HSM 장비를 선택하는 키 포인트는?
개인정보보보법과 정보통신망법개정으로 주민등록번호, 개인의료정보 데이터 등을 보관하는 기업의 고민은 많아지고 있습니다. 특히 예전과 달리 인터넷을 사용하는 국민들의 보안 의식이 높아지고, 큰 업체의 연이은 보안사고로 인해서 이제 개인정보보호는 선택이 아니라 개인정보를 취급하는 기업, 기관이라면 반드시 해야하는 필수 요소가 되었습니다.
DB보안을 위해서 가장 중요한 것은 기술적 조치입니다. 이러한 기술적 조치를 하기 위해서 많은 기업들이 선택하는 것은 바로 DB를 암호화 시키는 것입니다. 또한, 암호화시 서버의 부담을 경감하고 권한 분리와 암호화 키 관리를 위해서 DB암호화를 하는 많은 기업들은 HSM을 도입하고 있습니다. 많은 기업들이 DB암호화를 AES256등의 상용화 알고리즘으로 하기 때문에 보안성이 강력하다고 말하지만, 이를 증명할 수 있는 방법이 없어서 불안한 것은 사실입니다.
보안 장비의 특성상, 신뢰성 있는 보안 장비를 선택해야 합니다. HSM 선택시에 중요하게 보아야할 포인트를 알려 드리겠습니다.
Key Point!
1. FIPS 140-2 인증 여부
2. 모든 암호화 대상의 암호화 키를 안전하게 저장하고 관리할 수 있는 장치
3. 접근제어와 권한분리의 기능의 여부
여기에 추가로 서버의 부하를 경감하거나 암호화 성능의 향상등의 부가적인 요소가 붙습니다.
위 포인트 중에서 가장 확실한 방법으로는 바로 FIPS 인증여부를 확인하는 것입니다. HSM 솔루션 소개에서 반드시 FIPS 140-2 인증을 받은 HSM을 사용하는 것이 안전합니다.
FIPS 140-2는 암호화 및 보안요건에 관한 규정으로 미국 연방정부에서 인증하는 정보처리의 표준규격입니다. FIPS를 제정한 곳은 미국국립기술연구소로써 140-2는 미국국립기술연구소에서 '이 제품은 강력한 보안 기술이 적용되어 있음'을 뜻합니다.
※ 미국국립연구소 : National Institute of Standard and Technology : NIST
그리고 FIPS 140-2에도 보안 등급이 있습니다. 미국국립연구소의 FIPS 140-2 등급은 총 4단계로써 등급에 대한 자세한 설명은 아래와 같습니다.
레벨 |
설명 |
Level 1 |
기본적인 보안 요구사항에 대한 평가를 받은 제품, 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미한다. |
Level 2 |
물리적인 장비 해체 방지 등에 대한 대책, 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다. |
Level 3 |
암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제하도록 한다. 또한, 인증된 엑세스를 요구해야 한다. |
Level 4 |
수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공한다. |
위의 내용을 숙지하셨으면, 이제 HSM 제품을 선택하는데 있어서 FIPS 140-2 인증을 받았는지 여부를 찾아보아야 합니다. 미국국립연구소 NIST에서는 웹사이트를 통해 인증을 받은 업체와 제품을 공개하고 있습니다. 아래의 페이지에서 140-1 과 140-2 인증을 받은 업체를 찾아볼 수 있습니다.
※ 140-2 인증 제품 찾기 : http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm
Thales nShield HSM의 장점
[Thales nCipher HSM]
운용상의 장점
1. 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공
2. 규제 (예: PCI DSS) 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소
3. 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장
4. OEM 기기를 위한 보안 강화 및 암호연산 기속기능 제공
보안상의 장점
1. 중요 애플리케이션의 보안 강화를 위해 위변조 방지, 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공
2. 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하는 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중 통제를 확립
3. 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행
※ 보호 가능한 보안시스템 : 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹 패브릭(Web Fabric), DNS 보안확장(DNSSEC), 코드 서명 등
Thales HSM에 대한 더 많은 정보는 아래의 링크를 누르면 확인하실 수 있습니다.
※ http://it.imarketkorea.com/hsm.php
김 경 일
대리 │ IT 솔루션 영업팀
TEL : +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
글로벌 핀테크 산업에 반드시 필요한 지불결제보안표준, PCI DSS (0) | 2016.02.12 |
---|---|
행정자치부, 개인정보 관리 부실업체 명단 공개 (0) | 2016.02.04 |
카드 3사 개인정보유출 피해자, 집단 소송에서 승소 (0) | 2016.01.29 |
Thales nShield Solo 확장 기능 소개 (DB암호화 솔루션) (0) | 2016.01.28 |
고성능 PCIe 내장형 암호화 모듈 Thales HSM nShield Solo (0) | 2016.01.24 |
은행권도 주민등록번호 암호화 조치 동참 (0) | 2015.12.29 |
헌법재판소, 2018년부터 주민등록번호 변경 허용 (0) | 2015.12.24 |
DB암호화의 핵심은 암호 키 관리, HSM으로 해결! (0) | 2015.12.11 |
개인정보유출사고 과징금, 최대 수천억원까지 나온다. (0) | 2015.12.10 |
[특가 프로모션] DB 암호화 키 관리용 Thales HSM (0) | 2015.11.27 |