2019년 4월 18일
DB 암호화
I. 데이터베이스 기밀성 보장 위한 DB 암호화
가. DB 암호화의 개념
- 데이터베이스 기밀성 보장 위해 테이블 내 주요 정보, 민감 데이터 암호화 기법
나. DB 암호화의 근거
개인정보보호법 제24조 3항 | – 고유식별정보 처리 – 암호화 등 안정성 확보 |
정보통신망법 제28조 1항 | – 개인정보의 보호조치 – 저장/전송 위한 암호화 |
전자금융 감독규정 제17조 1항, 32조 | – DMZ 구간 내 거래 로그 – 패스워드 암호화 |
II. DB암호화 기술
암호화 기술 | 적용 위치 | 설명 |
---|---|---|
Plug-in | DB서버 | – 암/복호 모듈 DB서버 내 설치 – 어플리케이션과 무관한 적용 |
API | WAS서버 | – 어플리케이션 서버에 설치 – 프로그램 코드 내 API 사용 |
Hybrid (Plugin + API) | DB서버 WAS서버 | – Plugin과 API 장점 결합 – 배치 업무 성능 저하 보완 |
Kernel (DB기능) | DB서버 | – DBMS 내장 및 옵션 제공 – DBMS Kernel Level 처리 |
Appliance | Appliance | – DB서버에 Agent 설치 – 네트워크 연동 Appliance 처리 |
파일 암호화 | DB서버 Appliance | – OS Level의 파일 암호화 – ‘.dbf’ 파일 등 암호화 |
III. DB 암호화 유형 별 장/단점
암호화 기술 | 장점 | 단점 |
---|---|---|
Plug-in | – APP수정 필요 없음 – 권한 통제 가능 | – DB서버 부하 발생 – 배치 성능 저하 |
API | – Plug-in 대비 고속 – 서버 간 암호화 | – 약한 권한 통제 – APP 전체 수정 |
Hybrid (Plugin + API) | – Plug-in, API 장점 – 성능과 보안 극대 | – DB서버 부하 발생 – APP 수정 필요 |
Kernel (DB기능) | – APP 수정 필요 없음 | – 메모리에 평문 로딩 – 많은 페이징 I/O |
Appliance | – DB서버 암/복호화 부하 발생 없음 | – 성능 저하 – DBA 통제 불가 |
파일 암호화 | – APP 수정 필요 없음 | – 권한 통제 불가 – Raw Device 불가 |
IV. DB 암호화 권고사항
영역 | 요구 사항 | 요구 기능 |
---|---|---|
암호지원 | – 안정성 검증 암호 모듈 | – ARIA, SEED – SHA 256 |
암호키 관리 | – 암호 키 생성 접근, 파기 | – 국제 표준 알고리즘 – 암호키는 평문 불가 |
DB데이터 암/복호화 | – 암호문, 인덱스 데이터 안정성 | – 안전한 암호 모듈 – 원본 데이터 삭제 |
접근 통제 | – 비인가자 접근 차단 | – DB 계정, IP, APP, 접속기간 등 제한 |
암호 통신 | – 전송 데이터 기밀성, 무결성 | – 제품 구성 요소 간 안전한 전송 |
식별 및 인증 | – 제품 사용자 신원 확인 | – 인증 실패 시 초기화 – 재사용 공격 방지 |
보안 감사 | – 중요 이벤트 감사 기록 | – 인증 사용자만 접근 – 테이블, 컬럼, 쿼리 |
보안 관리 | – 보안 정책 효율적 관리 | – 중요 데이터 백업 및 복구 기능 |