 파수닷컴 (http://www.fasoo.com) 에서개발한솔루션으로 DB 에포함된중요정보를컬럼기반으로안전하게암호화한다. 파수닷컴은애플리케이션개발단계부터 DB, 서버, PC, 출력물등중요데이터의유통전반에걸친통합보안제품들을보유하고있다. 그중 FACE 는내부자에의한고의적인파일유출사고를방지하기위해 DB 로부터다운받은자료들을보호하는솔루션이다. 또한, SoliDBase 는 DB 내의기밀정보를암호화하여저장할수있는기술이다 [12]. 18 www.iitp.kr

자. SafeDB[13] 이니텍 (http://www.initech.com) 에서개발한제품으로애플리케이션의수정이나별도의개발과정없이 DB 에추가설치하는과정만으로중요데이터를암호화하고간편하게보안정책을적용할수있다 [13]. SafeDB 는총세개 (Crypto Agent, Policy Server, Policy Manager) 의제품군을포함하며, 응용서버의프로그램수정없이 DB 에설치함으로써컬럼별암 / 복호화, 접근제어, 접근로그및감사기능을수행하게된다. Crypto Agent 는 DB 서버내에설치되어데이터베이스에대한암호화와접근제어를수행하고, Policy Server 는각종보안정책을관리하고암 / 복호화키등과같은보안정책데이터를 Crypto Agent 에제공하며, Policy Manager 는관리자에게보안정책관리를위한편리한인터페이스를제공한다 [13]. 2013 년 Safe DB 가 SAP 인증을획득하였으며, 이로인해 SAP 의 ERP 환경에서개인정보의안전한암 / 복호화에대한신뢰성을입증받게되었다 [22]. 차. CubeOne[14] 이글로벌시스템 (http://www.eglobalsys.co.kr) 에서개발한컬럼단위의 DB 암호화제품이다. CubeOne Plug-in, CubeOne API, CubeOne for SAP 등세가지의제품군이있으며, 각각플러그인, API 방식을지원하고, SAP 환경에서도 DB 보안을수행할수있는제품들이다. CubeOne Plug-in 은테이블과인덱스를완벽히암호화하고인덱스를통한색인검색을지원하는유일한제품으로소개하고있다 [14]. 무엇보다도, DB 또는응용서버내의디스크에평문으로된키를저장하지않고메모리에상주시킴으로써데이터와키가함께유출될가능성이없는매우안전한키관리체계를가지고있는것이특징이다. 이로인해, 2014 년신 S/W 상품대상에선정되었다 [23]. 카. EdgeDB[15] 케이엘매트릭스 (http://www.klmatrix.com) 에서개발한제품으로 API 방식과플러그인방식을지원하며, 하이브리드방식 ( 필터방식 ) 도지원한다. DB 서버내에암호라이브러리 ( 필터 ) 가존재하여보안정책에따른접근통제, 데이터의암호화감사기록을생성하게된다 [15]. 필터는 DB MS 와독립적인프로세서로구동되며 CPU/memory 의유휴자원을활용하여암 / 복호화를수행한다고소개하고있다 [15]. 암호화이후에도평문데이터값의순서를유지해주는 OPE(order preserving encryption) 가적용되었으며, 이로인해성능향 19

주간기술동향 2015. 2. 18. 상을꾀했다. 케이엘매트릭스는 2012 년에개발이완료되었으므로 DB 암호화시장의후 발주자라할수있다. 그럼에도불구하고, 케이앨매트릭스는 2015 년매출목표를 500 억 으로잡고 DB 암호화분야선도기업이되기위해노력하고있다 [24]. 4. 검색가능한암호화기법소개이장에서는이론적으로 DB 암호화제품에적용될수있는암 / 복호화알고리즘들에대해고찰한다. 이러한알고리즘들은약 8 년전에소개된동향보고서 [2],[3] 의알고리즘들을포함하며, 자세한동작과정은지면관계상설명을생략하고, 큰분류별로비전문가들이쉽게이해할수있도록작성하였다. 아직이론적으로제안된검색가능한암호화알고리즘이실제 DB 암호화제품에적용되어사용되는것은일부알고리즘에불과하다. 최근 10 여년동안검색가능한암호화기법에대한연구가큰진척이이루어졌기에이론적결과가앞으로더욱많이 DB 보안제품및분산환경에적용될것으로전망한다. 가. 분산웹하드환경에적용가능한대칭키암호알고리즘기반의검색가능기법이방법은사용자의비밀키를이용해서기밀데이터를암호화하여 DB 서버에저장하고, 이후에암호문을사용자본인이해당암호문을검색하여복호화할수있는기법이다. 사용자가자신의비밀키및질의키워드를이용하여트랩도어를만들어질의를하게되며, 이에서버는트랩도어와암호문간의연산을통해해당키워드를포함한암호문을사용자에게내려주게되고사용자가그것을복호화하는방식이다. 웹스토리지및웹하드환경에서상용화가가능한알고리즘으로 2000 년 D. Song 등이최초로기법을제안하였다 [25]. 2003 년에 Goh 등이블룸필터를적용하여검색가능하고알고리즘의안전성을증명할수있음을보였다. 블룸필터는주어진집합에특정원소가속해있는지를판단하는데사용하는확률적인자료구조이므로암호문상에서검색시확률적인오류가발생할수있는단점이있다. 나. 이메일서버환경에적용가능한공개키암호알고리즘기반의검색가능기법이메일환경이라함은메일의송신자와수신자가존재하는환경이다. 이메일환경에서송신자는기밀데이터를수신자의공개키로암호화하여보내면, 수신자는이메일서버에보관된암호문들중에서원하는키워드가포함된트랩도어를이메일서버에질의한다. 이 20 www.iitp.kr

메일서버는검색알고리즘을통해암호문중에서키워드가포함된암호문을수신자에게내려주게되고, 사용자는자신의개인키로공개키에의해암호화된암호문을복호화하여기밀데이터를볼수있게된다. 이를가능하게해주는알고리즘이 2001 년에 ID 기반공개키암호알고리즘을 [26] 이용하여 D. Boneh 등에의해설계되었다 [27]. 다. OPE 기법순서유지암호화기법이라불리는 OPE(Order Preserving Encryption) 기법은일종의대칭키암호화알고리즘으로, 평문데이터의크기순서를암호화된데이터에반영시켜암호화시키는기법을말하며, DB 암호화제품의범위검색에실제적으로사용되고있다. 범위에해당하는값을암호문으로만들어그크기사이에해당하는암호문을돌려주면되기때문에추가적인복호화작업이필요없게되므로검색속도측면에서성능향상이이루어질수있다. 2003 년에 G. Ozsoyoglu 등이의사난수 (psedurandom number) 를이용하여 OPE 기법을제안하였다 [28]. 하지만, 암호문을적절히이용하면평문의분포가들어나는취약점이있었다. 이를해결하기위해 2004 년 R. Agrawal 등은제안된알고리즘에서모델링, 평탄화, 변환단계를통해평문의분포가암호문분포가상이하게만들었다 [29]. 라. 기타기법 ( 버켓기반, 해시기반 ) 우선, 버켓기반의암호화방식은인덱스를사용하여검색을시도하는기법이다. 평문의정보와독립적인버켓구간을정해놓고, 해당범위에있는평문정보를버켓구간에매핑시켜서 DB 의평문데이터를은닉하게된다. 범위에속하는값을검색할수있는기능도있지만, 무엇보다버켓정보들을이용하여평문의데이터를쉽게유추할수있기때문에암호이론상평문의정보를완벽히보호할수없는단점이있다. 해시기반기법은해시함수를이용해인덱스를만들고이를통해검색하는방법이다. 해시는충돌회피일방향함수를사용하므로해시값간에충돌이거의발생하지않는다. 그러므로정확한일치검색이가능한점이버켓기반보다장점이될수있다. 5. DB 암호화솔루션이슈및결론 DB 보안제품과검색가능한암호알고리즘들에대한기술및동향들에대해살펴보 았다. 개인정보보호법이시행된후부터 IT 전문가들이개인정보보호를위해제일먼저도 21

주간기술동향 2015. 2. 18. 입을고려하는것이 DB 암호화솔루션이되었다. 그만큼, 개인정보보호법시행이후 DB 암호화제품들의판매실적이향상된것은부인할수없을듯하다. DB 암호화제품및알고리즘들에대한공통적인이슈를한가지씩정리하면다음과같다. 무엇보다도 DB 암호화제품자체의성능이슈가본격화될것으로보인다. 빈번히질의되는개인정보를가장많이취급하고있는곳은은행권이다. 은행권은개인정보보호법상 2016 년 1 월부터개인정보를암호화하여저장하도록되어있지만대통령령으로적용대상및시기가다소늦추어질가능성도있다. 문제는은행거래과정에서주민번호가조회되는건수는다른업체나영역에비하면상상을초월할정도로많다. 그주민번호는암호화가되어저장되므로기존의 DB 암호화제품이성능저하없이이조회건수를소화할수있느냐가 DB 업계의이슈가될것으로보인다. 금융거래시대량의조회수를처리하기위해서는단순한하드웨어비용투자를통한속도개선보다는 DB 보안제품자체에대한성능개선이이루어져야할것이다. 현재는주민번호와같이빈번하게조회되는개인정보를취급하는곳이금융권이지만, 앞으로사용자의프라이버시가강화됨에따라, 일반기업및공공기관에서대량의빈번한조회수를가지는개인정보를취급해야할경우가많아질것으로보인다. 이러한다양한대량의개인정보들을암호화하여어떻게속도저하없이검색되고 DB 본연의서비스를제공해줄수있는가하는이슈는앞으로변함없는 DB 업계의관심사가될전망이다. 끝으로, 검색가능한암호알고리즘은앞으로도인기있는연구주제가될것으로전망한다. 이론적측면에서아직달성해야할안전성수준이존재하고, 또한그안전성수준에맞는효율적인알고리즘설계에대한연구가아직필요하기때문이다. 3DES 나 SEED 와같은관용암호의개발은곧보안솔루션에활발히적용되는반면에, 이론적으로제시된검색가능한암호알고리즘은아직 DB 보안솔루션에활발히적용되지않고있다. 그주된이유는알고리즘자체가겹선형사상 (bilinear map) 에기반하여많은겹선형연산 (bilinear operation) 을요구하므로이에따른연산량이상대적으로많기때문이다. 표준화작업과같은차후문제를제외하더라도알고리즘자체연산에대해경량화작업이필요하다. < 참고문헌 > [1] DB 암호화기술가이드, 금융보안연구원, 2014-14, 2014. 12. 22 www.iitp.kr

[2] 이호균, 이승민, 남택용, 데이터베이스암호화기술과제품동향, ETRI, 전자통신동향분석제 22 권제 1 호 2007. 2. [3] 이승민, 이동혁, 남택용, 장종수, 염흥렬, 데이터베이스암호화와검색기술동향, NIPA, 주간기술동향통권 1327 호 2007. 12. [4] 2012 국내지식정보보안산업실태조사, 한국인터넷진흥원, 2012. 11. [5] 소프트포럼홈페이지의 XecureDB 제품소개사이트참고 [6] 케이사인홈페이지 KSignSecureDB 제품소개사이트참고 [7] 웨어밸리홈페이지 Galea 제품소개사이트참고 [8] 신시웨이홈페이지페트라사이퍼제품소개사이트참고 [9] 모노커뮤니케이션즈홈페이지애슬론제품소개사이트참고 [10] 컴트루테크놀로지홈페이지셜록홈즈 DB 암호화제품소개사이트참고 [11] 펜타시큐리티홈페이지 D Amo 제품소개사이트참고 [12] 파수닷컴홈페이지 Solidbase 제품소개사이트참고 [13] 이니텍홈페이지 SafeDB 제품소개사이트참고 [14] 이글로벌시스템홈페이지 CubeOne 제품소개참고 [15] 케이엘매트릭스홈페이지 EdgeDB 제품소개참고 [16] 소프트포럼압축암호화기술특허획득, IT Daily 2013. 9. 24. [17] 케이사인, 레드햇플랫폼기반 DB 암호화솔루션출시, 전자신문 2014. 4. 8. [18] DB 보안수출연 250% 고공행진아시아로영토확장, 디지털타임스, 2014. 12. 4. [19] [ 솔루션리뷰 ] 차세대 DB 암호화솔루션페트라사이퍼, IT Daily 2015. 1. 1. [20] 컴트루테크놀로지, DB 암호화, 접근제어솔루션 CC 인증획득, IT Daily 2015. 1. 15. [21] 펜타시큐리티, DB 암호화 D Amo 3.0 출시 -보안성, 실용성, 사용자편의성개선, IT Daily 2013. 2. 15. [22] 이니텍, DB 암호화솔루션 SafeDB SAP 인증획득, 데일리시큐, 2013. 7. 29. [23] [ 신 SW 상품대상 1,2 월수상작 ] 이글로벌시스템큐브원, 전자신문 2014. 2. 24. [24] [e 프런티어 ] KL 매트릭스, 전자신문 2014. 4. 7. [25] D. Song, D. Wagner, and A. Perrig, Practical Techniques for Searching on Encrypted Data, IEEE Symp. on Security and Privacy, May, 2000. [26] D.Boneh, M.Franklin, Identity-Based Encryption form the Weil pairing, CRYPTO 2001, Aug. 2001. [27] D. Boneh, G. Cresenzo, R. Ostrovsky, and G. Persiano, Public key encryption with keyword search, Eurocrypt 2004, May 2004. [28] G. Ozsoyoglu, D. Singer, Anti-tamper Database: Querying Encrypted Databases, In Proc. of the 17th Annual IFIP WG 11.3 Working Conference on Database and Applications Security, August 2003. [29] R. Agrawal, J. Kiernan, R. Srikant, Y. Xu, Order Preserving Encryption for Numeric Data, In Proc. of the ACM SIGMOD Conf. on Management of Data, June 2004. 23

2024 © docsplayer.org 개인정보보호 | 약관 | 지원