류승열 피앤피시큐어 정보보안기술연구소 차장
▲ 류승열 피앤피시큐어 정보보안기술연구소 차장
최근 한 유명 소셜네트워크서비스(SNS) 사이트에서 1억 명 이상의 가입자들이 공개를 원치 않았던 개인정보가 인터넷에 유통된 사례가 있다. 개인정보보호의 필요성은 전문가가 아니더라도 여러 미디어를 통해 각 개인이 이미 인지하고 있는 사항이라 생각된다. 특히, 기업 및 관공서에서 개인정보보호는 과거에도 물론 중요했고, 점차 그 중요성은 높아지고 있다.
개인정보에 대한 유출사고 발생 시 이미지 및 비용적인 손실은 막대하다. 그에 따른 법제도 강화로 인해 개인정보를 다루는 준용 사업자들까지 데이터베이스 보안 솔루션을 적극 도입하고 있는 실정이다. 기업 및 관공서에서 개인정보를 포함한 대부분의 주요 정보는 데이터베이스에서 관리되고 있다. 개인정보보호와 직결된 데이터베이스 보안 시장은 꾸준히 성장하고 있으며 그에 따라 관련 기술도 지속적인 발전을 하고 있다. 최근 이슈화 되고 있는 기술과 향후 발전방향은 어떠한지 알아보도록 한다.
인터넷의 발달과 데이터베이스 보안
사용자가 웹을 통하여 데이터베이스(이하 DB)의 자료에 접근할 때, 업무용의 경우 대부분 Web Application Server 또는 AP서버(이하 WAS)를 사용한다. 인터넷의 대중화로 기업 및 관공서의 컴퓨팅 환경도 많이 바뀌고 있고, 개인의 환경도 많이 바뀌고 있다. DB에 접근하는 최대 트래픽은 관리자나 사용자가 아닌, WAS가 주축이 되어 가고 있다. 다음과 같은 예를 들 수 있다.
• 은행에서 입금/출금 증을 작성하는 빈도보다는 ATM(현금자동입출금기)을 사용하는 빈도가 늘었고 그 보다도 인터넷뱅킹을 사용하는 빈도가 가장 높아지고 있다. 실제로 지난해 12월에는 입출금 거래에 대한 인터넷거래건수(37.4%)가 ATM거래건수(36.7%)를 초과하였다. (2009년 국내 인터넷뱅킹 서비스 이용현황 -한국은행)
• 증권사의 경우 사용자로부터 HTS(홈트래이딩시스템)를 포함한 멀티채널에서 유입되는 트래픽이 지속적으로 증가하고 있다.
• 관공서는 업무의 전산화 및 인터넷을 통한 대국민 서비스를 지속적으로 늘리고 있다.
• 기업의 내부 업무 환경에 있어서는 그룹웨어, ERP, BPM 등의 아키텍처 도입이나 통합이 이루어지고 있으며, 대외 서비스를 하는 경우 차세대 시스템 개발로 지속적인 고도화를 수행하고 있다.
앞으로도 보다 좋은 품질의 정보와 서비스를 제공하기 위한 DB와 WAS의 사용은 점차적으로 증가할 것이다. 하지만 지금까지의 DB보안은 2-Tier 사용자를 중심으로는 접근통제 및 암호화를 통한 보안을 수행하였으며, WAS에서 DB에 접근하는 유형에 대해서는 단순히 감사 로깅 수준으로 수행됐을 뿐, 적극적인 보안이 이루어지지 못하고 있다.
최근 이슈되는 데이터베이스 보안 기술
WAS에서 DB에 접근하는 유형에 대하여 보안을 수행하기 위한 기술 요구사항은 다음과 같다.
▶ Sniffing을 가장한 Gateway 기술(보안 장비 장애 시 세션의 가용성 보장 기술)
게이트웨이 방식처럼 세션의 중간에서 데이터의 제어가 가능하지만, 외부적으로는 스니핑(인라인)처럼 장비에 장애가 발생하여도 연결 세션을 유지하도록 가용성을 보장하는 기술로 TTP(Trusted Transparent Proxy) 기술이 있다.
기존 접근제어 시스템은 장애 발생 시 Bypass 기능으로 새로운 접속에 대해서는 연결이 가능하나 연결된 세션은 모두 단절되어 안정성을 보장할 수 없었다. 세션의 가용성 보장을 위해 통제(데이터마스킹, 명령어 거부 등)가 가능하면서 시스템의 장애 발생 시에도 세션을 안정적으로 유지할 수 있도록 고객의 요구 사항을 반영시켜 획기적으로 진보시킨 기술이다.
WAS처럼 가용성에 민감한 시스템에 반드시 필요한 기술로서, 이러한 기술이 없을 경우 기존의 스니핑 방식과 같이 제어시에 세션이 종료되어 결국 단순 로깅시스템 형태로 사용되어진다.
▶ 정형/ 비정형 쿼리 식별 기술(WAS Anomaly SQL 탐지 기술)
2-Tier로 사용자가 DB에 직접 접속하여 업무를 수행하는 경우는 대부분의 쿼리가 수행 시점 마다 다른 형태의 쿼리를 사용하게 된다. 이러한 것을 비정형 쿼리라 한다. 3-Tier의 형태로 웹서버- WAS- DB의 경우, 쿼리를 사람이 작성하는 것이 아닌 WAS에서 구동되는 업무 로직에 의해 작성된다. 이러
한 쿼리는 데이터만 상이할 뿐, 형태가 일관성을 가지게 되므로 정형 쿼리라 한다. 개발자나 서버 담당자가 작업 중이 아니라면, 운영 중인 WAS서버에서 비정형 쿼리가 전송되는 경우는 다음 중 하나일 것이다.
악의적인 내부사용자가 DB보안서버를 경유하지 않고 DB서버에 접속할 목적인 경우
• Web을 통한 SQL Injection 공격을 통해 작성된 쿼리가 전송되는 경우
• 악의적인 외부사용자에 의하여 서버가 해킹되어 서버에서 쿼리를 실행시키는 경우
보안상의 이유로 정형/ 비정형 쿼리에 대한 식별은 중요한 기술 요소이다.
<이하 상세 내용은 컴퓨터월드 9월 호 참조>