DBSAFER 제품소개서 2015
목 차 I. DB 보안개요 II. 솔루션소개 III. DBSAFER 특장점 1. DB 보안도입필요성및기대효과 2. DB 접근제어시스템개요 3. DB 보안방식별특징비교 1. DBSAFER 솔루션개요 2. 시스템구성방식 3. 주요기능및특장점 IV. 회사소개및구축사례 1. 일반현황및연혁 2. 품질인증 3. 레퍼런스 4. 구축사례 Why PNPSECURE
Ⅰ. DB 보안개요 1. DB 보안도입필요성및기대효과 2. DB 접근제어시스템개요 3. DB 보안방식별특징비교
1. DB 보안도입의필요성 I. DB 보안개요 정보유출및해킹범죄건수가매년 2 배씩증가 보안침해사고의 70~80% 가내부자의정보유출에의해발생 개인정보보호의무위반한업체에배상명령 ( 개인정보분쟁위원회 ) 방송통신위원회규정법안준수 Basel II, SOX, ISO 17799 등의정보에대한기밀성유지관련 Compliance 준수 중요정보에대한위협증가 개인정보보호법률강화 전문적인 DB 보안관리체계필요 데이터베이스보안취약성 전사적보안관리체계 엄격한보안등급에의해계정관리가현실적으로어려움 관리자 (DBA) 의권한집중화 방화벽에서콘텐츠까지동일한수준의보안요구 단계별구획화하고핵심자산중점관리필요 Copyright c 2012 PNPSECURE Corp., All rights reserved. 3
1. DB 보안도입의필요성 - 실제사례 I. DB 보안개요 국내모정유사의고객개인정보유출과정 DB에있는고객정보를읽기위해필요한 SQL Client Program을사용하여다운로드 다운로드를 2만건씩, 5~6백번에걸쳐작업반복 고객정보엑셀프로그램에복사해서붙임 ( 단, 2만건씩, 5~6백번에걸쳐붙일수도있고한번에천백만건의정보를붙였을수도있음 ) 엑셀내고객정보를 DVD 6장으로옮김 DB 접근제어및감사의필요성 주민번호, 카드번호등의중요개인정보가허용량이상나갈때는결정권자에게승인을얻거나, 보안담당자에게실시간으로문자나이메일등의경고 (Alert) 시스템보안이이루어졌다면 2만건씩이나되는고객정보를 5~6백번에걸쳐반복해다운로드할수는없었다. 국내모정유사사건처럼정보유출사실조차파악하지못해서는안된다. 혹시라도유출되었다할지라도기업은가능한빨리알아야한다. 빨리알게되면정보가악용되거나방치되는것을막을수있기때문이다. Copyright c 2012 PNPSECURE Corp., All rights reserved. 4
1. DB 보안도입의필요성 - Compliance I. DB 보안개요 관련컴플라이언스준수 대외적효과 법률규정 적용대상 Basel Ⅱ G-10 국가의은행 개인정보보호지침 ( 정보통신망이용촉진및정보보호등에관한법률 ) 개인정보를보관하는기업, 정부, 비영리재단, 개인 주요정보통신기반시설보호지침 ( 정보통신기반보호법 ) 정보통신기반시설로지정된시스템운영단체 내부자보안수준강화에따른신뢰도향상 데이터베이스보안강화에따른대고객서비스향상 업무신뢰도향상에따른고객신뢰도향상 감독기관요구사항대응및감사에대처 목적 ( 통제목표 ) 적용시기 자본타당성보호 운영위험측정관리 2005 년 한국 2006 년 개인정보또는기록을보호 2006 년 01 월 기반시설의안정적운영국가의안전과국민생활의안정보장 2001. 년 01 월 ( 최초적용 ) l 대내관리적효과 대내적효과 영향시스템 비고 정보보안문제로인해재무적, 운영적, 업무적영향이발생하는전시스템 준칙 7: 전자금융시스템 ( 데이터응용프로그램에대한적절한인증절차마련 ) 준칙 9: 전자금융거래에대한명확한감사기록보존 준칙 10: 중요한은행의정보에대한기밀성유지 개인정보를보관하는데이터시스템 기업, 정부, 비영리재단, 개인소유의데이터가누출되었을때 ( 개인정보를비인가된접근으로획득한경우 ) 공식통지 개인정보보호원칙을명시하고개인정보의수집보유할경우법률의규정 E 는정보주체의동의를얻어야함 정보통신기반시설지정정보통신망 기반시설에서취급하는데이터및주요정보의외부위협에대한보호대책수립요구 데이터기밀성, 무결성, 가용성을유지하기위한다각적인보안대책을요구 시스템적으로자동화된데이터보호및통제 데이터사용에대한자동감시체계구축 시스템전반에걸친보안수준향상 합리적보안정책수립및보안정책에따른보안통제 데이터사용및사용내역에대한사전사후관리체계구축 내부자관리통제체계구축 보안사고시추적및복구 암호화를통한데이터베이스외부유출시대응체제구축 집중화된데이터베이스보안통제체계구축 Copyright c 2012 PNPSECURE Corp., All rights reserved. 5
1. DB 보안도입의필요성 사업자의개인정보보호조치기준 I. DB 보안개요 법률규정 [ 제정 2010.12.30. 행정안전부고시제 2010-86 호 ) 1. 사업자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 제 9 조접근권한, 인증및계정관리 2. 사업자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우에는지체없이접근권한을변경또는말소하여야하며, 주기적으로접근권한을관리하여야한다. 3. 사업자는제 1 항및제 2 항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5 년간보관하여야한다. 4. 사업자는사용자계정 ( 이하 아이디 라한다.) 발급시개인정보취급자별로한개의사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. 제 11 조접근통제 제 12 조접속기록의위. 변조방지 10. 침해사고예방및대응 개인정보보호조치기준위반시 1. 사업자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치. 운영하여야한다. - 개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을제한 1. 사업자는개인정보취급자가개인정보처리시스템접속한기록을월 1 회이상정기적으로확인. 감독하여야하며, 최소 6 개월이상접속기록을보존. 관리하여야한다. 2. 개인정보취급자의접속기록이위. 변조되지않도록해당접속기록을별도의물리적인저장장치에보관하고정기적으로백업을수행하여야한다. 10.2 침해사고의대응계획및체계수립 - 증거수집및추적, 감사체계수립 ( 로그에대한상시모니터링체계 ) 위반할경우최고 3 천만원의과태료부과기준준수하지않아개인정보의분실, 도난, 유출, 변경한경우 2 년이하의징역또는 1 천만원이하의벌금부과 Copyright c 2012 PNPSECURE Corp., All rights reserved. 6
2. DB 접근제어시스템개요 I. DB 보안개요 DB 접근제어및감사솔루션은 DB 에대한접근 / 권한제어, SQL 감시 / 로깅등을통하여 DB 를통한 대량의내부정보유출의위험을최소화함. 구성도 ( 예 ) DB 접근제어시스템 (Gateway+Sniffing 방식 ) DB 서버 q 구성방식 Gateway 방식 n Gateway를통하여 DB 접근 n 보안성및확장성이뛰어남 Server n 서버마다 Agent 설치 Agent 방식 n 우회접속을차단하는데유리함 접근제어 모니터링 어플리케이션을통한접근은 DB 보안을통하지않게하여응용의성능에영향을미치지않도록설정가능함 Sniffing 방식 q 주요기능 n 단순모니터링구성 n 물리적으로구성이복잡해질수있음 n DB 에영향없음 접근제어 n 가상계정,IP,APP 등으로접근통제 권한제어 n 명령어, Table, Colum 단위로가능 어플리케이션 SQL 감사 / 로깅 n 모든 SQL 내역감사, 로깅, 검색 Telnet/SSH/ FTP 통제 n DB 서버 Telnet, SSH, FTP 명령통제 분석및리포팅 n 다양한통계분석및리포트제공 DBA/ 운영자 일반사용자 DB 서버및어플리케이션환경에따라다양한혼합구성가능 DB 를통한정보유출위험최소화 Copyright c 2012 PNPSECURE Corp., All rights reserved. 7
2. DB 접근제어시스템개요 I. DB 보안개요 연도별신기술개발현황 세계최초 G/W 방식개발 세계최초 PC NAT, 국내최초 SQL Tool 에관련없는 SQL 결재기능개발 국내최초 DB 접근제어부문국가정보원인증획득 세계최초 SQL Tool 에관계없이제공되는 Data Masking 기능개발 세계최초 Inline TTP 기능개발 세계최초 Proxy TTP 기능개발 국내최초 Terminal Service 를통한 MS-SQL 접속시에도명령어통제및감사기능개발 2004 년 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 세계최초 Gateway 방식개발 세계최초 PC NAT 기술개발 SQL Tool 에종속적이지않은결재기능, Datamasking 기능 세계최초 In-line TTP, Proxy TTP 신기술인증 (NET) 마크획득 세계최초 Terminal Service 접속 보안통제기능이가능한세계최초의 Gateway 방식의 DB 접근제어솔루션개발 기존제품의단점인물리적인 (Sniffing) 제약과감사만가능했던단점을보완하여업계표준이된방식 PC NAT 기술을이용하여감시대상인 DBMS, Telnet, FTP 등의트래픽에대해서만자동으로 DB 보안 G/W 서버경유토록하여감시하는기술 ( 기존의운영환경을변경하지않음 ) 전용 SQL Tool 에상관없이 SQL 결재기능및중요정보 Masking 기능지원 (Toad, Golden, Orange, SQLGate 등 ) 보안장비의비정상재부팅또는시스템전원차단으로인한장애시 DBSAFER 는기존연결된모든세션을유지시켜주는안정성보장기술 ( 보안장비장애시세션유실에의한 DB 의 Rollback 가능성이없음 ) GW 에서의 Data masking 까지문제없이지원 Proxy 방식에서도유사한장애회피기능지원 MS-SQL 서버의경우 Terminal Service 로접속하여 DB 에접근하면사실상어떻한모니터링및통제도불가능하였지만, DBSAFER 가국내최초로 Terminal Service 에대한 Keystroke 및모든입력이벤트를감사할수있는기술을개발 T/S 를통한 SQL 명령도감사및통제가가능함 Copyright c 2012 PNPSECURE Corp., All rights reserved. 8
3. DB 보안방식별특징비교 I. DB 보안개요 특징비교 접근제어및감사제품 구분 Sniffing 방식 BEQ Agent Server Agent 방식 Node-Safer Gateway 방식 (In-line, Proxy 구성가능 ) TTP Gateway 방식 (Tursted Transparent Proxy 로 In-Line, Proxy 구성가능 ) 보안기능 보안통제가사실상불가능 강력한보안기능제공 우회접속차단만가능 강력한보안기능제공 강력한보안기능제공 안정성 Agent 가설치되지않는방식, DB서버에영향없이안정적운영가능 Agent 설치로인한 DB 서버 성능에영향을줄수있음 Agent 장애로 인한 대책 미비 서비스재시작필요 서비스재시작없음 서버재시작없음 Software TAP 방식 장애없음 Agent 가설치되지않는방식, DB 서버서버에영향없이안정적운영가능 Gateway 구성에따른장애대응방안필요 ( 이중화 or Bypass) SSH 통제및모니터링가능 암호화대체기능제공 (Data Masking) Agent 가설치되지않는방식, DB 서버서버에영향없이안정적운영가능 SSH 통제및모니터링가능 암호화대체기능제공 (Data Masking) 확장성 확장시각각의세그먼트마다 H/W 연결필요 서버마다 Agent 설치필요 별도의 H/W 나 Agent 추가없이확장가능 별도의 H/W 나 Agent 추가없이확장가능 제품특징 모니터링만할경우권장 소규모적용시가격유리 Gateway 방식에서우회경로차단및서버접근제어용으로활용 보안성및확장성이뛰어나며, 이중화구성시가장좋은구성제안이가능 안정성 : Sniffing 방식과동일 보안성 : Gateway 방식과동일 성능 : Gateway 방식과동일 최적의구성방식 고려사항적용기술비고 장애대비를 위한 설계원칙 후킹기술사용절대불가 네트워크트래픽을 driver level 에처리하지않고 application level 에서 Raw socket 을 sniffing 함 ( 프로그램이오동작하거나강제종료를시켜도네트워크에는전혀영향이없음 ) DB 보안서버장애시 Fail-open 모드로자동전환 기접속된세션보호 사용자의고의적인프로세스종료및각종비정상동작에대한자동복구기능수행 성능 최소한의자원사용 (Memory 5M bytes 이하, 평상시 0.1% 미만점유, 과부하시 3% 미만점유 ) 설치및이식성 Ansi-C 로작성하여다수의 OS 플랫폼에바로이식가능 특정라이브러리설치없이서버에이전트동작 ( 프로그램만서버에복사하여동작 ) Copyright c 2012 PNPSECURE Corp., All rights reserved. 9
Ⅱ. 솔루션소개 1. DBSAFER 솔루션개요 2. 시스템구성방식 3. 주요기능및특장점
1. DBSAFER 솔루션개요 II. 솔루션소개 DBSAFER 제품구성 DBSAFER Gateway V 3.0 DB 접근제어를실행하고데이터를로깅, 분석하는기능수행 보안서버 DBSAFER Sniff V 3.0 네트워크상에서패킷을도청하면서 DB 접근제어를실행하고데이터를로깅, 분석하는기능수행 S / W (Log / 차단 ) DBSAFER Server Agent V 3.0 DMS(Decide ) V 3.0 DB 서버에설치되어우회접속에대하여 DB 접근제어를실행하고데이터를로깅, 분석하는기능수행 SQL 결재기능및변경전후데이터보관기능수행 관리 PC DBSAFER Manager V 3.0 DB 접근제어정책을수립하고실시간모니터링기능수행 PC 설치 DBSAFER Agent V 3.0 -DB 접속 Client PC 에설치되어 DB 접속시네트워크경로자동변경및사용자인증기능수행 (1 인 1 계정지원 ) - DMS 설치시 SQL 결재기능 / 변경전후데이터보관기능제공 H / W DBSAFER Gateway & Sniff Server FOD (Fail Over Device) or TAP DBSAFER Gateway & Sniff Engine 을탑재하고실행하는하드웨어 DBSAFER Gateway(In-Line) 구성또는 Sniffing 구성시필요 Copyright c 2012 PNPSECURE Corp., All rights reserved. 11
2. DBSAFER 구성방안 II. 솔루션소개 구성방식 Gateway In-Line Proxy + PC Agent Sniffing Server Agent Hybrid 방화벽과같이사용자와 DBMS 접속경로사이에위치하는방식이다. DB 접속자, DB 시스템환경변화가없다. 물리적으로다른지역또는여러 Switch 에연결된다수의 DB 시스템을관리할때유용한방식이다. DB 접속사용자 PC 에 Client 프로그램설치가필요하다. Sniffing 방식은통제목적이아닌접속정보만을저장할경우많이사용하는방식이다. WAS 및 AP 서버등미들웨어로깅시주로사용한다. DB 시스템에 Server Agent 를설치하여콘솔작업을포함한 telnet 등 Local 접속통제가필요할경우사용하는방식이다. 위의여러방식중 2 개이상을혼용하여구성하는방식이다. <Gateway ln-line> <Sniffing> <Hybrid> <Proxy + PC Agent> <Server Agent> Copyright c 2012 PNPSECURE Corp., All rights reserved. 12
2. DBSAFER 구성방안 II. 솔루션소개 구성방식 - Gateway Gateway 구성방식 In-Line Proxy + Agent 설명 불특정다수의사용자가 DB 접속시사용하는방식 별도의 Client PC 에 Agent 설치나변경없이구성 대부분의대학교에서구성하는방식 한정된 DB 접속사용자 (2-Tier) 들이 DB 접속시사용하는방식 Client PC 에 Agent 설치또는 DB 접속환경파일수정필요 대부분의금융, 공공및일반기업들이구성하는방식 In-Line Proxy + Agent Client DBSAFER Client DBSAFER FOD DBMS 백본스위치 ( 이중화 ) DBMS Copyright c 2012 PNPSECURE Corp., All rights reserved. 13
3. 주요기능및특장점 II. 솔루션소개 접속및권한제어 가상계정, DB 계정, 사용자 IP, Application, 날짜및시간대별접속제어 특정명령어와 Table 및 Column 명까지조합하여명령어에대한사전차단 DBMS, Telnet, FTP 뿐만아니라 SSH 에대해서도접근제어가능 사용자별로사용가능명령어 (DDL/DML/DCL 구문 ) 를제한하는권한제어기능 사용자세션강제종료 로깅및감사 실시간접속사용자감시기능 접속방법에관계없이모든 SQL 문감시기능 실행된 SQL 문 / 실행시간 / 사용자 / 시간대별검색및추적기능 접속세션및실행명령어별이력관리기능 감사데이터생성 리포팅 로그데이터에대해실시간보고서제공 사용자별접속 / 거부통계보고기능 정책위반건수통계보고기능 로그데이터를 DB 로저장, 사용자가편집가능하도록스키마제공 기타기능 다수의이기종 DBMS (Oracle, SybaseIQ/ASE, UDB/DB2, MS-SQL, MySQL, etc) 에대해통합관리 특정패턴및칼럼 Data Masking 기능 결재기능 - Decide & DMS( 사전데이터, 사후데이터자동보관 ) 백업및복원기능 유연한보안정책및중복쿼리축약기능 (Query count) 우회경로추적및비정상쿼리탐지기능등지속적인추가기능제공 (connection traceback) Copyright c 2012 PNPSECURE Corp., All rights reserved. 14
3. 주요기능및특장점 II. 솔루션소개 접근제어 DBSAFER 는가상계정, 사용자 IP(IP 대역포함 ), Application (TOAD/Orange/Golden/SQL- PLUS/ 기타..), DB 계정, 날짜 / 시간, 등 object 별로다양한정보를 AND 조건으로접근제어정책을 설정한다. 또한, Telnet, FTP, SSH 접근제어기능도지원한다. 사용자 IP 별제어 - 차단하고자하는사용자의 IP 를 Single 또는 Range 로지정하여차 단 / 허용 DBMS 접속계정차단 - DBMS 에접속하는계정에따라접속을차단 / 허용 Application 별차단 - DBMS 에접속하는 Application 에따라접속을차단허용특정명령어와 Table 및 Column 명까지조합하여명령어에대한 사전차단 Copyright c 2012 PNPSECURE Corp., All rights reserved. 15
3. 주요기능및특장점 II. 솔루션소개 권한제어 DBSAFER는 DDL/DML/DCL 구문에대한통제가가능하며, 테이블단위접근제어설정인 DML, DDL등에대한명령을차단할경우에도접속된세션을유지한다. 명령어로인한 DB의부하를증가시키는행위에대해서도제어한다. 또한, Return Data에대한제한설정을통해특정사이즈이상의결과값은파일로저장할수있으며조회가가능하다. DBSAFER 는 DCL 구문뿐아니라테이블단위접근제어설정, DML, DDL 등에대한명령을차단할경우에도접속된세션을유지하며 SQL 명령어, DB Table 등의모든조건을이용하여권한을제어한다. 특정명령어와 Table 및 Column 명까지조합하여명령어에대한사전차단을하고주석이나힌트절에대한차단도지원한다. 지정된시간이지나도록 DB 서버에서사용자에게요청값을통보하지못할시해당사용자의세션을강제로 kill 시킬수있다 Copyright c 2012 PNPSECURE Corp., All rights reserved. 16
3. 주요기능및특장점 II. 솔루션소개 감사및로깅 DBSAFER는사용자별, 접속세션별접속이력을실시간으로모니터링할수있으며, DBMS, SSH, Telnet, FTP 등을통합으로모니터링하고로깅한다. 또한, 감시대상 DB로요청되는초당 SQL 요청수, 초당평균응답시간, 데이터조회건수, 네트워크사용량 ( 패킷량의변화 ), 경보전달건수를실시간으로볼수있는기능제공을제공한다. 사용자별, 접속세션별접속이력및쿼리에대한실시간모니터링단, 보안관리자의접근내역은별도로관리 통합 Dashboard 및통합관리화면을통하여감시대상서버, DB 에대한세션, SQL 변화추이및상태정보를그래프로제공 ( 단, DBSAFER v3.0) 로그에서특정로그를검색하는기능 모든 DB 접속 SQL 및 BIND 값로깅및결과값 (OPTION) 로깅 Copyright c 2012 PNPSECURE Corp., All rights reserved. 17
3. 주요기능및특장점 II. 솔루션소개 리포팅기능 DBSAFER는보안대상 DB에대하여접근추이를그래프뿐만아니라그래프로표현및출력기능을제공하며, SQL 구문별명령어별로검색및통계레포팅기능을제공한다. 생성된리포트는외부데이터로 (PDF, HTML, DOC, XML, XLS, TXT, HWP 등..) Export 하는기능을제공한다. DB 접근추이를그래프로표현및출력기능을제공하며, SQL 구문별명령어별로검색및통계레포팅기능을제공한다. 그리고, 생성된리포트를 PDF, HTML, DOC, XML, XLS, TXT, HWP 등다양한형태로변환한다. 사용자정보, 서비스객체명세서, 접속제어정책명세서, 사용자 Query 제어정책명세서, 접속정책변경이력명세서, 사용자 Query 제어정책변경이력명세서, 정책별접속및미접속 IP 정보명세서, 정책별접근명세서등이외에일, 주간, 월간요약 / 상세리포트, 총괄로그, 관리자로그등에대한리포트도생성, 저장기능제공. Copyright c 2012 PNPSECURE Corp., All rights reserved. 18
3. 주요기능및특장점 II. 솔루션소개 이기종 DBMS 지원및통합관리 DBSAFER는다수의이기종 DBMS를하나의사용자인터페이스를통해통합관리할수있다. 현재 DBSAFER v3.0이지원하는 DBMS는총 13가지유형으로 Oracle( 모든버전지원 ), MS-SQL, Sybase ASE/IQ, Informix, DB2/UDB, Altibase, Teradata, MySQL, Tibero에대해서지원한다. 모든유형의 DBMS 통합관리 Oracle Sybase Informix DB2/UDB MSSQL Altibase Teradata MySQL Tibero DBSAFER v3.0 Enterprise Manager Service 서비스설정접속및권한제어정책설정통합및선택적모니터링감사로깅리포팅사전 / 사후결재처리 관리자 Copyright c 2012 PNPSECURE Corp., All rights reserved. 19
3. 주요기능및특장점 II. 솔루션소개 Data Masking DBSAFER 는어떠한애플리케이션에관계없이중요한정보에대해 Data Masking 처리하여정보 유출을사전에방지한다. 특정패턴 ( 주민번호 ) 의경우 Masking 의오류를최소화하기위해 13 번째 Checksum 을인식해서 Checksum 이맞는경우에만 Masking 기능이동작하고, 지정한패턴이모두 Maksing 되는것이아니라패턴중에서도정책에서지정한일부분만 Masking ( 예 : 701125- *******") 처리된다. 5 서버응답값에대해체크및 1 Toad를통해 DBMS 서버에접속응답값변경 (Masking) (DBMS 접속툴에관계없음 ) 2 SQL 실행 : select * from Jumin_NO; DB 사용자 4 사용자화면 3 Jumin_NO Table 조회요청 DB Server NAME Jumin_NO 4 DB서버응답값 --------------- --------------- NAME JUMIN_NO Jane, Ponda ******-******* --------------- ---------------------- James,Hong 700815-******* Jane, Ponda 581021-2234567 James,Hong 700815-1234567 : Checksum 확인을통한 masking : 패턴매칭을통한특정자리수만 masking Copyright c 2012 PNPSECURE Corp., All rights reserved. 20
3. 주요기능및특장점 II. 솔루션소개 결재기능 - Decide DBSAFER의결재시스템은 User ID/User IP 및 Table 단위의조건을조합하여쿼리를결재하는기능을제공하며, 사용자가요구하는내역에대한이력보고서를생성할수있다. < 결재상세리포트 > 결재자 ( 처리자 ) DB 사용자 ( 요청자 ) DBSAFER < 결재업무흐름도 > DB 서버 Copyright c 2012 PNPSECURE Corp., All rights reserved. 21
3. 주요기능및특장점 II. 솔루션소개 DB Scan 을이용하여 SP 에포함된명령까지통제및로깅 DBSAFER는 DB 서버에확인되지않은개인정보나중요정보를가지고테이블이존재하는지정확한검색기능을제공한다. 또한 Stored procedure에서중요정보를제어하는경우데이터유출의위험성이존재한다.. DBSAFER의 DB Scan기능은 DB서버내부에저장되어있는 Procedure 가어떤검출항목을제어하는가에 대해서도확인한다. 보안대상 DBMS DBSAFER Scanning Oracle 검출항목지정 MSSQL Manager WEB UI 관리자접속 기타 DBMS 개인정보관련 Table/Column 정보를추출하여 DBSAFER 의 Data masking 정책에자동으로등록 Stored procedure 의경우 Procedure 정보를추출하고 DBSAFER 서비스와의연계를통해사용자가실행하는 Stored procedure 의동작을확인 Copyright c 2012 PNPSECURE Corp., All rights reserved. 22
3. 주요기능및특장점 II. 솔루션소개 분산환경및이중화지원 Active-Active 및 DR 센터의 DBSAFER에대해서보안정책동기화를지원하며국내최초로정책통합, 모니터링통합, 로그통합기능을동시에제공한다. 통합기능이란 Active된다수의 DBSAFER를한대의 DBSAFER 처럼인식하는기능으로한번의정책수정으로모든 DBSAFER가동기화되며통합된실시간모니터링과로그검색을제공한다. Active-Active 그룹구성지원과 DBSAFER 를그룹으로지정한경우한번의정책설정으로모든 DBSAFER 에정책이적용되며모니터링및로그검색도한대의 DBSAFER 처럼동작한다. 특히 DR 쪽의 DBSAFER 가이와동일하게동작하여주센터장애시에도 DR DB-Safer 에의해서모든 DB 접속이보안장비를통해서운영이가능하다. DBSAFER G/W1 보안정책동기화 DBSAFER G/W2 DBSAFER Log DBSAFER DR DBSAFER Active Switch Standby Switch 주센터 DR 센터 Copyright c 2012 PNPSECURE Corp., All rights reserved. 23
3. 주요기능및특장점 II. 솔루션소개 윈도우터미널서비스로깅 서버관리자가윈도우터미널서비스를이용하여 MS-SQL서버에접근한경우통제가불가능하지만, DBSAFER는서버관리자가입력하는모든 Key Stroke 및입력 Event를해석하여입력한모든 SQL문장을 DBSAFER의 Gateway가감사및통제하게된다. 이러한모든기능은 MS-SQL 서버및 PC에별도의 Agent 필요없이지원한다. ( 동영상이저장되는것이아니라입력한모든명령어가저장 (Telnet형식) 되어조회까지도가능함 ) 모든 DB 접근제어제품 DBSAFER 보안대상서버 MS-SQL Server 보안대상서버 MS-SQL Server - 접속 / 권한제어정책 서버관리자 Windows Terminal 사용자 Switch Windows Terminal 접속 FireWall DB 보안시스템 접속제어감사로깅 Terminal Service 통제및로깅불가 서버관리자 Windows Terminal 사용자 Switch Windows Terminal 접속 FireWall DB 보안시스템 접속제어감사로깅 (DBSAFER) Terminal Service 통제및로깅 - 실시간모니터링 - 로그조회 Copyright c 2012 PNPSECURE Corp., All rights reserved. 24
3. 주요기능및특장점 II. 솔루션소개 모든 DBSAFER 장애시에도감사데이터생성 DBSAFER 장애발생시 DB 접속자 (DBSAFER Agent 설치자 ) 의 PC 에는쿼리에대한로그가남게되고 DBSAFER 서버가정상작동할시에 PC 에서가지고있던로그를모두 DBSAFER 서버로옮기는기능을 제공한다. Trusted 서버 보안대상 DB 서버 장애가발생되면사용자는데이터베이스직접접속하여작업을수행합니다. DBSAFER Agent 는사용자가데이터베이스에접속한내역, 사용한 SQL 정보를사용자 PC 로컬에저장합니다. 백본스위치 장애발생 장애가복구되면사용자는 DBSAFER 서버를통해서데이터베이스에접속되며, DBSAFER Agent 는저장된감사로깅내역을 DBSAFER 서버에전송합니다. DBSAFER DBSAFER 서버는 DBSAFER Agent 에서전송한감사로깅내역을 DB 에저장합니다. 장애복구시로그전송 현업사용자 DB 접속자 Copyright c 2012 PNPSECURE Corp., All rights reserved. 25
3. 주요기능및특장점 II. 솔루션소개 중복쿼리축약 WAS의정형및비정형쿼리의중복으로인한로그데이터유실및속도저하는중복쿼리축약기능으로중복쿼리를최소화시켜 Sniff 및로그장비의부하를감소시키며, 로그데이터의경량화로하드웨어에투자되는비용을최소화한다. S( 대형유통사 ) 사의 WAS 에서발생된로그로인하여 30,000 여개의버퍼파일이발생하였으며, db 에저장되는로그는계속밀려서 1 일전의로그가저장되고있었음 중복로그데이터 로그데이터유실 CPU 부하로인한속도저하현상발생 구성원리및특징 로그발생시최초로그는바로 DB 에저장 중복로그는 10 초에 1 번씩 count 값만갱신 중복로그라도 2 분에 1 번씩은새로운로그를기록 초당 10,000 쿼리발생시에도임시버퍼파일이발생하지않으면서 100% 모두처리 CPU 부하를줄여서 Sniff 서버의로그유실을최소화함 DBSAFER Manager 에서중복 count 를기준으로로그를정렬할경우판독가능 Copyright c 2012 PNPSECURE Corp., All rights reserved. 26
3. 주요기능및특장점 II. 솔루션소개 안정성보장 (GW TTP 기술 ) DBSAFER Proxy TTP 는 DBSAFER Agent 에의한 NAT 처리된패킷정보를수집하여다시 DBSAFER Agent 가패킷을변경하기전의패킷으로복원후최종목적지인 DB 서버에패킷을전달하므로써 DBSAFER( 장비 / 프 로그램 ) 에장애가발생하여 FOD Bypass 전환에따른세션이끊어짐현상이발생하지않는고가용성보장기술 을제공한다. HW 장애시세션유지 (Trustful Transparent Proxy) DBUser DBSAFER AGENT DB DBUser DBSAFER AGENT DB DBSAFER DBSAFER 가정상일경우 DBSAFER 에서 DB 패킷을처리한후 DB 서버로전달함 DBSAFER 장애발생 DBSAFER 에장애가발생할경우 OS Kernel 에서 DB 패킷을 DB 서버로직접전달함 <DBSAFER 정상동작할경우 > <DBSAFER 장애발생한경우 > TTP (Trustful Transparent Proxy) 기능은 Proxy 방식의 DB 접근통제시스템구성을하였을경우 DB 접근통제서버장애시사용자의세션이끊어지는문제를해결한 NET 신기술인증을받은고가용성보장기술입니다. ( 고객사의환경에따라서제약사항이있을수있음 ) Copyright c 2012 PNPSECURE Corp., All rights reserved. 27
Ⅳ. 회사소개및구축사례 1. 일반현황및연혁 2. 품질인증 3. 레퍼런스 4. 구축사례 Why PNPSECURE
1. 일반현황및연혁 IV. 회사소개및구축사례 피앤피시큐어는국내 Database 보안을선도하는 No1. 기업으로써금융, 제조, 통신및공공분야에서 750 여고객사이트구축경험을통해최상의솔루션을제공하고있습니다. 일반현황 기업신용도 법인명 피앤피시큐어대표자박천오 주소 서울시영등포구문래동 3 가 55-20 에이스하이테크시티 1 동 818 호 전화번호 (02)6309-6600 사업분야설립연도해당부문사업기간 데이터베이스보안솔루션사업 통합보안솔루션사업 정보보호교육사업 2003년 12월 2003년 12월 ~ 2012년 11월현재 ( 8년 11개월 ) 보유인력현황 기술 관리 개발인력 : 18 명 기술지원인력 : 22 명 영업 / 관리 : 10 명 총원 : 50 명 회사 신용등급 A0 Copyright c 2012 PNPSECURE Corp., All rights reserved. 29
1. 일반현황및연혁 IV. 회사소개및구축사례 주요연혁 2010 HISTORY 11 月 조달청나라장터종합쇼핑몰 3자단가계약연장체결 10 月 HWP 형식레포트출력기술적용 (OZ로그뷰어) 9 月 CC인증획득 (WASSAFER 4.0v) 2007 HISTORY 12 月 PC( 단말 ) 단에서의 NAT 기능특허등록 [TCP/IP 기반의주소변경방법및장치 ] 5 月세계최초 Agent less 방식의 DBMS 출력결과값 Data Masking 기능개발 8 月 GS 인증획득 (WASSAFER 4.0v) 3 月신기술제품 NEP 마크획득 [ 게이트웨이형식의 DB보안프로그램개발 ] 벤처기업인증 & INNO BIZ 기업선정 8 月세계최초 AP 접근제어보안제품 WASSAFER 출시 6 月피앤피시큐어사업장확장 ( 정보보안기술연구소전용사무실확충 ) 2006 HISTORY 9 月국가정보원 [ 국가용정보보호시스템보안적합성검증필 ] DBSAFER v3.0 8 月 GS 인증획득 [DBSAFER v3.0] 2009 7 月 CC 인증획득 (DBSAFER 3.0v) 게이트웨이방식의 DB 보안특허등록 [ 게이트웨이방식의 HISTORY 5 月 GS 인증획득 (DBSAFER 3.0v) 2 月 장비장애시에도세션끊어지지않는신기술특허 DB보안방법및장치 ] 1 月세계최초 PC 단에서의 NAT (Network Address Translation) 기술개발 TTP 기술 ) NET 인증획득 2005 12 月조달청 [ 우수조달제품 ] DBSAFER 선정 2 月 ISO9001:2008, ISO14001:2004 획득 ( 소프트웨어설계및 HISTORY 개발, 시스템구축및관련서비스, 정보보호컨설팅및교육부문에대한품질경영시스템인증및환경경영시스템인증 ) 2004 HISTORY 11 月 한국소프트웨어진흥원 [ 우수창업기업 ] 창업보육센터입주 5 月 정보통신부 [ 정보통신우수신기술선정 ] 연구개발자금지원 2008 HISTORY 5 月 SSH Agent 없이통제및모니터링방법특허출원중 4 月 DBMS 출력결과값 Data Masking 기능특허등록 2003 HISTORY 12 月세계최초게이트웨이방식의 DB 보안제품 DBSAFER 출시 12 月 피앤피시큐어법인설립 3 月국내최초 Agent less 방식의 SSH(Secure Shell) 감사및 2001 6 月 DBSAFER 개발착수 접근제어기술개발 HISTORY Copyright c 2012 PNPSECURE Corp., All rights reserved. 30
Copyright c 2012 PNPSECURE Corp., All rights reserved. 31
3. 레퍼런스 IV. 회사소개및구축사례 금융 / 공공 / 교육기관및일반기업 주요금융 / 공공기관, 일반기업및교육기관등 2012 년현재전체구축실적은 750 여사이트운영중 Copyright c 2012 PNPSECURE Corp., All rights reserved. 32
Why DBSAFER IV. 회사소개및구축사례 다양한산업에서다년간검증된 DBSAFER 로기업의 DB 보안시스템을구축하여빠른 ROI 실현과변화에대응할 수있는보안시스템을구축한다. 국내 DB 보안의선구자 DB 보안시장을선도하는 Leader 국내 DB 국내보안 DB보안 Market Market Leader Leader wdb 보안분야의국내 No1. 솔루션 wdb 보안단일제품으로최대의기술지원 / 개발조직보유 wgateway, Client Agent, Data masking 등핵심 DB 보안기술의특허보유 w 국가정보원의보안성검토필, NET 등인증, CC 인증보유 풍부한풍부한구축구축경험경험 w 풍부한 DB 보안프로젝트수행경험 (50 대이상의구축경험최다 ) w 다양한통신 / 금융 / 공공 DB 보안프로젝트를통한고객사에대한이해 검증된검증된솔루션솔루션 사용자의사용자의편의성편의성 w 사용하기쉬운시스템이며다수사이트에서검증된안정성 w 다양한인터페이스통합기능및용이한확장성 w 안정적인 Architecture w 현업에서쉽게이용할수있는 DBSAFER Manager w 다른보안솔루션과유사한 UI 로빠른습득및관리용이성 전문인력보유및지원 w 안정적인제품지원능력을가진국내전문인력지원 Copyright c 2012 PNPSECURE Corp., All rights reserved. 33