㈜피앤피시큐어 DB 보안 솔루션
"DB SAFER"는 하이브리드 DB 보안 솔루션으로 네트워크상의 패킷정보를 캡쳐하여 DB감사로그를 기록하는 스니핑 방식, 프록시 서버구성을 통해 DB에 대한 모든 접근과 사용자의 권한을 제어하는 게이트웨이 방식, 에이전트를 DB서버에 직접 설치하여 더욱 강력한 보안을 확보하는 서버 에이전트 방식을 모두 지원한다.
특히, "WAS SAFER"는 기존 DB 보안 솔루션으로 WAS(Web Application Server) 및 애플리케이션 서버에 대한 접속한 내역만 남겼을 뿐 접근하지 못하게 통제할 수 없었던 취약점을 해결한 DB 보안 솔루션이다. 백순용 (주)피앤피시큐어 sybaik@pnpsecure.com
기존 DB 보안은 2-Tier 사용자를 중심으로 접근통제 및 암호화를 통한 보안을 수행하였으나, 현재 DB 보안은 2-Tier 뿐만 아니라 3-Tier 즉 WAS와 DB, 애플리케이션 서버와 DB간의 접속에 대한 보안이 요구되고 있다.
WAS/애플리케이션 서버에 대한 DB 보안 도입의 필요성
DB 암호화 시스템을 도입하여 DB 서버에 적용했더라도 DB 보안에 대한 솔루션은 될 수 없다. 이는 대부분의 공격형태가 실제 DB 서버를 해킹하는 것이 아니라 DB 접속이 허용된 WAS나 애플리케이션 서버를 공격해서 권한을 탈취하는 것이며, 권한이 있는 사용자는 복호화된 데이터를 볼 수 있기 때문이다. 이에 대한 대책으로는 IPS, WAF, 서버보안 및 애플리케이션 자체에서 보안을 고려하여 프로그램이 작성되어야 하는데 실제로는 서로 다른 시스템간의 결합이 원만하지 못하다. 또한 악의적인 내부 사용자가 허용되지 않은 애플리케이션으로 애플리케이션 서버를 통하여 DB에 접속하거나, 애플리케이션 서버에서 DB 접속툴로 DB에 접속하여 중요 정보를 유출하는 것을 방지할 수 없다.
WAS SAFER의 주요 기능과 특징
▶ WAS 비정형 쿼리 탐지 및 차단 기능
WAS SAFER는 탐지된 쿼리에 대한 학습기능을 가지고 있어 학습된 쿼리에 대해서 정형/비정형 쿼리 판별이 가능하며 이를 통하여 비정형 쿼리에 대한 탐지 및 차단이 가능하다.
▶ SQL Injection, Query Flooding 등을 탐지 및 차단
정책설정을 통하여 다양한 SQL Injection(Mass SQL Injection, Blind SQL Injection 등)을 탐지가능 하며, 짧은 시간에 대량의 쿼리가 유입되는 Query Flooding에 대해서 탐지 및 차단이 가능하다.
▶ SQL Injection 로그 확인 기능
정책설정을 통하여 다양한 SQL Injection, Query Flooding 등과 같은 악의적인 공격에 대한 감사로그를 저장하며, 해당로그에 대한 검색 및 조회할 수 있는 기능을 제공한다.
▲ DB 보안 솔루션의 변천
▶ WAS 정형 쿼리에 대한 결과 데이터 통제
정형 쿼리에 대한 결과 데이터 제어가 가능하며, 특정 결과값 크기, 결과값 행수 등의 이상 데이터에 대해서 Alert, Session Kill, Data Masking 기능을 통해 대량의 개인정보를 유출 방지할 수 있다.
▶ 보안장비 장애 시 기존 연결된 세션유지 기능
보안통제(명령통제, Data Masking) 기능을 수행 중에 보안장비의 비정상 재부팅이나 시스템 전원 차단으로 인한 장애시, 기존 연결되어 있는 DB와 WAS간의 연결이 끊기지 않아 업무시스템 중단이 발생하지 않는다. 즉 보안장비 장애 시 세션유실에 의한 DB의 Rollback 가능성 및 재연결이 필요 없다.
▶ 타 보안제품 무력화 방지 기능
일반적인 DB 보안 솔루션은 DB 보안 서버를 거쳐 DB에 접근하기 때문에 DB 사용자에 대한 IP 주소가 아닌 DB 보안서버의 IP 주소를 DB 서버에 전달되어 모든 사용자가 DB 보안서버의 IP 주소로 변조되어 실사용자의 IP 주소를 구분할 수 없게 된다. 하지만 WAS SAFER는 DB 보안서버의 IP 주소가 아닌 실사용자의 IP 주소를 보여주기 때문에 실제 사용자에 대한 통제가 가능하다.
▶ 접근제어
보안계정, 사용자 IP(IP 대역 포함), Application(TOAD/Orange/Golden/ SQL-PLUS/기타.), DB 계정, 날짜/시간 등 다양한 정보를 AND 조건으로 접근제어 정책을 설정하며, 전용 애플리케이션 이외의 접속을 차단할 수 있는 기능을 제공한다.
▶ 권한제어
애플리케이션에 따라 DDL/DML/DCL 구문 전체 및 개별통제가 가능하며, 테이블단위 접근제어 설정인 DML, DDL 등에 대한 명령을 차단할 경우에도 접속된 세션을 유지한다. 명령어로 인한 DB의 부하를 증가시키는 행위에 대해서도 제어한다. 또 결과 데이터에 대한 제한 설정을 통해 특정 사이즈 이상의 결과 값은 파일로 저장할 수 있으며 조회가 가능하다.
특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대해 사전 차단하고 SQL 명령어 DB Table 등의 모든 조건을 이용하여 권한을 제어한다. 아울러 지정된 시간을 초과해도 DB 서버가 사용자에게 요청 값을 통보하지 못할 시 해당 사용자 세션 강제 Kill 기능, 사용하지 않는 유휴 세션 자동종료 기능, 기존 연결 세션에 대해 실시간 접근 통제가 적용된다.
▲ WAS SAFER 제품구성
▲ WAS SAFER 주요기능 및 특장점
▶ 감사 및 로깅
사용자별, 접속 세션별 접속 이력을 실시간으로 모니터링할 수 있으며 DBMS, SSH, Telnet, FTP 등을 통합으로 모니터링하고 로깅한다. 또한 감시대상 DB로 요청되는 초당 SQL요청 수, 초당 평균 응답시간, 데이터 조회 건수, 네트워크 사용량(패킷량의 변화), 경보 전달 건수를 실시간으로 볼 수 있는 기능을 제공한다. 즉 사용자 접속현황 및 접속 세션별 접속이력 및 쿼리에 대한 실시간 모니터링(단, 보안 관리자의 접근내역은 별도 관리)하고 통합 대시보드 및 통합 관리화면을 통해 감시대상 서버, DB에 대한 세션, SQL 변화 추이 및 상태정보를 그래프로 제공한다.
▲ DB SAFER와 WAS SAFER 도입 구축 예
▶ 이기종 DBMS 지원 및 통합 관리
DB SAFER는 다수의 이기종 DBMS를 하나의 사용자 인터페이스를 통해 통합관리할 수 있다. 현재 지원하는 DBMS는 총 10가지 유형으로 Oracle(모든 버전 지원), MS-SQL, Sybase ASE/IQ, Informix, DB2/UDB, Altibase, Teradata, MySQL, Tibero에 대해서 지원하고 있다.
▶ Data Masking
어떠한 애플리케이션에 관계없이 중요한 정보에 대해 Data Masking 처리하여 정보 유출을 사전에 방지한다. 특정 패턴(주민번호)의 경우 Masking의 오류를 최소화하기 위해 '13'번째 Checksum을 인식해서 Checksum이 맞는 경우에만 Masking 기능이 동작하고 지정한 패턴이 모두 Masking되는 것이 아니라 패턴 중에서도 정책에서 지정한 일부분만 Masking(예:" 701125-*******") 처리된다.
▶ 보고서 기능
WAS/애플리케이션 서버에 대한 DB 접근추이가 그래프로 표현되고 출력기능을 제공하며, SQL 구문별, 명령어별로 검색 및 통계 보고서 기능을 제공한다. 생성된 보고서는 외부 데이터(PDF, DOC, XLS, PPT, HTML, XML, TXT 등)로 Export하는 기능을 제공한다. 2-Tier 방식으로 DB 서버에 접근하는 내부 사용자는 DB SAFER로 접근통제 하며, DB에 접속이 허용된 WAS(애플리케이션 서버)가 외부 해킹 또는 악의적인 내부 사용자가 애플리케이션 서버를 통한 접근은 WAS SAFER의 접근통제로 DB 서버의 중요 데이터 유출을 방지할 수 있다.
고객정보보호를 위한 최선의 선택
현재 IT 컴플라이언스 강화, 금감원 규정, 정보통신망법등을 포함한 법제화가 더욱 강화되고 있지만, 기존의 암호화/접근제어 모두3Tier에대해서 완벽한보안을못해주고 있는상황이다.
특히 대형 할인점, 병원, 여행사등의 사업자들의 실제 업무 환경을 고려할 때 WAS에서의 DB간의 보안은 성능과 안정성, 가용성과 더불어 WAS에 특화되어 있는 솔루션의 선택이 우선시 되어야한다.
향후DB보안의 고려사항부분이 성능, 가용성, 안정성 측면에서 중시되어야 하는 한 WAS에서 DB 접속에 대한 모니터링 기술과 DB접근제어솔루션의 필요성은 지속될 것이다.