데이터베이스 보안이란 무엇인가요?

데이터베이스 보안은 다음 사항을 해결하고 보호해야 합니다.

• 데이터베이스의 데이터.
  
• 데이터베이스 관리 시스템(DBMS).
  
• 모든 관련 애플리케이션.
  
• 물리적 데이터베이스 서버 또는 가상 데이터베이스 서버 및 기본 하드웨어.
  
• 데이터베이스에 액세스하는 데 사용되는 컴퓨팅 또는 네트워크 인프라입니다.

데이터베이스 보안은 정보 보안 기술 및 관행의 모든 측면과 관련된 복잡하고 도전적인 노력입니다. 이는 당연히 데이터베이스 유용성과도 상충됩니다. 데이터베이스에 대한 액세스 권한과 사용 가능성이 높을수록 보안 위협에 더 취약해지고, 데이터베이스가 위협에 취약할수록 액세스 및 사용이 더 어려워집니다. 이 역설은 때떄로 앤더슨의 법칙(Anderson's Rule)이라고 불립니다.

데이터 침해의 의미는 데이터베이스에서 데이터의 기밀성을 유지하지 못하는 것입니다. 데이터 침해가 기업에 얼마나 많은 피해를 입히는지는 다양한 결과 또는 요인에 따라 달라집니다.

• 침해된 지적 재산: 영업 비밀, 발명품, 유료행위 등 지적 재산은 시장에서 경쟁 우위를 유지하는 데 매우 중요할 수 있습니다. 그러한 지적 재산이 도난당하거나 노출되면 경쟁 우위를 유지하거나 회복하기 어렵거나 불가능해질 수 있습니다.
  
  
• 브랜드 평판 훼손: 고객 또는 파트너는 귀하가 귀하의 데이터 또는 그들의 데이터를 보호할 수 있다고 신뢰할 수 없다고 생각하는 경우 귀하의 제품 또는 서비스를 구매하거나 귀하의 회사와 거래하기를 꺼릴 수 있습니다.
  
  
• 비즈니스 연속성 (또는 그 부족): 일부 비즈니스는 침해가 해결될 때까지 운영을 계속할 수 없습니다.
  
  
• 불이행에 대한 벌금 또는 처벌: 사베인스-옥슬리법(SAO) 또는 지불 카드 산업 데이터 보안 표준(PCI DSS)과 같은 글로벌 규정, HIPAA와 같은 업계별 데이터 개인 정보 보호 규정 또는 유럽의 일반 정보 보호 규정(GDPR)과 같은 지역 데이터 개인 정보 보호 규정을 준수하지 못할 경우 재정적 영향은 파괴적일 수 있으며, 최악의 경우 위반 당 수백만 달러를 초과하는 벌금이 부과될 수 있습니다.
  
  
• 침해를 복구하고 고객에게 알리는 데 드는 비용: 침해 사실을 고객에게 알리는 데 드는 비용 외에도 침해를 당한 조직은 법의학 및 조사 활동, 위기 관리, 분류, 영향을 받은 시스템 복구 등에 드는 비용을 지불해야 합니다.

많은 소프트웨어 구성 오류, 취약성 또는 부주의나 오용 패턴으로 인해 침해가 발생할 수 있습니다. 다음은 데이터베이스 보안 공격의 가장 일반적인 유형 또는 원인 중 하나입니다.

내부자 위협은 데이터베이스에 대한 특정 액세스 권한을 가진 세 가지 출처 중 하나에서 오는 보안 위협입니다.

• 해를 끼치려는 악의적인 내부자.
  
• 데이터베이스를 공격에 취약하게 만드는 오류를 저지르는 부주의한 내부자.
  
• 피싱이나 자격 증명 데이터베이스 자체에 대한 액세스 권한을 획득하는 등의 사기로 자격 증명을 획득한 외부인 침투자.

내부자 위협은 데이터베이스 보안 침해의 가장 일반적인 원인 중 하나이며 너무 많은 직원이 권한 있는 사용자 액세스 자격 증명을 보유하도록 허용한 결과인 경우가 많습니다.

사고, 취약한 비밀번호, 비밀번호 공유 및 기타 현명하지 못하거나 정보 부족으로 따른 사용자 행동은 보고된 모든 데이터 침해의 거의 절반(49%)의 원인을 차지하고 있습니다.

해커는 데이터베이스 관리 소프트웨어를 비롯한 모든 종류의 소프트웨어에서 취약점을 찾아내 공격함으로써 생계를 유지합니다. 모든 주요 상용 데이터베이스 소프트웨어 공급업체와 오픈 소스 데이터베이스 관리 플랫폼은 이러한 취약점을 해결하기 위해 정기적으로 보안 패치를 발표하지만, 이러한 패치를 적시에 적용하지 않으면 위험에 노출될 가능성이 높아집니다.

데이터베이스 관련 위협으로, 웹 애플리케이션 또는 HTTP 헤더가 제공하는 데이터베이스 쿼리에 임의의 SQL 또는 비SQL 공격 문자열을 삽입하는 것이 있습니다. 조직이 안전한 웹 애플리케이션 코딩 관행을 따르지 않고 정기적인 취약성 테스트를 수행하지 않는 경우 이러한 공격에 노출됩니다.

버퍼 오버플로는 프로세스가 보유할 수 있는 것보다 더 많은 데이터를 고정 길이 메모리 블록에 쓰려고 할 때 발생합니다. 공격자는 인접한 메모리 주소에 저장된 초과 데이터를 공격 시작의 기반으로 사용할 수 있습니다.

멀웨어는 취약점을 이용하거나 데이터베이스에 손상을 입히기 위해 특별히 작성된 소프트웨어입니다. 멀웨어는 데이터베이스의 네트워크에 연결된 모든 엔드포인트 디바이스를 통해 도착할 수 있습니다.

조직이 데이터베이스 자체를 보호하는 데 사용되는 것과 동일한 엄중한 제어로 백업 데이터를 보호하지 못할 경우 백업에 대한 공격에 취약해질 수 있습니다.

이러한 위협은 다음에 의해 더욱 악화됩니다.

• 증가하는 데이터 볼륨: 거의 모든 조직에서 데이터 수집, 스토리지 및 처리가 기하급수적으로 증가하고 있습니다. 모든 데이터 보안 도구나 관행은 가까운 미래의 요구와 먼 미래의 요구를 충족할 수 있을 만큼 확장가능해야 합니다.
  
  
• 인프라 확산: 기업이 워크로드를 멀티클라우드 또는 하이브리드 클라우드 아키텍처로 이전함에 따라 네트워크 환경이 점점 더 복잡해지고 있으며, 이로 인해 보안 솔루션의 선택, 배포 및 관리가 그 어느 때보다 까다로워지고 있습니다.
  
  
• 점점 더 엄격해지는 규제 요구 사항: 전 세계 규정 준수 환경은 계속해서 복잡해지고 있어 모든 요구 사항을 준수하기가 더욱 어려워지고 있습니다.
  
  
• 사이버 보안 기술 부족: 전문가들은 2022년까지 800만 개의 사이버 보안 일자리가 채워지지 않을 것으로 예측합니다.

DoS(서비스 거부) 공격에서 공격자는 대상 서버(이 경우 데이터베이스 서버)에 너무 많은 요청을 퍼부어 서버가 더 이상 실제 사용자의 정상적인 요청을 이행할 수 없게 만들고 서버가 불안정해지거나 충돌하게 합니다.

분산 서비스 거부 공격(DDoS)의 경우 여러 서버에서 요청 폭주가 발생하므로 공격을 막기 더 어려워집니다.

데이터베이스는 네트워크에 액세스할 수 있기 때문에 네트워크 인프라의 일부 또는 구성 요소에 대한 보안 위협은 데이터베이스에 대한 위협이기도 하며, 사용자의 장치 또는 워크스테이션에 영향을 미치는 모든 공격은 데이터베이스를 위협할 수 있습니다. 따라서 데이터베이스 보안은 데이터베이스의 한계를 훨씬 뛰어넘어야 합니다.

팀의 최우선 순위를 결정하기 위해 업무 환경에서 데이터베이스 보안을 평가할 때 다음 각 영역을 고려합니다.

• 물리적 안전: 데이터베이스 서버가 사내에 있든 클라우드 데이터 센터에 있든 안전하고 온도 조절이 원활한 환경에 있어야 합니다. 데이터베이스 서버가 클라우드 데이터 센터에 있는 경우 클라우드 공급자가 이를 처리합니다.
  
  
• 관리 및 네트워크 접근 제어: 실질적으로 최소한의 사용자만 데이터베이스에 액세스할 수 있어야 하며 해당 권한은 작업을 수행하는 데 필요한 최소 수준으로 제한되어야 합니다. 마찬가지로 네트워크 액세스는 필요한 최소 권한 수준으로 제한되어야 합니다.
  
  
• 사용자 계정 및 장치 보안: 누가 데이터베이스에 액세스하는지, 데이터가 언제 어떻게 사용되는지 항상 알고 있어야 합니다. 데이터 모니터링 솔루션은 데이터 활동이 비정상적이거나 위험해 보이는 경우 경고할 수 있습니다. 데이터베이스가 있는 네트워크에 연결하는 모든 사용자 장치는 올바른 사용자만 사용할 수 있도록 물리적으로 안전해야 하며 항상 보안 제어가 적용되어야 합니다.
  
  
• 암호화: 데이터베이스의 데이터와 자격 증명 데이터를 포함한 모든 데이터는 저장 중일 때와 전송 중에 최고 수준의 암호화로 보호되어야 합니다. 모든 암호화 키는 모범 사례 지침에 따라 다루어야 합니다.
  
  
• 데이터베이스 소프트웨어 보안: 항상 최신 버전의 데이터베이스 관리 소프트웨어를 사용하고 패치가 배포될 때 모두 적용하십시오.
  
  
• 애플리케이션 및 웹 서버 보안: 데이터베이스와 상호 작용하는 모든 애플리케이션 또는 웹 서버는 공격의 통로가 될 수 있으며 지속적인 보안 테스트와 모범 사례 관리를 받아야 합니다.
  
  
• 백업 보안: 데이터베이스의 모든 백업, 복사본 또는 이미지에는 데이터베이스 자체와 동일한(또는 동등하게 엄격한) 보안 제어가 적용되어야 합니다.
  
  
• 감사: 데이터베이스 서버 및 운영 체제에 대한 모든 로그인을 기록하고 민감한 데이터에 대해 수행된 모든 작업도 기록합니다. 데이터베이스 보안 표준 감사는 정기적으로 수행되어야 합니다.

데이터베이스 보안을 위해서는 전체 네트워크 환경에 계층화된 보안 제어를 구현하는 것 외에도 데이터베이스 자체에 대한 액세스를 위한 올바른 제어 및 정책을 수립해야 합니다. 여기에는 다음이 포함됩니다.

• 데이터베이스의 설치, 변경 및 구성 관리를 제어하는 관리 통제.
  
  
• 액세스, 암호화, 토큰화 및 마스킹을 제어하기 위한 예방 통제.
  
  
• 데이터베이스 활동 모니터링 및 데이터 손실 방지 도구를 모니터링하기 위한 적발 통제. 이러한 솔루션을 사용하면 비정상적이거나 의심스러운 활동을 식별하고 경고할 수 있습니다.

데이터베이스 보안 정책은 중요한 지적 재산권 보호, 사이버 보안 정책 및 클라우드 보안 정책과 같은 전반적인 비즈니스 목표와 통합되고 지원되어야 합니다. 조직 내에서 보안 제어를 유지 관리하고 감사할 책임을 지정하고 정책이 공유 책임 계약에서 클라우드 공급자의 정책을 보완하는지 확인합니다. 보안 제어, 보안 인식 교육 및 교육 프로그램, 침투 테스트 및 취약성 평가 전략을 모두 수립하여 공식적인 보안 정책을 지원해야 합니다.

오늘날 다양한 공급업체가 데이터 보호 도구와 플랫폼을 제공합니다. 풀 스케일 솔루션에는 다음 기능이 모두 포함되어야 합니다.

• 발견: 클라우드에서 호스팅되든 온프레미스에서 호스팅되든 모든 데이터베이스에서 취약성을 탐지 및 분류하고 식별된 취약성을 수정하기 위한 권장 사항을 제공할 수 있는 도구를 찾으십시오. 의무적 규제 준수를 위해 발견 기능이 필요한 경우가 많습니다.
  
  
• 데이터 활동 모니터링: 솔루션은 배포된 데이터베이스가 온-프레미스, 클라우드 또는 컨테이너에 있는지 여부에 관계없이 모든 데이터베이스의 모든 데이터 활동을 모니터링하고 감사할 수 있어야 합니다. 위협에 보다 신속하게 대응할 수 있도록 의심스러운 활동을 실시간으로 경고해야 합니다. 또한 규칙, 정책 및 업무 분리를 적용할 수 있고 포괄적이고 통합된 사용자 인터페이스를 통해 데이터 상태에 대한 가시성을 제공하는 솔루션이 필요할 것입니다. 선택한 모든 솔루션이 규정 준수 요구 사항을 충족하는 데 필요한 보고서를 생성할 수 있는지 확인해야 합니다.
  
  
• 암호화 및 토큰화 기능: 침해가 발생했을 때 암호화는 침해에 대한 최종 방어선을 제공합니다. 어떤 도구를 선택하든 온프레미스, 클라우드, 하이브리드 또는 멀티클라우드 환경에서 데이터를 보호할 수 있는 유연한 암호화 능력이 포함되어 있어야 합니다. 토큰화(데이터 마스킹) 또는 고급 보안 키 관리 기능이 필요할 수 있는 업계의 규정 준수 요건을 충족하는 파일, 볼륨 및 애플리케이션 암호화 기능을 갖춘 도구를 찾아보십시오.
  
  
• 데이터 보안 최적화 및 위험 분석: 데이터 보안 정보를 고급 분석과 결합하여 상황에 맞는 통찰력을 생성할 수 있는 도구를 사용하면 최적화, 위험 분석 및 보고를 쉽게 수행할 수 있습니다. 데이터베이스의 상태와 보안에 대한 대량의 과거 및 최근 데이터를 보존하고 합성할 수 있는 솔루션을 선택하고, 포괄적이면서도 사용자 친화적인 셀프 서비스 대시보드를 통해 데이터 탐색, 감사 및 보고 기능을 제공하는 솔루션을 찾으십시오.