1. DB 보안 프레임워크

가. DB 보안 프레임워크 필요성

지금까지 DB 보안의 정의와 필요성, DB 보안통제를 위한 다양한 개념과 방법 등에 대해 살펴 보았다. 그러나 이러한 내용 만으로 DB 보안을 구축하는 것은 매우 어렵다. 중요한 데이터를 안전하게 보호해야 한다는 인식은 이제 매우 보편적이고 기본적인 요구에 해당 하는 사안이 되었으나 이를 구현하는 데는 시간과 비용이 투입되어야 하기 때문에 결정을 내리기가 쉽지 않다. 또한 앞에서 설명한 바와 같이 한 두 가지의 보안 통제 수단을 도입하 였다고 해서 DB 보안을 제대로 하고 있다고 하기도 어렵다. DB 보안의 필요성에 공감할 수록 DB 보안에 대한 청사진이나 빅픽처에 대한 필요성은 함께 증가할 수 밖에 없으며, 이 역시도 날로 증가하는 다양한 위협에 대응하기 위해 끊임없는 개선이 요구된다.

업종이나 사업 영역 등에 따라 위험 및 위협의 형태도 다양하게 변화하고 있고, 공격 수단 이나 방법 또한 날로 다양해지고 정교해지는 상황에서, 각 기업이나 기관은 이에 효과적으 로 대응할 수 있는 전략과 수단이 필수 요소가 되고 있으나 각 기업이 처한 상황과 목적에 맞는 DB 보안 통제를 구축하기에는 시간, 비용, 전문인력 부재 등의 문제로 인해 매우 미 흡하고 어려운 상황이 계속되고 있다.
DB 보안을 체계적이고 효과적으로 구축하여 운영할 수 있는 전문인력의 부재는 더욱 상황 을 어렵게 만들어, 다양한 위협에 효과적으로 대응할 수 있는 보안 체계를 구축하기 위한 전략을 수립하는 문제나 보안 통제 수단 구축에 필요한 비용 투자의 효과성과 통제 수단 자체의 효과성 등에서 각 조직에 많은 고민을 안겨주고 있다. 이 때문에 전문인력의 부족 과 효과적인 비용 투입 문제 등을 해결하는데 도움을 줄 수 있고, 실제적이며 효용성 있는 구체적인 DB 보안 구축 가이드라인이 절실하게 필요해지고 있다.
이와 같은 요구에 부응할 수 있도록 DB 보안을 구축하는데 따른 효과적인 통제 수단과 이들 의 구축절차 및 주요 태스크 등을 일목요연하게 정리한 것이 DB 보안 프레임워크이다. 이 를 통해 DB 보안을 구축하기 위해 어떠한 통제 수단이 필요한지, 또 그러한 것들을 어떻게 구축해가야 하는지, DB 보안을 위한 통제 수단이 효과적으로 구축되었는지를 어떻게 확인 하는지 등에 대해 명확하고 상세한 가이드라인을 제시하고자 한다. 또한, 구축된 DB 보안 에 대해 보완하고 개선해 나갈 방향을 가늠할 수 있는 기준선 역할까지 기대할 수 있다.

나. DB 보안 프레임워크 정의

지금까지 DB를 안전하게 보호하기 위해 무엇을 해야 하는지를 이해하기 위해 많은 개념과 내용을 살펴 보았다. DB 보안을 위협하는 다양한 요소들과 보안사고 사례, 법 동향 등에 대한 검토는 다양한 위협에 대응할 수 있는 수많은 보안 통제 수단 중에서 DB 보안에 효과 적인 수단을 선정하는데 있어서 기초가 된다.
수많은 보안사고 사례는 적절한 사용자 인증과 권한 관리, 민감한 자료에 대한 접근 시 사 전 승인의 필요성 등과 함께 기본에 충실한 보안 법규 및 지침 등의 준수, 보안 취약점에 대한 지속적인 점검 관리 등이 얼마나 중요한지를 일깨워 주고 있다. 또한, 개인정보보호 와 관련한 국내외의 법제화 동향 및 많은 법령들, 그리고 최근의 개인정보보호법 등에 이 르기까지 정부 차원의 정보보호 노력으로부터 접근제어와 민감한 데이터의 암호화 및 해 당 데이터 접근에 대한 사전 승인 등과 같은 보안 통제의 중요성을 확인할 수 있다.
이와 같은 검토로부터 DB 보안을 위한 다양한 관리적·기술적 보안 통제 수단의 도입과 적용이 DB 보안을 구축하는데 있어서 반드시 필요한 과정이라는 점을 재차 확인할 수 있 다. 이러한 필요성의 인식을 통해 다음 그림과 같은 DB 보안 프레임워크를 구성하는 기술 적 요소들을 도출할 수 있다.

DB 보안을 위한 기술 요소들을 성공적으로 도입·적용하고 구축하기 위해서는 체계적인 절차를 통해 진행해야만 한다. 체계적인 절차는 업무의 선·후관계와 역할 및 책임을 분명 하게 하고 단계적으로 잘게 분할된 업무을 처리할 수 있도록 함으로써 업무 수행에 대한 부담을 완화시킨다.
분할된 단위 업무에 대한 이해도와 완성도를 향상시킴으로써 전체의 성공 가능성을 높이 며, 중요한 태스크의 누락 가능성을 최소화할 수 있기 때문에 DB 보안을 구축하는데 있어 서 반드시 필요한 사항이다. DB 보안을 구축하기 위한 단계 구분은 기획, 설계, 구축, 운 영으로 구분한다.
다음 그림에서 보는 바와 같이 기술 요소별로 각 단계에서 수행해야 할 중요한 태스크를 정의함으로써 DB 보안을 성공적으로 구축할 수 있는 프레임워크를 도출할 수 있다.

앞의 그림에서와 같이 DB 보안 기술요소와 DB 보안 구축 프로세스의 두 축을 기초로 하 여 매트릭스 형태로 구성함으로써 다음 표와 같은 DB 보안 프레임워크를 도출할 수 있다. DB 보안 프레임워크는 DB 보안을 위한 기술요소들과 각 기술요소들에 대한 구축 프로세 스를 구성요소로 하여 이들 간의 관계를 상세화함으로써 DB 보안을 위한 핵심요소들을 정 의한 기본 개념틀이라고 할 수 있다.