본문 바로가기

nCipher HSM (Thales-HSM )

HSM를 활용한 DB암호화 키 관리 방안


DB 암호화 키 관리의 필요성

DB암호화용 키 관리는 이제 선택이 아닌 필수가 되었습니다. 첫째로 암호화 만으로는 개인정보의 안전성을 보장하지 못합니다. 그 이유는 암호화된 정보의 안전성은 암호 알고리즘과 키 관리가 결정적인 역할을 담당하기 때문입니다. 


그리고, 정보보호관리체계(ISMS) 인증제도 및 PCI 데이터 보안표준 등에서는 이미 암호 키 관리에 대한 요구조건을 따로 명시하였습니다. 금융보안연구원이나 KISA에서는 DB암호화시 암호키 관리에 대한 가이드를 안내하고 있습니다.  


암호 키를 안전하게 저장하기 위해서 몇몇 기능 요건들이 보장되어야 합니다.

 기요건 

 설명

비고 

 가용성

 ◈ 암호 키는 유효기간 동안 항상 사용 가능해야 한다. 

이중화

 무결성

 물리적 매커니즘

 ◈ 저장된 암호 키에 대한 접근을 제한할 수 있는 암호모듈이나 운영 시스템

HSM

 암호 매커니즘

 ◈ 안전한 무결성 매커니즘 (예:MAC, 디지털 서명)

HSM

 기밀성

 ◈ 다음의 매커니즘들 중 하나 이상을 사용하여 저장

  - KS X ISO IEC 18033-3

  - KS X ISO IEC 19790의 보안 수준 2 이상의 인증된 보호 장비를 사용

  - 안전한 저장매체에 접근권한을 두어 저장

HSM



금융보안연구원에서는 암호기술 활용 가이드를 제시하며, 안전한 암호기술을 활용하기 위한 가이드라인을 아래와 같이 제시하였습니다. 


- 키 생성 : HSM에서 마스터 키 생성

- 키 분배 : HSM에서 제공하는 키 교환 알고리즘 활용

- 키 저장 : HSM에서 안전하게 키 저장

- 키 사용 : HSM에서 제공하는 권한분리 기능 활용

- 키 백업 및 복구 : HSM을 통한 간편한 키 백업과 복구



HSM 도입, 암호화를 위해서 반드시 필요합니다.

여기에서 보듯이, 암호화 키를 안전하게 생성, 분배, 저장, 사용, 백업/복구를 위해서는 반드시 암호화키 관리 전용 장비인 하드웨어 암호화 모듈 (HSM)을 사용하여야 한다는 것을 금융보안연구원에서도 권고하고 있습니다.


HSM 내부에서 생성된 키는 관리자 조차 유출이 불가능하며, 애플리케이션 단에서 암호화 키를 직접 접근하지 않으며 키는 HSM 밖으로 복호화된 상태로는 노출되지 않습니다. 




신뢰성 있는 보안장비 중에서도 암호화 키 관리 장비인 HSM은 믿을 수 있는 제품을 써야합니다.

Thales 그룹은 100년이상의 회사 업력으로 까다롭다는 방위산업 분야를 선도하는 글로벌 그룹입니다. 2013년에는 매출이 16조원에 임직원 56,000명, 56개의 해외지사를 보유하고 있습니다. 


방산분야의 노하우를 통해서 암호화 시장에서는 40년 이상의 업력을 가지고 선도하고 있습니다. 특히, 제일 까다로운 분야 중 하나인 Payment HSM 시장에서 80%의 시장점유율(VISA, MASTER)을 가지고 있으며 Thales Korea는 20년 전에 설립되어 국내에서 활발하게 활동하고 있습니다. 


Thales HSM을 도입함으로써 안전하게 편리한 키 보호환경을 구축할 수 있습니다.

HSM에서 생성되는 키는 절대로 평문 형태로 외부에 노출되지 않습니다.

 Security World라고 하는 키 관리 매커니즘을 통해서 키 생성부터 사용 및 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리할 수 있습니다.

 HSM의 관리 및 사용은 FIPS Lv3의 요구를 충족하는 Two Factor 인증을 거쳐야 합니다.

 인증 수단에서 사용되는 ACS(Administrator Card Set)와 OCS(Operation Card Set)는 권한분리 (K-of-N) 매커니즘을 지원합니다. 



또한, 다양한 키 길이에 따른 RSA 전사서명 생성을 측정하고 HSM 밴더에서 제공하는 최고 사양 모델을 사용합니다.  



Thales nCipher HSM은 FIPS 140-2 인증을 받은 제품으로 최고의 안정성을 보장합니다. 



Thales HSM 제품 라인업

키 관리 용도의 Thales HSM 제품은 네트워크 접속형과 PCIe 고속 슬롯을 사용하는 내장형 모델이 있습니다. 

Thales nShield Connect Model (접속형)


 구분

 nShield Connect 500+ 

 nShield Connect 1500+ 

 nShield Connect 6000+ 

 인증

 FIPS 140-2 Level 3 인증

 지원 알고리즘

 - 공개키 : RSA, DH, DSA, 

지원 API 

 - PKCS #11, Microsoft CryptoAPI / CNG, Java JCE, OpenSSL, nCore (옵션) 

초당 RSA 서명 건수 

- RSA 10204 bit : 최대 500TPS

- RSA 2048Bit : 최대 140 TPS

- RSA 1024bit : 최대 1500TPS

- RSA 2048bit : 최대 450TPS

- RSA 1024bit : 최대 5000TPS

- RSA 2048bit : 최대 2700TPS 

Fail Over

Load Balancing 및 Fail-Over 지원 (2대 이상), 이중화 시 HSM 간 동기화 지원

통신방식 

 TCP/IP 통신 기반의 Gigabit Ethernet Interface



Thales nShield Connect Model (내장형)


 구분

 nShield Connect 500+ 

 nShield Connect 6000+ 

초당 RSA 서명 건수 

 - RSA 1024bit : 최대 500TPS
 - RSA 2048bit : 최대 140TPS

 - RSA 1024bit : 최대 5000TPS

 - RSA 2048bit : 최대 2700TPS

 인증

 - FIPS 140-2 Level 2 or Level 3 인증

 지원 알고리즘

 - 공개 키 : RSA, DH, DSA, KCDSA(옵션), ECDSA(옵션), ECDH(옵션), El-Gamal

 - 대칭 키 : AES, ARIA (옵션), 3DES, SEED (옵션), Arcfour, CAST, MD5 HMAC, SHA-1, SHA-224/256/384/512 등

 지원 API

 - PKCS #11, Microsoft CryptoAPI/CNG, Java JCE, OpenSSL, nCore (옵션)

Fail Over

 - Load Balancing 및 Fail-Over 지원 (2대 이상), 이중화 시 HSM 간 동기화 지원

통신방식 

 - PCI Express



암호화 키 관리를 위한 전용장비인 Thales HSM 제품군에 대해서 도입문의 및 견적 상담은 아래의 아이마켓코리아 IT 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090