DOI QR코드

DOI QR Code

A Study on DB Security Problem Improvement of DB Masking by Security Grade

DB 보안의 문제점 개선을 위한 보안등급별 Masking 연구

  • 백종일 (호서대학교 벤처전문대학원 IT응용기술학과) ;
  • 박대우 (호서대학교 벤처전문대학원)
  • Published : 2009.04.30

Abstract

An encryption module is equipped basically at 8i version ideal of Oracle DBMS, encryption module, but a performance decrease is caused, and users are restrictive. We analyze problem of DB security by technology by circles at this paper whether or not there is an index search, object management disorder, a serious DB performance decrease by encryption, real-time data encryption beauty whether or not there is data approach control beauty circular-based IP. And presentation does the comprehensive security Frame Work which utilized the DB Masking technique that is an alternative means technical encryption in order to improve availability of DB security. We use a virtual account, and set up a DB Masking basis by security grades as alternatives, we check advance user authentication and SQL inquiry approvals and integrity after the fact through virtual accounts, utilize to method as collect by an auditing log that an officer was able to do safely DB.

오라클 DBMS의 8i버전에서는 암호화 모듈이 기본적으로 장착되어 있으나, 암호화 모듈은 성능저하가 야기되어 제한적으로 적용되고 있다. 본 논문에서는 인덱스검색, 객체관리 혼란, 암호화로 인한 심각한 DB성능 저하, 실시간 데이터 암호화 미지원 IP기반의 데이터 접근제어 미지원으로 인한 기술별로 DB 보안의 문제점을 분석한다. 그리고 DB 보안의 가용성을 향상시키기 위해 암호화기술의 대체수단인 DB Masking 기법을 활용한 종합적인 보안 프레임워크를 제안한다. 취약점 개선안으로 가상계정을 이용하여 보안등급별로 DB Masking 기준을 설정하고, 가상계정을 통한 사용자 인증과 SQL문의 사전, 사후 결재 및 무결성을 체크하고, 감사 로그로 수집하여 DB를 안전하게 관리 할 수 있는 방안으로 활용한다.

Keywords

References

  1. 정보통신부, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(전부개정 2008. 2. 29, 대통령령 제20668호), 2008년 2월.
  2. 교육과학기술부, "교육과학기술부 및 교육.연구기관의 개인정보관리 업무편람," 85쪽, 2008년 5월.
  3. 정보통신부, 개인정보보호지침고시 및 개인정보보호 핸드북, 2005년 7월.
  4. 국제협력개발기구(OECD), 개인데이터의 국제유통과 프라이버시 보호에 관한 가이드라인(GUIDELINES ON THE PROTECTION OF PRIVACY AND TRANS BORDER FLOWS OF PERSONAL DATA), 1980년 9월.
  5. 노시춘, "데이타베이스 보안과 Oracle 보안 구현방법," 남서울대학교, 2005년 11월.
  6. 김정상, "개인정보 침해사례를 통한 데이터베이스 보안에 관한 연구," 건국대 정보통신대학원, 2007년 6월.
  7. 이강석, "데이터베이스 사용자 사전 통제 및 사후 추적을 통한 데이터베이스 보안 연구," 한양대 공학대학원, 2007년 2월.
  8. 행정안전부, "개인정보 다량취급 업체 관리감독 강화," 정보보호 21c, 2008년 10월.
  9. 금융결제원, "DB보안 기술의 현황과 문제점 분석," Information Security Conference 2007, 2007년 9월.
  10. 한국전자통신연구원, "데이터베이스 암호화 기술과 제품 동향," 전자통신동향분석, 제 22권, 제 1호, 105-113쪽, 2007년 2월.
  11. 옥션, "회원정보 유출됐다," 한겨레 신문, 2008년 2월.
  12. GS칼텍스, "1천만명 정보유출," 연합뉴스, 2008년 9월.
  13. 국정감사 박상돈 국회의원, "개인정보 유츌, 전 국민의 절반이 당했다," 뉴시스, 2008년 10월.
  14. DatabaseSecurity(Common-sensePrinciples), http://www.governmentsecurity. org/articles/DatabaseSecurityCommon-sensePrinciples.php
  15. 문형진, "역할기반 접근제어시스템에 적용가능한 민감한 개인정보 보호모델," 한국컴퓨터정보학회논문지, 제13권 제5호, 103-110쪽, 2008년 9월.
  16. Qiang Lin. Ph.D. Defense In-Depth to Achieve, "Unbreakable," Database Security,2004.
  17. Kevin Kenan, "Cryptography in the Database-The Last Line of Defense," Addison-Wesley, Oct. 2005.
  18. Rich Mogull, "Database Activity Monitoring Is a Viable Stopgap to Database Encryption for the Payment Card Industry Data Security Standard (and Beyond)," Gartner, July 2006.
  19. 박대우, "모바일 포렌식 자료의 추출과 무결성 입증 연구," 한국컴퓨터정보학회논문지, 제12권 제6호 177-185쪽, 2007년 12월.
  20. 백종일, "데이터베이스 보안을 위한 가용성 확장 연구," 숭실대학교 정보과학대학원, 2008년 12월.
  21. Dea-Woo Park, "A Study on Problem of Korean-Digital Forensic," International Conference on Ubiquitcus Information Technologies & Application, lCUT (1976-0035), Dec. 2008.