이번 내부 프로젝트로 쇼핑몰 + 홈페이지 + SCM 등의 구축을 검토 중에 있습니다.
이와 관련하여 보안에 대한 이슈가 제기되어 적절한 솔루션을 찾고 있는데요.
DB암호화 와 DB접근제어 중에 우선순위를 어느곳에 두어야 할지 참 난감합니다.
게시판내의 다른글을 보았을때 DB암호화 보다는 DB접근제어가 시간절약, 즉시적용 등의
장점을 가지고 있는것 같은데요.
아예 신규로 사업을 진행하여 DB를 구축한다고 하였을때는 어떻게 하는게 보다 효율적인
보안문제를 해결할 수 있을까요?
우선 고려중인 상품은
1. DB암호화 : 펜타시큐리티 D'Amo / 아이넵 D'Guard 정도 생각 중이며,
2. DB접근제어 : 피앤피시큐어 DBSAFER / 웨어밸리 Chakra Max 정도 ? 생각중입니다.
사실 성능적인 면이나 인지도면에서 어떤 솔루션이 적절한지 판단이 되지 않는 상황이긴 합니다.
혹시 DB암호화, DB접근제어 영역에서 업계 1위, 2위 매출을 가지고 있는 상품이 어떤건지 알 수 있을까요?
그리고 또 하나 궁금점이 업체에서 RFP에 대한 제안을 받던 중 토큰방식을 통한 접근방식으로 이야기를 들엇는데요. 사실 찾아봤지만 정확한 개념을 몰라서.. 혹시 사용하고 계신 담당자님 계시면 정보공유좀 부탁드립니다.
쓰다보니 너무 긴 내용이 되었네요 ^^;
내용 보시기 힘들수도 있으니, 정리해서 질문내용 적어봅니다.
1. 신규 서버구축 시 DB암호화가 먼저일지? DB접근제어가 먼저일지?
2. DB암호화 / DB접근제어 매출 1위, 2위 솔루션좀 문의 드려요 ^^
3. 토큰방식 보안에 대하여 궁금합니다. ^ㅡ^/
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
6개의 답변이 있습니다.
우선 답변 딜기 전에 몇가지 지적 하자!!!
디비 접근 제어는 개인 ㅈ어보 보호법 및 정보 이용 촉진법 등의 법규에 없는 것으로 생각 하시는 분들이 더러 있다...
어떤 법규든 무엇 무엇이 필요하다고 명시적으로 정하지 않는다.
이유는 생각해 보면 당연 하다.
어떤 시행령이든 법이든 사실 상 관련 된 업계의 입김이 작용하기 마련인데 이를 명시 한다면 이는 형편 상의 문제를 야기하기에 이를 명확히 박힐 수는 없다.....
따라서 분명히 해당 내용을 담고 있으나, 명시하지 않아야 한다고 보인다.
따라서 해당 디비 암호화된 접근 제어든 간에 법규에는 존재하고 담고 있습니다.
그렇다고 두리뭉실 하다는 것은 아닙니다....
즉 디버 접근제어 하라! 암호화 하라는 것이나니고
접근자에 대한 기록 및 유출 시 대비하여, 접근자에 의한 비인가자에 의한 데이터 변조 및 기타 등등 어쩌구....
를 방지 해야 한다...
이를 매우 구체적으로 표현 하지만 특정 단어나 특정 용어를 기술 하고 있지 않습니다.
명확 한 기준을 밝히고 있을 뿐....
따라서 두 가지 반드시 요구 되어야 하는 상황일 것입니다.
다만 회사의 입장과 규모 등 여러 조건에 의해 시일 적으로 선택해서 추진 해야 하는 것은 분명합니다.
다만 이는 매우 조관적 입장에서 선택 되어야 하기에 어떤 것이 우선 한다라고 말하기에는 다소 어렵습니다.
디비 접근 제언 어찌 보면 쉽게 여겨지는 기능들이지만 매우 민감한 요소들을 담고 있고, 이는 선택적 사항들이 매우 적고, 매우 기본 사양인듯 합니다.
따라서 다소 솔루션 가격들이 비싸죠....
디비 암호화는 기술적으로는 분명 장벽이 높지만....
기능적 사양이 디비 접근제어에비해서는 (디비 암호화 기술의 가지 수가 많고 적을 뿐)
요구되는 사양이 적습니다.
따라서 금액적으로 다소 상대적의 쌉니다.
물론 보편적이지 않은 의견임을 밝힙니다....
다소 경험적인 범주 내에서 밝혀 드리는 것일 뿐...
그렇다보니 사후 약방문 격인... 디비 암호화를 먼저 하는 것이 어떨까 하는 정도의 추촌적인 추천합니다...
다만 순서적으로 본다면 사전 방어 체제인 디비 접근제어가 순서일지라도...
여러 사안을 검토적으로 보아서는 영세하고 중소 규모 미만의 경우 라는 사후 약방문 격인 암호화를 먼저 실행 해 봄직 하다는 것일 뿐....
법규를 지키시려면 암호화를 구축하셔야 합니다.
접근제어는 부차적인 문제고요.. 사용자 통제가 먼저다 라고 하시면 접근제어고.. 새로이 구축하면 DB암호화를 진행하는게 맞습니다.
결국 법규만 준수하려면 DB암호화만 진행하셔도 문제는 없을듯 합니다.
저희는 작년에 진행했고 db 접근제어 구축후에 db 암호화 진행했습니다.db 암호화는 플러그인 방식을 쓰면 속도문제 때문에 소스를 수정해야하는 문제가 있어서 좀 시간이 걸립니다.
암호화는 펜타의 디아모,이글로벌의 이큐브정도 추천합니다.
접근제어는 디비세이퍼,샤크라 이렇게가 양분하고 있는 걸로
얼마전에 유사한 질문이 올라 왔던데...
접근 제어 우선 하는 쪽으로 의견을 주셨지요
http://www.sharedit.co.kr/questions/question/db-접근제와-솔루션과-db-암호화-솔루션에-대해-질문있습
개인 정보 보호 관련해서 발등에 불이 떨어진 상황이라...
동시 다발적으로 진행해야할 것 같습니다.
일단 필요한 기술적 조치에 필요한 모든 항목들을 나열하고,
견적 첨부 가능한 것은 견적도 첨부하고 없다면 대략적인 가격이라도 첨부해서 기안올리고
쉽게 도입 가능한 접근 제어 부터 우선 진행하려고 생각하고 있습니다.
접근 제어는 모니터 랩 제품과 샤크라 맥스를 데모 테스트해 봤는데,
샤크라로 해서 비교 견적 첨부해서 진행해 볼까 생각 중에 있고요...
개인 정보 보호 외에도 닥친 일들이 몇가지 있어서 갈팡질팡하는 상황이네요...
guest | 약 9년 전
답변 감사드립니다~
저도 지금 급하게 이리저리 알아보고 있네요 ㅜㅜ
글들을 읽어보니까 아무래도 접근제어 먼저 도입하고 암호화는 그 후에 진행해야 할거 같네요.
저도 걱정이 태산인데.. 혼자서 모든걸 할려니 스트레스 받네요 ㅜㅜ
화이팅하세요~ ^^
1.접근제어를 먼저 도입하는 것이 좋습니다.
암호화를 적용하면 소스코드 상황에 따라 틀리겠지만, 속도가 많이 느려질 수 도 있습니다.
2.DB 암호화.접근제어 1,2위는
암호화 : 디아모, XecureDB , SecureDB 업치락 뒷치락 입니다.
접근제어 :디비세이퍼 , 샤크라
이정도로 보시면 될 듯 합니다.
3. 토큰 방식
간단하기 주 암호화 키를 별도 서버로 저장을 한다고 생각하시면 되요.
그래서 접근제어와 암호화를 같은 회사제품을 많이 이용하는 편이죠
보안토큰은 인증서 라 보시면 될까요?
인증서+로그인 및 기타 암호 복호화,난수화,암호화 다 처리를 하는 방식입니다.
guest | 약 9년 전
답변 감사드립니다. ^^
역시 접근제어쪽으로... 가닥을
토큰방식이 저런기능을 하는군요. 아직 완벽하게 이해되진 않지만 어떤개념인지는 이해가 된거
같네요 ㅎ
다시 한번 찬찬히 보면서 이해력을 높여야죠 ~
암호화쪽은 XecureDB, 볼메트릭, Cubeone, 페트라 등 괜찮은 암호화 제품도 많으니 좀더 찾아보심이 좋을 듶 싶구요, 접근제어쪽은 말씀하신 두 제품으로 많이 좁혀진것 같습니다.
사실 법적인 측면이나 보안적 측면에서 효율성은 두가지를 모두 도입하시는게 맞지 않을까 싶습니다.
guest | 약 9년 전
답변 감사합니다~