WO2024071535A1 - Saas 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법 - Google Patents

Abstract

본 발명은 데이터베이스 접근제어를 클라우드 SaaS(Software as a Service) 기반으로 제공할 경우 발생되는 사용자 특정의 어려움과 보안 취약성을 개선하도록 한 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법에 관한 것으로, 사용자 단말에 단말 에이전트를 구성하여 클라우드 서버와 암호화 통신 채널을 구성하도록 하고, 해당 암호화 통신 패킷에 사용자 단말의 속성 정보를 더 포함시키도록 함으로써 외부 공인망을 경유한 데이터베이스 접근 패킷에 대한 보안성을 높이고 서로 다른 네트워크를 경유하면서 소스 어드레스가 변경되더라도 데이터베이스 접근제어를 위한 사용자 단말의 속성정보를 확인하여 사용자별 접근 통제가 가능하도록 한 효과가 있다.

Description

SAAS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법

본 발명은 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법에 관한 것으로, 특히 데이터베이스 접근제어를 클라우드 SaaS(Software as a Service) 기반으로 제공할 경우 발생되는 사용자 특정의 어려움과 보안 취약성을 개선하도록 한 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법에 관한 것이다.

데이터베이스 보안이란 의도하거나 의도하지 않은 권한 오용, 악의 있는 공격이나 공인된 개인이나 프로세스에 의한 실수 등으로부터 데이터베이스를 보호하는 시스템이나 기능의 수행 또는 처리 절차를 의미한다.

이러한 데이터베이스 보안의 가장 기본적인 절차는 사용자에 대한 인증과 인증된 사용자의 권한에 따라 데이터베이스 접근을 제어하는 방식으로서, 이러한 데이터베이스 접근 제어 시스템은 사용자(사용자 단말)를 특정할 수 있어야만 한다.

특정한 내부 네트워크의 사용자 단말이 보안대상 데이터베이스(DB) 서버에 접속할 경우 이러한 내부 네트워크 사용자 단말에 대한 보안대상 DB 서버 접근은 접근제어 게이트웨이(GW)가 관리하게 되는데, 내부 네트워크(인트라넷)의 DMZ(DeMilitarized Zone)에 존재하는 보안대상 DB 서버에 접근하고자 하는 사용자 는 접속하는 사용자 단말의 고유 정보를 통해서 그 사용자를 식별할 수 있으며, 그에 따라 해당 사용자의 권한을 기준으로 DB 접근을 제어할 수 있다.

도 1은 사내(On-Premise) 데이터베이스 접근제어 시스템 구성을 보인 구성도이다.

도시된 바와 같은 고객 사내망(1) 내부에 사용자 단말(2)과 DMZ(3)가 존재하고, 동일한 DMZ(3)에 보안대상 DB 서버(4)와 접근제어 GW(5)가 존재한다.

이와 같이 보안대상 DB 서버(4)와 접근제어 GW(5) 및 사용자 단말(2)이 모두 동일한 고객 사내망(1)에 구성되어 있으므로 각 사용자 단말(2)이 보안대상 DB 서버(4)에 접근하기 위해 전송한 패킷을 접근제어 GW(5)가 확인하는 것 만으로 패킷 내 소스 어드레스를 통해 사용자 단말(2)을 특정할 수 있다.

최근 이와 같은 접근제어 GW(5)를 사내망(1)에 구성하는 대신 클라우드에 SaaS(Software as a Service) 기반으로 구현된 DB 접근제어 게이트웨이 서비스를 이용하는 방식에 대한 관심이 커지고 있다.

특히 여러 고객사에 DB 접근제어 게이트웨이 기능을 제공하는 기업의 경우 이러한 SaaS 기반으로 구성된 DB 접근제어 게이트웨이 서비스를 제공함으로써 신규 고객 적용 편의성, 구독비용 청구에 따른 지속적 수입 확보, 기능 추가 편의성, 버전 업데이트 편의성, DB 확장(스케일 아웃) 편의성, 다양한 고객 접근성 제공, 운영 및 관리 비용 절감 등의 여러 장점을 기대할 수 있다.

하지만, 이와 같이 고객 사내망 외부의 데이터 센터에 구성된 클라우드 환경에 DB 접근제어 GW 서비스를 구성하는 경우, 고객 사내망의 사용자 단말이 전송하는 데이터베이스 프로토콜 패킷(DB 이용을 위한 패킷)이 인터넷과 같은 공인망을 경유하여 클라우드의 DB 접근제어 GW 서비스에 전달되므로 고객 사내망에서 공인망으로 패킷이 전송될 때 소스 어드레스가 변경되어 DB 접근 제어 GW 서비스가 수신 패킷을 기반으로 사용자 단말을 특정하지 못하는 문제가 발생한다.

또한, 공인망을 통해서 데이터베이스 프로토콜 패킷이 전달되므로 보안에 취약해지는 문제도 발생하게 된다.

만일, 보안성을 높이기 위해서 고객 사내망의 고객 단말과 클라우드 내 DB 접근 제어 GW 서비스 사이에 보안 채널을 형성하고 송수신 패킷을 암호화 할 수 있지만, 이를 위해서는 클라우드 내 DB 접근 제어 GW 서비스에 대한 접속 주소 정보가 필요한데, 보안대상 DB 서버가 증가함(스케일 아웃)에 따라 DB 접근 제어 GW 서비스가 신규로 생성되는 경우 임의의 접속 주소가 신규 생성되고, 유동 IP 사용에 따라 DB 접근 제어 GW 서비스가 재시작하거나 보안대상 DB 서버가 재시작 할 경우 접속 주소가 변경되므로 고정 IP를 기반으로 하는 보안 채널을 형성하기 어려운 문제도 발생한다.

따라서, 다양한 장점에 의해 관심이 높은 SaaS 기반으로 DB 접근 제어 GW 서비스를 제공하고자 하더라도 사용자 단말을 특정할 수 없고, 보안이 취약하여 그 적용이 쉽지 않은 문제가 있다.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 데이터베이스(DB) 접속툴이 구성된 사용자 단말에 클라우드 내 데이터베이스(DB) 접근제어 게이트웨이(GW) 서비스부에 암호화 통신 방식으로 사용자 속성 정보를 포함한 패킷을 전송하고, 클라우드 내 데이터베이스의 스케일 아웃이나 주소 변경에 따른 주소 정보를 수집하는 주소 서비스부와 연동하여 최신 접속 주소 정보로 네트워크 주소 변환(NAT)을 수행하여 암호화 통신 채널을 최신화하는 단말 에이전트부를 적용함으로써 클라우드에 SaaS 기반으로 구성된 DB 접근제어 GW 서비스부에 사용자 단말의 식별 정보를 제공하면서도 안정적인 암호화 통신 채널을 유지할 수 있도록 한 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법을 제공하는 것이다.

본 발명의 다른 목적은 쿠버네티스 환경의 클라우드에 독립적인 가상 개인 클라우드(VPC) 영역에 설정된 수의 보안대상 DB 서버를 담당하는 DB 접근제어 GW 서비스부를 구성하되, 사용자 단말의 단말 에이전트부와 ECP(Encrypted Communication Proxy) 프로토콜을 통해 암호화 통신 채널을 구성하고, ECP 패킷을 통해 사용자 단말 속성 정보를 별도 정보로 수신함으로써 사용자를 인증하고 DB 접근을 제어하도록 함으로써 수신 패킷 자체의 소스 어드레스가 변경되더라도 사용자를 식별하여 DB 접근 제어가 가능하도록 하고, 인터넷과 같은 공인망을 통해 패킷이 전달되더라도 보안성을 높일 수 있도록 한 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법을 제공하는 것이다.

본 발명의 일 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템은 보안대상 데이터베이스 서버에 접속하기 위한 데이터베이스 접속툴과 사용자 인터페이스가 구성된 사용자 단말과, 서비스형 소프트웨어로 구성되어 데이터베이스 접근 제어 기능을 수행하는 구성이 구비된 클라우드 서버를 포함하되, 클라우드 서버는 ECP(Encrypted Communication Proxy) 프로토콜을 통해 암호화 통신 채널을 구성하여 상기 사용자 단말로부터 ECP 패킷을 수신하는 ECP 수신부와, ECP 패킷 내 포함된 사용자 단말 식별 정보를 포함하는 사용자 단말 속성 정보를 토대로 사용자 권한에 따라 보안 대상 데이터베이스 서버에 대한 접근을 제어하는 접근 제어부를 포함하는 데이터베이스 접근제어 게이트웨이 서비스부를 포함하고, 상기 사용자 단말은 상기 클라우드 서버 내 데이터베이스 접근제어 게이트웨이 서비스부의 ECP 수신부와 연동하여 암호 채널을 생성하고 암호화된 ECP 패킷을 전송하는 ECP 전송부와, 상기 ECP 전송부를 구동시키고 상기 사용자 단말 속성 정보와 상기 데이터베이스 접속툴이 제공한 데이터베이스 프로토콜 패킷을 상기 ECP 전송부를 통해 암호화하여 상기 ECP 패킷에 포함시키도록 하는 ECP 매니저부를 포함하는 단말 에이전트부를 포함한다.

일례로서, 단말 에이전트부는 NAT(Network Address Translation) 수행부와 해당 NAT 수행부의 설정을 변경하는 필터 매니저부를 더 포함하며, ECP 매니저부는 ECP 암호화 통신 채널 구성을 위한 ECP 수신부의 주소 정보를 상기 필터 매니저부에 제공할 수 있다.

한편, 클라우드 서버는 데이터베이스 접근제어 게이트웨이 서비스부, ECP 수신부, 보안대상 데이터베이스 서버에 대한 최신 주소 정보를 수집하는 주소 서비스부를 포함하며, ECP 매니저부는 주소 서비스부와 연동하여 데이터베이스 접근제어 게이트웨이 서비스부, ECP 수신부, 보안대상 데이터베이스 서버에 대한 주소정보를 확인하여 신규나 갱신이 필요할 경우 상기 필터 매니저부에 NAT 설정 정보를 제공할 수 있다.

또한, ECP 매니저부는 보안대상 데이터베이스 서버 증가에 따라 증가된 보안대상 데이터베이스 서버를 관리하는 데이터베이스 접근제어 게이트웨이 서비스부가 신규 추가되는 스케일 아웃 시, 신규 추가되는 데이터베이스 접근제어 게이트웨이 서비스부와 보안대상 데이터베이스 서버에 대한 주소 정보를 주소 서비스부를 통해 확인하여 필터 매니저부를 통해 NAT 규칙을 추가하도록 하고, 신규 ECP 전송부를 구동하여 상기 신규 추가된 데이터베이스 접근제어 게이트웨이 서비스부와 새로운 암호화 통신 채널을 생성하도록 할 수 있다.

나아가, ECP 매니저부는 데이터베이스 접근제어 게이트웨이 서비스부나 보안대상 데이터베이스 서버의 재시작에 따라 접속 주소가 변경되는 경우 주소 서비스부를 통해 변경된 데이터베이스 접근제어 게이트웨이 서비스부나 보안대상 데이터베이스 서버의 주소정보를 기준으로 상기 필터 매니저부를 통해 NAT 규칙을 갱신하도록 하고, 데이터베이스 접근제어 게이트웨이 서비스부의 주소정보를 이용하여 기존 ECP 전송부의 암호화 통신 채널을 갱신하도록 할 수 있다.

일례로서, 클라우드 서버는 ECP 채널 인증키를 발급 및 인증하는 ECP 채널 인증키 매니저와 ECP 암호화 통신을 위한 암호화키를 발급하는 암호키 매니저를 포함하는 키관리 서비스부를 포함하며, ECP 전송부와 ECP 수신부는 키관리 서비스부를 통해 ECP 암호화 통신 채널 생성을 위한 인증키의 유효성을 체크하고 암호화 통신을 위한 암호화 키를 수신할 수 있다.

본 발명의 다른 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 서비스 방법은, 보안대상 데이터베이스 서버에 접속하기 위한 데이터베이스 접속툴과 사용자 인터페이스 및 암호화 통신을 위한 단말 에이전트부가 구성된 사용자 단말과, 서비스형 소프트웨어로 구성되어 데이터베이스 접근 제어 기능을 수행하는 데이터베이스 접근제어 게이트웨이 서비스부와, 암호화 통신을 위한 키관리 서비스부와, 주소정보 최신화를 위한 주소 서비스부를 포함하는 클라우드 서버를 포함하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 서비스 방법으로서, 키관리 서비스부가 사용자 ID와 인증키를 발급하고, 사용자 단말의 클라이언트 에이전트부에 상기 발급된 사용자 ID와 인증키가 등록되는 단계와, 클라이언트 에이전트부가 사용자 단말 식별 정보를 포함하는 사용자 단말 속성 정보와 사용자 ID 및 인증키를 포함하는 암호화 통신 채널 생성 요청 정보를 클라우드 서버의 데이터베이스 접근제어 게이트웨이 서비스부에 제공하는 단계와, 데이터베이스 접근제어 게이트웨이 서비스부가 상기 키관리 서비스부를 통해 사용자 ID 및 인증키의 유효성을 확인하고, 사용자 단말 속성정보를 기반으로 암호화 키 요청이 가능하도록 상기 키관리 서비스부에 등록하는 단계와, 클라이언트 에이전트부가 키관리 서비스부에 사용자 단말 속성정보를 전달하면서 암호화 키를 요청하고, 기 등록된 사용자 단말인 경우 암호화 키를 제공하는 단계와, 클라이언트 에이전트부가 암호화 키를 이용하여 데이터베이스 접속툴이 제공하는 전송 패킷을 암호화하여 데이터베이스 접근제어 게이트웨이 서비스부에 제공하되, 사용자 단말 속성 정보도 암호화된 전송 패킷에 더 포함시키는 단계를 포함한다.

본 발명의 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법은 사용자 단말에 단말 에이전트를 구성하여 클라우드 서버와 암호화 통신 채널을 구성하도록 하고, 해당 암호화 통신 패킷에 사용자 단말의 속성 정보를 더 포함시키도록 함으로써 외부 공인망을 경유한 데이터베이스 접근 패킷에 대한 보안성을 높이고 서로 다른 네트워크를 경유하면서 소스 어드레스가 변경되더라도 데이터베이스 접근제어를 위한 사용자 단말의 속성정보를 확인하여 사용자별 접근 통제가 가능한 효과가 있다.

또한, 서비스 형태로 제공되는 클라우드 서버의 데이터베이스 게이트웨이 서비스부와 보안대상 데이터베이스 서버의 주소 정보가 스케일 아웃에 의해 새롭게 추가되거나 변동 IP 사용에 의해 서비스 재시작 시 주소가 변경되더라도 사용자 단말에 구성된 단말 에이전트부에서 항상 클라우드 서버의 서비스들에 대한 주소 정보를 확인하여 암호화 통신 채널을 유지할 수 있도록 함으로써 안정적인 암호화 통신을 유지할 수 있는 효과가 있다.

도 1은 사내(On-Premise) 데이터베이스 접근제어 시스템 구성을 보인 구성도.

도 2는 SaaS 서비스 기반 데이터베이스 접근제어 게이트웨이 방식의 시스템 구성을 보인 구성도.

도 3은 복수 네트워크를 경유하면서 소스 어드레스가 변경되는 상황을 설명하기 위한 개념도.

도 4는 SaaS서비스 기반 데이터베이스 접근제어 게이트웨이 방식의 사용자 단말 식별 불가 이유를 설명하기 위한 개념도.

도 5는 본 발명의 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 구성도.

도 6은 본 발명의 실시예에 따른 암호화 통신 채널 생성에 관한 과정을 설명하기 위한 순서도.

도 7은 본 발명의 실시예에 따른 스케일 아웃에 따른 암호화 통신 채널 신규 생성 과정을 설명하기 위한 순서도.

도 8은 본 발명의 실시예에 따른 변동 IP 이용에 따른 암호화 통신 채널 갱신 과정을 설명하기 위한 순서도.

본 발명에서 사용되는 기술적 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.

또한, 본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 본 발명에서 "구성된다" 또는 "포함한다" 등의 용어는 발명에 기재된 여러 구성 요소들 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.

또한, 본 발명에서 사용되는 제 1, 제 2 등과 같이 서수를 포함하는 용어는 구성 요소들을 설명하는데 사용될 수 있지만 구성 요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성 요소는 제 2 구성 요소로 명명될 수 있고, 유사하게 제 2 구성 요소도 제 1 구성 요소로 명명될 수 있다.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.

또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.

도 2는 SaaS 서비스 기반 데이터베이스 접근제어 게이트웨이 방식의 시스템 구성을 보인 구성도이다.

도시된 바와 같이 기존 도 1의 사내(On-Premise) 데이터베이스 접근제어 시스템과 달리 보안대상 데이터베이스(DB) 서버는 고객 사내망(10)의 DMZ(12)에 물리적 서버 구성(13)으로 구성될 수 있고, 클라우드 서버(30)에 서비스 형태로 구성(51)될 수 있다.

도시된 클라우드 서버(30)는 하나 이상의 물리적 서버로 이루어진 논리적 서버 구성으로서 이러한 클라우드 서버(30)는 데이터 센터에 구성되어 복수의 가입자들을 위한 논리적인 영역을 제공한다.

이와 같은 클라우드 서버(30)를 이용하는 여러 서비스 모델들이 존재하는데, 도시된 예에서는 서비스하기 위한 소프트웨어를 컨테이너에 등록하여 서비스를 제공하는 쿠베네티스(Kubernetes, 일명 K8s) 환경을 예로 들어 설명한다.

SaaS 서비스 모델을 공급하는 클라우드 서비스 제공자(CSP)는 쿠버네티스 환경에서 독립적 개인 네트워크 영역인 가상 개인 클라우드(Virtual Private Cloud: VPC)를 제공하고, 특정 VPC(40)에 데이터베이스(DB) 접근제어 게이트웨이(GW) 서비스부(41)를 구성한다. 해당 DB 접근제어 GW 서비스부(41)에는 DB 접근제어 GW 프로그램이 컨테이너(파드(Pod: 컨테이너 관리 단위))로 제공된다. 즉, 하나의 컨테이너에 올려진 DB 접근제어 GW는 미리 설정된 수의 보안대상 DB 서버(13, 51)를 관리하며, 보안대상 DB 서버(13, 51)의 수가 많을 경우 복수의 DB 접근제어 GW 프로그램이 컨테이너로 각각 구성되어 관리한다.

한편, 고객 사내망(10)의 사용자 단말(11)에서 동작하는 데이터베이스 접속툴이 제공하는 데이터베이스 프로토콜 패킷은 방화벽과 라우터(14)를 통해 공인망인 인터넷(20)을 경유하여 클라우드 서버(30)의 DB 접근제어 GW 서비스부(41)에 전달되게 된다. 물론 해당 패킷은 클라우드 서버 내 가상적으로 구성된 네트워크의 인터넷 게이트웨이(31)와 VPC 라우터(32)를 경유한다.

나아가, 동일한 클라우드 서버(30)에 구성되더라도 DB 접근제어 GW 서비스부(41)는 보안대상 DB 서버(51)가 존재하는 VPC(50)와는 독립되어 있으므로 상호 간 통신을 위해서 각각 별도의 네트워크 서비스부(45, 55)가 구성되어 상호 통신하게 된다.

도 3은 복수 네트워크를 경유하면서 소스 어드레스가 변경되는 상황을 설명하기 위한 개념도이다.

도시된 바와 같이 사내망(10)의 사용자 단말이 외부 서버(60)에 접속하기 위해 패킷을 전송할 경우, 해당 IP 패킷은 사내망(10)과 공인망(20)을 통해 서버(60)에 전달된다.

사내망(10)에서 외부로 패킷이 전송되는 경우 NAT(Network Address Translation) 장비나 프로세스를 통해 IP 패킷의 소스 어드레스를 변경하여 기록하게 된다. 통상 여러 호스트가 하나의 공인 IP 주소를 이용하여 인터넷과 같은 공인망에 접속하기 때문에 내부 IP 주소를 공인 IP 주소로 변경하게 된다. 이와 같은 공인 IP 주소의 공유 외에도 내부 네트워크에서 사용하는 IP 주소가 외부에 노출되는 주소를 달리 유지할 수 있기 때문에 보안적인 장점도 있어 대부분의 사내망은 공인망 접속 시 NAT을 적용한다.

도시된 예와 같이 사용자 단말의 내부 IP 주소가 192.168.10.100인 경우 공인망인 인터넷(20)으로 패킷이 전달되면서 라우터 IP 주소인 150.149.0.1로 소스 어드레스가 변조됨을 알 수 있다.

따라서, 이와 같이 사용자 단말을 특정하기 위한 주소 정보가 변경되기 때문에 목적지에서 패킷 내 주소를 통해 사용자 단말을 특정할 수 없게 된다.

도 4는 SaaS서비스 데이터베이스 접근제어 게이트웨이 방식의 사용자 단말 식별 불가 이유를 설명하기 위한 개념도이다.

도시된 바와 같이 앞서 설명했던 고객 사내망(10)에서 인터넷(20)을 통해 클라우드 서버(30)의 DB 접근제어 GW 서비스부(41)에 패킷을 전달할 경우 소스 어드레스가 변조(A)되어 DB 접근제어 GW 서비스부(41)가 해당 패킷을 통해 사용자 단말을 특정할 수 없다.

한편, K8s의 특성상 목적에 따라 컨테이너가 등록될 노드와 서비스 파드를 논리적으로 경계를 짓는 VPC를 달리하고 가상의 라우터나 가상의 게이트웨이를 제공하는 네트워크 모델을 가지고 있다. 도시된 예시의 K8s는 이와 같은 각 VPC간 통신을 위한 네트워크 서비스부(45, 55)를 제공하며 각각 클러스터 IP, 노드 포트를 가지며 부하 분산 기능도 포함한다.

따라서, 도시된 DB 접근제어 GW 서비스부(41)를 통해서 데이터베이스 프로토콜 패킷이 보안대상 DB 서버(13, 51)에 전달될 경우에도 패킷 내 소스 어드레스가 해당 노드의 IP 주소로 변경되어 사용자 단말의 소스 어드레스를 식별할 수 없게 된다. 참고로, K8s 환경에서 http/https 프로토콜을 이용할 경우 사용자 단말의 소스 어드레스를 추적할 수 있는 기능이 있기는 하지만 DB 접근제어 GW 방식은 TCP/IP 프로토콜을 이용하기 때문에 소스 어드레스를 추적할 방법이 없다.

따라서, 이와 같이 SaaS 서비스 모델에 구성된 DB 접근제어 GW 서비스부(41)를 이용하는 경우 사용자가 모두 동일한 데이터베이스 접속툴을 이용한다면 사용자 단말을 식별할 수 없으므로 사용자별 접근통제를 할 수 없게 된다.

나아가 이와 같은 방식은 데이터베이스 접속툴이 제공하는 데이터베이스 프로토콜 패킷이 공인망에 노출되므로 보안상 취약하게 된다.

따라서, 본 발명에서는 기본적으로 사용자 단말에 단말 에이전트를 구성하여 클라우드 서버와 암호화 통신 채널을 구성하도록 하고, 해당 암호화 통신 패킷에 사용자 단말의 속성 정보를 더 포함시키도록 함으로써 외부 공인망을 경유한 데이터베이스 접근 패킷에 대한 보안성을 높이고, 서로 다른 네트워크를 경유하면서 소스 어드레스가 변경되더라도 데이터베이스 접근제어를 위한 사용자 단말의 속성정보를 확인하여 사용자별 접근 통제가 가능하도록 한다.

한편, 이와 같은 암호화 통신 채널을 구성하기 위해서는 정확한 대상의 접속 주소를 알아야 하는데, 클라우드 서버의 데이터베이스 게이트웨이 서비스부와 보안대상 데이터베이스 서버의 주소 정보가 스케일 아웃 시 새롭게 추가되며, 해당 서비스의 변동 IP 사용에 의해 서비스 재시작 시 주소가 변경되므로, 사용자 단말에 구성된 단말 에이전트부가 이와 같은 주소의 최신 상태를 확인하여 새로 생성되거나 달라진 데이터베이스 게이트웨이 서비스부와 보안대상 데이터베이스 서버의 주소를 이용하여 암호화 통신 채널을 신규 생성하거나 갱신해 주는 구성을 더 포함하도록 한다.

도 5는 본 발명의 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 구성도이다.

클라우드 서버(200)에 구성되는 구체적인 노드나 컨테이너 구조, VPC 구조, 네트워크 서비스부 등은 앞서 설명하였으므로 생략하고, 기능적 관점에서의 동작을 중심으로 살펴본다.

도시된 바와 같이 보안대상 데이터베이스 서버(250)에 접속하기 위한 데이터베이스 접속툴(101)과 인터페이스부(102)가 구성된 사용자 단말(100)과, 서비스형 소프트웨어로 구성되어 데이터베이스 접근 제어 기능을 수행하는 구성이 설정된 클라우드 서버(200)를 포함한다.

도시된 사용자 단말(100)은 다양한 종류의 물리적인 컴퓨터, 스마트폰, 태블릿, 노트북이나 논리적인 가상 컴퓨터 환경 등 사용자가 조작하여 데이터베이스에 접속하여 데이터를 추가, 삭제, 변경, 판독하는 등의 작업을 수행할 수 있는 다양한 수단을 포괄한다.

클라우드 서버(200) 역시 데이터센터에 구성되는 하나 이상의 물리적 서버, 다양한 공간에 구성된 물리적 서버에 논리적으로 구성되는 서버를 포괄하며, SaaS 서비스를 제공하는 클라우드 서비스 제공자(CSP)가 제공하는 다양한 종류의 SaaS 모델을 실행시키는 수단을 포괄한다.

도시된 클라우드 서버(200)는 쿠버네티스 환경(K8s)으로 구성되고, DB 접근제어 GW 서비스부(220)와 보안대상 DB 서버(250)는 서로 독립적인 가상 개인 클라우드(VPC) 영역에 구성되며, DB 접근제어 GW 서비스부(220)와 보안대상 DB 서버(250)는 각 VPC 영역에서 컨테이너로서 구성된다.

이러한 예시에서 클라우드 서버(200)는 쿠버네티스 환경(K8s)에서 다양한 접근통제 기능을 컨테이너에 등록된 서비스로 제공하는데, 다른 종류의 SaaS 모델이라 하더라도 본 발명의 기술적 원리가 동일할 경우 본 발명에 속하는 것으로 간주될 수 있다.

도시된 바와 같이 클라우드 서버(200)는 ECP(Encrypted Communication Proxy) 프로토콜을 통해 암호화 통신 채널을 구성하여 상기 사용자 단말로부터 ECP 패킷을 수신하는 ECP 수신부(211)와, ECP 패킷 내 포함된 사용자 단말 식별 정보를 포함하는 사용자 단말 속성 정보(사용자 단말 소스 어드레스, 호스트 이름, mac 주소, 운영체제의 사용자명 등)를 토대로 사용자 권한에 따른 데이터베이스 접근을 제어하는 접근 제어부(214)를 포함하는 데이터베이스 접근제어 게이트웨이 서비스부(220)를 포함하는데, 보안대상 DB 서버(250)는 클라우드 서버(200)에 구성될 수 있고, 도시되지는 않았으나 사용자 단말(100)이 존재하는 고객 사내망의 DMZ에 구성될 수도 있으며, 둘 모두를 이용할 수도 있다.

도시된 사용자 단말(100)은 클라우드 서버(200) 내 데이터베이스 접근제어 게이트웨이 서비스부(220)의 ECP 수신부(211)와 연동하여 암호화 통신 채널을 생성하고 암호화된 ECP 패킷을 전송하는 ECP 전송부(114)와, ECP 전송부(114)를 구동시키고 사용자 단말 속성 정보와 데이터베이스 접속툴(101)이 제공한 데이터베이스 프로토콜 패킷을 ECP 전송부(114)를 통해 암호화하여 ECP 패킷에 추가하는 ECP 매니저부(113)를 구비한 단말 에이전트부(110)를 포함한다.

여기서 암호화 통신 채널을 생성하는 방식으로 ECP(Encrypted Communication Proxy)를 이용하고 있으나 알려져 있는 다른 암호화 통신 방식을 적용할 수도 있다. 암호화 통신 채널을 설정하여 사용자 단말 식별 정보를 데이터로서 제공한다는 것이 특징이므로 이와 같은 기능이 가능하다면 암호화 통신 방식 자체는 다양하게 적용될 수 있다.

도시된 단말 에이전트부(110)는 NAT(Network Address Translation) 수행부(112)와 해당 NAT 수행부(112)의 NAT 규칙 설정을 변경하는 필터 매니저부(111)를 포함한다. 나아가 ECP 매니저부(113)는 ECP 암호화 통신 채널 구성을 위한 ECP 수신부(211)의 주소 정보를 필터 매니저부(111)에 제공하여 암호화 통신을 위한 목적지 주소를 명시하도록 NAT 규칙을 설정하도록 한다.

클라우드 서버(200)는 데이터베이스 접근제어 게이트웨이 서비스부(220), ECP 수신부(211), 보안대상 데이터베이스 서버(250)에 대한 최신 주소 정보를 수집하는 주소 서비스부(240)를 포함한다.

주소 서비스부(240)는 암호화 통신 채널 생성과 유지를 위한 DB 접근제어 GW 서비스부(220)의 주소 및 ECP 수신부(211)의 주소 및 접속 목적인 보안대상 DB 서버(250)의 주소를 항상 최신 정보로 관리하고 이를 ECP 매니저부(113)에 알리는 주소 매니저와 수집된 각 주소정보를 저장 및 갱신하는 주소 저장부를 포함한다.

도시된 예에 따른 주소 서비스부(240)는 DNS 서버나 VPN DNS 서비스부와 연동하여 주소 정보를 최신화한다. K8s에서 DB 접근제어 GW 서비스부(220), 보안대상 DB 서버(250)의 도메인 이름과 IP 주소가 DNS 서버/VPN DNS 서비스부(260)에 등록되어 도메인 이름을 기준으로 접속을 관리하므로 주소 서비스부(240)는 해당 매핑 정보를 확인하여 새로운 IP 주소를 암호화 통신 유지 관리를 위해 단말 에이전트부(110)에 제공한다.

도시된 ECP 매니저부(113)는 주소 서비스부(240)와 연동하여 DB 접근제어 GW 서비스부(220), ECP 수신부(221)(ECP 수신부(221)의 주소는 별도 지정되거나 해당 DB 접근제어 GW 서비스부(220)의 주소일 수 있다), 보안대상 데이터베이스 서버(250)에 대한 주소정보를 확인하여 신규나 갱신이 필요할 경우 필터 매니저부(110)에 NAT 설정 정보로서 제공하고, 필터 매니저부(110)가 해당 정보를 이용하여 NAT 수행부(112)의 NAT 규칙을 추가 또는 갱신하도록 한다.

즉, ECP 전송부(114)와 ECP 수신부(211)가 암호화 통신 채널을 설정하기 위해서는 ECP 전송부(114)에서 정확한 ECP 수신부(211)에 대한 주소 정보를 알고 있어야 하며, ECP 프로토콜 패킷(DB 접속툴(101)이 제공하는 데이터베이스 프로토콜 패킷을 암호화하면서 사용자 단말 속성 정보로 암호화 데이터로 포함하는 것)을 보안대상 DB 서버(250)로 전송하기 위해서는, ECP 수신부(211)나 DB 접근제어 GW 서비스부(200)의 주소 정보를 암호화 통신 채널 설정을 위한 요청 정보의 목적지로 변경하도록 NAT 규칙을 설정하고, 보안대상 DB 서버(250)의 정확한 주소 정보를 데이터베이스 프로토콜 패킷을 전달할 목적지로 설정하도록 NAT 규칙을 설정해야 한다.

한편, 클라우드 서버(200)는 ECP 채널 인증키를 발급 및 인증하는 ECP 채널 인증키 매니저와 ECP 암호화 통신을 위한 암호화키를 발급하는 암호키 매니저를 포함하는 키관리 서비스부(230)를 포함하며, ECP 전송부(114)와 ECP 수신부(211)는 상기 키관리 서비스부(230)를 통해 ECP 암호화 통신 채널 생성을 위한 인증키의 유효성을 체크하고 암호화 통신을 위한 암호화 키를 수신한다.

또한, DB 접근제어 GW 서비스부(220)는 미리 설정된 수 이내의 보안대상 DB 서버(250)를 관리하는데, 보안대상 DB 서버(250)가 새로 추가되어 이를 관리하는 DB 접근제어 GW 서비스부(220)의 관리 한계를 초과하는 경우 새로운 DB 접근제어 GW 서비스부를 생성하여 추가된 보안대상 DB 서버(250)를 관리하도록 하는 스케일 아웃이 발생할 수 있다.

이 경우 증가된 보안대상 DB 서버(250)를 관리하는 DB 접근제어 GW 서비스부(220)가 신규 추가되는 스케일 아웃 시, ECP 매니저부(113)는 신규 추가되는 DB 접근제어 GW 서비스부(220)와 보안대상 데이터베이스 서버(250)에 대한 주소 정보를 주소 서비스부(240)를 통해 확인하여 필터 매니저부(111)를 통해 NAT 규칙을 추가하도록 하고, 신규 ECP 전송부(114)를 구동하여 신규 추가된 DB 접근제어 GW 서비스부(220)와 새로운 암호화 통신 채널을 생성하도록 한다.

다른 주소 변경 상황으로서, 클라우드 서버(200)의 각 서비스부는 IP 주소를 도메인 이름과 매핑하여 도메인 이름으로 관리하므로 유동 IP를 사용하는데, 본 발명과 같이 클라우드 서버(200)의 외부에 존재하는 사용자 단말(100)이 제공하는 데이터베이스 프로토콜 패킷을 전송할 목적지를 IP 주소로 설정하고, 암호화 통신 채널을 생성 및 유지할 때 DB 접근제어 GW 서비스부(220)의 IP 주소를 기준으로 하는 경우 해당 서비스가 리셋되어 재시작 할 때 유동 IP 할당에 따라 IP 주소가 변경되면 접속이 불가능해지므로, ECP 매니저부(113)는 DB 접근제어 GW 서비스부(220)나 보안대상 데이터베이스 서버(250)의 재시작에 따라 접속 주소가 변경되는 경우 주소 서비스부(240)를 통해 변경된 DB 접근제어 GW 서비스부(220)나 보안대상 데이터베이스 서버(250)의 주소정보를 확인하고 이를 기준으로 필터 매니저부(111)를 통해 NAT 수행부(112)에 NAT 규칙을 갱신하도록 하고, DB 접근제어 GW 서비스부(220)의 주소정보를 이용하여 기존 ECP 전송부(114)의 암호화 통신 채널을 갱신하도록 한다.

즉, 도시된 구성에서 단말 에이전트부(110)의 필터 매니저부(111)는 NAT 규칙을 관리하고, NAT 수행부(112)는 NAT 규칙에 따라 패킷의 주소를 변경하며, ECP 매니저부(113)는 ECP 전송부(114)의 생성과 구동을 관리하고 주소 동기화와 추가되거나 변경된 주소 정보를 NAT 수행부(112)에 전달하여 NAT 규칙을 추가하거나 갱신하도록 관리한다. 또한 ECP 전송부(114)는 DB 접근제어 GW 서비스부(220)의 주소 정보와 키관리 서비스부(230)와 연동하여 암호화 통신 채널을 생성하고, 암호화 키를 통해 데이터베이스 프로토콜을 암호화한다.

해당 ECP 전송부(114)가 ECP 수신부(211)에 전달하는 ECP 패킷은 체크섬, 프로토콜 버전, 암호화 키 ID, 암호화된 사용자 단말 속성 정보의 길이, 암호화된 데이터베이스 프로토콜 패킷의 길이 정보 등이 헤더 정보로 포함되고, 페이로드 부분에 암호화된 사용자 속성 정보와 암호화된 데이터베이스 프로토콜 패킷 정보가 포함될 수 있다.

클라우드 서버(200)의 DB 접근제어 GW 서비스부(220)는 ECP 수신부(211)를 포함하는데, 해당 ECP 수신부(211)는 키관리 서비스부(230)와 연동하여 채널 생성 요청으로 전달되는 인증키의 유효성을 확인하여 암호화 통신 채널을 생성하고, 키관리 서비스부(230)에 암호화 키를 호출하여 암호화된 ECP 패킷을 복호화한다. 물론, 필요한 겨우 반대로 암호화 ECP 패킷을 생성하여 ECP 전송부(114)에 전달할 수도 있다.

ECP 수신부(211)는 수신된 ECP 패킷을 복호화하여 사용자 단말 속성 정보를 사용자 인증부(213)에 전달하고, 사용자 인증부(213)는 사용자 단말 속성 정보를 통해 사용자를 인증하고 접근 수준에 대한 정보를 접근 제어부(214)에 전달한다. 또한 ECP 수신부(211)는 수신된 ECP 패킷에서 복호화한 데이터베이스 프로토콜 패킷을 세션 중계부(212)를 통해 보안대상 데이터베이스 서버(250)에 전달하고 해석하여 사용자가 수행한 쿼리를 추출하는데, 해당 세션 중계부(212)는 접근 제어부(214)에 의해 통제된다. 접근 제어부(214)는 사용자 단말의 속성 정보와 사용자 수행 쿼리로 사용자의 권한을 검사하여 사용자의 어떤 행위를 차단할 지를 통제한다.

도 6 내지 도 8은 도 5의 구성을 이용하여 본 발명의 암호화 통신 채널을 생성하고, 스케일 아웃이나 변동 IP에 따른 주소 변경에 대응하는 과정을 설명하기 위한 순서도이다.

먼저, 도 6은 본 발명의 실시예에 따른 암호화 통신 채널 생성에 관한 과정을 설명하기 위한 순서도로서, 도시된 바와 같이 ECP를 이용하여 암호화 통신 채널을 설정하여 ECP 패킷에 사용자 단말의 속성정보(사용자 단말 소스 어드레스, 호스트 이름, mac 주소, 운영체제의 사용자명 등)를 추가함으로써 보안성과 사용자 단말 기반 접근 통제가 가능하도록 하는 과정을 보인 것이다.

우선, 데이터베이스 사용자가 보안 관리자에게 시스템 등록을 요청하면, 보안 관리자가 키관리 서비스부(230)의 ECP 채널 인증키 매니저에 DB 사용자 ID를 등록하고 인증키를 발급한다 .

사용자는 보안 관리자로부터 사용자 ID와 인증키를 전달받으며, 해당 사용자 ID와 인증키를 사용자 단말(100)의 인터페이스부(102)를 통해 단말 에이전트부(110)에 제공하여 사용자 정보를 등록한다.

단말 에이전트부(110)의 ECP 매니저부(113)가 신규 암호화 통신 채널을 생성하기 위해서 ECP 전송부(114)를 구동시킨 후 수신된 사용자 ID와 인증키를 전달한다.

ECP 전송부(114)의 채널 생성부는 DB 접근제어 GW 서비스부(220)의 ECP 수신부(211)의 채널 매니저부에 사용자 단말 속성정보(사용자 단말 식별정보 포함)와 사용자 ID 및 인증키를 전달하여 통신 채널 생성 요청 정보를 제공한다.

상기 DB 접근제어 GW 서비스부(220)의 ECP 수신부(211)가 ECP 키관리 서비스부(230)의 ECP 채널 인증키 매니저에 수신된 사용자 ID와 인증키의 유효성을 확인하고, 키관리 서비스부(230)의 암호키 매니저에 해당 사용자 단말에서 암호화 키를 요청할 수 있도록 사용자 단말 속성정보를 등록(키 요청 허가 시스템 등록)한다.

클라이언트 에이전트부(110)의 ECP 전송부(114)가 사용자 단말 속성정보를 전달하면서 키관리 서비스부(230)의 암호키 매니저에 패킷 암호화를 위한 암호화 키를 요청하면, 키관리 서비스부(230)의 암호키 매니저가 등록된 사용자 단말인 경우 암호화 키를 제공한다.

이후 클라이언트 에이전트부(110)의 ECP 전송부(114) 내 암호 처리부는 수신된 암호화 키를 이용하여 데이터베이스 접속툴(101)이 제공하는 전송 패킷(데이터베이스 프로토콜 패킷)을 암호화하되, 사용자 단말 속성정보도 암호화하여 ECP 수신부(211)에 제공할 ECP 패킷에 포함시킨다.

DB 접근제어 GW 서비스부(220)의 ECP 수신부(211)의 채널 매니저부는 암호화 통신 채널을 통해 수신되는 ECP 패킷의 유효성을 검증한 후 암호처리부를 통해 ECP 패킷을 복호화한다.

DB 접근제어 GW 서비스부(220)의 사용자 인증부(213)는 ECP 수신부(211)를 통해 ECP 패킷에 포함된 사용자 단말 속성정보를 키관리 서비스부(230)의 암호키 매니저에 등록된 사용자 단말 속성정보와 비교하여 허가된 사용자 단말인지 확인하고 접근 제어부(214)에 사용자 접속 정보를 제공하면 접근 제어부(214)가 사용자 단말 속성정보를 기준으로 DB 접근 제어를 수행한다.

한편, ECP 수신부(211)는 수신된 ECP 패킷에서 복호화한 데이터베이스 프로토콜 패킷을 세션 중계부(212)를 통해 보안대상 데이터베이스 서버(250)에 전달하고 해석하여 사용자가 수행한 쿼리를 추출하는데, 해당 세션 중계부(212)는 접근 제어부(214)에 의해 통제(사용자 수신 쿼리를 차단할 것인지 허용할 것인지 통제)된다.

이와 같은 방법을 통해서 공인망을 통해 데이터베이스 프로토콜 패킷의 소스 어드레스가 변경된다 하더라도 DB 접근제어 GW 서비스부(220)는 사용자 단말을 식별하여 개별적으로 DB 접근을 통제할 수 있으며, 암호화를 통해 공인망에서의 보안 위험성도 낮출 수 있다.

위와 같은 암호화 통신 채널을 생성하고 유지하기 위해서는 정확한 채널 생성 대상의 IP 주소를 알아야 하고, 정확한 DB 프로토콜 패킷 전송을 위해서 클라우드 서버(200) 내 보안대상 데이터베이스 서버(250)의 IP 주소도 알아야 한다.

그러나 클라우드 서버(200) 내부에서의 가상 네트워크 간 통신을 위해서 실질적 IP 주소와 매핑된 도메인 네임 서버(DNS)나 VPN DNS 서비스부를 이용하여 도메인 네임을 기반으로 통신을 수행하도록 하고 있으므로 클라우드 서버(200) 외부의 사용자 단말(100)은 클라우드 서버(200) 내부에서 임의로 설정되거나 변경되는 IP 주소를 명확하게 알기 어렵다. 따라서 IP 주소를 기반으로 암호화 통신 채널을 생성 및 유지하고, IP 주소를 기반으로 보안대상 데이터베이스 서버(250)로 전송될 데이터베이스 프로토콜 패킷의 목적지를 DB 접근제어 GW 서비스부(220)로 NAT 해야 하는 단말 에이전트부(110)가 안정적으로 기능을 유지하게 위해서는 이와 같은 클라우드 서버(200) 내의 DB 접근제어 GW 서비스부(220)와 보안대상 데이터베이스 서버(250)의 IP 주소 변경을 확인하고 이에 대응하기 위한 방안이 필요하다.

클라우드 서버(200) 내의 DB 접근제어 GW 서비스부(220)와 보안대상 데이터베이스 서버(250)의 IP 주소 변경 상황으로, 스케일 아웃 프로세스에 따른 신규 IP 추가와 서비스 재시작(리셋)에 따른 사용 IP의 갱신이 있다.

도 7은 본 발명의 실시예에 따른 스케일 아웃에 따른 암호화 통신 채널 신규 생성 과정을 설명하기 위한 순서도이다.

예컨대 하나의 DB 접근제어 GW 서비스부(220)가 20개의 보안대상 데이터베이스 서버(250)를 관리할 수 있다면, 사용자가 21번째 데이터베이스 서버를 새롭게 등록할 경우 DB 접근제어 GW 서비스부(220)가 스케일 아웃되어 기존의 DB 접근제어 GW 서비스부(예컨대 A GW 서비스부) 외에 새로운 DB 접근제어 GW 서비스부(예컨대 B GW 서비스부)가 클라우드 서버에 자동적으로 추가되게 된다. 이때, 기존 DB 접근제어 GW 서비스부(A GW 서비스부)와 매핑된 ECP 전송부(114)는 그대로지만 새로운 신규 DB 접근제어 GW 서비스부(B GW 서비스부)는 새로운 ECP 전송부를 생성 및 구동시킨 후 새로운 암호화 통신 채널을 생성해야 한다.

또한, DB 접속툴(101)이 새로운 보안대상 데이터베이스 서버(250)에 접근하고자 할 경우 단말 에이전트부(110)는 해당 데이터베이스 프로토콜 패킷을 새로운 DB 접근제어 GW 서비스부(B GW 서비스부)를 경유하도록 하기 위해서 NAT 규칙을 새롭게 설정해야 한다.

이 과정을 도 7을 통해서 살펴본다.

먼저, 사용자가 새로운 DB를 추가함에 따라 보안대상 데이터베이스 서버(250)가 추가되고, 기존 DB 접근제어 GW 서비스부(220)가 해당 추가된 보안대상 데이터베이스 서버(250)를 수용할 수 없는 경우 스케일 아웃되어 새로운 DB 접근제어 GW 서비스부(220)가 생성되어 추가된 보안대상 데이터베이스 서버(250)를 관리하도록 매핑된다.

스케일 아웃이 발생하게 되면 주소 서비스부(240)에 새롭게 추가된 DB 접근제어 GW 서비스부(220)에 할당된 IP 주소와 새롭게 추가된 보안대상 데이터베이스 서버(250)에 할당된 IP 주소 정보가 등록되며, 주소 서비스부(240)는 클라우드 모델이 제공하는 주소 정보를 수신하거나 DNS 서버/VPN DNS 서비스부(260)를 확인하여 최신 주소 정보(IP 주소, DNS 매핑 정보 등)를 보유한다.

단말 에이전트부(110)의 ECP 매니저부(113)가 주소 서비스부(240)와 주소 동기화를 수행(주기적 확인, 정보 갱신 정보 수신 시 확인 등)하여 새로운 보안대상 데이터베이스 서버(250) 주소를 발견하면 해당 보안대상 데이터베이스 서버(250)의 주소와 DB 접근제어 GW 서비스부(220)에 대한 도메인 네임과 매핑 IP 주소 정보를 확보한다.

새로운 DB 접근제어 GW 서비스부(220)를 발견할 경우 ECP 매니저부(113)는 추가 ECP 전송부(114)를 구동하고 암호화 통신 채널을 생성한다.

추가적으로 ECP 매니저부(113)가 보안대상 DB 서버(250) 주소와 ECP 수신부 주소, 즉 DB 접근제어 GW 서비스부(220)의 주소를 필터 매니저부(111)에 전달하여 DB 접속툴(101)이 해당 신규 보안대상 데이터베이스 서버(250)에 접속하고자 할 경우 데이터베이스 프로토콜 패킷을 DB 접근제어 GW 서비스부(220)의 ECP 수신부(211)에 전달할 수 있도록 NAT 수행부(112)의 NAT 규칙을 추가하도록 한다.

도 8은 본 발명의 실시예에 따른 변동 IP 이용에 따른 암호화 통신 채널 갱신 과정을 설명하기 위한 순서도이다.

도시된 바와 같이 클라우드 서버(200)나 클라우드 서버의 K8s 환경에 구성된 DB 접근제어 GW 서비스부(220)가 재시작(리셋)되거나 보안대상 데이터베이스 서버(250)가 재시작(리셋)될 경우 유동 IP를 사용하는 해당 서비스 특성상 재시작 되는 DB 접근제어 GW 서비스부(220)나 보안대상 데이터베이스 서버(250)의 IP 주소가 변동된다.

이와 같이 변동 IP에 의해 서비스의 IP가 변동되는 경우 DNS 서버/VPN DNS 서비스부(260)는 도메인 네임과 매핑되는 IP 주소를 변경하여 등록하므로, 주소 서비스부(240)는 해당 DNS 서버/VPN DNS 서비스부(260)의 매핑 정보를 확인하여 주소 정보를 최신화한다.

단말 에이전트부(110)의 ECP 매니저부(113)가 주소 서비스부(240)와 주소 동기화를 수행(주기적 확인, 정보 갱신 정보 수신 시 확인 등)하여 매핑 IP 주소가 변경된 것을 발견하면 해당 보안대상 데이터베이스 서버(250)의 주소와 DB 접근제어 GW 서비스부(220)에 대한 도메인 네임과 매핑 IP 주소 정보를 확보한다.

IP 주소의 변경을 발견할 경우 ECP 매니저부(113)는 기존 ECP 전송부(114)를 통해 암호화 통신 채널 갱신을 요청하여 암호화 통신 채널을 재생성한다.

추가적으로 ECP 매니저부(113)가 변경된 보안대상 DB 서버(250) 주소나 ECP 수신부 주소, 즉 DB 접근제어 GW 서비스부(220)의 주소를 필터 매니저부(111)에 전달하여 NAT 수행부(112)의 기존 NAT 규칙을 갱신하도록 한다.

이와 같은 본 발명의 실시예에 따른 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 서비스 방법을 통해서 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 이용에 대한 보안성을 높이면서 사용자별 접근 통제가 가능하게 되며, 클라우드 서버 내 서비스의 여러 IP 변동 상황에 자동 대응할 수 있도록 하여 보안 통신 채널을 안정적으로 유지할 수 있어, 기존의 사용자별 접근통제가 어려운 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스의 문제를 해결할 수 있다.

전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

나아가 사용자 단말이나 클라우드 서버는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다.

또한, 실시예들에서 설명된 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 지연 검출 장치를 원하는 대로 동작하도록 하거나 독립적으로 또는 결합적으로 (collectively) 명령할 수 있다. 나아가 이와 같은 소스트웨어의 실행에 따라 동작하는 쓰레드, 프로세스 등으로 각 서비스 제공부가 구성될 수 있다.

본 명세서에 기술된 다양한 장치 및 구성부는 하드웨어 회로(예를 들어, 반도체 기반 로직 회로), 펌웨어, 소프트웨어, 소프트웨어 실행에 따른 프로세스나 쓰레드 또는 이들의 조합에 의해 구현될 수 있다. 예를 들어, 다양한 전기적 구조의 형태로 트랜지스터, 로직게이트 및 전자회로와 광학 구조의 형태로 렌즈와 필터를 활용하여 구현될 수 있다.

Claims (10)

1. 보안대상 데이터베이스 서버에 접속하기 위한 데이터베이스 접속툴과 사용자 인터페이스가 구성된 사용자 단말과, 서비스형 소프트웨어로 구성되어 데이터베이스 접근 제어 기능을 수행하는 구성이 구비된 클라우드 서버를 포함하되,

   클라우드 서버는 ECP(Encrypted Communication Proxy) 프로토콜을 통해 암호화 통신 채널을 구성하여 상기 사용자 단말로부터 ECP 패킷을 수신하는 ECP 수신부와, ECP 패킷 내 포함된 사용자 단말 식별 정보를 포함하는 사용자 단말 속성 정보를 토대로 사용자 권한에 따라 상기 보안대상 데이터베이스 서버에 대한 접근을 제어하는 접근 제어부를 포함하는 데이터베이스 접근제어 게이트웨이 서비스부를 포함하고,

   상기 사용자 단말은 상기 클라우드 서버 내 데이터베이스 접근제어 게이트웨이 서비스부의 ECP 수신부와 연동하여 암호 채널을 생성하고 암호화된 ECP 패킷을 전송하는 ECP 전송부와, 상기 ECP 전송부를 구동시키고 상기 사용자 단말 속성 정보와 상기 데이터베이스 접속툴이 제공한 데이터베이스 프로토콜 패킷을 상기 ECP 전송부를 통해 암호화하여 상기 ECP 패킷에 포함시키도록 하는 ECP 매니저부를 포함하는 단말 에이전트부를 포함하는,

   SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
2. 청구항 1에 있어서,

   상기 보안대상 데이터베이스 서버는 상기 사용자 단말이 존재하는 고객 사내망에 구성되거나 상기 클라우드 서버에 구성되는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
3. 청구항 1에 있어서,

   상기 단말 에이전트부는 NAT(Network Address Translation) 수행부와 해당 NAT 수행부의 설정을 변경하는 필터 매니저부를 포함하며,

   상기 ECP 매니저부는 ECP 암호화 통신 채널 구성을 위한 ECP 수신부의 주소 정보를 상기 필터 매니저부에 제공하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
4. 청구항 3에 있어서, 상기 클라우드 서버는 데이터베이스 접근제어 게이트웨이 서비스부, ECP 수신부, 보안대상 데이터베이스 서버에 대한 최신 주소 정보를 수집하는 주소 서비스부를 포함하며,

   상기 ECP 매니저부는 상기 주소 서비스부와 연동하여 데이터베이스 접근제어 게이트웨이 서비스부, ECP 수신부, 보안대상 데이터베이스 서버에 대한 주소정보를 확인하여 신규나 갱신이 필요할 경우 상기 필터 매니저부에 NAT 설정 정보를 제공하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
5. 청구항 4에 있어서, 상기 ECP 매니저부는 보안대상 데이터베이스 서버 증가에 따라 증가된 보안대상 데이터베이스 서버를 관리하는 데이터베이스 접근제어 게이트웨이 서비스부가 신규 추가되는 스케일 아웃 시, 신규 추가되는 데이터베이스 접근제어 게이트웨이 서비스부와 보안대상 데이터베이스 서버에 대한 주소 정보를 상기 주소 서비스부를 통해 확인하여 상기 필터 매니저부를 통해 NAT 규칙을 추가하도록 하고, 신규 ECP 전송부를 구동하여 상기 신규 추가된 데이터베이스 접근제어 게이트웨이 서비스부와 새로운 암호화 통신 채널을 생성하도록 하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
6. 청구항 4에 있어서, 상기 ECP 매니저부는 데이터베이스 접근제어 게이트웨이 서비스부나 보안대상 데이터베이스 서버의 재시작에 따라 접속 주소가 변경되는 경우 상기 주소 서비스부를 통해 변경된 데이터베이스 접근제어 게이트웨이 서비스부나 보안대상 데이터베이스 서버의 주소정보를 기준으로 상기 필터 매니저부를 통해 NAT 규칙을 갱신하도록 하고, 데이터베이스 접근제어 게이트웨이 서비스부의 주소정보를 이용하여 기존 ECP 전송부의 암호화 통신 채널을 갱신하도록 하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
7. 청구항 1에 있어서, 상기 클라우드 서버는 ECP 채널 인증키를 발급 및 인증하는 ECP 채널 인증키 매니저와 ECP 암호화 통신을 위한 암호화키를 발급하는 암호키 매니저를 포함하는 키관리 서비스부를 포함하며,

   상기 ECP 전송부와 ECP 수신부는 상기 키관리 서비스부를 통해 ECP 암호화 통신 채널 생성을 위한 인증키의 유효성을 체크하고 암호화 통신을 위한 암호화 키를 수신하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
8. 청구항 1에 있어서, 상기 클라우드 서버는 쿠버네티스 환경으로 구성되고, 상기 데이터베이스 접근제어 게이트웨이 서비스부와 상기 보안대상 데이터베이스 서버는 서로 독립적인 가상 개인 클라우드(VPC) 영역에 구성되며, 상기 데이터베이스 접근제어 게이트웨이 서비스부와 보안대상 데이터베이스 서버는 각 VPC 영역에서 컨테이너로서 구성되는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템.
9. 보안대상 데이터베이스 서버에 접속하기 위한 데이터베이스 접속툴과 사용자 인터페이스 및 암호화 통신을 위한 단말 에이전트부가 구성된 사용자 단말과, 서비스형 소프트웨어로 구성되어 데이터베이스 접근 제어 기능을 수행하는 데이터베이스 접근제어 게이트웨이 서비스부와, 암호화 통신을 위한 키관리 서비스부와, 주소정보 최신화를 위한 주소 서비스부를 포함하는 클라우드 서버를 포함하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 서비스 방법으로서,

   상기 키관리 서비스부가 사용자 ID와 인증키를 발급하고, 사용자 단말의 클라이언트 에이전트부에 상기 발급된 사용자 ID와 인증키가 등록되는 단계와;

   상기 클라이언트 에이전트부가 사용자 단말 식별 정보를 포함하는 사용자 단말 속성 정보와 사용자 ID 및 인증키를 포함하는 암호화 통신 채널 생성 요청 정보를 클라우드 서버의 데이터베이스 접근제어 게이트웨이 서비스부에 제공하는 단계와;

   상기 데이터베이스 접근제어 게이트웨이 서비스부가 상기 키관리 서비스부를 통해 사용자 ID 및 인증키의 유효성을 확인하고, 사용자 단말 속성정보를 기반으로 암호화 키 요청이 가능하도록 상기 키관리 서비스부에 등록하는 단계와;

   상기 클라이언트 에이전트부가 상기 키관리 서비스부에 사용자 단말 속성정보를 전달하면서 암호화 키를 요청하고, 기 등록된 사용자 단말인 경우 암호화 키를 제공하는 단계와;

   상기 클라이언트 에이전트부가 상기 암호화 키를 이용하여 상기 데이터베이스 접속툴이 제공하는 전송 패킷을 암호화하여 상기 데이터베이스 접근제어 게이트웨이 서비스부에 제공하되, 사용자 단말 속성 정보도 암호화된 전송 패킷에 더 포함시키는 단계를 포함하는,

   SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 서비스 방법.
10. 청구항 9에 있어서, 상기 주소 서비스부는 데이터베이스 접근제어 게이트웨이 서비스부와 보안대상 데이터베이스 서버에 대한 최신 주소 정보를 구비하며, 상기 사용자 단말 에이전트부는 상기 주소 서비스부로부터 데이터베이스 접근제어 게이트웨이 서비스부와 보안대상 데이터베이스 서버에 대한 최신 주소 정보를 확인하여 주소 정보가 변경되거나 신규 추가된 경우 NAT 규칙을 추가하거나 갱신하고, 데이터베이스 접근제어 게이트웨이 서비스부에 대한 암호화 통신 채널을 갱신하거나 신규로 생성하는 단계를 더 포함하는 것을 특징으로 하는 SaaS 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템의 서비스 방법.

Images