3. DB 보안 정책 구성

가. 보안 정책 유형

앞에서 정의한 바와 같이 보안 정책은 하나의 문서로 작성되는 것이 아니라 상세화 단계를 갖는 문서 세트로 구성된다. 이와 같은 보안 정책의 계층적 구성은 그 성격이나 위상에 따 라 관리적 정책과 기술적 정책, 상세 가이드라인의 3계층으로도 나누어 볼 수 있다. 앞의 그림에서 표현한 표준 계층은 기술적 정책으로, 절차 및 가이드라인 계층은 기술적 정책의 하위 계층으로 구분하여 볼 수 있다. 기술적 정책은 앞의 그림에서 명시한 보안 규칙의 핵 심 내용이기도 하다. DB 보안 정책의 계층 구성에 대한 상세 내용은 다음과 같다.

1) DB 보안 정책의 계층 구성

다음 그림은 DB 보안 정책을 적용 받아야 하는 모든 구성원들을 효과적으로 배치할 수 있 는 계층적 정책 구조를 보여 준다. 이것은 정책의 계층적 구성에 대한 범용적인 모형이며 조직의 보안 요구사항에 적합하게 변형될 수 있어 모든 구성원들이 자신의 업무 위치에 맞 게 필요한 정책 요소를 활용하고 업무에 반영할 수 있음을 의미한다.

앞의 그림과 같은 구성은 수 년에 걸쳐 보안 정책이 수립되고 적용되어 온 성숙된 형태의 계층 구조를 보여준다. 이와 같은 구성은 규모가 큰 조직에 적합한 것으로 볼 수 있으며, 이 보다 작은 조직이나 정책 수립을 막 시작하려고 하는 조직에 대해서는 기본적인 프레임 워크로 사용될 수 있지만 초기에는 충분한 기술적 정책들을 갖추기 어렵다.
또한 가이드라인이나 업무에 활용할 수 있는 지원 도구들이 없을 수도 있음을 고려해야 한 다. 이와 같은 경우에는 한 번에 전체적인 계층 구조를 완성하려고 하지 말고 초기에는 관 리적 정책과 몇 개의 기술적 정책들을 개발하고, 그 후에 가고자 하는 방향에 따라 정책들 의 복잡성을 점진적으로 증가시켜 필요한 정책들과 가이드라인 및 지원 도구들을 추가해 가는 것이 더 현실적이다.

2) 관리적 정책

관리적 정책은 상위 수준에서의 DB 보안 개념을 다루고 그 개념들을 정의해야 하며 그것 이 왜 중요한지, 그에 대한 회사의 입장이 무엇인지 등을 상세하게 정의해야 한다. 관리적 정책은 관리자와 최종 사용자가 보아야 하며 기본적으로 실무자(특히 보안 기술 담 당자)도 최종 사용자이기 때문에 숙지해야 한다. 이들 모두가 전사적으로 DB 보안 정책의 개념을 적용하기 위해 DB 보안 정책을 필요로 하며, 전사적으로 DB보안에 관련하여 업무 조직과의 연관성을 정의하게 된다.
통상 관리적 정책은 전사적인 기본 정책 수준으로 취급되지만, 더 상세하게 주제들을 다루 고 여기에 이들과 관련된 모든 연관 기술들에 대한 기술적 정책을 추가하여 보조한다. 때 로는 관리적 정책 수준에서 어떤 주제들을 다루는 것이 이 이슈들에 대한 상세한 기술적 정책을 불필요하게 할 수도 있다.
예를 들면, 회사의 전반적인 비밀번호 정책을 명시하는 것은 모든 시스템 또는 DBMS마다 비밀번호 통제를 위한 기술적 정책을 개별적으로 작성하기 보다는 특정 비밀번호 통제에 대한 상세 내용이 이에 관련된 하나의 기술적 정책에서 각 시스템이나 DBMS에 대해 다루 어질 수도 있음을 의미한다.
이러한 경우는 소수의 시스템이나 DBMS 또는 DB가 사용되어서 하나의 기술적 비밀번호 정책만으로도 충분한 소규모 회사에 대해서는 적합하지 않을 수 있으나 이보다 큰 규모의 시스템 또는 DB를 보유한 회사에 대해서는 구성원들에게 보다 효과적인 정책 적용 프로세 스를 제공할 수 있다. 그것은 이와 같이 프로세스를 단순화하는 것이 더 적은 다큐먼트들 을 참조하도록 해서 사용자들이 정책을 준수하고 보안을 향상시킬 수 있는 확률을 높여주 기 때문이다.

상세화 수준의 관점에서 관리적 정책은 보안 정책 관점에서의“What”을 정의한다.

3) 기술적 정책

기술적 정책들은 주로 보안 책임을 담당하는 실무자들이 사용한다. 기술적 정책은 관리적 정책보다 상세하게 기술되며, 오라클에 대한 기술적 정책처럼 DBMS나 이슈에 특화된다. 기술적 정책들은 관리적 정책과 동일한 주제들을 많이 다루고, 경우에 따라서 어떤 주제들 은 전반적인 기술적 주제들을 다루기도 한다. 이를테면 특정 DBMS의 보호 방법에 대한 핸드북 같은 것으로, 무엇을 어떻게 해야 하는지를 설명해서 관리적 및 기술적 정책보다 상세한 수준인 절차 문서들에 수록된다.
상세화 수준의 관점에서 기술적 정책은 보안 정책 관점에서의“What”을 구체적으로 정의 하고,“ Who”,“ When”,“ Where”등을정의한다.

4) 지원 도구 및 가이드라인

절차는 정책을 이행하는 방법에 대한 단계적 방향을 제공한다. 예를 들면, 접근 권한을 정 의하는 가이드는 DB 접근제어를 위한 기술적 정책에 대해 추가적인 보조 문서가 될 수 있 다. 절차와 가이드라인은 정책에 대한 부속물이며 상세화 단계의 하위 레벨에서 작성되어 어떤 주제에 대한 상세 수행 방법을 설명한다.
또한 정책에 정의된 요건들을 적용하는 방법에 대한 체계적인 실무 정보를 제공한다. 이와 같은 절차와 가이드라인은 전사적으로 다양한 그룹이 작성할 수 있고 요구 사항에 따라서 는 관련된 정책에서 참조할 수도 있다.
모든 정책들이 추가적인 하위의 상세 지침들을 필요로 하는 것은 아니지만, 작성하고자 하 는 모든 정책에 대해 지원 도구에 대한 요구사항을 수렴하려고 하면 정책이 너무 복잡해지 거나 이해하기에 어려워질 수 있다.
이들 하위 지침들을 반드시 관리적 및 기술적 정책들을 수립하는 실무팀에서 작성할 필요 는 없다. 오히려 개별 업무 조직에서 그들이 필요로 하는 하위 지침들을 만드는 것이 인력 운영 측면이나 최신 기술 지식의 활용 측면에서 더 효율적일 수 있다. 상위의 정책들이 그 들에게 (보안 정책 관점에서“What”,“ Who”,“ When”, 그리고“Where”등) 따를 수 있 는 프레임워크를 제공하기 때문에 그들은 단순히 이 통제들을 따르면서“How”를 그려 넣 기만 하면 된다.
지원 도구와 가이드라인은 실무자가 이직하더라도 그 지식이 상실되거나 단절되지 않고 보안 요건들이 계속해서 이행될 수 있도록 백업 장치로 작용하기도 한다.

나. DB 보안 정책 구성 요소

DB 보안 정책 구성요소에서는 DB 보안 정책을 구성하는 관리적 정책과 기술적 정책에 기 술될 수 있는 구체적인 항목을 살펴본다.

1) 관리적 정책의 구성 항목
관리적 정책은 주요 골격으로 다음과 같은 세션들을 갖는다.

■ 제·개정 이력
이 세션에서는 정책이 언제 제정되었고, 개정되었는지의 이력을 명시하여 최신 상태의 구분이 가능하도록 한다.

■ 도입(서론)
이 세션에서는 정책의 명칭을 정의하고, 기존의 정보 보안 및 조직 내 다른 정책들의 계 층 구성에서의 위치를 소개한다.

■ 목적
이 세션에서는 정책의 주요 목적(목표)을 명시한다. 이것은 정책을 정의하는 이유를 설 명하고, 정책이 어떻게 사용되어야 하는지를 구성원들이 이해하는데 도움을 준다. 또 한 법규 준수에 대한 문제들도 여기에 언급될 수 있으며 어떤 특별한 입법 사항에 대한 내용들까지 포함해서 이에 맞도록 정책이 정의된다.

■ 범위? 정보시스템들 또는 DB들, 그리고 그에 대한 이해관계자들의 설명이다. 이해관계자는 일반적으로 정책에 의해 영향받는 DB나 시스 템들과 관련된 관리자, 설계자, 사용자들이다.

■ 역할과 책임
이 세션에서는 정책 적용에 대한 책임이 전사적으로 어떻게 위임되었는지에 대한 설명 을 명시한다. DBA, 보안 기술 책임자, 실무자 등과 같은 업무 역할이 이 세션에서 명 세될 수 있다.

■ 벌칙 및 위반사항
이 세션에서는 정책에 반하는 상세 사항들을 위반사항으로 고려한다. 위반이 이루어졌 을 때 구체적으로 누가 어떤 행위들을 한 것인지 등의 위반사항 보고 방법에 대해서도 상세하게 설명한다. 또한 위반 내용에 따라 구두나 문서 경고 등과 같이 어떠한 벌칙이 이행되어야 하는지를 포함하기도 한다.

■개정 및 갱신 일정
이 세션은 정책에 대한 변경과 갱신 책임이 누구에게 있고 얼마나 자주 처리할지를 정 의한다. 여기에는 계획된 변경뿐만 아니라 급작스러운 개정까지도 포함된다.

■ 접촉 정보
이 세션은 정책과 관련해서 접촉할 사람을 명시한다. 개인에 대한 정보보다는 그룹이나 메일박스를 명시하는 것이 변경이 덜 발생하기 때문에 더 적합하다.

■ 정의 및 용어해설
이 세션은 정책을 보는 사람들에게 이해를 돕기 위해 친숙하지 않은 용어들을 정의한다.

■ 약어(머리글자 약어) 사전(Acronyms)
2) 기술적 정책의 구성 항목
관리적 정책에 정의한 바를 보다 상세하게 규명하기 위해 기술적 정책과 가이드라인 등이 추가 작성된다. 이에 대한 구성 항목은 앞서 설명한 것처럼 What, Who, When, Where 중심으로 작성하되 보다 상세한 명세가 필요한 경우는 How의 내용을 포함하여 가이드라 인이나 절차 등으로 작성하게 된다.
기술적 정책은 주제 중심적으로 작성되며, DB 보안과 관련하여 자주 다루어지는 기술적 정책의 주제로는 침해 대응 및 복구, 암호화, DB 접근제어, 모니터링 및 감사, DB 취약점 분석, DB 작업결재 등이 있다. 이들 중 몇 가지를 소개하면 다음과 같다.

■침해 대응 및 복구 절차
운영중인 DB의 고의 또는 실수에 의한 파괴, 무결성 훼손, 천재지변 등에 대비하여 시 스템 의존도가 높은 업무 활동의 연속성을 보장하기 위한 시설, 장치, 프로세스 등을 일컫는다. 이는 발생 빈도 또는 확률은 낮지만 일단 발생하면 그 피해는 상상을 초월하 는 사고에 대비하는 방법이다. 주요 정보통신 기반 시설들을 포함한 정보시스템 의존도 가 높은 조직은 필수적으로 완비해야 한다.
침해 대응 및 복구 절차는 기존의 전반적인 보안 정책과 관련하여 다른 영역에서 다루 어졌을 가능성이 크다. 여기서는 DB 보안과 관련하여 추가적으로 또는 보다 상세한 수 준으로 다루어져야 할 내용들을 대상으로 한다.

■ 암호화
개인 정보 및 업무활동에 관련된 중요 데이터를 암호화하여 데이터의 불법 유출에 대비 하며 허가된 사용자만 복호화하여 접근할 수 있도록 하는 방법과 절차를 정의한다. 암 호화는 개인정보의 누출에 대한 우려가 큰 데이터를 보유하고 있는 경우 선택적으로 적 용할 수 있는 방법이라 할 수 있다. 그러나 정보의 유출 이외의 DB 보안 전체에 대한 정 책을 설정하고 DB의 무결성을 보장하거나 데이터 절취로부터의 보호 등에 대해서는 별 도의 주제로 다루어 정의된다.

■ 모니터링 및 감사
데이터의 절취 행위 및 고의 또는 실수에 의한 데이터의 위·변조를 차단하고, 탐지, 경고, 복구조치, 추적하는 방법과 절차를 정의하는 것이며, 이를 자동화하여 개인정보 및 업무 활동상의 중요 정보자산을 보호하는 장치, 제도, 프로세스까지를 포함한다. 이 방법은 DB 전체에 대한 보호 정책을 수립하고, 조직 내외부의 정보보호에 대한 준수의 무를 충족시킬 수 있으며, 상황에 따라 보호정책을 운영할 수 있는 종합적인 해결책이 라 하겠다.

다. DB 보안 정책 고려 사항

DB 보안 정책은 전사적 차원의 기본 정책의 일부로서 존재하며, 이러한 특성 때문에 DB 보안 정책을 작성하고 운영·관리하는데 있어서 다음 사항이 고려되어야 한다.

■최고경영자에 의해 승인되어야 한다.
■모든 임직원에게 적절한 방법으로 배포되고, 모든 임직원이 자유롭게 최신 버전의 DB 보안 정책에 접근할 수 있어야 한다.
■모든 임직원이 그 목적과 내용을 이해해야 한다. 이를 위해 구성원들에게 적절한 수단 또는 방법을 통해 인지되고 교육 및 홍보가 이루어져야 한다.
■정기 혹은 비정기적으로 검토되고 갱신되어야 한다.
■DB 보안에 대한 명확한 방향 제시, 책임 할당, 승인사항 등의 보안 활동을 관리할 수 있 는 전담 조직이 회사의 규모와 업무 특성을 반영하여 구성되고 운영되어야 한다.