North Korea "must prevent impure access to MySQL DB"

북한이 자료기지 즉 데이터베이스(DB) 보안 방안을 연구하고 있는 것으로 확인됐다. 북한이 정보화, 수자화(디지털화)를 추진하고 있는 가운데 DB 구축이 늘어나면서 이에 대한 보안도 고민하고 있는 것으로 보인다.

4월 6일 대북 소식통에 따르면 김일성종합대학이 발행한 학보 정보과학 2020년 제66권 제4호에 ‘자료기지관리체계에서 행표식 보안을 이용한 강제접근 조종의 한 가지 방법’이라는 논문이 게재됐다.

논문은 “자료기지(DB) 보안을 위해서는 기밀성(Confidentiality), 완전성(Integrity), 유용성(Availability)의 요구를 만족시켜야 한다”며 “이를 위해 접근조종기술을 이용한다”고 소개했다.

이어 논문은 자료기지관리체계(DBMS)에서의 접근조종 방법에는 자유접근조종(Discretionary Access Control)과 강제접근조종(Mandatory Access Control), 역할에 기초한 접근조종 (Role Based Access Control)이 있다고 설명했다.

북한 연구진들은 자유접근조종이 자원의 소유자가 접근 권한을 임의로 변경시킬 수 있으며 접근조종행렬모형에 기초하고 있으므로 잠복 통로를 통한 정보의 누설을 막지 못해 보안에서 기밀성이 파괴되는 약점이 있다고 지적했다. 반면 강제접근조종은 자원의 소유자가 허가권을 임의로 변경시킬 수 없다는 것이다. 

논문은 자유접근조종이 구현돼 있는 MySQL DBMS에서 강제접근조종을 구현하기 위한 한 가지 보안 방책을 제안했다고 밝혔다.

출처: MySQL 홈페이지 모습

MySQL은 오픈소스 관계형 데이터베이스 관리 시스템으로 1995년 출시됐다. 현재는 미국 오라클이 리 및 배포하고 있다. 북한 연구진들이 MySQL에서의 보안 방안을 연구한 것으로 볼 때 MySQL을 사용하고 있는 것으로 추정된다.

북한 논문이 언급한 강제적 접근제어 방식(MAC)은 어떤 주체가 특정 객체에 접근할 때 보안 레벨에 기초해 낮은 수준의 주체가 높은 수준의 정보에 접근하는 것을 강제적으로 제한하는 기법이다.

북한 논문은 “보안방책을 MySQL DB에 추가해 강제접근조종을 구현하기 위한 한 가지 방법을 제기함으로써 MySQL DB에서 권한 없는 불순한 사용자가 권한 있는 사용자의 비밀자료를 절취할 수 있는 보안취약성을 완전히 극복하고 DB 보안을 담보할 수 있게 했다”고 주장했다.

논문에서 ‘불순한 사용자’, ‘비밀자료 절취’, ‘보안취약성’ 등이 직접적으로 언급된 것으로 볼 때 논문 작성의 목적이 정보유출방지라는 것을 명확히 알 수 있다.

북한에서는 정보화, 수자화 등이 강조되고 각종 시스템과 서비스가 만들어지면서 DB 구축이 활발히 진행되고 있는 것으로 알려졌다. 북한은 DB가 늘어나면서 그에 대한 보안에도 신경을 쓰고 있는 것으로 보인다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

저작권자 © NK경제 무단전재 및 재배포 금지