06. Database Security

데이터베이스 Databases

• 하나 이상의 애플리케이션에서 사용하기 위해 저장된 데이터의 구조화된 모음
• 데이터 항목과 데이터 항목 그룹 간의 관계를 포함
• 때로는 보안이 필요한 민감한 데이터를 포함할 수 있음.
• 데이터베이스 관리 시스템(DBMS, database management system)
  • 데이터베이스를 구축하고 유지하기 위한 프로그램 모음
  • 여러 사용자 및 애플리케이션에 임시 query(ad hoc query) 기능을 제공
• Query language
  • 데이터베이스에 대한 통일된 인터페이스를 제공

DBMS Architecture

• 사용자와 애플리케이션은 SQL 인터페이스를 통해 DBMS와 상호작용함.
• Query Optimizer(쿼리 최적화기)는 SQL query를 효율적인 실행 계획으로 변환함.
• Query Executor(쿼리 실행기)는 관계형 연산자를 사용하여 이 계획을 실행함.
• Storage Manager(저장 관리자)는 데이터베이스의 물리적 저장을 처리하며, 버퍼 관리자, 디스크 공간 관리자, 트랜잭션 관리자, 잠금 관리자, 복구 관리자 등의 하위 구성요소로 이루어짐.

Relational Databases

• 행과 열로 구성된 데이터 테이블
• 각 열은 특정 유형의 데이터를 보유
• 각 행은 각 열에 대한 특정 값을 포함
• 이상적으로는 모든 값이 고유하여 해당 행의 식별자/key(키)를 형성하는 하나의 열을 가짐.
• 모든 테이블에 존재하는 고유 식별자에 의해 서로 연결된 여러 테이블의 생성을 가능하게 함.
• 데이터베이스에 접근하기 위해 relational query language(관계형 query어)를 사용
• 사용자가 주어진 기준에 맞는 데이터를 요청할 수 있도록 허용

Figure 5.2 Relational Database Example

• Staff, Branch, StaffBranch 세 개의 테이블로 구성된 관계형 데이터베이스 예시
• Staff 테이블은 staffNo(기본 키), name, telNo, posn 열을 가짐.
• Branch 테이블은 branchNo(기본 키), bAddress 열을 가짐.
• StaffBranch 테이블은 Staff와 Branch를 연결하며, staffNo와 branchNo를 외래 키로 가짐.

Relational Database Elements

• Relation(관계), Table(테이블), File(파일)
• Tuple(튜플), Row(행), Record(레코드)
• Attribute(속성), Column(열), Field(필드)
• Primary key(기본 키)
  • 행을 고유하게 식별
  • 하나 이상의 열 이름으로 구성
• Foreign key(외래 키)
  • 한 테이블을 다른 테이블의 속성과 연결
• View(뷰), Virtual table(가상 테이블)
  • 하나 이상의 테이블에서 선택된 행과 열을 반환하는 query의 결과

Structured Query Language (SQL)

• 1970년대 중반 IBM에서 처음 개발됨.
• 관계형 데이터베이스의 데이터를 정의, 조작 및 query하기 위한 표준화된 언어
• 여러 유사한 버전의 ANSI/ISO 표준 존재
• SQL 문은 다음을 위해 사용될 수 있음.
  • 테이블 생성
  • 테이블에 데이터 삽입 및 삭제
  • 뷰 생성
  • query문을 사용하여 데이터 검색

SQL: Standard Query Language

• SQL은 데이터베이스에 접근하고 관리(query)하게 함.
• 데이터베이스는 신속한 검색 및 조회를 위해 필드와 열이 있는 테이블로 구성된 대규모 데이터 모음임.
• 예시 테이블 CS166:
  • 필드/열: First_Name, Last_Name, Code_ID
  • 레코드/행: (Bernardo, Palazzi, 345)

SQL Syntax

• SELECT 문은 데이터베이스의 하나 이상의 테이블에서 데이터를 선택하는 데 사용됨.
• 결과 집합은 결과 테이블에 저장됨.
• WHERE 절은 레코드를 필터링하는 데 사용됨.
• 기본 구문:

  SELECT column_name(s) or *
  FROM table_name
  WHERE column_name operator value
  
• ORDER BY는 하나 이상의 필드(열)를 따라 데이터를 정렬하는 데 사용됨.
• LIMIT는 특정 수의 레코드(행)만 검색하도록 허용함.
• 확장 구문:

  SELECT column_name(s) or *
  FROM table_name
  WHERE column_name operator value
  ORDER BY column_name ASC|DESC
  LIMIT starting row and number of lines
  

OWASP top 10

• 2013 OWASP Top 10 보안 취약점 목록
  1. 인젝션(Injection)
  2. Broken Authentication and Session Management(인증 및 세션 관리 취약점)
  3. 크로스 사이트 스크립팅(Cross-Site Scripting, XSS)
  4. Insecure Direct Object References(안전하지 않은 직접 객체 참조)
  5. Security Misconfiguration(보안 설정 오류)
  6. Sensitive Data Exposure(민감한 데이터 노출)
  7. Missing Function Level Access Control(기능 수준 access control 부재)
  8. 크로스 사이트 요청 위조(Cross-Site Request Forgery, CSRF)
  9. Using Components with Known Vulnerabilities(알려진 취약점이 있는 구성요소 사용)
  10. Unvalidated Redirects and Forwards(검증되지 않은 리다이렉트 및 포워드)

SQL Injection Attack

• 많은 웹 애플리케이션은 폼에서 사용자 입력을 받음.
• 종종 이 사용자 입력은 데이터베이스에 제출되는 SQL query를 구성하는 데 문자 그대로 사용됨. 예:
  • SELECT user FROM table WHERE name = 'user_input';
• SQL Injection Attack(인젝션 공격)은 사용자 입력에 SQL 문을 삽입하는 것을 포함함.

Login Authentication Query

• 사용자를 인증하기 위한 표준 query:
  • select * from users where user='$usern' AND pwd='$password'
• 전형적인 SQL 인젝션 공격
  • 서버 측 코드가 웹 폼의 사용자 입력으로부터 변수 $username과 $passwd를 설정
  • 변수가 SQL query에 전달됨.
    • select * from users where user='$username' AND pwd='$passwd'
  • 공격자에 의해 특수 문자열이 입력될 수 있음.
    • select * from users where user='M' OR 1=1 --' AND pwd='M' OR '1=1'
  • 결과: 암호 없이 접근 권한 획득

Some improvements …

• query 수정:
  • select user,pwd from users where user='$usern'
  • $usern="M' OR '1=1"
  • 결과: 전체 테이블
• 우리는 확인할 수 있음.
  • 단 하나의 튜플 결과
  • 결과의 형식적 정확성
• $usern="M' ; drop table user;"와 같은 공격도 가능함.

Correct Solution

• 모든 "악의적인" 문자를 변경하는 Escape(이스케이프) 방법을 사용할 수 있음.
  • Escape("t ' c")는 "t \' c"를 결과로 제공
• select user,pwd from users where user='$usern'에서 $usern=escape("M' ;drop table user;")를 적용하면,
• 결과는 안전한 query가 됨.
  • select user,pwd from users where user='M\' drop table user;\''

Database Access Control

• 데이터베이스 access control 시스템은 다음을 결정함.
  • 사용자가 전체 데이터베이스에 접근할 수 있는지 또는 일부에만 접근할 수 있는지
  • 사용자가 어떤 접근 권한(생성, 삽입, 삭제, 업데이트, 읽기, 쓰기)을 갖는지
• 다양한 관리 정책을 지원할 수 있음.
  • Centralized administration(중앙 집중식 관리)
    • 소수의 권한 있는 사용자가 접근 권한을 부여하고 취소할 수 있음.
  • Ownership-based administration(소유권 기반 관리)
    • 테이블의 생성자가 해당 테이블에 대한 접근 권한을 부여하고 취소할 수 있음.
  • Decentralized administration(분산 관리)
    • 테이블의 소유자가 다른 사용자에게 권한 부여 권한을 부여하고 취소할 수 있게 하여, 그들이 테이블에 대한 접근 권한을 부여하고 취소할 수 있도록 함.

SQL Access Controls

• 접근 권한 관리를 위한 두 가지 명령:
  • GRANT: 하나 이상의 접근 권한을 부여하거나 사용자를 역할에 할당하는 데 사용
  • REVOKE: 접근 권한을 취소
• 일반적인 접근 권한:
  • SELECT, INSERT, UPDATE, DELETE, REFERENCES

Cascading Authorizations

• 권한의 연쇄적 취소를 의미함.
• 예를 들어, 사용자 A가 B에게 권한을 부여하고, B가 C에게, C가 D에게 동일한 권한을 부여했을 때, A가 B의 권한을 취소(REVOKE)하면, B로부터 권한을 부여받은 C와 D의 권한도 연쇄적으로 취소됨.

Role-Based Access Control (RBAC)

• 역할 기반 access control는 관리 부담을 줄이고 보안을 향상시킴.
• 데이터베이스 RBAC는 다음 기능을 제공해야 함.
  • 역할 생성 및 삭제
  • 역할에 대한 권한 정의
  • 사용자의 역할 할당 및 취소
• 데이터베이스 사용자 범주:
  • Application owner(애플리케이션 소유자): 애플리케이션의 일부로 데이터베이스 객체를 소유하는 최종 사용자
  • End user(최종 사용자): 특정 애플리케이션을 통해 데이터베이스 객체를 조작하지만 데이터베이스 객체를 소유하지 않는 최종 사용자
  • Administrator(관리자): 데이터베이스의 일부 또는 전체에 대한 관리 책임을 가진 사용자

Inference Attack

• query를 수행하고 수신된 합법적인 응답으로부터 승인되지 않은 정보를 추론하는 과정
• Inference channel(추론 채널)
  • 승인되지 않은 데이터가 획득되는 정보 전송 경로

Inference Example

• 공격자는 합법적인 통계 query를 조합하여 개인의 민감한 정보를 추론할 수 있음.

1. (전공='CS' AND 성별='남')인 사람의 수를 query하여 1이라는 결과를 얻음.
2. (전공='CS' AND 성별='남')인 사람의 이름을 query하여 Jones라는 결과를 얻음.
3. 이 두 결과를 통해, 남성 CS 전공자가 Jones 한 명뿐임을 알게 됨.
4. (전공='CS' AND 성별='남')인 사람의 평균 급여를 query하여 $50K라는 결과를 얻음.
5. 공격자는 Jones의 급여가 $50K라고 추론함.

Inference Countermeasures

• 데이터베이스 설계 시 추론 탐지
  • 데이터베이스 구조를 변경하거나 access control 체제를 변경
• query 시 추론 탐지
  • query를 모니터링하고 변경하거나 거부
• 두 접근 방식 모두 추론 탐지 알고리즘이 필요함.
  • 어려움.
  • 지속적인 연구 주제임.

Statistical Databases (SDB)

• 개수 및 평균과 같은 통계적 성격의 데이터를 제공
• 두 가지 유형:
  • Pure statistical database(순수 통계 데이터베이스)
    • 통계 데이터만 저장
  • Ordinary database with statistical access(통계적 접근이 가능한 일반 데이터베이스)
    • 개별 항목을 포함
    • DAC, MAC, RBAC를 사용
• access control 목표는 데이터베이스의 기밀성을 손상시키지 않으면서 사용자에게 필요한 정보를 제공하는 것임.
• 보안 문제는 추론의 문제임.

Abstract Model of a Relational Database

• 데이터베이스는 레코드 $B_i$의 집합으로 모델링될 수 있으며, 각 레코드는 M개의 속성 값 $x_{ij}$의 연결로 표현됨

  $B_i = (x_{i1} || x_{i2} || \dots || x_{iM})$

Statistical Database Security

• characteristic formula(특성 공식) C 사용
• 속성 값에 대한 논리식
• 예: (Sex=Male) AND ((Major=CS) OR (Major=EE))
• 특성 공식 C의 query set(query 집합) $X(C)$는 C와 일치하는 레코드의 집합임.
• 통계적 query는 query 집합에 대해 계산된 값을 생성하는 query임.

Other Query Restrictions

• Query set overlap control(query 집합 중복 제어)
  • 새로운 query와 이전 query 간의 중복을 제한
  • 여러 문제점을 가짐.
• Partitioning(파티셔닝)
  • 레코드를 여러 상호 배타적인 그룹으로 클러스터링
  • 각 그룹 전체의 통계적 속성을 query
• Query denial and information leakage(query 거부 및 정보 유출)
  • 거부는 정보를 유출할 수 있음.
  • 대응하려면 사용자의 query를 추적해야 함.

Protecting Against Inference

• 추론 방지 기법은 크게 Query Restriction(query 제한)과 Perturbation(섭동)으로 나님.
• query 제한
  • query 집합 크기 제어
  • query 집합 중복 제어
  • 파티셔닝
• 섭동
  • Data perturbation(데이터 섭동) (예: 데이터 스와핑)
  • Output perturbation(출력 섭동) (예: 잡음 추가, 무작위 표본)

Perturbation

• 원본 데이터에서 생성된 통계에 잡음(noise)을 추가
• Data perturbation(데이터 섭동) 기법
  • 개별 레코드의 값을 추론하는 데 사용할 수 없는 통계를 생성하도록 데이터를 수정할 수 있음.
• Output perturbation(출력 섭동) 기법
  • 시스템이 원본 데이터베이스가 제공할 통계와는 다른 수정된 통계를 생성함.
• Random-sample query(무작위 표본 query)
  • 목표는 원본 결과와 섭동된 결과 간의 차이를 최소화하는 것임.
  • 주요 과제는 사용할 오류의 평균 크기를 결정하는 것임.

Data Perturbation Techniques: Data Swapping

• Data swapping(데이터 스와핑)은 민감한 속성과 비민감 속성 간의 연관성을 끊기 위해 레코드 간에 비민감 속성 값을 교환하는 기법임.
• 예를 들어, 특정 질병과 거주 도시 간의 연관성을 숨기기 위해, 두 레코드의 도시 값을 서로 바꿈.
• 이 방법은 각 속성에 대한 1차 통계(예: 각 도시에 사는 사람의 수)는 보존하면서, 속성 간의 통계적 관계를 왜곡함.

Database Encryption

• 데이터베이스는 일반적으로 모든 조직에서 가장 가치 있는 정보 자원
• 여러 단계, 계층의 보안으로 보호됨.
  • 방화벽, 인증, OS access control 시스템, DB access control 시스템, 데이터베이스 자체에 대한 암호화
• 암호화는 특히 sensitive한 데이터에 주로 구현됨. (개인정보보호법에 의해 명시)
• 전체 데이터베이스, 레코드 수준, 속성 수준 또는 개별 필드 수준 중 어느 수준에 적용할지 결정 필요
• 암호화의 단점:
  • Key management(키 관리)
  • Inflexibility(유연성 부족)
    • query 처리 시
• Data owner(데이터 소유자): 통제된 release를 위해 데이터를 생성하는 조직
• User(사용자): 시스템에 query를 제출하는 human entity
• Client(클라이언트): 사용자 query를 서버에 저장된 암호화된 데이터에 대한 query로 변환하는 프론트엔드
• Server(서버): 데이터 소유자로부터 암호화된 데이터를 받아 클라이언트에 배포할 수 있도록 하는 조직

Abstract Model of a Relational Database

• 암호화
  • $E(k, B_i) = E(k, (x_{i1} || x_{i2} || \dots || x_{iM} ))$
• Query: Salary <= $70K ?
  • 처리가 복잡해질 수 있음

Encryption Scheme for Database

• index 값을 참조해서 해당 record만 복호화

(a) Employee Table

(b) Encrypted Employee Table with Indexes

Cloud Security

• NIST는 cloud computing(클라우드 컴퓨팅)을 다음과 같이 정의함 MELL11: - "최소한의 관리 노력이나 서비스 제공자와의 상호작용으로 신속하게 프로비저닝되고 해제될 수 있는 구성 가능한 컴퓨팅 자원(예: 네트워크, 서버, 스토리지, 애플리케이션, 서비스)의 공유 풀에 대해 유비쿼터스하고 편리하며 주문형 네트워크 접근을 가능하게 하는 모델. 이 클라우드 모델은 가용성을 증진시키며, 5가지 필수 특성, 3가지 서비스 모델, 4가지 배포 모델로 구성됨."

Cloud Computing Elements

• 5가지 필수 특성
  • Broad Network Access
  • Rapid Elasticity
  • Measured Service
  • On-Demand Self-Service
  • Resource Pooling
• 3가지 service Models
  • 서비스형 소프트웨어(SaaS, Software as a Service)
  • 서비스형 플랫폼(PaaS, Platform as a Service)
  • 서비스형 인프라(IaaS, Infrastructure as a Service)
• 4가지 Deployment Models
  • Public
  • Private
  • Hybrid
  • Community

Cloud Computing Context

• Cloud service provider: end user가 resource를 필요한 만큼 사용하고, 데이터를 저장할 수 있는 서비스 제공

Cloud Security Risks

• CSA(Cloud Security Alliance)는 다음과 같은 클라우드 관련 주요 보안 위협을 나열함.
  • 클라우드 컴퓨팅의 남용 및 악의적 사용
  • 안전하지 않은(insecure) interface 및 API
  • 악의적인 내부자
  • 공유된 기술 문제
  • 데이터 손실 또는 유출
  • Account 또는 Service hijacking
  • 아직 발견되지 않은(unknown) risk profile

Data Protection in the Cloud

• 클라우드에서는 데이터 유출 위협이 증가
  • 클라우드 고유의 위험과 과제
  • 클라우드 환경의 아키텍처 또는 운영 특성
  • Multi-instance model(다중 인스턴스 모델)
    • 각 클라우드 가입자에게 가상 머신 인스턴스에서 실행되는 고유한 DBMS를 제공
    • 가입자에게 보안 관련 관리 작업에 대한 완전한 제어권을 부여
    • Multi-tenant model(다중 테넌트 모델)
      • 일반적으로 가입자 식별자로 데이터를 태그하여 다른 테넌트와 공유되는 사전 정의된 환경을 클라우드 가입자에게 제공
      • 인스턴스를 독점적으로 사용하는 것처럼 보이지만, 안전한 데이터베이스 환경을 구축하고 유지하기 위해 클라우드 제공자에게 의존함.

Summary

• Database(데이터베이스): 구조화된 데이터 모음
• 데이터베이스 관리 시스템(DBMS): 데이터베이스를 구축하고 유지하기 위한 프로그램
• SQL(Structured Query Language): 관계형 데이터베이스의 데이터를 정의/조작/query하는 데 사용되는 언어
• 관계형 데이터베이스: 행(튜플)과 열(속성)으로 구성된 데이터 테이블
• 데이터베이스 access control: 중앙 집중식/소유권 기반/분산 관리
• 역할 기반 access control(RBAC): 애플리케이션 소유자/애플리케이션 소유자 이외의 최종 사용자/관리자
• Inference channel(추론 채널): 승인되지 않은 데이터가 획득되는 정보 전송 경로
• 통계 데이터베이스(SDB): query 제한/섭동/데이터 스와핑/무작위 표본 query
• Database Encryption(데이터베이스 암호화)
• 클라우드 컴퓨팅/보안/데이터 보호
• 다중 인스턴스/다중 테넌트 모델