수안이의 컴퓨터 연구실

안정성를 보장하는 보안환경구현

Zewei Song | World Publishing 사

메인 고객지불 데이터베이스(SQL 서버 2000)에는 2백만명의 고객에 대한 e-머니와 1,600백만 건의 거래 레코드가 저장되어 있다. 각 레코드에는 매우 민감한 신용카드와 은행계좌 정보가 포함되어 있기 때문에 고객의 개인신용정보와 회사의 자산을 보호하기 위해서 반드시 암호화될 필요가 있다. 어플리케이션 기반의 암호화 솔루션을 도입하는 것은 ASP, Visual Basic 6.0, .NET 기반으로 개발된, 50 개 부분이 넘는 핵심 어플리케이션을 새로 작성해야 하는 상황이었기 때문에 채택하기가 곤란한 상황이었다. 전체적인 성능과 비즈니스 프로세스에 최소한의 영향을 미치게 되는 데이터베이스 서버기반의 암호화 솔루션이 필요한 상황이었다. 이를 위해 .NET 프레임워크와 SQL 서버 확장 저장 프로시저를 기반으로 데이터베이스 서버기반 암호화 솔루션을 개발하였다. 솔루션을 개발할 때, 기존 어플리케이션에 대한 수정을 최소화하고, 전체 시스템의 성능에 영향을 최소화해야 한다는 요구사항을 충족시켜야 했다.

처리절차

처음에는, 이러한 요구사항을 충족하는 상용 제품을 사용할 계획을 가지고 있었다. 일반적으로 사용되는 SQL 암호화 제품 중 ActiveCrypt 사의 XP_Crypt, Application Security 사의 DbEncrypt, NetLib 사의 Encryptionizer 제품을 선정하여 적용여부를 검토하였다. 세 가지 제품모두 데이터 암호화 기능을 훌륭하게 지원하였으나, 회사에서 필요로 하는 데이터 암호화 수준에는 부족한 부분이 있었다. 세 가지 제품 중 하나를 선택하는 경우, 50 여개의 핵심 어플리케이션에 상당한 수정작업을 수행하거나, 전면 재개발을 해야 하는 상황이었기 때문에, 회사로서는 이러한 수정작업을 위한 시간 및 자원이 부족하여 채택할 수 없는 상황이었다.
.NET 프레임워크에서 암호화 서비스를 제공하기 때문에, 먼저, .NET 프레임워크를 사용하여 SQL서버 수준에서 통합된 암호화 기능을 지원할 수 있는지에 대해 검토하였다. SQL 서버의 OLE 자동화 저장 프로시저를 통해, .NET DLL을 내부에 포함한 VB6 COM DLL을 호출할 수 있다는 것을 알게 되었다. 이러한 방법을 활용하여, .NET 프레임워크에서 제공하는 암호화 서비스를 SQL 서버와 통합한 솔루션을 개발할 수 있었다.
회사의 요구사항을 충족시키는 암호화 솔루션을 개발하는 작업을 시작하였다. 솔루션의 기본 개념은 암호화된 데이터를 저장하는 테이블의 명칭을 변경하고, 해당 테이블에 대한 뷰를 변경이전 테이블 명칭으로 생성하여, 암호화된 테이블의 데이터에 접근할 수 있도록 하는 것이었다. 어플리케이션에서는 암호화되지 않은 데이터에 접근할 수 있도록 하기 위해서, 뷰에서는 해당 데이터를 복호화하는 사용자정의함수를 호출하게 된다. 뷰에 데이터를 추가, 변경, 삭제하는 작업에 대해서는 INSTEAD OF 트리거를 사용하여, 실제적으로 테이블에 저장되는 데이터는 반드시 암호화될 수 있도록 설정하였다.
최초 개발한 솔루션에는 몇 가지 문제가 발견되었다. 암호화 솔루션의 기본개념은 매우 단순하고, 직관적이었으나, 실제로 운영해 본 결과, 상당한 성능관련 문제가 발생하였고, 고객 및 거래내역 테이블과 같은, 수백만 레코드를 저장하고 있는, 대용량 테이블에 대해서는 특히 문제가 되었다. 이러한 문제를 해결하기 위해, DBA와 지속적으로 업무협조를 하였다. 암호화 솔루션을 사용하기 위해, 인덱스에서 활용하기 위한 중복데이터를 저장하는 추가 컬럼을 추가하는 것과 같은, 데이터베이스 설계상 몇 가지 트릭을 적용했다.
모든 암호화 솔루션의 가장 핵심부분은 암호화 키에 대한 관리 부분이다. 개발한 솔루션에서는 RSA를 사용하여 암호화 키를 암호화 하고, 암호화된 암호화 키를 \system32 폴더에 XML 파일 형식으로 저장하였다. RSA는 매우 강력한 비대칭 알고리즘을 사용하기 때문에, 암호화 키를 매우 안전하게 암호화할 수 있으나, 성능이 매우 느리다는 문제가 있다. (테스트 결과, 대칭형 알고리즘을 사용하는 것에 비해, 1000배정도 느린 성능을 나타냈다.) 이를 위해, 암호화키를 최초로 사용할 때 복호화한 다음, 복호화된 키를 메모리 상에 저장하는 프로그램을 개발하였다.
데이터에 대한 암호화 속도도 문제가 되었다. 이를 위해, 테스트환경에서 초당 20,000회의 암호화/복호화 작업을 처리할 수 있는, 매우 빠른 속도를 보장하는, .NET 대칭형 알고리즘인 Rijndael-256을 사용하였다. 하지만, SQL 서버에서 OLE 자동화 저장 프로시저를 사용하여, VB 6.0으로 랩핑된 Rijndael-256 알고리즘을 호출하였기 때문에, 암호화 속도가 초당 200 회 정도로 줄어들었다. 나중에, OLE 자동화 저장 프로시저를 사용하는 것보다, 확장 저장 프로시저를 사용하여 VB6 COM으로 랩핑하지 않은 .NET DLL을 호출하는 것이, 훨씬 빠르다는 것을 알게 되었다. 최종적으로, 암호화를 처리절차를 구현하기 위한 확장 저장 프로시저를 Visual C++ DLL로 생성하였다. 이러한 수정작업을 통해 초당 암호화 속도를 350 퍼센트 증대시킬 수 있었다.

솔루션

[그림 1]에는, 크게 4 가지 기본 구성요소로 구성된 암호화 솔루션에 대한 개관이 나타나 있다. 첫번째 구성요소는 System.Security.Cryptography 네임스페이스를 기반으로, 대칭형 데이터 암호화 처리절차(암호화/복호화/해시)와 비대칭형 알고리즘 기반 암호화 키 관리 기능을 담당하는 .NET DLL 이다. 두번째는, .NET DLL을 랩핑하는 Visual C++ DLL로, 그 자체로 SQL 서버에서 호출할 수 있는 확장 저장 프로시저의 역할을 하게 된다. 나머지 구성요소는, 암호화 키를 관리하기 위한 .NET WinForm 기반 어플리케이션과, SQL 서버기반 솔루션을 유지보수하기 위한 SQL 스키마 변경내역을 동적으로 생성하는 .NET WinForm 기반 어플리케이션으로 구성된다.

[그림 1] 암호화 솔루션의 개관

암호화 솔루션을 적용하기 위해, 자체 개발한 50 개 이상의 핵심 어플리케이션을 수정하는 대신, ASP 어플리케이션 하나와 일부 DTS 패키지와 저장 프로시저만 수정하면 되었다. 수정한 ASP 어플리케이션은 고객 서비스 부서에서 사용하는 외부사용자를 위한 사이트로, 암호화된 데이터 컬럼을 검색할 수 있도록 수정하였다. 특정 계좌번호를 검색하는 작업을 수행하기 위해서, SQL 서버가 200백만 레코드가 넘는 고객에 대한 e-머니 관련 데이터에 포함된 모든 암호화된 계좌번호를 복호화해야 하기 때문에, 검색하는데 한 시간이상의 시간이 소용되는 문제가 발생하였다. 이 문제를 해결하기 위해, 계좌번호의 마지막 4 자리 숫자를 암호화하지 않은 상태로 저장하는 컬럼을 추가하고, 검색 쿼리에서는 새로 추가한 컬럼을 사용하여 1차 검색작업을 수행한 다음, 필터링된 결과에 대해서만 전체 계좌번호를 복호화하여 2 차 검색작업을 할 수 있도록 수정하였다.

도입효과

암호화 솔루션을 도입함으로써, 개인정보 데이터 보호에 관련 법령에서 규정하고 있는 고객에 대한 개인신용정보와 회사자산에 대한 데이터 보호 수준을 충족시킬 수 있게 되었다. 또한 데이터에 대한 잠재적인 침해와 같은 문제를 해결하기 위한 비용을 절감할 수 있었다. 캘리포니아 주 지정 데이터베이스 보호 협약(CDPA) 2003에 따르면, 암호화되지 않은 고객 데이터에 대한 침해가 발생한 경우, 회사는 반드시 “어떤 불합리한 지연없이, 동원할 수 있는 모든 수단을 통해” 모든 고객에게 해당 사실을 공지하도록 규정하고 있다. 또한, 암호화 솔루션을 자체 개발했기 때문에, 암호화된 데이터에 침입자가 침입할 수 있는 가능성을 더욱 효과적으로 차단할 수 있었다. 보안이 필요한 모든 데이터는 암호화되었기 때문에, 권한이 부여되지 않은 사용자는 해당 데이터를 사용할 수 없었다. 암호화 솔루션을 도입한 결과, 특별한 성능상의 문제는 발생하지 않았으며, 데이터베이스 기반 암호화 상용제품을 구매하기 위한 $20,000 이상의 비용을 절감할 수 있었고, 기존 어플리케이션에 대한 별도의 수정작업에 투자되어야 할 비용까지 감안할 때는 훨씬 더 많은 비용을 절감할 수 있었다.

제공 : DB포탈사이트 DBguide.net

출처명 : Windows&.NET

"MSSQL" 카테고리의 다른 글

VS.NET으로 개발하는 SQL 서버 2005 (0)2007/05/23
SQL 서버 2005 관리자가 알아야 할 변화 (0)2007/05/22
SQL 서버 암호화 (0)2007/05/22
SQL 서버 2005, 그 변화 속으로 (0)2007/05/22
SQL Server를 실행하는 컴퓨터 간에 데이터베이스... (0)2007/05/22

일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

수안이의 컴퓨터 연구실

2 Articles, Search for '암호화'

눈길가는 블로그 아티클 [1월 넷째주]

Trackback URL : http://www.webdizen.net/blog/trackback/3174

Leave your greetings.

SQL 서버 암호화

Trackback URL : http://www.webdizen.net/blog/trackback/3026

Leave your greetings.

Categories

Notice

Tags

Recent Articles

Recent Comments

Recent Trackbacks

Archive

Calendar

Bookmarks