메뉴 바로가기 본문 바로가기
상단으로 이동

스터디룸

Enjoy our interesting and informative contents.

웹 서비스와 보안①

  • 3651
  • 2014-02-06

웹 서비스와 보안① / 웹 서비스를 위한 데이터베이스 보안 파헤치기!

 

 

 

 

오늘은 웹서비스와 보안에 대해서 이야기 해보고자 합니다~

 

과연 무엇을, 어떻게 해야 좋은 정보를 지루하지 않게

전달할 수 있을까 고민을(한 30초 정도) 했는데요~

 

 최신 기술도 좋지만 그 기술로 제작한 웹사이트의 보안을 소홀히 한다면 

그야말로 아마겟돈에 버금가는 대참사가 발생할 수 있다는 생각에 오늘은 보안에 대한 이야기를 풀어 볼까 합니다. 

 

제목 : 웹 서비스와 보안

부제 : 웹 서비스를 위한 데이터베이스 보안 I

 

뚜둥~

뭔가 거창해 보이죠?ㅋㅋㅋㅋㅋㅋ

<이미지 출처 - 2013 한국데이터베이스 그랜드컨퍼런스 디자인 www.cube3d.kr>

 

 

 

웹 서비스를 위해 사용하는 데이터베이스에는 웹 서비스 플랫폼, 개발 도구등에 따라 

많은 종류의 데이터베이스가 존재 합니다.

 

그 중 가장 많이 사용하는 MySQL, MS-SQL, Oracle이 독보적으로 사용되고 있고, 

그 뒤를 요즘 큰 이슈를 몰고 있는 빅데이터(여기에도 서로 다른 여러 종류의 데이터베이스가 있죠~)가 있습니다.

 

그렇다면?? 여러 궁금점이 생기는데요~

 

1. 데이터베이스 보안이 뭐에요? 

 

대부분의 사람들에게 데이터베이스 보안이 무엇일까요? 라고 질문을 한다면 아마도 이렇게 대답 할 것입니다. 

 

 

 

Q. 너는 데이터베이스 보안이 무엇이라고 생각하는데?  


A. 어….    데이터베이스 보안이란 말이지,

   암호를 남들이 쉽게 유추할 수 없는 길고 복잡한 암호를 만들어야 하고

   중요한 데이터를 저장 할 때는 암호화 해서 저장해서 혹시 유출이 되더라도

   유출된 데이터가 어떤 내용인지를 알 수 없게 만드는 것……캬캬캬컄

 

네. 맞습니다.

그렇지만 여기에는 큰 오류가 있습니다!  

 

먼저 남들이 쉽게 유추할 수 없는 길고 복잡한 암호를 만들어야 한다..?

그렇다면 과연 얼마나 길고 복잡한 암호를 만들어야만 남들이 쉽게 유추 할 수 없을까요

 

 

사실..답은 저도 잘 모르겠습니다

아무리 암호 입력박스를 *로 꽉 채워서 암호를 만들었다고 해서 과연 해킹이나 유출의 위험이 없을까요? 

 

그리고 데이터를 암호화해서 저장한다 한들 네이X, @글에서 열심히 검색을 하면 

온갖 암호화 기법에 대한 디코딩 방법이나 해킹툴들이 홍수 같이 쏟아지는데 

과연 어떤 암호화 기법으로 암호화해서 저장해야 할까요?

 

[데이터베이스 보안 가이드라인]에서 제시하는 데이터베이스 보안 요구사항을 보면

 

 

 

 

 

1. 접근제어 : 정당한 사용자의 데이터 접근 보장 


2. 추론방지 : 노출된 기밀성이 없는 데이터로부터 기밀 정보를 유추할 수 없는 추적방지 


3. 데이터의 무결성 유지 : 원본 데이터를 손상시킬 수 있는 시스템 고장, 혹은 비정상적인 접근으로 부터의 보호 


4. 데이터의 의미 무결성 유지 : 허용된 범위의 제어 데이터 값을 유지하여 수정될 데이터의 논리적 일치성을 보장 


5. 시스템 감사 지원 : 데이터에 대한 모든 접근을 기록 


6. 사용자 인증 : 사용자별로 허용된 범위의 데이터베이스 접근 


7. 기밀 데이터 보호화 관리 : 권한을 부여 받은 사용자만 접근 허용 및 권한 있는 사용자의 기밀 데이터에 대한 동시 접근 방지 


8. 다단계 보호 : 데이터 베이스에 저장되는 정보를 다양한 등급으로 분류하여 그 등급에 따른 접근 수준 할당  

 

 

  

위의 내용을 보면 단순히 데이터베이스 암호의 복잡한 암호화 단순한 데이터 암호화 뿐만이 아니라 

다양한 방법으로 지속적인 관리와 유지보수가 필요하다는 것을 알 수 있습니다.

그래서!

 앞으로 위의 8가지 내용을 요약한, 아래와 같은 내용으로 좀 더 심층적으로 알아 보려 합니다~  

 

1. 암호

2. 접근제어

3. 감사 및 모니터링

4. 취약점 분석

5. 작업결재

6. 사용자 인증

7. 운영, 개발, 테스트 환경의 분리 

 

<참고 - DB 보안 기술 요소의 도출>

 

  

 이제부터 본격적인 이야기인거 아시죠??

 

근데....그 다음은요?ㅋㅋㅋ

우물쭈물....☞☜

 

ㅋㅋㅋ 초큼만 기다려 주세요♡

알찬 내용으로 설명 똬악~! 해드릴테니까요~!

 

기대하시라~To be continued!

 

 

<전체 내용 참고 - 한국데이터베이스 발행, [데이터베이스 보안 가이드라인]>

URL 복사