본문 바로가기

nCipher HSM (Thales-HSM )

[네트워크 보안] 네트워크 암호화의 중요성과 고려해야 할 사항


네트워크 암호화의 중요성과 고려해야 할 사항

물리적 네트워크의 중요성은 몇번을 강조해도 지나치지 않습니다. 최근에는 진정한 의미에서 안전한 개인 네트워크를 실현하는 조직은 거의 없고, 다른 조직과의 네트워크 인프라를 공유하고 있습니다. 결과적으로 이러한 공공 네트워크 및 가상 개인네트워크에서 교환되는 정보는 종종 도청에 취약하기까지 합니다.


따라서 데이터 프라이버시에 대한 오늘의 요구사항과 표준에 따라 사용중인 데이터를 보호하는 것이 요구되고 있습니다. 각 조직은 데이터암호화를 위해 선택한 응용프로그램 수준에서 수행하거나 데이터베이스(Database) 또는 다른 스토리지(Storage) 환경에서 수행여부를 선택할 수 있는 반면에 네트워크를 통해 이동하는 데이터 집합을 보호하는 것은 즉석방식이지만, 특별한 보안 레이어를 추가하는 데에는 매우 효과적인 수단입니다.


네트워크 암호화는 규제된 데이터가 잘못된 보호조치를 실시하고 제출되어 버렸을 경우에는 이를 보호합니다. 또한, 전용 보호조치를 베푸는 정도는 아니지만 역시, 신중하게 취급한다고 간주하는 것과 같은 기타 모든 중요 데이터 파티션에 안전한 보안을 제공합니다.

네트워크 수준의 암호화는 비교적 성숙한 기술이지만, 그것을 사용하는 조직은 어떤 유형의 네트워크 암호화를 도입할 것인지를 결정할 때 몇가지 고려해야 할 사항이 있습니다.



[네트워크 암호화 도입시 체크해야할 내용]

1. 어떤 네트워크 트래픽을 암호화 해야하는 것인가?

대부분의 네트워크 어느정도 오픈되어 있지만, 그 중에는 다른 것들보다 훨씬 개방적인 것들이 있습니다. 내부의 유선 네트워크는 내부자 공격의 위협의 노출될 수 있기 때문에 가장 신중하게 처리할 데이터에 대해서만 취약하다고 간주 할 수 있습니다.

이와는 대조적으로 핵심 네트워크와 광역 네트워크(WAN) 연결은 외부 서비스 공급자가 제공하는 파이프를 공유하는 것이 보통이므로 일반적으로 더 신중하게 검토해야합니다. 무선근거리통신망(LAN)이나 무선 WAN 상의 트래픽은 거의 모든 설정에서 트래픽을 암호화 해야합니다. 인터넷 트래픽 또한 마찬가지로 암호화는 필수입니다. 


2. 트래픽은 OSI 네트워크 모델의 Layer2 및 Layer3 중 무엇으로 암호화 할 것인가?

이 선택에서 문제가 되는 것은 오버헤드로 예상되는 대역폭의 낭비입니다. IPSec등의 잘 알려진 프로토콜을 사용하여 Layer3에 암호화를 적용하면 네트워크의 다른장비가 사용하는 라우팅 정보를 유지해야 합니다. 이 방법은 많은 비용을 초래하고 결과적으로 네트워크 용량 및 대기시간에 영향을 미치게 됩니다. Layer2 암호화는 더 낮은 계층에서 행해지므로, Layer3에서 사용되는 라우팅 정보 흐름 관리방법과는 관계없이 대부분의 경우 보다 효율적으로 암호화 할 수 있습니다.

하지만 IPSec 네트워크 암호화가 일반적인 형태인 것에는 변화가 없습니다. 그러나 대역폭 및 지연시간이 가장 중시되는 데이터센터간의 고속연결의 경우는 Layer2 암호화를 고려 할 수 있습니다.


3. 현재 보안 요구의 적합한 암호화 방식의 선택

네트워크 수준의 암호화는 비교적 성숙한 기술이므로 라우팅 장비 및 스위칭 장비의 임베디드 기능 또는 네이티브 기능으로 사용할 수 있도록 되어있는 것이 보통입니다.

독립형 암호화 플랫폼은 임베디드 암호화 기능과 대등한 또 하나의 선택으로 높은 수준의 보증과 전용키 관리 기능의 장점을 겸비하고 있씁니다.

독립형 암호화 플랫폼은 FIPS 140과 CC 기준등의 보안 벤치마크를 기반으로 독립적인 기관의 인증을 받았으며, 변조방지 뿐만 아니라, 네트워크 관리자 및 보안 책임자의 업무를 명확하기 분리할 수 있는 기능을 제공합니다.

독립형 네트워크 암호화 플랫폼은 데이터센터간의 고속연결에 특히 유용합니다. 세계적으로 상호 연결된 조직 및 서비스 공급업체에서는 최적화된 대역폭, 확실한 재해복구성 및 스토리지 영역 네트워크(SAN) 및 트랜잭션시스템, 클라우드 컴퓨팅과같은 핵심시스템의 보안과 같은 요소들을 유기적으로 결합해야 합니다. 이 구간의 연결은 보안을 최대한 투명하게 확보하는 것이기 때문에 기업의 중요한 성공요인이 될 수 있고 네트워크 서비스 공급자의 큰 차별화 요소가 될 수 있습니다.




[네트워크 암호화의 중요성]

네트워크는 여러가지 위험성에 노출되기도 합니다. 예를 들면 공격자가 네트워크를 통해 이동하는 미 암호화된 데이터를 읽을 수 있기 때문에 프라이버시가 손상될 뿐만 아니라 더 정교한 공격으로 이행하는 단계로써 내용이 수정 또는 대체될 수 있습니다. 그리고 많은 기업들의 요구사항 중 하나로 사용중인 데이터에 대한 보호를 요구하고 있기 때문에 데이터에 대한 보호를 구축하지 않는 기업은 벌금이나 데이터 유출의 위험에 노출되어 신뢰성을 잃어버릴 우려가 있습니다.

응용프로그램에 따라 라우터나 스위치에 내장된 암호화 기능은 필요한 보안의 헛점과 성능의 저하를 가져올 수 있습니다.


이러한 네트워크 암호화를 완벽하게 구축할 수 있는 솔루션으로 Thales e-Security 솔루션이 있습니다. Thales 솔루션 도입을 통해 기업은 네트워크를 통한 공격 방어, 데이터 암호화 보호, 보안성 강화와 성능 향상을 한번에 구현할 수 있습니다.


[네트워크 암호화 : Thales e-Security 솔루션]

독립형 네트워크 암호화 플랫폼을 사용하기 전에 검증된 솔루션을 도입하여 신중하기 취급해야 높은 가치의 데이터가 전송 중에 노출시킬 수 없도록 최대한의 신뢰성을 실현할 수 있습니다. DataCryptor 네트워크 암호화 플랫폼은 미 암호화된 데이터 전송 및 라우터나 스위치에 내장된 기본 암호화 기능 모두에 대해 보호를 강화합니다.

DataCryptor 제품군의 네트워크 암호화 플랫폼은 최첨단의 처리량과 지연시간을 실현하면서, 다양한 네트워크 유형과 암호화 프로토콜 및 인증수준에 대한 광범위한 지원을 제공할 수 있도록 설계되어 있습니다.






성능 및 도입 유연성의 이상적인 조합은 지연시간, 대역폭의 활용, 업무의 명확한 분리가 가장 중시되는 지점간 네트워크 및 멀티포인트 네트워크 보안을 확보하려는 조직 및 서비스 공급업체에게 필수적이라고 할 수 있습니다. 대표적인 이용 시나리오는 다음과 같은 경우를 들 수 있습니다.


[Thales e-Security DataCryptor 대표적 이용 시나리오]

1. 지리적으로 분산된 가상 개인네트워크에 의해 상호연결된 사무실을 가진 기관 및 단체

2. 고속광역네트워크(WAN) 연결을 사용하여 미러링 또는 복제된 데이터센터를 가진 조직

3. 마이크로파 또는 무선 기반 네트워크를 사용하는 조직

4. 고품질의 암호화된 데이터 네트워킹 서비스를 제공하고자 하는 서비스 제공업체

5. 보증할 수 있는 제한된 네트워크에 국내 전용 알고리즘 및 키 관리 기술을 사용하고자 하는 정부 기관



[Thales E-Security DataCryptor로 얻을 수 있는 장점]

1. 탈레스가 가진 20년 이상의 입증된 기술에 의해 보장할 수 있는 네트워크 암호화 솔루션을 구축할 수 있습니다.

2. 가장 효율적인 데이터 전송매체, 네트워크 속도, 프로토콜을 이용하기 때문에 비용을 절감 할 수 있습니다. 

3. DataCryptor 플랫폼은 IP Layer 2 이더넷, E1/T1 및 E3/T3 SONET / SDH, LINK 및 프레임 릴레이에 사용할 수 있습니다.

4. 위변조 방지 물리적 보안 강화, 강력한 인증, 하드웨어 기반의 키 생성, 내장 및 원격 키관리 등 네트워크 스위치나 라우터의 기본 암호화 기능에서 실현될 수 없는 보안 기능의 이점을 이용할 수 있습니다.

5. 네트워크 관리자 및 보안 책임자의 업무 분리를 실현함으로써 내부자에 의한 공격의 위험을 줄일 수 있습니다.

6. 국가별, 혹은 그 국가의 공인된 암호화 알고리즘 및 키 관리 표준을 확장하려고 하는 조직은 구체적인 요구에 맞게 사용할 수 있고, 자정의 알고리즘을 다시 프로그램 할 수 있는 기성품 암호화 장치 사용을 통해 비용을 최소화 할 수 있습니다.

7. FIPS와 공통평가 기준 등 세계적인 보안 표준 및 UK CESG / CAPS 등의 지역적 인증기반을 받은 장치를 사용하여 규정준수를 간소화합니다.


VPN(가설사설망)과 Thales DataCryptor 제품과의 차이점

DataCryptor는 비교할 수 없는 암호화 성능을 자랑하며 Low-Latency를 지원합니다. 또한, VoIP 패킷에서 Jumbo Frame 패킷까지의 동등한 암호화 성능을 제공합니다.

 

 Integrated Software Encryption

 Hardware Encryption (Datacryptor)

 Hardware Random Number Generation

 X

O

 Self-sufficient Certificate Generation

 X

O

 Control Over Key Lifecycle Management

 X

O

 Software Licensing Requirements

 O

X

 Separation of Duties

 X

O

 Low Latency for Fast Encryption

 X

O

 Consistent Encryption Performance

 X

O


최근 Voice와 Video의 네트워크 트래픽 사용량은 계속 증가하고 있습니다. 그리고, Voice와 Video Frame 사이즈는 작고 빠른 특성을 가지고 있습니다. Cisco 등의 장비에 의한 암호화는 일정한 성능을 주지 못합니다. 그 이유는 Voice 등의 작고 빠른 패킷은 프로세서에 부하를 주게되고 Jumbo Frames는 암호화에 많은 시간이 필요합니다. 

DataCryptor는 일정한 성능으로 안정성을 유지할 수 있으며, 그 이유로는 데이터 타입에 상관없이 일정한 암호화 성능을 제공하기 때문입니다. 네트워크 사용량이 증가하고 데이터 타입이 변화함에 상관없이 DataCryptor는 항상 최적의 성능을 제공합니다.


이처럼 네트워크 트래픽 사용량의 증가에 대비한 다량의 암호화, 그리고 성능 향상, 일정한 성능을 제공하여 안전성을 최대한 확보하기 위해서는 20년 기술을 보유하고 있는 Thales의 DataCryptor 솔루션을 통해 안전한 네트워크 구축은 물론, 기업의 비용절감 효과까지 한번에 가져가시기 바랍니다.

Thales DataCryptor 제품에 대한 문의와 구매 상담은 아래에 있는 연락처를 통해서 연락을 주시면 친절하게 상담해 드립니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com




아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.