DB보안
DA, SQL, DB보안 등 실무자를 위한 위한 DB기술 바이블!
DB 보안 프레임워크에 따라 DB 보안 기술요소들을 도입·적용하여 DB 보안을 구축하는 것은 매우 의미있고 중요한 일이지만, 구축 이후의 체계적인 운영과 관리는 DB를 안전하 게 보호하는데 있어서 구축보다 더 중요하다. 구축 이후의 운영과 관리는 주로 관리적 보 안에 해당하는 사항으로, 모든 구성원들이 이를 명확하게 이해하고 준수할 수 있도록 관 리·감독 및 지속적인 점검과 개선이 이루어져야 한다. 이러한 모든 사항들은 정책으로 명 문화하여 강제화하여야 하며, 날로 새로워지는 다양한 위협들에 대응하여 지속적으로 취 약점들을 수집하고, 점검하여 보완하는 활동이 수반되어야 한다. ■ DB 보안 조직DB 보안 관리
3. DB 보안 관리
이와 같은 활동들을 'DB 보안 관리'라고 할 수 있는데, DB 보안 관리에 대한 전체 구성은 다음 그림과 같다.
DB 보안 조직은 DB 보안을 추진하고 운영·관리하기 위한 전담 조직을 의미한다. DB 보안 업무 수행을 위해 필요한 역할과 책임을 정의하고, DB 보안 통제를 운영하기 위 한 업무 절차를 정의한다. DB 보안을 구축하고 통제 활동을 수행하는데 있어서 전체 조직 또는 전사의 구성원을 대상으로 DB 보안에 관련된 교육을 지속적으로 시행함으로 써 모든 구성원들의 보안 의식 수준을 끌어 올리고, 통제 활동 과정에서 도출된 개선 사 항에 대해 시행할 책임을 갖는다. DB 보안을 위한 조직 구성과 역할 및 책임에 대한 정의는 DB 보안 정책을 통해 명문화 한다.
■ DB 보안 준비
DB 보안 준비는 DB 보안 구축을 위한 사전 준비 단계를 일컫는 것으로, DB 보안조직 은 다음과 같은 사항들을 수행함으로써 DB 보안이 성공적으로 도입·적용·구축될 수 있도록 해야 한다.
?DB 보안을 위해 도입·적용할 기술요소를 선정하기 위한 기준을 정의하여, 이에 따 라 도입·적용 대상 기술요소를 결정
?기술요소를 구축하는데 있어서 솔루션을 도입할 것인지 여부에 대한 결정과 솔루션 도입 시 적절한 솔루션을 선정하기 위한 평가 기준 정의, 이에 따른 공정하고 세밀한 평가 및 최적 솔루션 선정
?전사 구성원들의 의식수준 제고 및 DB 보안 구축을 용이하게 하기 위한 DB 보안 필 요성, DB 보안 사고 사례 교육 등과 같은 인식 전환 교육 시행
?기술요소에 관련된 솔루션 도입을 위한 발주관리 등
■ DB 보안 통제 구축
DB 보안 통제 구축은 DB 보안 프레임워크에서 제시한 DB 보안 구축 프로세스에 따라 DB 보안 기술요소들을 구축하고 운영하는 과정을 의미한다.
■ DB 보안 통제 활동
DB 보안 통제 활동은 DB 보안 프레임워크에서 제시한 DB 보안 구축 프로세스 중 운영 단계의 활동이 지속적으로 수행될 수 있도록 관리·감독·점검 및 개선을 수행하는 활 동들을 통칭한다. DB 보안 조직이 수행해야 할 주요 활동은 다음과 같다.
■ DB 보안 교육
DB 보안 교육은 DB 보안에 대한 필요성을 인식하고 DB 보안 통제를 구축하기 위한 준 비 활동을 하는 단계에서부터 DB 보안을 구축하고 DB 보안 통제 활동을 수행하는 단 계에 이르기까지 모든 과정에서 요구된다.
DB 보안 준비 단계에서의 DB 보안 교육은 전사 구성원들에서 DB 보안의 필요성을 인 식시키고 의식 수준 제고를 통해 DB 보안의 도입에 따른 불편·불만과 거부감을 최소 화하여 DB 보안 구축을 용이하게 하기 위한 목적으로 시행된다.
DB 보안 통제 구축 과정에서는 DB 보안 통제 절차와 각 기술요소에 대한 적용 및 활용 방법에 대한 교육을 비롯하여, DB 보안 통제 구축 후 보안 통제 운영을 위한 제반 준비 사항과 운영 방법에 대한 교육이 필요하다. DB 보안 통제 활동 단계에서는 모니터링 및 로그 기록 검토 결과, 점검 결과 등으로부터 도출된 개선 사항에 따른 구성원 교육 및 개선으로 인한 기술 요소 상의 변경 사항에 대한 교육 등과 같이 운영 과정에서 발생 하는 제반 변화 내용에 대해 지속적으로 교육이 이루어져야 한다.
7 DB 보안 조직은 이와 같은 다양한 교육들을 적시에 시행하도록 해야 하며, 필요한 구 성원들이 교육에서 열외되지 않도록 관리해야 한다.