DB암호화 방법과 안전성, 성능도 중요하지만 그에 못지 않게 중요한 것이 바로, DB암호화 키 관리 입니다. 키 관리의 가장 중요한 핵심 사항은 암호화 키와 데이터를 분리해서 보관해야 하는 것이 중요합니다. 하지만 일부 기업이나 관공서, 보안 관리자들은 이렇게 분리하는 방법이 효율적이고 안전한 방법이라는 것을 알고 있지만, 관리가 번거롭다는 이유로 인해서 암호화 키를 DB서버와 같이 두는 경우가 많습니다. 이는 굉장히 보안에 취약한 행위입니다. 마치 디지털 도어락 옆에 포스트잇으로 비밀번호를 적어두고 밖으로 외출하는 것과 같은 행위라고 볼 수 있습니다.
아래에서 암호화 키 관리 중요 핵심포인트 4가지를 알아보도록 하겠습니다.
1. 암호화 키는 키 관리 서버를 통해서 관리하고 저장하여야 합니다.
최근 일련의 DB보안사고를 통해서 DB접근제어와 권한 분리에 대한 인식이 제고되면서 키 관리 서버를 별도로 사용하는 경우가 늘어나고 있습니다. 해킹으로 인해 DB서버가 탈취되어도 HSM과 같은 장비를 통해 암호화 키가 물리적으로 별도의 공간에 저장되어 있으면 해커는 탈취한 DB서버의 데이터를 복호화할 수 없기 때문에 탈취한 데이터베이스도 결국에는 무용지물이 됩니다. 하지만 같은 공간에 암호화 키를 두게 되면 DB서버 해킹시에 모든 정보와 복호화 가능한 키까지 탈취되기 때문에 해킹으로 데이터 유측 즉시 바로 전부 사용가능한 데이터가 되어버립니다.
작년에 일어난 카드 3사 유출사고에서는 이러한 데이터들이 복호화 되어 대량으로 유출되어서 큰 타격을 입었습니다. 그 이후로 많은 금융기관에서 암복호화 작업을 외부에서 처리하면서 키 관리도 할 수 있는 하드웨어 어플라이언스 솔루션을 많이 도입하고 있습니다. 대표적인 어플라이언스로는 하드웨어 암호화 모듈(HSM)이 있습니다.
[Thales HSM - nshield Connect]
2. 암호화 키는 외부 공격으로 안전하게 키를 보호할 수 있는 안정성이 검증된 저장소에 보관되어야 합니다.
해커의 공격방식은 다양합니다. DB서버를 공유하여 키 관리 서버를 공격할 수 있는 방법도 있습니다. 키 관리 서버가 범용 소프트웨어 운영체계를 사용하고 있다면 보안 취약점을 통해서 공격할 수도 있습니다. 이러한 취약점을 상쇄하기 위해서 보안성이 강화된 전용하드웨어 어플라이언스를 사용하는 것이 중요합니다. FIPS 인증과 CC 인증 등의 국제 보안인증을 받은 제품을 사용하는 것이 서버의 안전성을 판단하고 보안성을 향상시키는 방법입니다.
(Thales HSM 제품군 FIPS 140-2 인증서)
Thales HSM은 FIPS 140-2 Level 3 및 CC EAL 4+ 인증을 받은 하드웨어 보안 어플라이언스로 안전성이 검증되어 있습니다. 또한 지속적인 소프트웨어 업그레이드 가능하고, 기타 Thales 보안 제품과 호환됩니다.
또한, Thales 제품군은 Mircrosoft Gold 파트너이며, 오라클 인증 파트너로 신뢰성이 뛰어납니다.
3. DB관리자, 데이터보안관리자, 암호화키 관리자 등 확실한 계정의 권한분리를 해야합니다.
만약 단순 DB관리자 계정에 복호화 권한까지 있다면 해커는 이 1개의 계정만 탈취하여 모든 데이터의 접근권한과 복호화 권한까지 손쉽게 취득할 수 있는 결과를 가져옵니다. 따라서 DB관리자와 보안관리 계정을 별도로 분리하고 보안관리자의 계정관리에 신경을 써야합니다.
접근제어를 통해서 체계적인 보안단계를 지정해야 하는 것이 매우 중요합니다.
4. DB암호화 적용시에는 안전성을 고려하여 도입해야합니다.
암호화 키와 데이터를 분리해서 관리할 수 있는 방식인지 고려해야 하며, 암호화시 성능도 중요한 요소이니 고려해야합니다.
Thales HSM은 전세계 1위 시장을 점유하고 있는 하드웨어 암호화 어플라이언스로 접속형과 내장형 모델의 2가지 모델을 지원하고 있습니다. (접속형 - nShield Connect, 내장형 - nShield Solo)
특히 접속형인 nShiled Connect는 모든 메모리의 Solid-State 방식의 설계와 핫-스와핑 방식의 이중 전원, 햔장 수리가 가능한 냉각 팬 트레이를 포함하여 성능과 안정성 면에서 뛰어나며, HSM을 서로 결합하는 형태로 부하조절 및 Fail-over에 대응할 수 있습니다. SNMP 지원을 통해 전원, 온도, 냉각 팬 속도 및 기타 항목들에 대한 원격 모니터링 기능을 실현하고 있습니다.
※ nShield Connect는 핫-스와핑 방식의 이중 전원, 필드 서비스 가능한 냉각 팬 트레이, 옵션으로 제공되는 렉 마운트용 슬라이드 레일이 제공됩니다.
Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 보안장비 담당자에게 연락 주시면 친절하게 상담해드립니다.
(견적 및 도입문의 등)
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
개인정보보호법 시행령 일부개정령 입법예고, DB암호화 필수 (0) | 2015.07.31 |
---|---|
보안법률 속 DB암호화 관련 법안 (개인정보보호법, 정보통신망법) (0) | 2015.07.03 |
지불결제보안표준 PCI DSS v3.0을 준수하는 방법, 탈레스 HSM (0) | 2015.07.02 |
개인정보보호, DB암호화 솔루션 - Thales HSM (0) | 2015.06.25 |
FIPS 140-2 인증 HSM, DB 암호화 모듈 <Thales nCipher HSM> (0) | 2015.05.13 |
핀테크 보안 전략, PCI DSS 3.0 인증 - 지불결제정보보안 표준 (0) | 2015.04.21 |
2015년 개인정보 관리실태 점검 일정 및 개인정보보호법 시행령 요약 (0) | 2015.04.15 |
기업 지적재산(IP) 보호 및 사기 방지를 위한 보안 솔루션, HSM (0) | 2015.04.03 |
[DB보안] 고객정보 유출 카드사, 영업정지 기간 및 과징금 대폭 증가 (6개월, 1억원) (0) | 2015.03.27 |
네트워크 암호화 어플라이언스 - DataCryptor Link and Layer 2 Encryption (0) | 2015.03.13 |