국가에서 정책적으로 보안 기능을 요구하면서 많은 고객사들이 데이터 보안 프로젝트를 진행하고 있다.
지원하고 있는 한 고객사에서도 보안 기능을 적용하기 위하여 보안 컨설팅을 받은 결과 DB2의 보안 취약점 중 하나로 DB2 서버와 클라이언트 간의 통신 시 사용자 정보의 암호화 되지 않는 점이 지적사항으로 도출되었다.
DB2 인스턴스 구성 시 authentication의 기본 값은 SERVER 로 설정된다. 이것은 인증처리가 DB2 서버 쪽에서 처리됨을 의미한다.
정보센터에서 authentication의 값에 대해 찾아 보면 SERVER_ENCRYPT 값은 통신 시 사용자 ID와 비밀번호가 암호화되어 되어진다고 기술되어 있다. 이외에도 GSSPLUGIN 등을 사용한 암호화 방식도 있지만, 개인적으로 DB2내에서 통신 패킷의 사용자 정보 암호화는 SERVER_ENCRYPT 값으로 해도 충분하지 않나 싶다.
SERVER_ENCRYPT로 설정한 후 DB2 client를 통해 접속 테스트를 해 본바, 별다른 특이 사항이 발생하지는 않았다.
차후 DB2 설치 작업 시, 보안 측면에서 SERVER_ENCRYPT 값으로 authentication 구성변수를 설정하는 것을 고려해 볼 필요가 있겠다.
'Note' 카테고리의 다른 글
| [개발] Windows에서 ESQL 컴파일 및 Connect By Siblings (0) | 2013.11.28 |
|---|---|
| [SQL] 오라클 호환성에 따른 문자열 길이 변화 (0) | 2013.10.31 |
| [이중화] 로그 쉬핑(shipping)을 통한 복제서버 구성 (0) | 2013.09.26 |
| [관리] db2dart 와 db2 inspect (0) | 2013.08.27 |
| [성능] SQL 성능 분석 (0) | 2013.08.26 |