데이터 보안이란 무엇인가?

데이터 보안의 정의

데이터 보안은 승인되지 않은 액세스로부터 데이터를 보호하고 데이터 기밀성, 무결성, 가용성을 유지하기 위해 도입된 보호 조치를 일컫습니다. 데이터 보안 모범 사례에는 데이터 암호화, 키 관리, 데이터 개정, 데이터 부분 집합화, 데이터 마스킹, 권한 있는 사용자 액세스 관리, 감사, 모니터링 등 데이터 보호 기술 관련 사례가 포함됩니다.

데이터 보안 모범 사례

데이터 유출의 위험을 완화하고 규제 준수 목표를 달성하기 위해 데이터 보안 모범 사례는 온프레미스 및 클라우드 환경 모두에서 활용될 수 있어야 합니다. 세부적인 권장 사항은 다를 수 있지만 일반적으로 심층 방어(defense-in-depth) 접근에 적용하기 위해 설계된 계층형 데이터 보안 전략을 호출합니다. 다양한 제어 방식으로 다양한 위협 벡터를 완화할 수 있습니다. 고유 솔루션 영역에는 데이터베이스 활동 및 위협을 평가, 감지 및 모니터링할 수 있는 기능이 포함됩니다.

데이터 보안의 중요성

데이터는 모든 조직에 가장 중요한 자산 중 하나입니다. 따라서 모든 종류의 무단 액세스 시도로부터 데이터를 보호하는 일이 무엇보다 중요하죠. 데이터 유출, 감사 실패, 규제 요구사항 준수 실패 등은 모두 조직의 명성 추락, 브랜드 자산의 손실, 지적 재산권 침해, 규제 준수 실패로 인한 벌금 등의 결과를 낳을 수 있습니다. 유럽 연합의 GDPR(General Data Protection Regulation) 하에서는 데이터 유출 시 조직의 연간 글로벌 수익의 최대 4%까지 벌금이 부과될 수 있으며, 그 결과 조직은 상당한 재정적 손실에 직면할 수 있습니다. 민감한 데이터에는 개인 식별 정보, 재무 정보, 건강 정보, 지적 재산권이 포함됩니다. 데이터 유출 방지 및 규정 준수를 위해 데이터는 보호되어야 합니다.

데이터 보안 및 GDPR

데이터 마스킹, 데이터 부분 집합화, 데이터 개정은 애플리케이션에 포함된 민감한 데이터의 노출을 줄이기 위해 마련된 기술입니다. 이 기술들은 EU GDPR 등 규제와 관련된 익명화 및 가명화 요구 사항을 준수하는 데 있어 핵심적인 역할을 합니다. EU GDPR은 목적 제한, 합법성, 투명성, 무결성 및 기밀성과 같이 확립되고 널리 인정되는 개인 정보 보호 원칙을 기반으로 구축되었습니다. 또한 통지 및 동의, 기술 및 운영 보안 조치, 국가 간 데이터 플로 메커니즘 등의 요구사항을 포함한 기존의 개인 정보 보호 및 보안 요구사항을 강화합니다. 새로운 디지털, 글로벌 및 데이터 기반 경제에 적응하기 위해 GDPR은 책임, 데이터 최소화 등 새로운 개인 정보 보호 원칙을 공식화합니다.

GDPR(General Data Protection Regulation) 하에서는 데이터 유출 시 기업의 연간 글로벌 수익의 최대 4% 또는 2천만 유로 중 더 큰 금액에 해당하는 벌금이 부과될 수 있습니다. EU 내에서 데이터를 수집 및 처리하는 기업들은 데이터 관리 시 다음과 같은 요구 사항을 고려해야 합니다:

  • 데이터 보안. 기업들은 기술 및 조직의 보안 관리를 포함하는 적절한 수준의 보안을 실행해야 합니다. 이를 통해 데이터 손실, 정보 유출, 무단 데이터 처리 작업 등을 방지할 수 있습니다. GDPR은 암호화, 사고 관리, 네트워크 및 시스템 무결성, 가용성, 탄력성 등과 관련된 요건들을 기업별 보안 프로그램에 적용할 것을 권장합니다.
  • 개인 권리의 확대. 개인은 자신의 데이터에 대한 더 큰 통제 권한을 가지며, 궁극적으로 더 강력한 소유권을 보유하게 됩니다. 데이터 이식권 및 잊혀질 권리를 포함한 확장된 데이터 보호권을 누릴 수 있게 됩니다.
  • 데이터 침해 알림. 기업은 데이터 유출 사실을 인지한 후 과도한 지체 없이 규제 당국 및/또는 영향을 받는 개인에게 해당 사실을 알려야 합니다.
  • 보안 감사. 기업들은 자사의 보안 관행 기록을 문서화 및 유지 관리해 자사의 보안 프로그램의 효과를 감사하고 적절한 시정 조치를 취해야 합니다.

데이터베이스 보안과 관련한 당면 과제는 무엇인가요?

데이터베이스 보안 당면 과제

데이터베이스는 민감한 정보를 저장하는 귀중한 저장소로, 데이터 도둑들의 주요 범죄 타깃이기도 합니다. 전형적으로 데이터 해커는 내부자와 외부자 이렇게 두 종류로 구분할 수 있습니다. 외부자에는 외로운 해커, 비즈니스 중단 또는 금전적 이익을 노리는 사이버 범죄자가 포함될 수 있으며, 국가적 또는 전 세계적 수준의 사기를 자행하려는 범죄 집단 또는 국가의 지원을 받는 조직 등도 포함될 수 있습니다. 내부자에는 현재 또는 이전 직원, 호기심 가득한 일원, 자신의 위치가 주는 신뢰성을 활용해 데이터를 훔치는 고객 또는 파트너, 의도하지 않은 보안 사고를 실수로 일으키는 직원 등이 있습니다. 외부자와 내부자 모두 개인 데이터, 재무 데이터, 거래 기밀, 규제 데이터의 보안에 위험을 야기할 수 있습니다.

해커의 데이터 유출 방식

사이버 범죄자들이 데이터베이스에서 데이터를 훔칠 때 사용하는 방법은 다양합니다:

  • 권한 있는 관리자 또는 애플리케이션의 인증서를 손상시키거나 도용합니다. 일반적으로는 이메일 기반 피싱, 기타 형태의 소셜 엔지니어링 또는 또는 멀웨어를 통해 자격 증명은 물론, 궁극적으로는 데이터를 찾아내는 방식입니다.
  • SQL 주입(Injection) 등의 기법을 사용해 애플리케이션의 약점을 악용하거나, 무해해 보이는 최종 사용자가 제공한 입력값에 SQL 코드를 포함시켜 애플리케이션 계층 보안을 우회합니다.
  • 취약한 애플리케이션을 악용해 런타임 권한을 확대합니다.
  • 디스크상의 암호화되지 않은 데이터베이스 파일에 액세스합니다.
  • 패치되지 않은 시스템 또는 잘못 구성된 데이터베이스를 사용해 액세스 제어를 우회합니다.
  • 데이터베이스 백업 파일을 담고 있는 아카이브 테이프 및 미디어를 훔칩니다.
  • DevTest 등 데이터가 프로덕션 환경에서만큼 철저하게 보호되지 않는 비프로덕션 환경에서 데이터를 훔칩니다.
  • 애플리케이션 또는 사용자에게 허용된 이상의 민감한 데이터를 부주의하게 노출한 애플리케이션을 통해 민감한 데이터를 봅니다.
  • 인적 오류, 사고, 암호 공유, 구성 실수 및 기타 무책임한 사용자 행동 등이 계속해서 보안 침해 사고 원인의 90% 가량을 차지하고 있습니다.

데이터베이스 보안 모범 사례

데이터베이스 보안 모범사례

체계적으로 구성된 데이터베이스 보안 전략은 다양한 위협 벡터를 완화할 수 있는 제어 기능들을 포함해야 합니다. 최고의 접근은 손쉽게 배포할 수 있는 보안 제어 프레임워크를 내장하는 것으로, 이를 통해 적절한 수준의 보안을 적용할 수 있습니다. 데이터베이스 보안을 위해 흔히 사용되는 제어 기능들은 다음과 같습니다:

  • 평가 제어는 데이터베이스의 보안 상황을 평가하는 데 도움을 주며, 구성 변경 식별 기능도 제공합니다. 베이스라인을 설정한 뒤 그와의 편차를 식별하는 방식으로 이 기능을 사용할 수 있습니다. 또한 평가 제어는 조직이 데이터 유형, 데이터 저장 위치 등 시스템 내 민감한 데이터를 식별할 수 있게 지원합니다. 평가 제어를 통해 다음과 같은 질문에 답할 수 있어야 합니다:
    • 데이터베이스 시스템이 제대로 구성되었는가?
    • 패치가 최신 버전이고, 정기적으로 적용되는가?
    • 사용자 권한은 어떻게 관리되는가?
    • 데이터베이스 시스템 내에 어떤 민감한 데이터가 저장되어 있는가? 얼마나 많은 양이 저장되어 있는가? 어디에 저장되어 있는가?
  • 감지 제어는 사용자 및 애플리케이션의 데이터 액세스를 모니터링하고, 비정상적인 행동을 식별하고, 위협을 감지 및 차단하고, 데이터베이스 활동을 감사해 규정 준수 보고를 제공합니다.
  • 예방적 제어는 의도된 사용 사례를 기반으로 데이터를 암호화, 개정, 마스킹, 부분 집합화하여 데이터에 대한 무단 액세스를 차단합니다. 예방적 제어의 최종 목표는 데이터에 대한 무단 액세스를 멈추는 것입니다.
  • 데이터 특정 제어는 데이터베이스 내 애플리케이션 수준의 액세스 정책을 실행하여 여러 애플리케이션, 보고 도구, 데이터베이스 클라이언트 전반에 일관적인 권한 부여 모델을 제공합니다.
  • 사용자 특정 제어는 적절한 사용자 인증 및 권한 부여 정책을 사용해 인증을 받은, 권한 있는 사용자만이 데이터에 액세스할 수 있게 합니다.

데이터 보안 솔루션

암호화, 키 관리, 데이터 마스킹, 권한 있는 사용자 액세스 관리, 활동 모니터링, 감사 등 데이터 보안 모범 사례를 활용해 데이터 유출의 위험을 줄이고 규정 준수를 간소화할 수 있습니다.

  • 데이터 보호: 암호화, 키 관리, 개정, 마스킹 등 광범위한 사용 사례를 충족하기 위해 솔루션을 통해 데이터 유출 및 규정 비준수 위험을 줄입니다. Data Safe에 대해 알아보기.
  • 데이터 액세스 관리: 데이터베이스 시스템 보안의 기본적인 단계는 데이터베이스에 액세스하는 사용자의 ID(인증)를 검증하고 해당 사용자가 수행할 수 있는 작업(권한)을 관리하는 것입니다. 강력한 인증 및 권한 관리는 해커의 공격으로부터 데이터를 보호하는 데 도움을 줍니다. 또한 업무 분리를 적용하면 권한이 있는 사용자가 시스템 권한을 악용하여 민감한 데이터에 액세스하는 것을 방지할 수 있으며, 실수로 인한 또는 악의적인 데이터베이스 변경도 방지할 수 있습니다.
  • 감사 및 모니터링: 모든 데이터베이스 활동은 감사용으로 기록되어야 합니다. 여기에는 네트워크를 통해 발생하는 작업과 네트워크 모니터링을 우회하는, 데이터베이스 내에서 (일반적으로 직접 로그인을 통해) 트리거된 작업이 포함됩니다. 감사 기능은 네트워크가 암호화된 상태에서도 작동해야 합니다. 데이터베이스는 데이터, 요청을 제시한 클라이언트, 작업 세부 정보 및 SQL 문 자체 등에 대한 정보를 포함한 강력하고 포괄적인 감사를 제공해야 합니다.
  • 클라우드 환경의 데이터베이스 보안: 클라우드 데이터베이스 배포는 비용을 절감하고, 더 중요한 작업을 수행할 수 있는 인력을 확보하고, 보다 민첩하고 신속하게 대응하는 IT 조직을 지원할 수 있습니다. 이러한 이점은 확장된 네트워크 경계, 알 수 없는 관리 그룹이 포함된 확장된 위협 지표, 공유 인프라 등 추가적인 위험을 동반할 수 있습니다. 그러나 적절한 데이터베이스 보안 모범 사례를 적용함으로써, 클라우드는 대부분의 온프레미스에서 제공할 수 있는 것보다 더 나은 보안을 제공하는 동시에, 비용을 절감하고 민첩성을 높이는 데 기여할 수 있습니다.
데이터 보안 솔루션 비디오