2. 데이터보안, IBM Guardium 솔루션 Guardium
0302
과거에도기업의주요정보유출사고는존재해왔고,이를막기위한지속적인대응방안을수립해온것이사실입니다.그러나인터넷
보급의기하급수적인확대로전세계가실시간으로연결되고일반인들의스마트폰및개인통신기기의활용이증가되면서개인
및기업에대한주요데이터에대한공격은날로증가되고있는현실입니다.
특히, 2012년에는 기업의 정보 유출과 관련된 사고가 그 전해 대비 40% 증가하였고, 2013년부터는 기존에 없던 다양한
방식의 공격이 등장하면서 약 8억개 이상의 정보가 유출되는 안타까운 일이 발생하고 있습니다. 2014년을 비롯하여 향후 더욱 더
지능적이고예측불가능한공격은증가될것으로예상되고있습니다.
이러한 추세에 따라, 우리나라는 2014년 8월을 시작으로 개인정보보호법 개정안을 시행하게 되었습니다. 아래 그림 1과 같이,
주민등록번호를포함한고유식별정보의수집및보관에대한법개정과과징금부과,책임자확대등에이르기까지개인정보보호를
대폭강화하는추세입니다.
전통적으로 전사 데이터 보호를 위해 많은 기업이 개별 솔루션을 도입하여 여러 계층의 보안 환경을 구축하고 있습니다. 그림 2와
같이,방화벽과망분리를통해전사네트워크를외부접속으로부터분리하고,침입탐지/침입차단시스템을통해외부
해커의 공격으로부터 자산을 보호하고, 권한/인증 관리를 통해 내부 사용자를 제한하고, 보호 통제 환경을 마련하고
있습니다. 그러나 이제 빅데이터, 클라우드, 모바일 등의 기술 발전과 더불어 기업의 IT 환경이 전통적인 구성에서 벗어나고 있으며,
위협의경로와방법도더욱복잡해지고있습니다.이러한환경변화속에서전사의자산인데이터를어떻게보호해야하는지는매우
중요한기업의경영전략이되고있습니다.
또한,금융감독을비롯한정부규제도관행적으로이루어지고있는종합검사를단계적폐지하고,자체상시감사수행
결과 점검 및 신상필벌을 엄중 적용하는 등의 운영 방향으로 인해 기업의 자체 보안 역량 강화가 더욱 주요한 과제가
되고있습니다.
또한 기업은 타 법령에서의 증빙을 위한 예외적용에 의해 일부 주민등록번호를 수집하고 안전성 확보조치를 해야 할
의무도 가지고 있습니다. 개인정보보호법 규제 준수를 위해서는, 개인정보에 대한 기술적 보호 조치(개인정보 – 고유식별정보에
대한 DB 암호화 조치 및 접근기록감사) 의무화에 대한 준수 및 기업의 주요 자산인 고객정보(DB)에 대한 유출 통제 및 차단 방안
마련이필요한실정입니다.
기업은다음과같이법률적인준수사항에대비하고자사의정보보안체계를구축해야합니다.
이렇듯 나날이 강화되고 있는 법적 규제를 충족하고 개인 정보 유출을 막기 위해서는 외부 위협뿐만 아니라 내부 위협에 대한
총체적인대응과관리가필요합니다.이것은내부사용자에대한적절한감사통제가필요함을의미합니다.IBM데이터보안
솔루션“Guardium”은 외부의 위협은 물론 내부 사용자의 부적절한 데이터 유출에 대한 모니터링, 탐지 경고 등
기업의핵심자산인데이터를보호하기위한전방위적인해결책을제시합니다.
저장데이터(Data at Rest)
민감정보
탐색/정의
마스킹
암호화
취약성평가 권한위임리포팅 감사모니터링 접근통제 동적마스킹
시스템구성(Configuration) 전송데이터(DatainMotion)
데이터 보안 침해 / 규제 현황 인프라 구성별 침해 경로
Source: IBM X-Force
Threat Intelligence Quarterly – 1Q 2015
2012
빈번한민감정보유출사고발생
40%증가
2013
다양한공격기법이등장하기시작
800,000,000+정보유출
2014
“비정상(Insane)”대규모의정보유출사고발생
CISO들의가장큰과제
[법률적인준수사항대비]
➊ 개인정보보호법발효(2011년9월30일)–개인정보에대한
기술적보호조치
➋ 개인정보보호법계도기간만료(2012년3월31일)에따른
실태조사에대한대비필요
➌ 개인정보보호법및개별법에따라개인정보및고유식별
정보에대한암호화
➍ 개인정보보호법에따라접속기록의보관및위조ㆍ변조방지
➎ 개인정보보호법에따라개인정보에대한접근통제및접근
권한의제한조치
[기업의정보보안체계구축]
➊ 기업의중요자산(고객정보,및기밀정보)에대한유출통제및
차단체계구축필요
➋ 외부의악의적인침입및공격으로부터고객정보보호방안
수립및이행
➌ 고객정보유출시발생할수있는소송대응및피해최소화
방안확보
구분 현행 개정안
주민등록번호
수집이용
정보주체의별도동의,
법령에구체적인근거가있는
경우수집이용
주민등록번호원칙적처리금지및법시행2년내에파기
단,예외적용:
•법령에구체적인근거있는경우
• 정보주체또는제3자의급박한생명,신체,재산의이익을위해명백히필요한경우
•안전행정부령으로정하는경우
과징금제도 없음
주민등록번호분실,도난,유출,변조,훼손시최대5억원과징금부과
단,안전성확보조치를모두이행한경우제외
CEO징계권고 책임있는자징계 책임있는자에해당기관대표자및책임있는임원포함
그림1.
개인정보보호법개정안
그림2.
보안침해경로
그림3.
전사데이터보호절차
Desktop Firewall IDS/IPS Applications Databases
방화벽
DoS
사용자
웹서버
애플리케이션
서버
Internet
Infranet
Discover Harden Monitor Protect
Anti
spoofing
Cross Site
Scripting
Parameter
Tampering
Cookie
Poisoning
SQL
Injection
Port
Scanning
해커
취약점이알려진
웹서버
패턴기반의공격
데이터
베이스
백엔드
서버
특권사용자
3. ➊ 전사환경내에산재된개인정보를비롯한민감정보를식별하고위치를파악합니다.
➋ 암호화,취약성검토를통해해당데이터저장소에대한보안을강화합니다.
➌ 모든개인정보접근기록을실시간으로감시하여비정상또는오남용행위등을실시간으로모니터링합니다.
➍ 비인가자및미권한자의활동에대한접근통제정책을통해개인정보유출을방지합니다.
IBM Guardium 솔루션은
전사데이터보호를위한보안절차별로다음과같은기능을제공함으로써
누수가없는전방위데이터보안환경을지원합니다
Guardium 솔루션소개
Guardium
0504
Schema BANKAPP
Table Name CREDITCARD
Column Name CARDNUMBER
Rule Description Send Alert
Comments
Date: Monday, July 21, 2008 6:30:07 PM EDT
Datasource: ORACLE 10.10.9.56:1521 xe
Object: TABLE BANKAPP.CREDITCARD VARCHAR2
(20) CARDNUMBER
Category:‘PCI’Classification:‘Cardholder Data’
Rule: Search For Data: Send Alert
TABLE_TYPE=‘TABLE, VIEW’, DATA_TYPE=‘TEXT’, SEARCH_
VALUE_PATTERN=‘[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}’
Action: Send Alert: Send Alert
Urgent Flag=‘false’, Receiver=‘SYSLOG’
Action: Log Policy Violation: Send Policy Violation
Severity=‘10’
Action: Add To Group Of Objects: add to group
Object Group=‘PCI Cardholder Sensitive objects’, Replace Group
Content=‘false’
Classification Name Cardholder Data
Category PCI
그림4.
개인정보식별
• 명명규칙, 데이터 패턴 등의 규칙을 통해 민감 전사
내민감데이터를식별하고저장위치파악
• 민감데이터그룹자동관리
• 정형/비정형데이터탐색
• 전사핵심자산관리역량강화
•암호화,모니터링을위한환경조사시간단축
•관리자생산성향상
Guardium 솔루션 소개
솔루션특징 솔루션기대효과
1.민감데이터탐색
Guardium은개인정보보호법 대응 및 보안 환경 마련의 기초적인 작업으로서 전사 내 데이터 레포지토리 리스트를
관리합니다. 정형 데이터베이스 뿐 아니라 비정형 로그, 백업 파일 등 다양한 전사 시스템 내에 존재하는 고유식별번호 등의
개인정보를 비롯한 민감 데이터에 대해 명명룰 기준, 데이터 패턴 기준 등 다양한 방법으로 위치를 파악하고, 민감 정보 그룹을
관리합니다 (비정형 검색 - V10 지원 예정). 이러한 민감 정보 식별 기능을 통해 데이터 센터 침해 요소를 제거하고 보호 대상
데이터를정의/관리할수있도록지원합니다.
4. 데이터보안, IBM Guardium 솔루션 Guardium
0706
2.데이터베이스취약성분석
Guardium 솔루션 소개Guardium 솔루션 소개
Guardium Vulnerability Assessment는 데이터베이스 취약성 분석을 통해 기업 내 다양한 데이터베이스에 대해 구성,
누락된 패치, 계정 및 권한 설정과 같은 데이터베이스 취약점을 주기적으로 식별하고, 관련 조치 보고서를 제공합니다. 또한, 각
데이터베이스별 사용자 권한 위임 내역을 보안담당자가 자체적으로 모니터링함으로써 내부 특권사용자의 권한
오남용을감사하고대내외의침해위험을제거하도록지원합니다.
그림5.
DB취약성분석
정형및비정형데이터암호화
• 다양한DBMS종류및버전지원
• DB백업,웹로그등암호화지원
애플리케이션변경없음
• 암호화적용시추가개발공수없음
• 암호화대상테이블추가비용없음
암호화후성능영향도최소
• DB실행계획변경없음
• 인덱스검색,부분검색등조회
변경없음
안전한알고리즘사용
• 국제표준AES128/256, 3DES
• 국정원권고ARIA 128/256
별도의분리된안전한Key서버
• FIPS140-2키관리인증기술
기반,국정원 KCMVP
• 인증암호화모듈사용
• OS사용자/프로세스기반
접근제어
• 전사내다양한유형의민감정보암호화를통한법적규제준수
•외부위협으로부터의데이터보호
그림6.
Guardium블록암호화
3.데이터베이스암호화
Guardium Data Encryption은 전사내다양한정형/비정형데이터를통합적으로암호화하고,별도의분리된키서버를
통해 안전하게 관리함으로써, 고유 식별번호 등의 개인정보와 민감 정보를 보호하고 규제를 준수하도록 지원합니다.
• 취약성분석을위한사전정의된테스트항목점검
• Scheduling 기반주기적자동검사
• 실시간및이력스코어보드제공
• 업계표준Built-in Asset 활용
(CVE, US DoD STIG)
• 최신보안DB/분석항목업데이트
• 성능에영향을주지않음
• 환경평가/위험요소검색/우선순위및개선권고안
제안
• 최신 보안 현황이 반영된 분석을 통해 DB 취약점
사전 예방
• 통합관제솔루션연동을통해관리편의성향상
솔루션특징 솔루션기대효과
솔루션특징
솔루션기대효과
Users Apps Databases
File
System
Volume
Manager
암호화
복호화
John Smith
401 Main Street Apt 2076
Austin, TX 78745-4548
*^$ !@#)(
~|” +_)? $%~:
%^$#%, ?_)-^%~~
*^$ !@#)(
~|” +_)? $%~:
%^$#%, ?_)-^%~~
John Smith
401 Main Street Apt 2076
Austin, TX 78745-4548
5. 데이터보안, IBM Guardium 솔루션 Guardium
0908
4.데이터베이스상시감사및실시간보호 5.데이터마스킹을통한주요데이터유출방지
Guardium 솔루션 소개Guardium 솔루션 소개
Guardium Database Activity Monitor는 대내외에서 발생하고 있는 모든 트랜잭션에 대해 실시간 모니터링 및 감사를
수행함으로써 점차강화되고있는자체감사에대한규제를대응하고,데이터베이스의활동에대한가시화를제공합니다.
또한 이상 트랜잭션 감지, 실시간 및 누적 패턴 경고, 위험 소지 접근 내역에 대한 단기 격리 및 비인가자 접근 제어 등의 다양한
방법의실시간DB보호를통해데이터유출을방지합니다.
Guardium Data Redaction은기업내데이터베이스에대해다양한사용자의접근중미권한자요청트랜잭션발생시,조회대상
데이터 중 개인정보를 마스킹함으로써 데이터 유출을 통한 침해 사고를 방지할 수 있도록 지원합니다. 또한 애플리케이션
마스킹 기능을 통해 웹 상에서의 다양한 민감 데이터 조회 요청에 대해 안전하게 대응하도록 제공합니다.
더불어 비정형 데이터 내에 존재하는 민감 정보를 마스킹함으로써, DB 뿐 아니라 비정형 데이터 내의 주민번호 노출 금지
등 개인정보 이용에 대한 내부 통제 규제에 대한 방안을 제시합니다.
솔루션특징
솔루션기대효과
그림7.
실시간모니터링을통한
이상트랜잭션감지
·실시간모니터링/감사및DB보호|기업내다양한데이터베이스에서발생하고있는외부트랜잭션및내부특권사용자의
활동에대해실시간모니터링및접근기록을로깅하고접근이력을관리하는등우회없는전방위DB보호를지원
·이상트랜잭션감지|기업내다양한데이터베이스에대해실시간모니터링중이상트랜잭션을감지하고,모니터링
된내역에대해침해 요소를파악및관리할수있는가시성을제공
·실시간 및 누적 패턴 경고 | 데이터베이스에서 발생하는 트랜잭션 중 실시간 특정 트랜잭션에 대한 경고를 통해
즉각적인 유출시도에 대한 보호 및 누적 패턴에 대한 감지 및 경고 기능을 통해 지속적인 데이터 유출을 통한 침해
사고를방지할수있도록지원
·위험 소지 접근 내역에 대한 단기 격리 | 데이터베이스에 접근하는 트랜잭션 중 보안 정책에 위배되는 트랜잭션 발생
시 반복적인 공격 및 데이터 접근을 실시간으로 방지할 수 있도록 일정 시간 동안 트랜잭션을 격리하여 데이터 유출
방지를지원
·비인가자 접근제어를 통한 데이터베이스 유출 방지 | 데이터베이스에 접근하는 트랜잭션 중 보안 정책에 위배되는
트랜잭션발생시해당트랜잭션을차단하여데이터유출을통한침해사고를방지할수있도록지원
·내부특권사용자모니터링등을통한자체감사환경마련
·DB,파일,빅데이터등유연한전사환경내데이터에대한전방위적인보안체계수립
그림8.
정형데이터/
애플리케이션마스킹
• 전사/이기종 DB 지원
• 데이터베이스 및 애플리케이션 변경 없음
• 빠르고, 정확하고, 효율적인 자동화 마스킹
프로세스 지원
• 데이터 조회에 대한 사용자 역할 정책 제어
• 전사 인프라 환경 변화 최소화를 통한 비용 절감 및
관리자생산성향상
•법적규제강화추세에대한유연한대응
솔루션특징 솔루션기대효과
[ 정형 데이터/애플리케이션 마스킹 ]
[ 비정형 데이터 마스킹 ]
DB상에서의 사용자 View
Unauthorized
Users
Outsourced DBA
Oracle,
DB2,
MySQL,
Sybase,
etc.
Application
Servers
➊
Issue SQL
➋
SQL
민감 데이터 마스킹
S-TAP
실데이터
외주콜센터
이름/주소 마스킹
의사 관점 회계 직원 관점
데이터센터
Guardium
Application
Dynamic
Data
Masking
6. 1110
데이터보안, IBM Guardium 솔루션 Guardium
6.데이터베이스취약성평가워크샵
데이터 보안 시장을 선도하는 IBMGuardium 솔루션 소개
워크샵 개요
• 개인정보를비롯한주요데이터가포함된DBMS를대상으로데이터보안현황을진단하는워크샵
• 전략적인파트너십고객을위해무료로제공
• 진행기간:2~5일소요
보고서샘플
[ DB 취약성분석]
Source: The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. Forrester Research, Inc., The Forrester
Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc.
Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester’s call on
a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor,
product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and
are subject to change.
[ Forrester Wave™: Database Auditing And Real-Time Protection, Q2’11 ]
Risky
Bets
Weak Strong
Weak
Strong
Contenders
Strong
Performers Leaders
IBM Guardium은 Forrester Research의 17개 평가 항목 중 총 15개 분야 최고점을 획득하여 데이터베이스 보안 분야 최고
제품임을 인정받았으며 보잉, AIG, Citi, Bank of America, Vodafone, Ford, Ericsson 등을 포함하여 전세계 약 700개
글로벌기업의개인정보보호를위해활용되고있습니다.
또한IBM Guardium은 Gartner에서도데이터보호와컴플라이언스대응을위한포괄적인솔루션으로서보고하고있습니다.
그림9.
Forrester Research
그림10.
Database Audit
and Protection
(DAP) to Enhance
Database Security
and Compliance -
Gartner
Source: Gartner (October 2014)
DAP Vendor Supported Silos
Files RDBMS Big Data Cloud
Dataguise Yes Yes Yes Yes
Fortinet No Yes No Yes
GreenSQL No Yes No Yes
IBM Guardium Yes Yes Yes Limited to IaaS
Imperva Yes Yes Yes Yes
McAfee Yes Yes No Limited to IaaS
Protegrity Yes Yes Yes Yes
Trustwave No Yes Yes Yes
Cloud
RDBMS
Files
Big Data
Data-Centric Audit and Protecion
Market presence
Fortinet
Oracle
Application Security
Imperva
IBM
Sentrigo
Current
offering
Strategy
[민감정보탐색]
BANKAPP CREDITCARD CARDNUMBER Send Alert
Date: Monday, July 21, 2008 6:30:07 PM EDT
Datasource: ORACLE 10.10.9.56:1521 xe
Object: TABLE BANKAPP.CREDITCARD VARCHAR2
(20) CARDNUMBER
Category:‘PCI’Classification:‘Cardholder Data’
Rule: Search For Data: Send Alert
TABLE_TYPE=‘TABLE, VIEW’, DATA_TYPE= ‘TEXT’,
SEARCH_VALUE_PATTERN=‘[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}’-[0-9]{4}’
Action: Send Alert: Send Alert
Urgent Flag=‘false’, Receiver=‘SYSLOG’
Action: Log Policy Violation: Send Policy Violation
Severity=‘10’
Action: Add To Group Of Objects: add to group
Object Group=‘PCI Cardholder Sensitive objects’, Replace Group Content=‘false’
CommentsSchema Table Name Column Name RuleDescription
진행 프로세스
• 민감 데이터 위치 파악
• 취약성 진단 영역: 인증, 권한, 구성, 버전, 패치, 기타
• 권고사항 도출
DB 보안 취약성 진단 워크샵의 주요 진행 단계
Step 1 주요관리자와기술적업무적이슈및관리현황파악
인터뷰 진행
Step 2 취약성 진단 대상 시스템 정보 확인
Step 3 민감 정보 탐색, 취약성 분석
Step 4 담당자와 분석 내용 검토
Step 5 최종 보고서 도출 및 보고