ICT블로그

초보자를 위한 Oracle 10g

Chapter3 - Oracle 메모리 구조

- 2개의 메모리 종류

SGA(System Global Area) - 모든 사용자가 공유 가능하여 사용

PGA(Program Global Area) - 사용자마다 공유하지 않고 개별적으로 사용

(1)PGA

- 정의: 각각의 서버 프로세스가 독자적으로 사용하는 오라클 메모리 영역으로, 데이터베이스에 접속하는 모든 유저에게 할당된다.

- 유저 프로세스 <-> 서버 프로세스 <-> PGA

- PGA의 구조

1. 정렬 공간(Sort Area)

Order By 또는 Group By 등의 정렬을 수행하기 위한 공간

*메모리 정렬 불가 시 디스크 이용

2. 세션 정보(Session Information)

유저 프로세스의 세션 정보를 저장

3. 커서 상태 정보(Cursor State)

해당 SQL의 파싱(Parsing)정보가 저장되어 있는 주소(Cursor)를 저장

4. 변수 저장 공간(Stack Space)

바인드 변수(Bind Variable) 사용 시 해당 바인드 변수를 저장

- PGA의 관리 --> 파라미터 통해서 관리

1. WORKAREA_SIZE_POLICY

MANUAL 또는 AUTO로 설정 가능 (10g는 Default= AUTO)

 MANUAL --> SORT_AREA_SIZE 파라미터로 정렬 공간 설정됨

 AUTO --> PGA_AGGREGATE_TARGET 파라미터로 전체 PGA 크기 설정됨

2. SORT_AREA_SIZE

정렬 공간에 대한 크기를 설정하는 파라미터

3. PGA_AGGREGATE_TARGET

모든 세션의 PGA 크기의 합을 설정하는 파라미터 (9i부터 사용 가능)

--> 자동 PGA 조정 기능

* 관리Tip: 평소 접속하는 세션 수 및 각 세션의 PGA 사용량 크기를 파악하여 적절한 값 설정이 필요

PGA 크기 확인 --> V$PROCESS 데이터 딕셔너리 참조

- PGA_USED_MEM - 현재 프로세스가 사용중인 PGA 크기

- PGA_ALLOC_MEM - 프로세스에 할당된 PGA 크기

- PGA_MAX_MEM - 프로세스가 사용한 최대 PGA 크기

(1) 반사XSS와 CSRF 공격 관점의 차이

- 반사XSS: 사용자의 관점 / A라는 사이트를 접속한다고 생각하지만, 실제로는 B라는 사이트에 접속한 것

- CSRF: 사이트의 관점 / A사용자가 접속했다고 생각하지만, 실제로는 사용자B(공격자)가 접속한것.

(2)XSS, CSRF 공격에 대한 대처 : 기본적으로 입력값 검증을 실시한다.

- Client Side : 클라이언트에 대해선 공격자가 공격하기 용이한 측면이 있다. 무슨 소리냐면, 웹 브라우저에서 JavaScript 등에 대한 입력값 검증을 실시할 순 있으나, 이때의 관점은 공격을 막아내기 위한 것이라기보다는 오타 등을 검증하기 위한 수단이다.

- Server Side : 서버측에서 XSS 혹은 CSRF 공격을 막기 위해 입력값에 대해 검증하는 것이 기본이다.

 1. 입력값 검증
 2. 입력값이 쿼리로서 입력되지 않게 한다.
 3. 웹서버 -> DB계정 : DB계정에 대한 접근 권한을 권한 제어를 통해서 제어한다.
     r/w/rw 권한 등을 바꾸거나 혹은 특정 viewtable에만 접근가능하도록 수정한다.
 4. SQL Injection 패턴에 대해서는 : WAF을 통해 차단.
 5. 웹방화벽이 있다고 하더라도, 기본적으로 시큐어 코딩이 필요하다. 구간/문자/필터링/길이/주민등록번호 검증 등이 가능하다. (버퍼 오버플로우 공격에 대한 방어와 비슷)

보안 관련 인증

NIA(한국정보화진흥원) >> PIPL(Personal Information Protection Level)

- PIA(Privacy Impact Assessment): 안행부 인증 / 의무사항

- PIPL(Personal Information Protection Level): 한국정보화진흥원(NIA) 인증 / 자율

- PIMS(Personal Information Management System): 한국인터넷진흥원(KISA) 인증 / 자율 

KISA(한국인터넷진흥원) > PIMS(Persnoal Information Management System)

※PIPL이란?

(1)개인정보 보호 관리체계

  1.보호 관리체계의 수립

  2.실행 및 운영

  3.검토 및 모니터링

  4.교정 및 개선

(2)개인정보 보호대책 구현

  1.개인정보 처리

  2.정보주체 권리보장

  3.관리적 안전성 확보조치

  4.기술적 안전성 확보조치

  5.물리적 안전성 확보조치

Security Q&A BEST 100 용어 정리

(2013년, 보안뉴스)

<Q5> ISMS, ISO27001과 금융권 정보보호관리체계 인증

- ISO27001, ISMS는 모든 산업분야에 적용될 수 있는 정보보호관리체계(Information Security Management System)이다

- ISMS는 국내용, ISO27001은 국제용

- 위 두 인증은 정보통신 서비스 제공자를 초점에 두고 만들어졌기에, 금융업과는 잘 맞지 않는 부분이 있음.

- 따라서 정부는 금융권에 적합한 정보보호체계를 만들려고 함.

 * 2013년 7월 '금융전산 보안강화 종합대책' 발표

>> 일정 규모 이상의 금융회사에 대해서는 인증을 의무화 하겠다고 함.

- 아직 구체화된 내용은 없음

>> 우선 '정보통신망법 제 47조'에 의거, 모든 금융회사는 2014.02.18까지 ISMS인증을 의무적으로 획득해야 함

<Q8>무선 칩임방지 시스템(WIPS, Wireless Intrusion Prevention System)

WIPS은 인가되지 않은 무선단말기의 접속을 차단하고 보안에 취약한 AP(무선공유기)를 탐지하는 솔루션이다. 즉, WIPS는 유선 방화벽(Firewall)과 유사하게 외부 공격으로부터 내부 시스템을 보호하기 위해 무선랜 환경에서의 보안 위협을 탐지하고 대응하는 시스템이라고 할 수 있다.

<Q9>금융전산 보안강화 종합대책 (2013.07)

- 매년 정보기술 부문 계획(서)을 수립 후, 금융위원회에 제출 의무화

- 총자산 2조원& 종업원 수 300명 이상의 금융회사는 자체전담반을 구성, 매년 취약점 분석 및 평가 수행을 의무화

- CISO의 임직원에 대한 정보보안 교육 책무 명시

- 정보처리 시스템 접근시 ID/PW 외 추가 인증 의무화

- 금융회사 전산실 망분리 의무화

- 전산업무에 대한 외부주문 규정의 세분화 및 명확화; ‘금융기관의 업무위탁 등에 관한 규정’ 內 위탁 전산업무 개인정보보호에 관한 사항을 별도의 규정으로 신설

<Q27> 방화벽의 종류

(1)웹 방화벽(Web Application Firewall)

웹 어플리케이션의 취약점 공격을 방어

Clinet와 Server를 중개하는 Proxy Server의 원리로 작동되며, 방화벽을 거치는 HTTP Request/Reply의 Packet을 검사하여 중요 정보의 유출을 막음

최근 웹 어플리케이션에 대한 공격이 많아지며 대두 됨

(2)F/W(Fire Wall)

TCP/IP Layer에서 IP와 Port의 정보를 갖고 방어 (Network Protocols中)

(3)IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)

Application Protocols의 Packet 내용을 문자열 비교에 의해 침입시도를 감시하고 차단하는 역할을 함 (Network Protocols中)

>> IDS, IPS, 웹 방화벽은 유사하나, 문자열 비교시 비교하는 DATA 종류가 다르다는 것이 가장 큰 차이점 임

(4)UTM(Unified Threat Management)

하나의 장비에서 여러 보안 기능을 통합적으로 제공

방화벽(F/W), 가설사설망(VPN), 침입탐지/방지(IDS/IPS), Anti Virus/Spyware/Spam, Web Filtering, 무선 랜 보안 등의 기능을 가짐

*ESM(Enterprise Security Management)

SIEM(Security Information & Event Management)

<Q27>웹셸이란?

웹쉘(Webshell)이란 클라이언트의 명령을 서버에서 실행시켜주는 프로그램입니다.

주로 SSS(Server Side Script)로 작성됨 (PHP, asp, jsp)

웹 해킹의 대부분의 경우를 차지함.

서버에 파일을 업로드 함으로써 작동하므로, 업로드 파일의 확장자(*화이트리스트 권장) 및 실행권한 제한을 통해 방어할 수 있음.