[새싹] 현대IT&E 240130 기록 - 개발보안 / DBA

최정윤·2024년 2월 6일
0

새싹

목록 보기
66/67

정보보안 사고사례

랜섬웨어

  • 데이터에 대한 몸값을 요구하는 악성 프로그램으로 2021 글로벌 기준 23조6천억원의 피해금액이 산출되고 있음

중요정보 유출

  • 개인정보, 기업정보 등이 유출되어 금전적 손실을 야기시키며, 개인정보 처리자의 무단 수집, 내부 보안관리 소홀, 외부 해킹을 통해 유출되는 경우가 대부분

제로데이

  • JAVA, Kotlin 등 코딩 도중에 프로그램의 로그를 기록해 주는 라이브러리로 메시지에 신뢰할 수 없는 데이터를 삽입하여 RCE 공격

보안정책

인증제도

  • 국내
    • ISMS
    • ISMS-P
    • 전자금융
  • 국제
    • ISO27001
    • BS200

공격 종류 및 방법

모의해킹 대상 환경분석

  • 모의해킹 대상이 어떠한 서비스를 하고 있는지 분석하는 단계

정보수집

  • 환경분석을 통해 발견된 모의해킹 대상에 대한 정보(CVE정보, 서버 정보, 버전 정보 등)에 대해 더욱 세부적인 정보수집 단계

취약점 분석

  • 발생가능한 취약점에 대해 공격방법, 공격원리 등을 분석하여 어떤 방식으로 공격할지 분석하는 단계

취약점 공격

  • 사전 정보를 바탕으로 Metasploit, PoC코드, 진단 Tool 등을 활용하여 실제 공격을 통해 우회, 정보유출 등 가능한지 테스트하는 단계로 존재하는 위협을 찾는 단계

결과도출 및 대응방안 제시

  • 발견된 취약점 별 리포팅 및 취약점 대응방안을 제시하여 시큐어코딩 또는 패치 등의 방법을 통해 위협을 제거하는 단계

시큐어 코딩 업무

select useid from user_t where userid=' admin' or '1=1' and userpw=''


현대아이티앤이 DBA 소개

백화점 그룹 DB관리 직무에 대한 이해

  • 데이터 베이스 서비스 요청
    • 표준 수립 및 관리
      • 각종표준수립
      • 각종표준에대한교육수행
      • 표준준수여부점검
    • Model 및 Object관리
      • Object관리 원칙 수립
      • 데이터모델 및 DBtjfrO
      • Object 생성
      • Object 관리
    • 모니터링
      • 모니터링정책 및 전략수립
      • 모니터링요건정리
      • 모니터링환경구축
      • 모니터링수행
      • 모니터링결과보고
    • 성능/용량 관리
      • 성능/용량관리 기본원칙수립
      • 성능/용량관리 지표선정
      • 성능/용량관리 시스템구축
      • 성능/용량진단
      • 성능개선용량확보
    • 백업/복구 관리
      • 백업/복구 정책 및 정략수립
      • 백업요건정의
      • 백업/복구 환경구성
      • 백업 수행
      • 백업확인 및 모니터링
      • 복구테스트 수행
    • 보안관리
      • 보안정책수립
      • 보안적용대상선정
      • 보안시스템구축
      • 보안적용
      • 보안점검
      • 보안교육수행
    • 변경관리
      • 변경관리원칙수립
      • 변경계획수립
      • 변경테스트수행
      • 운영시스템변경적용
      • 적용 후 모니터링
    • 설치/패치관리
      • 설치/패치 기본원칙수립
      • 설치/패치 요건검토
      • 설치/패치 적용
      • SW라이센스관리
    • 장애관리
      • 장애관리원칙수립
      • 장애조치

백화점 부문 DB 현황

운영 DB 목록

  • 배송
  • 포탈
  • 사은품
  • 결제정보
  • 재경(회계) 정보
  • 상품정보
  • 온라인 식품
  • 인사
  • 메일
  • 더현대닷컴
  • 통합멤버십
  • 직승인
  • 직승인 통신애니링크
  • 그린푸드
  • 드림투어
  • 면세점온라인
  • 면세점오프라인
  • 리바트ERP
  • 리바트DW
  • 리바트 WSI
  • H&S
  • 한섬ERP_DW
  • 더한섬닷컴
  • 홈쇼핑 3노드 + PostgreSQL
  • 홈쇼핑보험
  • 대량메일
  • 리바트 ETL
  • 리바트 ERP
  • 리바트WSL개발
  • 직승인개발
  • 통합그린푸드개발
  • 인사개발
  • 웹메일개발
  • 드림투어개발
  • H&S개발
  • 상품정보개발
  • 통합멤버십개발
  • 카드정보개발
  • 면세점개발
  • 배송개발
  • 고객사랑개발
  • 사은품개발
  • 온라인식품개발
  • 포탈개발

데이터베이스 관련 솔루션 소개

DB접근제어

  • 보안 대상자는 개인정보 DB 접근 시 DB접근제어서버를 경유하도록 강제화하고 Application 서버에서의 접근은 Sniffing서버를 이용하여 DB접속에 대한 모니터링 기능을 수행한다.
  • 구성내역
    • 사용자 PC에 DB접근제어 Agent를 설치하여 DB접근 시 DB접근제어서버를 통해서만 접근
    • Application 서버에서의 보안 대상 서버로의 접속은 스니핑 서버에 접근

DB암호화

  1. 암호화 이후 Table 구조
  • 기존 Table name이 View로 변경되며 암호화 테이블이 생성됨.
  1. 암호화 이후 Table 컬럼 구조
  • 컬럼 타입이 Varchar2(4000)으로 변경
  1. 암호화 적용 예시

DB암호화(TDE, Tablespace 암호화방식)

  • 테이블스페이스 전체를 암호화 -> 암호화 테이블스페이스 안에 생성된 모든 objects는 자동으로 암호화
  • 주로 민감한 데이터를 가진 칼럼이 많은 경우에 사용하며, 기존 테이블스페이스에 대해서는 암호화를 수행할 수 없다.
  • 암호화된 테이블스페이스의 모든 데이터들은 디스크에 암호화된 형식으로 저장.

DB 표준관리

2. 표준 데이터 세부 관리 대상

  • 표준단어
    • 일정한 의미를 갖는 최소단위의 단어로 표준용어를 구성함
    • 의미를 갖는 더 이상 분할이 불가능한 단어로 된 표준단어를 단일어라 함
    • 둘 이상의 단어를 결합하여 만든 표준단어를 복합어라 함
  • 도메인
    • 데이터타입과 허용되는 값, 필요하다면 측정단위 등을 포함한 데이터 구성의 형태
    • 데이터 구성에 대한 허용 값의 집합을 데이터 도메인이라 하며, 하나의 용어는 하나의 도메인만 지정
    • 논리적/물리적으로 유사한 유형의 데이터를 그룹화하여 해당 그룹에 속하는 데이터타입과 길이를 정의한 것
  • 표준용어
    • 일정한 표준단어의 조합으로 만들어진 유일한 용어
    • 모델링 할 때 속성명에 사용함
    • 단어는 개별적이나 용어는 업무와 조직의 성격에 따라 조합이 달라질 수 있음
  • 코드 인스턴스
    • 코드도메인에 포함되어 관리되는 실제 사용 가능한 코드의 값을 의미
    • 코드는 2개 이상의 구분코드가 필요한 경우 관리대상이 됨
profile
개발 기록장

0개의 댓글