개요
이 문서는 Oracle 데이터베이스 환경에서 TDE(Transparent Data Encryption) 의 키 생성, 활성화 및 검증 방법에 대해 정리합니다. 온프레미스 및 클라우드 환경 모두를 포함하며, NON-CDB 및 CDB 환경에서의 확인 방법을 예제로 제공합니다.
1. TDE 개념 요약
| 항목 | 설명 |
|---|---|
| TDE | Oracle Advanced Security 옵션의 일부로, 저장된 데이터 암호화를 제공 |
| 암호화 대상 | 테이블스페이스 단위 또는 컬럼 단위 암호화 가능 |
| 키 저장 위치 | 소프트웨어 키스토어 (e.g., ewallet.p12), Oracle Key Vault, HSM 등 |
| 보안 목적 | 저장 데이터 보호, 분실 디스크에 대한 보안성 확보 |
| 운영 방식 | 데이터 파일은 자동 암호화되고 복호화는 DB 내부에서 투명하게 수행됨 |
2. NON-CDB 환경에서 키 검증
SQL 예제
set lines 9999
col KEY_ID for a60
col CREATION_TIME for a40
col ACTIVATION_TIME for a40
col ACTIVATING_DBNAME for a20
col USER for a15
col CREATOR for a15
col CREATOR_DBNAME for a15
select key_id, CREATION_TIME, ACTIVATION_TIME, CREATOR, USER, KEYSTORE_TYPE, CREATOR_DBNAME, ACTIVATING_DBNAME
from v$encryption_keys;
KEY_ID CREATION_TIME ACTIVATION_TIME CREATOR USER KEYSTORE_TYPE CREATOR_DBNAME ACTIVATING_DBNAME
------------------------------------------------------------ ---------------------------------------- ---------------------------------------- --------------- --------------- ----------------- --------------- --------------------
qZt1iHLdlU/Av63Ua6NEkKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 29-JAN-24 01.12.09.910000 AM -07:00 29-JAN-24 01.12.09.910003 AM -07:00 SYS SYS SOFTWARE KEYSTORE ora19d_db ora19d_db
qVivspxWyxFU9Gv7zEOGzfgAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 29-JAN-24 01.18.54.318558 AM -07:00 29-JAN-24 01.18.54.318560 AM -07:00 SYS SYS SOFTWARE KEYSTORE ora19d_db ora19d_db
###
3. CDB 환경에서 키 검증
SQL 예제
set lines 9999
col KEY_ID for a60
col CREATION_TIME for a40
col ACTIVATION_TIME for a40
col ACTIVATING_DBNAME for a20
col USER for a15
col CREATOR for a15
col CREATOR_DBNAME for a15
col ACTIVATING_PDBNAME for a15
select key_id, CREATION_TIME, ACTIVATION_TIME, CREATOR, USER, KEYSTORE_TYPE,
CREATOR_DBNAME, ACTIVATING_DBNAME, ACTIVATING_PDBNAME, CON_ID
from v$encryption_keys;
KEY_ID CREATION_TIME ACTIVATION_TIME CREATOR USER KEYSTORE_TYPE CREATOR_DBNAME ACTIVATING_DBNAME ACTIVATING_PDBN CON_ID
------------------------------------------------------------ ---------------------------------------- ---------------------------------------- --------------- --------------- ----------------- --------------- -------------------- --------------- ----------
AUt1siHLlU/wA63U2a56N6EkKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 29-JAN-24 01.12.09.910000 AM -07:00 29-JAN-24 01.12.09.910003 AM -07:00 SYS SYS SOFTWARE KEYSTORE ora19d_db ora19d_db CDB$ROOT 1
AisxpWyFv9xGv7EqRRYGxzfgAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 29-JAN-24 01.18.54.318558 AM -07:00 29-JAN-24 01.18.54.318560 AM -07:00 SYS SYS SOFTWARE KEYSTORE ora19d_db ora19d_db ORA19D_PDB1 34. TDE 키 관련 주요 뷰
| 뷰 이름 | 설명 |
|---|---|
v$encryption_keys |
현재 메모리에 로드된 암호화 키 목록 |
v$encryption_wallet |
키스토어 상태, 위치, 열림 여부 등 확인 가능 |
v$tablespace / dba_tablespaces |
암호화 여부 ENCRYPTED 컬럼으로 확인 |
요약
- TDE는 저장 데이터 암호화 보안을 위한 핵심 기능이며, 키는
v$encryption_keys뷰에서 실시간으로 조회 가능 - CDB 환경에서는 PDB별 키 확인을 통해 격리된 보안성을 유지 가능
- 키스토어가 잠겨 있거나 손상되면 DB 마운트/오픈 불가 상황이 발생할 수 있으므로 키 관리 정책이 필수
