시큐어디비

시큐어디비(SecureDB)

㈜케이사인(KSign)

시큐어디비(SecureDB)는 ㈜케이사인(KSign)이 개발한 데이터베이스 암호화 솔루션이다.

개요[편집]

시큐어디비는 커널 암호화 방식으로 데이터베이스 파일을 직접 암호화하고, 접근제어와 감사기록 기능이 추가되어 데이터베이스 보안의 최적화 된 솔루션이다.^[1] 통합 데이터베이스 보안 솔루션인 ㈜케이사인의 시큐어디비(KSign Secure DB)는 데이터 암호화, 접근제어 및 로그 감시를 통해 기업 내 중요한 데이터를 보호한다. 시큐어디비는 이러한 데이터베이스 보안 기능을 수행함으로써 최근 문제가 되는 개인정보 유출 및 내부자에 의한 정보 유출을 막을 수 있다. 시큐어디비는 데이터베이스의 유출을 사전 방지하기 위해 데이터를 컬럼 단위로 암호화하고, 세분화된 접근 제어 기능을 제공하며 선택적인 감시 기능으로 사후 책임추적을 가능하게 하는 통합 데이터베이스 보안 제품이다.^[2] 또한 금융권 중 저축은행, 캐피털, 대부업체들을 중심으로 사용되고 있는 x86 프로세서 기반 윈도/리눅스 서버 환경에서 자체 IT 전문가가 없어도 데이터베이스 암호화 솔루션을 도입할 수 있다.^[3]

구성[편집]

시큐어디비 구성도

**구성도^[2]**
구성 요소	설명
시큐어디비 서버 (SecureDB Server)	분산 DBMS에 대한 통합보안정책인 암호, 접근제어, 감사기록 등을 설정 암호키의 중앙 집중 관리
시큐어디비 에이전트 (SecureDB Agent)	각 DBMS에 플러그인 형태로 동작하여 사용자의 접근 시도에 대한 1차적인 차단 중앙에서 관리되는 보안 정책에 따라 보호 대상 오브젝트에 대한 암호화, 접근제어, 감사기록 적용
시큐어디비 관리자 (SecureDB Admin)	데이터베이스 보안관리자의 통합 데이터베이스 보안 관리를 위한 GUI 기반 관리 도구

종류[편집]

정형데이터 암호화[편집]

데이터 암호화, 접근제어 및 로그 감사를 통하여 기업 내 중요한 데이터를 보호하고, 개인정보 유출 및 내부자에 의해 정보 유출을 막을 수 있으며 이를 위해 데이터 컬럼 단위 암호화, 세분화된 접근 제어 기능 제공, 선택적인 감사 기능으로 사후 책임 추적을 가능하게 하는 통합 데이터베이스 보안 솔루션이다.^[4]

특징[편집]

필드 암호화

보안 관리자에 의해 선택된 특정 필드에 대한 암호화를 수행할 수 있다. 응용 시스템의 독립적인 암·복호화 절차를 수행하며 다양한 데이터 타입의 암호화를 지원하고, 다양한 암호화 알고리즘을 제공한다. 선택적인 초기화 벡터(initialization vector)를 적용할 수 있다.^[4]

접근 통제

보안 관리자에 의한 개발자, 사용자, 관리자(DBA 포함)에 대한 역할을 부여하고, RBAC 기반의 접근 통제가 가능하다. DBMS 독립 모듈을 통한 자원을 접근 통제하고, 암호화, 비암호화 데이터에 대한 접근을 제어한다. 데이터베이스 사용자, IP, 응용 프로그램, 시간대별 세부 접근제어를 제공한다.^[4]

검증된 보안 인증

국정원 인증 국가용 암호제품 및 암호 모듈을 탑재했고, GS(good software) 마크 획득 및 행정정보 보호용으로 인증받았으며 암호키 관리 및 접근제어 기법 기술 특허 제품이다.^[4]

감사기록

GUI 기반의 DBMS 접근 및 서비스 관련 이벤트에 대한 다양한 통계 그래프 출력 등 보안 관리자 중심의 관리 툴을 제공한다. 감사 로그에 대한 주기적인 자동백업 기능도 있다.^[4]

기능[편집]

암·복호화 기능
접근 권한 관리 기능
감사 로그 관리 기능
암호화 키 관리 및 관리자(Admin) 기능

비정형데이터 암호화[편집]

일정한 규격이나 형태가 아닌 그림이나 영상, 문서처럼 형태와 구조가 복잡해 정형화되지 않은 비정형 데이터를 유형에 따라 적절한 암호화 방식을 통해 최적화된 암호화를 지원한다.^[4]

도입 배경[편집]

비정형 데이터란 일정한 규격이나 형태가 아닌 그림이나 영상, 문서처럼 형태와 구조가 복잡해 정형화되지 않는 데이터이다. 기업 데이터 중 정형과 비정형 데이터의 비율은 20대 80으로 비정형 데이터 비율이 압도적으로 높은 상황이다. 또한 2019년 1월을 기준으로 개인정보 보호법이 개정되었는데, 제21조의 2의 암호화 적용 대상을 보면 데이터베이스뿐만 아니라 제정되는 모든 개인정보 암호화가 필요하게 되었다. DBMS뿐만 아니라 로그, 이미지, 녹취(음성, 영상) 등 비정형으로 저장되는 주민등록번호도 암호화가 필수가 되었기 때문에 이와 같은 암호화 방식이 도입하게 되었다.^[4]

특징[편집]

Pro-active 다양한 암호화 알고리즘 제공
감사 로그 자동 백업 및 통계, 리포팅
최적화된 성능 및 보안 환경 지원 보장
기술 특허권 보유 및 국정원 암호 모듈 검증

기능[편집]

확장성

인프라 전 영역에서 최적화된 모델로 적용이 가능하고 국내외 표준 암호 알고리즘을 지원한다. 모든 운영체제, DBMS 및 개발환경 또한 지원한다.^[4]

부하 분산

응용단에서 암·복호화를 처리하므로 DBMS 부하가 분산되며 고객사 환경에 영향이 없는 유연한 적용으로 부하가 분산된다.^[4]

성능 보장

암·복호화 처리 속도가 우수하고 대용량 데이터 처리에 용이하다. 파일 처리 방식과 스트림 처리 방식을 지원한다.^[4]

보안 인증

장애 대응을 위해 키 관리 서버를 이중화로 구성하였다. 안전한 암호키 관리 및 국정원 암호화 검증 제품이며, 보안 향상을 위해 키 관리 서버에 HSM 탑재가 가능하다.^[4]

특징[편집]

시큐어디비의 몇 가지 특징으로는 첫째, 보안 시장에서 검증된 제품이다. 다수의 공공·교육·금융 분야에서 성공적 구축과 안정적 운영으로 검증된 안전성이 보장된 제품이다. 암·복호화가 수행의 핵심 기능이 운영 체제 커널 레벨(kernel level)에서 동작하기 때문에 암호화 파일에 대한 인위적 조작이 불가능하며, 악성 코드로부터 안전하게 보호된다.^[5] 둘째, 다양한 방식의 데이터 암호화가 가능하다. 정형 데이터에 대한 암호화부터 비정형 암호화에 이르기까지 다양한 방식의 암호화를 지원하여 고객사 내부 환경에 적합한 암호화 방식의 적용이 가능하다. 셋째, 컴플라이언스를 준수한다. 개인정보 보호법, 정보통신망법, 전자금융거래법, 신용정보법 등 개인정보에 관한 각종 법률 준수 기반을 마련하고 컴플라이언스 확보가 가능하다.^[6] 넷째, 적용 용이성이다. 운영체제의 커널에서 파일 단위의 암·복호화를 수행함으로써, 기존 응용 애플리케이션 소스 코드 변경 없이 손쉬운 적용이 가능하며, 암호화 이후의 성능 저하를 최소화할 수 있다. 다섯째, 보안이 강력하다. 기존 파일 암호화 제품과 달리 상세 레벨의 권한 관리 및 감사 기록 관리가 가능하다. 암호화 대상 정보인 테이블 및 컬럼, DBMS 사용자, IP 주소, 접근 시간대 및 응용 프로그램 레벨의 다양한 조합으로 접근 권한 및 감사 로그를 관리할 수 있다.^[5] 여섯째, 파일 암호화이다. GUI 기반의 암호화 상태를 모니터링할 수 있고, 접근 통제에 따른 감사기록이 생성된다. 별도의 설치가 필요하지 않은 웹 기반의 관리 페이지를 제공한다.^[1]

기능[편집]

데이터 암호화

응용 프로그램에서 암·복호화할 수 있으며, DBMS 부하를 분산시킨다. 암·복호화 처리 속도가 우수하여 대량 데이터 처리에 용이하다.^[6]

강력한 접근통제

개발자·사용자·운영자 ·보안관리자별 역할을 부여하고 RBAC 기반의 접근 통제가 가능하다. 암호화 및 비암호화 데이터에 대해 접근을 제어할 수 있다.^[6] 데이터베이스 로그인 시 권한 확인, 테이블 단위의 권한 확인, 사용자, IP주소, 시간, 응용프로그램 등 조건별 접근 통제가 가능하다.^[2]

세분화된 감사기록

감사 로그에 대한 자동 백업 및 암호화하여 저장할 수 있다. GUI 기반 관리자가 설정하는 모든 정책에 대한 행위기록 및 통계 등 보안 관리자 중심의 관리 툴을 제공한다.^[6]

데이터베이스 무중단 서비스

데이터베이스 에이전트는 암호화 대상 컬럼에 대한 초기 암호화 작업을 백그라운드로 처리한다. 암호화를 위한 초기 작업 시 데이터베이스 서비스 중단 시간을 최소화한다. DBMS 서비스 중단 없이 기존의 애플리케이션에 대한 서비스를 유지한다.^[2]

구축 방식[편집]

플러그인 방식

플러그인 방식은 응용프로그램 수정이 필요하지 않다. 기존 운영 시스템에서 변경 없이 암호화를 적용할 수 있다. 사용자별 접근 통제에 대한 권한 부여가 가능하며, 단기간 내 구축에 용이하다. 하지만 대용량 데이터의 경우 암·복호화 과정이 DBMS에서 수행되므로 DBMS에 부하가 발생하게 된다. DBMS 부하 증가로 시스템에 영향을 끼치게 된다. 적용 시스템은 홈페이지 등 단순 시스템이나 Simple&Small Size 시스템에 유리하다.^[7]

API 방식

대용량 데이터의 암·복호화 과정이 프로그램 안에서 수행되므로 DBMS 부하가 분산되는 효과가 있다. DBMS 부하가 적어 속도가 증가하게 되며, 시스템에 영향도가 낮아지게 된다. DB API 방식으로 구축할 시 암복호화 함수를 DBMS에서 직접 호출함으로써 플러그인을 적용하면 효과를 동일하게 볼 수 있다. 단, 기존 응용 프로그램 수정을 통한 암호화 적용에 따른 인력 투입과 구축 기간이 장기간 소요된다. 암호화 적용 대상 컬럼이 주요키로 존재하는 경우 전체 데이터 검색(full scan) 시 DB의 성능이 악화된다. 또한 사용자별 접근 통제가 불가능하다. 적용 시스템은 대용량 온라인 트랜잭션 시스템이나 성능 최우선의 온라인 집중 환경에 유리하다.

하이브리드 방식

데이터베이스에 대한 부하는 WAS로 분산시키며 암호화 컬럼에 대한 인덱스를 적용한다. 애플리케이션의 수정을 최소화 할 수 있으며 암호화 대상 및 비대상 SQL 튜닝을 통한 시스템 성능을 개선할 수 있다. 단, 데이터베이스 서버의 일부 부하가 발생할 수 있고, 애플리케이션의 일부를 수정해야 할 수도 있다. API 적용 암호화 데이터에 대한 색인 검색 및 접근통제, 감사 로그를 지원하지 않고, 암호화 적용을 위해 데이터베이스 스키마를 변경해야 한다. 적용 시스템은 중형 규모의 성능 우선의 온라인 집중 환경에 유리하고, 애플리케이션 수정이 가능한 시스템에 적용할 수 있다.

활용 사례 및 분야[편집]

전자 복권 발생시스템 복권발행 정보, 주민등록번호 암호화
국내 최대 패밀리레스토랑 아웃백스테이크 데이터베이스 암호화 구축
한국전력(전자입찰, 인사, 노무경영시스템) 데이터베이스 암호화 구축, 한국통신사업자연합회 데이터베이스 암호화(API) 구축(전기번호, 주민등록번호)
삼성전자 데이터베이스 암호화 표준화 제품 선정(국내 5개사 데이터베이스 암호화 제조사 BMT 3회 실시 후 선정/제품 신뢰도 검증)^[8]

각주[편집]

↑ ^1.0 ^1.1 SecureDB(Kernel방식) - https://jsecureplatform.com/wp-content/uploads/2016/03/secureDB-kernel.pdf
↑ ^2.0 ^2.1 ^2.2 ^2.3 소프트웨어카탈로그 공식 홈페이지 - https://www.softwarecatalog.co.kr/src/Item/ItemMaster.aspx?Serial=8501
↑ 손경호 기자, 〈케이사인, 소스코드 고칠 필요 없는 DB암호화 SW 공개〉, 《지디넷코리아》, 2014-02-06
↑ ^4.00 ^4.01 ^4.02 ^4.03 ^4.04 ^4.05 ^4.06 ^4.07 ^4.08 ^4.09 ^4.10 지란지교에스앤씨 공식 홈페이지 - https://jiransnc.com/
↑ ^5.0 ^5.1 KT클라우드 공식 홈페이지 - https://cloud.kt.com/portal/ktcloudportal.epc.productintro.ucloud_server_image.SECUREDB.html
↑ ^6.0 ^6.1 ^6.2 ^6.3 케이사인 공식 홈페이지 - http://www.ksign.com/page/0201e.php
↑ Chelsa Mckee, 〈주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation〉, 《SlideServe》
↑ 데이터 전문가 지식포털 공식 홈페이지 - http://www.dbguide.net/solution.db?mobile&boardStep=1&cmd=view&solutionUid=462
↑ 김지선 기자, 〈케이사인 '시큐어DB'〉, 《디지털타임스》, 2011-08-30
↑ 이호준 기자, 〈대상-케이사인 '케이사인시큐어DB'〉, 《전자신문》, 2015-11-24
↑ 김정완 기자, 〈지란지교-케이사인, '케이사인시큐어DB' 기업총판 계약체결〉, 《보안뉴스》, 2010-07-02
↑ 길민권 기자, 〈케이사인-케이사인시큐어디비〉, 《데일리시큐》, 2012-12-10

참고자료[편집]

SecureDB(Kernel방식) - https://jsecureplatform.com/wp-content/uploads/2016/03/secureDB-kernel.pdf
소프트웨어카탈로그 공식 홈페이지 - https://www.softwarecatalog.co.kr/src/Item/ItemMaster.aspx?Serial=8501
손경호 기자, 〈케이사인, 소스코드 고칠 필요없는 DB암호화 SW 공개〉, 《지디넷코리아》, 2014-02-06
지란지교에스앤씨 공식 홈페이지 - https://jiransnc.com/
KT클라우드 공식 홈페이지 - https://cloud.kt.com/portal/ktcloudportal.epc.productintro.ucloud_server_image.SECUREDB.html
케이사인 공식 홈페이지 - http://www.ksign.com/page/0201e.php
Chelsa Mckee, 〈주요 데이터보안을 위한 KSignSecure DB 암호화 솔루션 제안 - PowerPoint PPT Presentation〉, 《SlideServe》
데이터 전문가 지식포털 공식 홈페이지 - http://www.dbguide.net/solution.db?mobile&boardStep=1&cmd=view&solutionUid=462
김지선 기자, 〈케이사인 '시큐어DB'〉, 《디지털타임스》, 2011-08-30
이호준 기자, 〈대상-케이사인 '케이사인시큐어DB'〉, 《전자신문》, 2015-11-24
김정완 기자, 〈지란지교-케이사인, '케이사인시큐어DB' 기업총판 계약체결〉, 《보안뉴스》, 2010-07-02
길민권 기자, 〈케이사인-케이사인시큐어디비〉, 《데일리시큐》, 2012-12-10

같이 보기[편집]

이 시큐어디비 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반