[논문]OLAP 상에서 데이터 접근 제어 메커니즘 설계 및 구현

민병국; 최옥경; 김강석; 홍만표; 예홍진

doi:10.3745/kipstc.2012.19c.2.091

OLAP 상에서 데이터 접근 제어 메커니즘 설계 및 구현
Design and Implementation of Data Access Control Mechanism based on OLAP 원문보기

정보처리학회논문지. The KIPS transactions. Part C Part C, v.19C no.2, 2012년, pp.91 - 98

민병국 (아주대학교 지식정보보안학과) , 최옥경 (아주대학교 지식정보보안학과) , 김강석 (아주대학교 지식정보보안학과) , 홍만표 (아주대학교 정보통신전문대학원) , 예홍진 (아주대학교 정보컴퓨터공학부)

초록
AI-Helper

OLAP(On-Line Analytical Processing) 툴은 조직 운영에서 발생하는 데이터의 양이 많아짐에 따라 분석 수요도 함께 급증하며 전문 분석가의 역량만으로는 처리할 수 없는 분석 요구 사항을 충족시키기 위한 툴이다. OLAP에서는 다양한 사용자가 직접 데이터베이스에 접근하여 대화식으로 질의를 던지고 응답을 받아 분석 업무를 진행할 수 있다. 이렇게 많은 사용자들이 데이터베이스에 직접 접근을 하게 됨에 따라 조직의 민감한 데이터를 지키기 위한 보안 정책이 필수가 되었다. 하지만 기존 연구에서는 OLAP의 기능적인 분석에 치중하여 MDX(Multidimensional Expressions)와 XMLA(XML for Analysis) 등의 기법으로 기능을 구현하는 것에 그치고 있다. 이에 본 연구에서는 기존 연구의 문제점을 보완하기 위한 방법으로 효율적인 정보 보호를 위한 데이터 접근 제어 메커니즘을 제안하고 이를 설계 및 구현하였다. 제안한 데이터 접근 방법이 실제 OLAP 환경에서 효율성 있게 동작함을 확인하기 위해 실험평가를 수행하여 본 연구의 우수성을 입증하였다.

Abstract ▼ AI-Helper

OLAP(On-Line Analytical Processing) is a tool to satisfy the requirements of managing overflowing data analysis. OLAP can provide an interactive analytical processing environment to every end-user. Security policy is necessary to secure sensitive data of organization according to users direct access database. But earlier studies only handled the subject in its functional aspects such as MDX(Multidimensional Expressions) and XMLA(XML for Analysis). This research work is purported for solving such problems by designing and implementing an efficient data access control mechanism for the information security on OLAP. Experimental evaluation result is proposed and its efficiency and accuracy are verified through it.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

그러나 구현하고 다루었던 보안 객체는 데이터에 대한 데이터 접근 제어 방법이었기 때문에 향후 컨텐츠, 기능까지 확장된 OLAP 보안 객체에 대한 접근 제어와 권한 할당 제어를 구현하고자 한다. 또한, 쿼리에 따라 불규칙적인 성능 평가 결과를 보여주었던 부분에 대해서 보안 필터링 모듈에 대한 알고리즘에 대한 추가적인 연구가 필요할 것이다.
본 연구에서는 기존 논문에서 다루었던 OLAP 보안에 대한 이슈들을 분석하고, 특히 효율적인 정보 보호 정책이 수립될 수 있도록 접근 대상을 기능, 컨텐츠, 큐브데이터로 분류하고, RBAC(Role Based Access Control), Filtering SQL 기법을 사용하여 데이터 접근 제어를 제안하고자 한다.
본 연구에서는 이러한 접근 제어 정책들 중 DAC와 RBAC 정책을 기반으로 접근 권한 충돌 시 최소권한 유지에 대한 정책을 추가하여 보다 강화된 보안 정책을 제시한다.
이는 현재 연구되고 있는 데이터 접근제어 방법과 큰 차이점을 가지고 있지는 않지만, [8]에서 제시한 메타데이터를 통한 명시적 거부 정책과 함께 최소 권한을 갖는 데이터 접근 제어 방식을 OLAP에 적용하여 보안 모듈이 얼마만큼 효율적으로 동작하는지에 그 목적을 두고 있다.
OLAP은 DW(Data Warehouse) 또는 특화된 DM(Data Mart)로부터 지식을 추출하여 의사 결정을 지원하는 시스템을 뜻한다. 주요 목적은 비전문가에게, IT 전문가의 개입 없이도, 다차원 데이터에 직접 접근하여 대화식으로 분석하고 Ad-Hoc 쿼리를 만들도록 하는 것이다[2].

제안 방법

실험에 사용되는 데이터셋은 OLAP에서 일반적으로 사용하는 Star-Schema의 형태로 구성하도록 한다. 각 쿼리문에서 필터링이 수행되는 구간을 Fact 영역과 Dimension 영역으로 나누어 여러 가지 조건별 쿼리 수행 시간을 측정하도록 한다.
구현된 보안 모듈들은 보안 객체에 대한 분류를 정의하고, 접근 제어를 수행하고, 최종적으로 사용자의 쿼리를 분석하여 권한에 속해 있는 데이터셋만을 반환하도록 설계되었다. 이 과정에서 보안 모듈의 수행 시간은 컨텐츠 수에 따라 1초 이내에서 증가하는 결과를 보여주었지만, 이는 컨텐츠수가 1만건일 때를 가정했을 경우이기 때문에 이보다 훨씬 작은 시간만이 소요될 수 있다.
이는 기존 OLAP 보안의 개념적 모델링 방법[9]에서 제시한, 허가된 보안 객체로의 접근만을 허용하는(명시적 허가), 보안 정책을 OLAP 시스템의 개방성을 위해 명시적 거부의 정책으로 바꾸기 위함이다. 또한 복잡한 요구 사항을 충족시키기 위해 컬럼 단위의 비교 함수를 직관적으로 사용할 수 있도록 하였다.
또한, 사용자가 작성한 Ad-Hoc 쿼리가 DBMS로 전달되기 전에 적용되는 보안 필터링 모듈의 수행 시간을 측정하여 전체적인 쿼리 수행 시간에 미치는 영향을 평가하도록 한다.
필터링된 쿼리의 구문 검사가 완료되고 성공적으로 쿼리가 생성되면 DBMS는 필터링된 결과를 사용자에게, 사용자가 어떠한 데이터에 대해서 필터링 되었는지에 대한 사실을 알 필요 없이, 접근 권한에 알맞은 정보를 제공하게 된다. 마지막으로 사용자는 제공된 정보를 필터링, 피벗, 차트, 대시 보드 등 사용하기 쉬운 형태로 분석하여 의사결정에 활용하도록 한다. 각 단계는 사용자에게 할당된 권한과 접근 객체를 정의하고, 사용자 질의의 보안 필터링을 통해 허가되지 않는 데이터 접근을 방지한다.
이 과정에서 Query Designer 내의 보안 모듈 GenerateSQLbeforeExecute를 통해 최종 사용자에게 접근 허가 된 큐브 데이터 셋을 반환한다. 마지막으로그 결과를 최종사용자에게 제공하여 Developer Express VCL Products에서 제공하는 분석 업무를 수행한다.
본 연구에서는 OLAP의 보안 객체를 컨텐츠, 기능, 데이터로 보안 객체를 분류하고, 쿼리를 보내기 전에 데이터 접근 제어 모듈을 사용하여 사용자별로 효율적인 큐브 데이터 셋을 얻을 수 있도록 구현하였다. 이렇게 만들어진 큐브 데이터 셋을 사용하여 최종 사용자는 허가된 데이터만을 사용하여 데이터 분석 업무를 진행할 수 있다.
OLAP의 분석 결과는 관계형 데이터베이스에 대한 쿼리 결과 셋을 연산하여 최종적으로 피벗 테이블의 형태를 갖는다. 본 연구에서는 데이터 접근 제어를 위한 SQL Generator 의 보안 모듈을 설계하고 OLAP 컴포넌트는 Developer Express VCL Products 를 사용한다.
본 연구에서는 위의 세 가지 컨셉들에 대한 설계와 구현을 위해 보안객체, 역할, 접근타입을 사용자UID를 중심으로 한 접근 제어 방식을 사용하였다. 이를 통해 기밀성, 무결성, 가용성을 확보할 수 있도록 하였다.
사용자가 작성한 쿼리문이 보안 필터링 모듈을 거치며 본래의 요청한 데이터보다 더 작은 데이터를 검색하고 반환하도록 수행되었다. 이는 인덱스, 클러스터링 여부 등에 따라 차등이 생기지만 대체적으로 본래의 쿼리 수행 속도보다 더 빠른 결과를 보여주었다.
사용자의 그룹이 변경 된 경우에는 조금 복잡한 프로세스를 가지게 된다. 새롭게 소속되는 그룹이 가지는 권한 중에 최소 권한이 있는지 검사하여 해당 최소 권한을 부여하고, 기존에 속했던 그룹만이 가지는 최소 권한이 있는지 검사한 후 기존 그룹의 최소 권한을 해제한다.
[8]에서 제시한 (그림 1)의 메타데이터를 통해 명시적 거부 정책을 사용한 접근 제어 방식은, OLAP의 개방성을 향상시키는 데에는 성공하였지만, 권한 충돌 시 보안 정책에 대해서는 제시하지 않고 있다. 위와 같은 기존 연구를 바탕으로 본 연구에서는 보안성 강화를 위해 추가로 권한 충돌시 최소한의 권한을 갖는 정책을 사용하였다.
본 연구에서는 위의 세 가지 컨셉들에 대한 설계와 구현을 위해 보안객체, 역할, 접근타입을 사용자UID를 중심으로 한 접근 제어 방식을 사용하였다. 이를 통해 기밀성, 무결성, 가용성을 확보할 수 있도록 하였다.
이렇게 만들어진 큐브 데이터 셋을 사용하여 최종 사용자는 허가된 데이터만을 사용하여 데이터 분석 업무를 진행할 수 있다. 이를 통해 기존 연구에서 다루지 않았던 OLAP 보안 적용에 대한 연구와 기밀성, 무결성, 가용성을 보장하는 보안 모듈에 대한 설계 및 구현을 연구하였다.
그렇기 때문에 실험에서는 변수로 컨텐츠의 수를 사용한다. 컨텐츠의 수가 100개, 1000개 10000개, 100000개 일 때의 서비스 제공 시간을 측정하여 OLAP 서비스에서의 접근 제어 성능을 평가하고자 한다.
보안 모듈에서 사용되는 10ms의 시간은 데이터 건수에 관계없이 일정하다. 컬럼 타입별 쿼리 수행 시간을 측정한 결과는 수치를 검색하는 FACT와 문자열을 검색하는 DIMENSION을 기준으로 측정하였다. 그 결과 문자열보다 상대적으로 컴퓨터의 비교 속도가 빠른 수치 값을 통한 필터링 결과가 조금더 빠른 쿼리 수행 시간을 사용하고 있음을 보여주고 있다.
보안 필터링에 소요되는 시간은 구문 검사 시간, 사용자데이터 필터링 정보 요청/응답 시간, 쿼리 리빌딩 시간이 포함된다. 필터링 되는 데이터에 따라 리빌딩 된 쿼리문이 지연시키는 시간을 측정하도록 한다.

대상 데이터

각 화면의 SQL문은 사용자가 Query Designer를 통해 작성한 질의문이다. 사용자는 최초 접근이 허가 된 테이블의 컬럼들을 사용하여 데이터 모델을 생성한다. 마우스 드래그와 클릭을 통해 여러 가지 집계 결과를 가질 수 있는 Fact 테이블과 Dimensional 테이블을 연결한다.

이론/모형

본 연구에서는 사용자 역할 관리를 위해 [8]의 사용자 역할 할당 구조 중 Authorization Meta Data Table을 사용하여 관리한다.

성능/효과

컬럼 타입별 쿼리 수행 시간을 측정한 결과는 수치를 검색하는 FACT와 문자열을 검색하는 DIMENSION을 기준으로 측정하였다. 그 결과 문자열보다 상대적으로 컴퓨터의 비교 속도가 빠른 수치 값을 통한 필터링 결과가 조금더 빠른 쿼리 수행 시간을 사용하고 있음을 보여주고 있다.
데이터건별에 따라 수행 시간이 증가는 것은 데이터베이스의 처리속도가 그만큼 오래 걸리는 것을 반영한다. 데이터건수 10만건에서 5천만건 사이의 쿼리 수행속도를 측정한 결과 0.1초 이내에서 수 십초 내지 수 분까지 소요되는 것을 확인할 수 있다. 보안 모듈에서 사용되는 10ms의 시간은 데이터 건수에 관계없이 일정하다.
두 번째, 컨텐츠 관리는 OLAP에서 사용하는 모든 사용자 제공 객체라 할 수 있다. 컨텐츠에는 분석 결과 테이블, 분석 결과 테이블을 이용하여 다차원 분석을 수행하는 피벗 테이블, 분석 된 결과를 그래프로 나타내는 차트, 여러 가지 분석 결과 화면들을 모아 한 곳에서 보여주는 대시보드, 사용자가 필요에 따라 저장하고 불러올 수 있는 모든 파일들이 속할 수 있다.
이 과정에서 보안 모듈의 수행 시간은 컨텐츠 수에 따라 1초 이내에서 증가하는 결과를 보여주었지만, 이는 컨텐츠수가 1만건일 때를 가정했을 경우이기 때문에 이보다 훨씬 작은 시간만이 소요될 수 있다. 또한 쿼리 필터링 보안 모듈의 시간은 데이터에 상관없이 메타데이터에서 사용자의 데이터 접근 조건을 검색하는 시간인 10ms 이내의 시간만을 사용함으로 전체적인 쿼리 수행 시간에 큰 영향을 미치지 않았고, 필터링 된 쿼리를 통해 더 작은 데이터셋을 반환함으로 전체 쿼리 수행 시간을 줄이는 효과를 보여주고 있다.
본 연구에서 구현한 OLAP 시스템은 조직의 정보계 시스템으로 운영될 수 있으며, 데이터베이스의 사용자별 보안 정보를 사용하여, 데이터 접근 제어가 적용된 분석 업무를 지원할 수 있다.
사용자가 로그인을 한 후 본인에게 해당되는 컨텐츠의 수에 따른 속도를 측정한 결과 10만건 이하 일 때는 1초 이내의 속도가 측정되었다. 보통 OLAP 시장에서 하루에 적으면 1건에서 많으면 25건 정도의 화면을 개발할 수 있다.
두 번째, 컨텐츠 관리는 OLAP에서 사용하는 모든 사용자 제공 객체라 할 수 있다. 컨텐츠에는 분석 결과 테이블, 분석 결과 테이블을 이용하여 다차원 분석을 수행하는 피벗 테이블, 분석 된 결과를 그래프로 나타내는 차트, 여러 가지 분석 결과 화면들을 모아 한 곳에서 보여주는 대시보드, 사용자가 필요에 따라 저장하고 불러올 수 있는 모든 파일들이 속할 수 있다. 이러한 컨텐츠는 공유 폴더와 개인 폴더를 통해 다른 사용자와 커뮤니케이션에 이용하거나 본인만의 분석 보고서를 만들고 사용하는 서비스를 제공하는 기본이 된다.

후속연구

그러나 구현하고 다루었던 보안 객체는 데이터에 대한 데이터 접근 제어 방법이었기 때문에 향후 컨텐츠, 기능까지 확장된 OLAP 보안 객체에 대한 접근 제어와 권한 할당 제어를 구현하고자 한다. 또한, 쿼리에 따라 불규칙적인 성능 평가 결과를 보여주었던 부분에 대해서 보안 필터링 모듈에 대한 알고리즘에 대한 추가적인 연구가 필요할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OLAP이란?	OLAP(On-Line Analytical Processing) 툴은 조직 운영에서 발생하는 데이터의 양이 많아짐에 따라 분석 수요도 함께 급증하며 전문 분석가의 역량만으로는 처리할 수 없는 분석 요구 사항을 충족시키기 위한 툴이다. OLAP에서는 다양한 사용자가 직접 데이터베이스에 접근하여 대화식으로 질의를 던지고 응답을 받아 분석 업무를 진행할 수 있다.
	OLAP는 사용자가 직접 조직의 데이터베이스에 접근하도록 지원하는 이유는?	OLAP은 다양한 사용자의 데이터 분석 수요를 충족시키기 위해 사용자가 직접 조직의 데이터베이스에 접근하도록 지원한다. 이렇게 구축된 OLAP 시스템은 고객관계관리(CRM), 경영정보시스템(MIS) 등에 이용된다.
	OLAP의 주요 목적은?	OLAP은 DW(Data Warehouse) 또는 특화된 DM(Data Mart)로부터 지식을 추출하여 의사 결정을 지원하는 시스템을 뜻한다. 주요 목적은 비전문가에게, IT 전문가의 개입 없이도, 다차원 데이터에 직접 접근하여 대화식으로 분석하고 Ad-Hoc 쿼리를 만들도록 하는 것이다[2].

참고문헌 (11)

한국IDC, "한국 DBMS(Database Management System) 시장 분석 및 전망 보고서, 2011-2015>", 2011.
Erik Thomasen, "OLAP Solutions : Building Multidimensional Information Systems", John Wiley & Sons, ISBN: 0471400300, 2002.
천현진, 김동희, "인터넷&시큐리티 이슈(Vol.2010 No.11, 3 Net Trend)", 한국인터넷진흥원, pp.35, 2010.
Abello, A., Romero, O. "On-Line Analytical Processing". In: Liu, L., Ozsu, M.T. (eds.) Encyclopedia of Database Systems, pp.1949-1954, Springer, 2009.
S. Sandhu, E. J. Coyne, H. L. Feinstein, and C. E. Youman, "Role-Based Access Control Models", IEEE Computer, Vol.29, No.2, pp.38-47, 1996.
X. Zhang, J. Park, and R. Sandhu, "Schema based XML Security: RBAC Approach," IFIPWG 11.3, pp.300-343, 2003.
Remzi kirgoze, Nevena Katic, Mladen Stolba, A Min Tjoa. "A Security Concept for OLAP". IEEE Computer Society, 1997.
PRIEBE T., PERNUL G., "A Pragmatic Approach to Conceptual Modeling of OLAP Security", ER 2001: 20th International Conference on Conceptual Modeling, pp.311-324, November 27-30, 2001.
Pernul, G., Winiwarter, W., Tjoa A M.: "The Entity-Relationship Model for Multilevel Security". In Proc. 12th International Conference on the Entity-Relationship Approach (ER'93); Arlington, Texas, USA, December 15-17, 1993.
Lingyu Wang and Sushil Jajodia, "Security in Data Warehouses and OLAP Systems", in Handbook of Database Security: Applications and Trends, Michael Gertz and Sushil Jajodia, editors, Springer, New York, 2008.
최지웅, 김명호, "XMLA를 사용한 OLAP과 데이터 마이닝 분석이 가능한 리포팅 툴의 구현", 정보과학회논문지 : 컴퓨팅의 실제 및 레터 제 15권 제 3호, 2009, 03.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증