CubeOne v2.x에 강화된 기능 중 이런 시도에 대해서도 차단 하도록 하는 기능이 제공 됩니다.
CubeOne은 TOAD, Orange, SQL*Plus 등의 상용 애플리케이션 실행파일 이름을 바꾸어서 차단 정책을 우회 하려는 시도에 대해서도 차단(복호화 하지 않고 정해진 메시지 출력)이 이루어 집니다.
크게 허용정책과 차단정책 두 가지가 있으며, DB 사용자 별, IP Address 별, 애플리케이션 명 별, 시간대 별, 기간 별, 요일 별의 조건들을 서로 조합하여 제어할 수 있습니다. 이러한 정책 설정은 보안 관리자용 CubeOne Manager GUI를 통해 손쉽게 구성할 수 있으며, 운영중인 DB의 Session에 대해서도 실시간으로 적용 시킬 수 있습니다.
기본적으로는 CubeOne의 경우엔 애플리케이션의 변경이 있어야 하는 경우는 없습니다.
하지만, 특수한 경우, Oracle의 특성에 기인한 문제로서 색인을 못 타는 경우도 있습니다.
이에 대해서는 매뉴얼에 상세히 나와 있으므로 사전에 참조 하시기 바랍니다.
고객정보 DB (주민번호, 계좌번호, 비밀번호, 이름, 주소, 전화번호 등)
인사 DB (주민번호, 고과정보, 연봉정보 등), 설계 DB (도면 등),
ERP (구매 정보의 원가자료 등) 의 암호화에 이용할 수 있습니다.
Data Type별로는, CHAR, VARCHAR2, INT, FLOAT, NUMBER, DATE, LONG, LOB 등이 가능하며, NULL Data도 암호화 합니다.
특히 LOB Type의 암호화가 가능함으로써 스캔문서, 도면, 동영상, 기술자료 등의 암호화가 가능합니다.
국정원의 암호모듈검증기준에 의하면 SW 제품인 경우 (VSL1등급 기준), 키는 불법적인 접근이 불가능해야 합니다. 또한 모듈 종료시 키 제로화가 되어야 합니다.
CubeOne은 Key를 시스템의 공유메모리 영역에 키를 보관하여 불법적인 접근으로부터 키를 안전하게 보호하며, 모듈 종료 시 키 제로화가 이루어 집니다.
비밀번호는 관련 법규 및 고시 등에서 복호가 불가능 하도록 일방향 암호알고리즘을 사용하여 암호화 하도록 규정하고 있습니
다.
일방향 알고리즘을 사용하려면 Application 에서 일방향 알고리즘 API(Function)를 호출 하여 암호화하여 DB에 Query를 할 수
있도록 Application을 수정 하여야 합니다.
컬럼 데이터 암호화에 사용되는 알고리즘은 비밀키 방식의 블록 알고리즘을 사용 합니다.
보안성 순으로는 TDES > AES, ARIA > SEED > DES 이며,성능 순으로는 AES > ARIA > SEED > DES > TDES 입니다.
만일 공공기관이라면 국내알고리즘 중 성능과 보안성이 높은 ARIA(256bit key)를 사용하는 것이 좋으며, 일반 기업이라면 성능이 가장 뛰어난 AES(256bit key)를 사용하는 것이 좋습니다.
(SEED와 ARIA의 성능 비는 약 1:2 정도로서 ARIA가 빠릅니다. 국보연 “ARIA알고리즘소개” 자료참조)
주민번호를 예를 들면, 13자리의 숫자로 이루어진 의미를 지닌 정보에 해당 됩니다.
하지만 이 컬럼을 AES나 ARIA등의 알고리즘으로 암호화 하게 되면 16 Byte 또는 20 Byte (초기 벡터 적용 시) 의
아무 의미 없는 문자열로 바뀌게 됩니다.
한편 Index는 해당 컬럼의 데이터들을 Row_ID 순서와 관계없이 그 데이터만 가지고 Sorting 하여 저장하고 있고,
덕분에 Full Table Scan 없이 빠르게 검색이 가능 하도록 해 줍니다.
여기에 암호화로 인해 순서가 뒤죽박죽이 된 데이터로 대체되게 되면 DB의 Optimizer가 Index Scan 대신에
Full Table Scan을 계획하기 때문 입니다.
CubeOne의 경우는 순서(Ordering)가 유지되는 알고리즘으로 Index를 암호화 함으로써 색인 검색이 가능한 것 입니다.
