데이터베이스 보안의 중요성과 보안 대책
한빛미디어
|
2004-03-08
|
by HANBIT
22
16,163
저자:정용욱(한국증권전산㈜ ISAC 사업팀 전산기술연구소 책임컨설턴트)
데이터베이스를 이용하여 일상 생활에서 사용하는 경우는 상당히 많지만 정확히 구별하지 못할 때가 많다. 비행기표를 예약할 때 서울 X여행사는 국제선KAL 001기를 2명의 고객이 좌석을 예약하고자 하고, 전남 Y여행사에서는 국제선KAL 001기에 좌석3개를 예약하려고 시도하였다. 이때 비행기에 남아 있는 좌석은 3개뿐이라면 서울 X여행사와 전남 Y여행사의 컴퓨터 시스템의 예약 상황을 시간차로 결정해야 한다. 이때 데이터베이스 정보시스템의 오류(해커가 데이터베이스 서버의 정보 파일 변경)로 인해 좌석 정보가 바뀌지 않는다면 여행사에서 소속 항공사로 소송을 걸 수 있는 사건으로 발전할 수도 있다.
이처럼 시대가 급변하면서 네트워크 사용자를 관리하기 위해서 ISP(Internet Service provider) 업체에서는 고객관리 데이터베이스 서버와 웹 서버를 따로 분리해서 관리한다. 하지만 사실 데이터베이스 서버를 관리하려면 데이터베이스의 내용뿐만 아니라 데이터베이스 시스템의 취약점까지 상세히 점검하여 외부로부터의 공격에 대비해야 한다. 일반적으로 데이터베이스와 관련한 모든 업무는 데이터베이스 관리자의 몫이며, 전체의 보안 정책을 관리하는 시스템 관리자와는 별도인 경우가 많다.
데이터베이스 관리자 역시 데이터베이스의 관리가 중요하다고 인식하지만 사고를 경험하지 않은 경우 현재 시스템의 취약점을 발견하지 못하고 보안에 충분히 대비하지 않는 것이 현실이다. 최근에 발생했던 XX결혼정보업체의 데이터베이스 해킹 미수 사건의 경우 최종 목표는 결혼정보와 관련한 데이터를 외부 알선업체에 계약된 금액에 판매하는 것이었다고 한다. 만약 미수에 그치지 않고 실제 발생한 사건이었다면 어땠을까?
이처럼 데이터베이스 보안에 대한 중요성은 컨텐츠와 웹 보안 측면에서 더욱 그 비중이 증가하고 있다고 볼 수 있다. 최근의 불법 침입의 수단 역시 데이터베이스의 취약성을 이용한 공격이 급격하게 증가하고 있다. 방화벽이 있어도 이를 우회하는 공격이 나날이 발전하고 있어 데이터베이스 관리자는 데이터베이스 서버 자체의 취약점을 파악해야 하며 보안 패치나 응용 프로그램 보완 작업을 게을리해서는 안 된다.
여러분의 컴퓨터에 저장되어 있는 전화번호부 파일을 XX SQL로 관리하는데, 어느날 인터넷 메신저를 통해 우연히 알게 된 채팅친구로부터 ‘네트워크에 연결시켜 컴퓨터의 IP를 사용해 타사의 계정을 해킹할 수 있다’는 유혹적인 말을 들을 수도 있다. 채팅친구는 현재 모의실험 (Penetration Test)을 위한 채팅 당사자에게 특정 파일(Netcat, 트로이목마 형태의 제어 프로그램)을 다운받도록 유도할 수 있다. 일단 상대방 컴퓨터에 잠입한 Netcat을 통해 채팅친구의 원격 명령에 따라 모든 정보 데이터가 전송될 수 있는데 이때 사용자가 개인 방화벽을 사용하거나 개인 침입탐지 시스템을 사용하는 경우 알람(Alarm) 경고 메시지를 받을 수 있다.
이 프로그램 또한 재부팅을 하면 삭제하거나 일시정지할 수 있어 사용자가 각별히 주의해야 한다. 데이터베이스란 결국 개인정보, 기업정보, 고객정보, 국가정보, 일급기밀사항을 포함한 전체적인 영역인 셈이다. 아무리 데이터베이스 보안 시스템이 완전하다고 해도 네트워크 시스템 망(라우터, 게이트웨이, 스위칭 장비)에 취약점이 존재한다면 데이터베이스에 영향을 미칠 수밖에 없다. 역으로 네트워크 시스템 망의 보안은 완전하지만 해당 데이터베이스 서버의 응용 프로그램에 취약점이 존재한다면 이 데이터베이스는 외부에 유출될 확률이 많다.
이러한 위험으로부터 데이터베이스를 보호하려면 네트워크의 방화벽을 대폭 강화하고,별도의 보안 전담 직원을 채용해야 하며,웹 서버에 노출되어 있었던 기업 고객의 전자우편 주소를 드러나지 않게 하는 등 웹사이트에 대한 전면 수정이 필요하다. 또한 정보 데이터베이스와는 링크(연결)될 때마다 인증(고객임을 알려주는 인감 도장 역할)을 받아 접속할 수 있도록 서버상의 프로그램 실행은 최대한 자제해야 할 것이다. 또 하나의 방편으로는 최대 자산이라고 할 수 있는 정보 데이터베이스를 지키기 위해서 전문보안 전담업체의 관리를 의뢰하고 사내 보안 강화 등의 방법을 통해 데이터베이스를 지키기 위한 발 빠른 대응에 나서는 것도 좋은 방법이다.
그러나 국내업체 중 아직도 대다수가 비용 문제 등을 이유로 방화벽만 도입하고, 체계적인 보안 전담 요원이나 보안 정책을 두지 않아 누군가 마음만 먹으면 별다른 저항 없이 해당 데이터베이스를 빼낼 수 있어 이에 대한 보완책 마련이 절실하다고 본다.
TAG :