Thales nShield Solo 확장 기능 소개 (DB암호화 솔루션)

Thales nShield SOLO 제품은 독립형 서버나 어플라이언스와 연동되는 PCI 또는 PCIe 카드로써 디바이스에 내장되어 다양한 기능적 요구를 충족할 수 있도록 타원곡선암호 모델을 포함한 다양한 기능을 내장하고 있습니다. 자세한 스펙은 아래를 참조해주시기 바랍니다.

1. 폼펙터 - PCI 및 PCIe 인터페이스 카드로 제공됩니다.

2. 인증 - 제품별로 FIPS 140-2 Level 2, FIPS 140-2 Level 3 인증을 받았습니다.

3. 제품군 - 성능에 따라 500, 2000, 4000, 6000의 4종류의 제품군이 있습니다. 

    ※ 수치 산정 : 1024 비트 RSA 서명의 경우 초당 트랜잭션 수를 나타냅니다.

    ※ PCIe 6000+ 모델은 고성능의 타원곡선 암호화에 최적화 되어 있는 모델입니다.

Thales e-security의 고성능 내장형 HSM nshield Solo에는 다양한 추가 기능들이 있습니다. HSM에 새로운 기능을 추가하여 더 강력한 보안과 고효율의 성능을 이끌어 낼 수 있습니다.

Thales nshield Solo HSM의 다양한 확장 기능은 아래와 같습니다.

CipherTools 개발자 도구 키트	CodeSafe
타원 곡선 암호화 기능	데이터베이스 보안 옵션 팩
타임 스탬프 옵션 팩	nShield 용 PlayShield 카드 소지자 인증
원격 실행	KCDSA 활성화

CipherTools 개발자 도구 키트

CipherTools 개발자 도구키트를 사용하면 개발자는 HSM을 사용자 정의 응용 프로그램에 통합 할 때 nShield HSM 제품군이 제공하는 앞선 기능들을 충분히 활용할 수 있습니다. 이 개발자 도구키트는 자습서 및 참조 문서 류, 다양한 고급 언어로 작성된 예제 프로그램 및 비즈니스 응용 프로그램과의 통합을 위한 기능 확장 추가 라이브러리가 포함되어 있습니다. 이 추가적인 라이브러리는 표준 애플리케이션 프로그램 인터페이스 (API)에 의해 실현 가능한 범위를 넘어설 수 있도록 해줍니다.

CodeSafe (코드세이프)

CodeSafe을 사용하면 응용 프로그램 개발자는 nShield HSM의 보안 영역에 로드되는 프로그램을 작성하여 표준 서버 플랫폼에서 볼 수 있는 내부 관계자에 의한 공격, 악성 코드, 트로이 목마 등의 위협에서 해당 프로그램을 보호 할 수 있습니다. CodeSafe는 "샌드박스"라는 응용 프로그램을 제공합니다. 샌드박스는 코드의 무결성을 검증하고 위변조 방지가 확보된 방법으로 실행을 허용하기 때문에 신뢰할 수 없는 영역에 배치된 애플리케이션에 적용하기에 이상적 입니다. 

안전한 실행 능력은 보안을 강화하고 개인 키와 비휘발성 사용자 메모리, 하드웨어에 의해 보호되는 시간 정보와 같은 보안이 중요한 자원의 사용에 대해 세분화 된 접근 제어를 제공합니다. CodeSafe의 사례를 들어보면, 디지털 미터, 인증 에이전트, 타임 스탬프 엔진, 감사 로거, 디지털 서명 에이전트, 사용자 정의 암호화 프로세스 등이 있습니다. CodeSafe는 nShield Edge를 제외하고 FIPS 140-2 레벨 3 인증을 받은 모든 nShield HSM에서 사용할 수 있습니다.

CodeSafe 활성화	활성화 CodeSafe을 사용하는 경우 CodeSafe 프로그램을 실행하는 HSM 1대 마다  1개의 CodeSafe 활성화 라이센스가 필요합니다.
CodeSafe SSL 활성화	SSL 활성화는 CodeSafe 옵션 기능으로 HSM에서 SSL 세션을 안전하게 종료 할 수  있도록 합니다. 신중하게 취급해야 텍스트 데이터가 호스트에 텍스트로 노출되는  표준 SSL 호스트 기반의 종단과 달리 CodeSafe SSL은 개인 계좌번호 (PAN) 및  패스워드와 같은 신중하게 취급해야 데이터를 end-to-end 암호화를 통해 완벽히  보호 할 수 있습니다.

타원 곡선 암호 (Elliptic Curve Cryptography : ECC) 활성화

nShield HSM은 표준 기능 세트의 일부로, AES, DSA 및 RSA를 포함하는 여러 가지 암호화 알고리즘을 제공합니다. 타원 곡선 암호 (ECC)를 사용하는 경우는 ECC 활성화 라이센스를 구입할 수 있습니다. 이 활성화 라이센스는 모든 nShield Solo 모델과 Connect 모델의 ECC 작업을 활성화합니다. ECC의 높은 처리 능력을 필요로 할 경우, 지금 소개 드리는 두 가지 nShield 모델을 사용할 수 있습니다. nShield Solo PCIe 6000+ 및 nShield Connect 6000+ 가 그것이며 이들의 ECC 성능은 하드웨어에 의해 최적화되었고, ECC 활성화 라이센스가 번들로 포함되어 있습니다.

데이터베이스 보안 옵션 팩

대부분의 경우 데이터베이스에는 가장 신중하게 처리 되야 할 데이터가 저장되어 있습니다. 따라서 주요 데이터베이스 공급 업체들은 자사의 데이터베이스 서버 제품 내에 네이티브 암호화 기능을 구현하고 있습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft 확장 키 관리 (Extensible Key Management : EKM) API를 추가적으로 지원합니다. 이 옵션 팩은 투명한 데이터 암호화 기능(Transparent Data Encryption : TDE)을 이용하여 Microsoft SQL Server 2008 시스템에있는 중요한 데이터 보호에 사용되는 키에 대한 보호를 강화할 수 있으며 여러 데이터베이스 및 시스템에 분산되어있는 키를 관리하고 키 관리 및 데이터베이스 관리 역할을 분리합니다. Oracle 11g TDE 사용자는 이 옵션 팩 없이 이러한 기능을 충분히 활용할 수 있습니다. 

타임 스탬프 옵션 팩

보안 타임 스탬프는 특정 시간에 특정 데이터가 있었다는 것을 증명하고, 그 시점에서 데이터가 조작되지 않았는지 검수할 수 있는 기능입니다. 이것은 디지털 아카이브, PKI, 코드 서명, 공증 서비스, 특허 출원, 추첨, 복권이나 게임과 같은 애플리케이션에 매우 중요합니다. 탈레스의 Time Stamp Server는 즉시 사용할 수 있는 타임 스탬프 솔루션을 필요로 하는 기관을 대상으로 하는 솔루션입니다. OEM 솔루션을 찾고 있거나 별도의 다른 HSM 기능과 결합하여 사용하고 싶다면 타임 스탬프 옵션 팩을 통해 nShield Solo 500에 표준 타임 스탬프 기능을 사용할 수 있습니다. 타임 스탬프 옵션 팩은 FIPS 140-2 레벨 3 인증을 받은 nShield Solo HSM에만 적용됩니다 (FIPS 140-2 레벨 2 인증을 받은 nShield Solo HSM에는 사용할 수 없습니다). 사용자 정의 응용 프로그램에 타임 스탬프 기능을 추가 할 경우, 타임 스탬프 개발자 용 소프트웨어가 유용합니다.

타임 스탬프 개발자 도구 키트

타임 스탬프 개발자 도구 키트는 사용하기 쉬운 API로써 Time Stamp   Server 또는 타임 스탬프 옵션 팩이 적용된 nShield HSM 이 설치된 서버에  서 사용되어 타임 스탬프를 응용 프로그램에서 요청하거나 확인 할 수  있습니다. 타임 스탬프 사용은 FIPS 140-2 레벨 3 인증을받은 nShield  Solo HSM으로 제한됩니다 (FIPS 140-2 레벨 2 인증을 받은 nShield Solo  HSM에는 사용할 수 없습니다.)

nShield용 PayShield 카드 소지자 인증

신용 카드 및 온라인 뱅킹과 관련된 부정 행위를 방지하기 위해 많은 금융 기관이 실제 카드 제시를 수반하지 않는 거래에 대한 추가적인 보안 대책을 구현하고 있습니다. nShield 용 payShield 카드 소지자 인증은 온라인 뱅킹 트랜잭션을 위한 Chip & PIN (CAP) 인증, 3-D Secure, "Verified by Visa", "MasterCard SecureCode" 등 다양한 수단을 통해 카드 소지자 인증을 가능하게 함으로써 다른 탈레스 지불결제 제품을 보완합니다. 이 옵션은 ActivIdentity, Arcot, Bell ID 및 Gemalto를 포함한 카드 소지자 인증 솔루션과 통합 할 수 있습니다. nShield 용 payShield 카드 소지자 인증을 사용할 수 HSM은 FIPS 140-2 레벨 3 인증을 받은 nShield Solo 로 제한합니다. (FIPS 140-2 레벨 2 인증을 받은 nShield Solo HSM에는 사용할 수 없습니다)

키 로딩 장치

일부 기관은 중요한 데이터를 파트너 또는 다른 벤더 시스템 사이에서 안전하게 교환하기  위해 키 구성 요소를 가져 오는 방법을 취하고 있습니다. nShield 키 로딩 장치는 전용   보안 PIN 패드의 사용을 통해 nShield HSM 대칭 암호화 키 조각을 로드하는 것을   허용합니다. Key Loading Device 사용시는 nShield 용 payShield 카드 소지자 인증 기능을  사용해야 합니다.

원격 실행

HSM은 일반적으로 물리적으로 안전한 완전 자동 데이터 센터에서 실행되지만, 많은 경우 이러한 데이터 센터는 중복 구성되어 있습니다. 따라서 운영 시 항상 물리적으로 HSM에 직접 접속 하는 것은 비현실적인 것으로 간주되는 것이 보통입니다. 원격 실행 기능은 사용자가 워크 스테이션에서 직접 원격지에 있는 HSM에 보안 카드를 안전하게 제공 할 수 있도록 함으로써 시간을 절약하고 출장 비용을 줄일 수 있습니다.

KCDSA 활성화

국가 안보의 관계가 강한 정부와 기업의 민감한 분야에서는 가장 신중하게 처리 할 정보를 보호하기 위해 자체 개발 한 국내용 암호화 알고리즘을 선호하는 경우가 있습니다. 이러한 보안 문제가 있으면 보안 HSM 플랫폼에서 이러한 알고리즘을 실행하는 것이 안성맞춤입니다. KCDSA 활성화는 한국의 정부 기관이 nShield HSM에서 KCDSA (Korean Certificate-based Digital Signature Algorithm)을 사용하는 것을 허용합니다. 보호 된 HSM 플랫폼에서 그 나라 고유의 알고리즘을 구현하려는 경우에는 Thales의 CodeSafe 기술의 사용을 권장합니다.

(주) 아이마켓코리아
김 경 일
대리 │ IT 솔루션 영업팀
TEL : +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090