369. 데이터베이스 감사 (DB Auditing) 추적 로그

핵심 인사이트 (3줄 요약)

1. 정보 유출의 80%는 외부 해커가 아니라 합법적 권한을 가진 내부자(DBA, 개발자)가 USB에 엑셀로 내려받아 팔아넘기는 것이다. 이를 모니터링하고 증거 능력을 확보하는 CCTV 기록망이다.
2. 기존에는 변경 이력(INSERT, UPDATE)만 관리했으나, 감사는 "누가 샐러리 테이블을 SELECT 하여 구경했는가?" 까지 모든 DQL(조회 쿼리) 패킷을 가로채 법적 아카이브에 영구 저장한다.
3. DB 엔진 내장 감사를 활성화하면 15% 이상의 디스크/CPU 과부하가 발생하므로, 네트워크 스니핑(Sniffing) 방식이 대세로 쓰인다.

Ⅰ. 아키텍처 및 원리

  [ 망 분리 기반 스니핑 감사 아키텍처 구조 ]
   (내부 사용자 SQL) === [스위치 미러링(복제)] ===> (정상 DB 수행)
                            | (조회 쿼리 원문 100% 가로채기)
                       [ DB 감사 전용 어플라이언스 저장소 ] -> (WORM 디스크 위변조 불가 보관)

Ⅱ. 실무 적용 및 결론

개인정보의 안전성 확보 조치 고시 상, DB 접속 기록은 최소 1년(특정 요건 시 2년) 이상 반드시 보관해야 한다. 이를 구축하지 않으면 해킹을 당하고 나서도 어디가 빵꾸 났는지 역추적 포렌식이 불가능하여 징벌적 배상의 타겟이 되는 보안의 시작과 끝이다.