시만텍코리아(대표 윤문석, www.symantec.co.kr)가 2008년 DB보안 시장 공략에 주력해 DB보안의 새로운 이정표를 세우겠다고 밝혔다. 키 솔루션은 지난해 11월 출시된 ‘시만텍 데이터베이스 시큐리티 3.0(Symantec Database Security 3.0, 이하 SDS 3.0)’이다.
암호화 방식, 또는 권한접근제어 방식에 국한돼 있던 국내 DB보안 솔루션과 달리 SDS 3.0은 DB트랜잭션(DB 쿼리) 분석 방식에 기반한 지능형 DB보안을 제공하는 것이 특징. DB 쿼리를 이용해 사용 패턴을 인지한 후 이상 징후 포착 시 관리자에게 이를 통보함으로써 조치하게 한다는 것이다.
이 때의 이상 활동에는 외부로부터의 요청은 물론 인가된 사용자의 평소와 다른 양태의 DB 이용까지를 포괄하며, 인가된 사용자가 주민등록번호 등 민감한 개인정보에 접근하는 등도 포함된다. 예를 들어 영업조직의 이용자가 평소와 다르게 관리조직이 사용하는 DB에 접근하거나 DB에 평소와 다른 패턴의 요청을 진행한다면 이를 탐지, 관라자에게 통보함으로써 보안 사고를 방지할 수 있도록 하는 것.
시만텍코리아 윤광택 부장은 “DB 패턴에 의한 분석이 어렵다고 생각할 수 있겠지만, 평균 500만건의 트랜잭션이 발생하는 한 고객사에서 SDS를 적용했을 때 발생한 패턴은 370여건에 불과했으며, 이 중 300만건의 요청이 하나의 패턴으로 나타났다”면서 “정상적 행위의 패턴은 일정한 반면 불법 행위는 이상 행위 패턴으로 감지될 수 있어 트랜잭션 분석방식의 SDS 3.0으로 이상징후를 포착하고, 아울러 불법 행위에 의한 정보유출을 감지할 수 있다”고 강조했다.
물론 평소와 자주 나타나지 않는 패턴이라고 해서 꼭 불법행위인 것은 아니다. SDS 3.0은 요청한 DB 쿼리와 상응값을 직관적으로 파악 가능하게 표시함으로써 관리자가 빠르게 불법행위 여부를 알 수 있게 해 이를 보완하고 있다.
자기학습 기능은 SDS 3.0이 주요 특장점으로 내세우는 대표 기능. 휴리스틱스 엔진에 기반한 학습을 통해 내부 IT 정책에 부합하는 SQL 행동 패턴을 자동으로 분석, 권고해줌으로써 관리 비용과 복잡성을 감소시킨다. 이러한 권고는 인수 합병, 신규 및 기존 애플리케이션 설치, 소프트웨어 제거와 같은 작업에 기반해 구성된다.
SDS 3.0은 침입탐지시스템(IDS)과 같은 역할을 수행해 또한 외부로부터의 공격을 방어할 수 있도록 한다. SDS 3.0에 포함된 침입탐지 기능은 악성 혹은 의심스러운 활동의 근원지를 추적할 수 있도록 하며, 사용자의 자격이나 IP 주소를 백엔드(Backend) 데이터베이스 트랜잭션 원본에서 캡처된 정보를 비교해 제공함으로써 향후 동일한 악성활동이 일어나지 않도록 한다. 또한 DB 트랜젝션 만을 대상으로 해 네트워크 IDS보다 정확한 탐지를 제공할 수 있는 장점도 있다.
시만텍코리아 측은 “기존의 DB보안 솔루션과 차별화된 원칙에서 개발돼 초기 시장 개척에는 많은 노력이 필요할 것으로 예상된다”고 우려하면서도 “트랜잭션에 대한 분석으로 통해 정보와 정보 교류를 공격하는 위협으로부터 보호하는 ‘시큐리티 2.0’의 핵심 제품으로 보다 완벽한 보호를 제공할 수 있어 궁극적으로 DB보안의 패러다임을 변화시킬 것”이라고 자신감을 표시했다.
한편, SDS 3.0은 발생하는 이벤트를 통합해 SIEM 솔루션인 시만텍 시큐리티 인포메이션 매니지먼트(SSIM)로 전송함으로써 중요한 데이터베이스 보안 경고를 한 눈에 파악할 수 있도록 할 수 있는 기능도 제공한다. <오현식 기자>
