유스케이스, 대응 위협, 수용가능한 구축 복잡성에 따라서 적합한 솔루션이 달라질 수 있습니다.
경영진의 입장에서 볼 때에, 데이터 암호화는 간단한 문제입니다. 데이터 암호화를 구축하고 회사 자산을 안전하게 보호하거나, 아니면 암호화하지 않고 패닉 상태에 빠지거나 둘 중 하나입니다. 하지만, 민감한 자산을 보호해야 하는 임무를 전담한 보안 팀에게 있어서 현실은 그리 간단하지 않습니다.
조직의 요구에 가장 잘 부합되는 데이터 암호화 솔루션 유형이 무엇인지 결정할 때, 몇 가지 고려해야 할 사항이 있습니다. 먼저, 데이터 암호화 유형은 기술 스택 레벨에서 구축 위치에 따라서 크게 4가지로 나뉩니다. 데이터 암호화는 대게 풀-디스크 또는 미디어, 파일 시스템, 데이터 베이스, 애플리케이션 레벨에 구축됩니다.
일반적으로 암호화가 스택에서 하위에 구축될수록 작업이 단순하고 기존 시스템에 미치는 영향이 적습니다. 그러나, 이러한 데이터 암호화 방식으로 대응할 수 있는 위협의 수와 종류 또한 적습니다. 반면에, 암호화를 스택 상위에 구축할 수록 보안 레벨을 강화하고 더 많은 위협에 대응할 수 있게 됩니다.
"스택 상위에 구축할 경우, 보안이 강화되고 구축 복잡성이 증가합니다."
다음은 컴퓨팅 스택 내에서 각 레벨의 암호화 구축에 따른 구체적인 장점과 단점입니다. 특정 환경 및 유스케이스에 맞는 최적의 암호화 방식과 제품을 선택하는데 참고할 수 있습니다.
풀 디스크(Full-Disk) 암호화 방식
FDE(full-disk encryption) 또는 SED(self-encrypting drives)를 채용할 경우, 디스크에 기록되는 모든 정보가 암호화되고 디스크를 읽을 때 복호화됩니다.
이점 :
- 가장 간단한 방식의 암호화 구축
- 애플리케이션, 데이터베이스, 사용자에게 투명
- 고성능 하드웨어 기반 암호화
- 극히 일부의 위협에만 대응이 가능, 미디어 스토리지의 물리적 손실만 보호
- APT, 악의적인 내부자, 외부 공격자들로부터의 보호를 제공하지 못함
- 최소한의 규제요건만 충족시키며, 정교한 액세스 감사 로그 제공이 불가
- FDE는 분실 또는 도난의 가능성이 높은 노트북에 적합한 방식입니다. 그러나, 이러한 암호화 방식은 데이터센터와 클라우드 환경에서 직면하는 대부분의 리스크에는 적합하지 않습니다.
해당 암호화 방식을 지원하는 보메트릭 솔루션FDE 인에이블드 스토리지를 구축할 경우, 조직은 보메트릭 키 매니지먼트 (Vormetric Key Management)를 사용하여 FDE 암호화 키를 관리할 수 있습니다.
파일 레벨 암호화 방식
파일 레벨 암호화 방식은 OS 내에 인스톨된 소프트웨어 에이전트를 사용하여 보안 컨트롤을 제공합니다. 이 에이전트는 모든 디스크 읽기 및 쓰기 요청을 인터셉트하고, 해당 데이터의 암호화 또는 복호화를 결정하는 정책을 적용합니다. 고급 파일 시스템 암호화 제품은 관리자 권한 사용자 및 프로세스를 포함한 강력한 정책기반 접근제어와 정교한 로깅 기능을 제공합니다.
이점 :
- 사용자와 애플리케이션에 대해 투명합니다. 즉, 조직은 스토리지 벤더에 종속되어 애플리케이션을 커스터마이즈하거나 관련 비즈니스 프로세스를 변경할 필요가 없습니다.
- 정형 데이터 및 비정형 데이터 모두 지원
- 관리자 권한을 가진 사용자에 의한 보안 침해를 방지하고 일반적인 규제유건을 만족시키는 강력한 컨트롤 구현
- 보안 인텔리전스 및 규제준수 리포팅을 위해 사용할 수 있는 정교할 파일 액세스 로그 및 SEIM 통합 제공
- 악의적인 데이터베이스 관리자 또는 SQL 인젝션 공격을 방어하기 위해서는 DAM (database activity monitoring) 제품과 함께 구축해야 합니다.
- 에이전트마다 지원하는 OS가 다르기 때문에, 해당 솔루션이 Windows, Linux, Unix 플랫폼을 두루 커버하는지 확인 하는 것이 중요합니다.
- 파일 암호화는 많은 조직과 여러 목적에 부합하는 방식입니다. 광범위한 보호를 통해 대다수의 유스케이스를 지원하며, 구축과 운영이 쉽습니다.
- 클라우드 스토리지로 이동되는 데이터를 보호할 수 있는 보충적인 게이트웨이를 제공하는 솔루션을 선택하십시오.
해당 암호화 방식을 지원하는 보메트릭 솔루션
- 보메트릭 트랜스페이런트 인크립션은 정형 및 비정형 파일에 대한 암호화를 제공합니다.
- 보메트릭 솔루션은 강력한 관리자 접근제어를 제공합니다.
- 보메트릭 시큐리티 인텔리전스는 정교한 보안 로그 활용을 위한 강력한 기능을 제공합니다.
- 보메트릭 클라우드 인크립션 게이트웨이는 조직이 클라우드 스토리지 환경 내에 민감한 데이터를 암호화 할 수 있도록 해줍니다.
데이터베이스 암호화 방식 (transparent data encryption)
이 방식은 보안팀이 데이터베이스 내의 데이터 특정 하위세트 또는 전체 데이터베이스 파일을 암호화하도록 해줍니다. 이 카테고리에 TDE(transparent data encryption)로 알려진 여러 데이터베이스 벤더들이 솔루션이 포함됩니다.
이점 :
- 리포지토리에 매우 중요한 데이터베이스 내의 데이터 보호
- 악의적인 내부자 (일부 경우에는 악의적인 데이터베이스 관리자)를 비롯한 다양한 위협으로부터 강력한 보호 제공
- 어떤 한 데이터베이스 벤더의 솔루션을 다른 벤더들의 데이터베이스에 적용할 수 없음
- 여러 벤더의 데이터베이스 또는 환경 내 다른 영역 전반에 대한 중앙 관리가 불가능
- 구성 파일, 시스템 로그, 노출된 리포트는 남겨두고 데이터베이스 컬럼 또는 테이블만 암호화
- 데이터베이스 암호화 기술은 특정한 전략적인 요구사항을 만족시킬 수 있습니다. 하지만 조직이 이종 환경 전반에 대한 보안을 해결할 수 있도록 해주지는 못합니다. 따라서 이 기술만으로는 중대한 보안 헛점이 발생할 수 있습니다.
해당 암호화 방식을 지원하는 보메트릭 솔루션
- 보메트릭 데이터 시큐리티 (Vormetric Data Security) 플랫폼은 여러가지 데이터베이스 보안 솔루션을 제공합니다.
- 보메트릭 키 매니지먼트를 사용하여 TDE 암호화 키를 관리할 수 있습니다.
애플리케이션 암호화
이 방식을 채용하면, 애플리케이션 내부 데이터의 암호화 또는 토큰화를 관리하는 애플리케이션 로직이 추가됩니다.
이점 :
데이터베이스 내 필드와 같은 데이터의 특정 하위세트를 보호합니다.
애플리케이션 레이어에서 암호화 및 복호화가 실행되므로, 전송 또는 저장 전에 데이터를 암호화합니다.
악의적인 DBA 및 SQL 인젝션 공격을 방어하는 최고 수준의 보안을 제공합니다.
토큰화는 또한 PCI DSS 규제준수 비용 및 관리 부담을 대폭 줄여줄 수 있습니다.
- 이 방식은 애플리케이션과 통합되어야만 합니다. 따라서 개발 작업 및 리소스가 요구됩니다.
- 이 방식은 보안 정책 또는 규제준수 의무에 따라 데이터의 특정 세트를 보호해야 하는 경우에 적합합니다. 또한 토큰화, FPE (format-preserving encryption) 등의 변형된 애플리케이션 레이어 암호화는 데이터베이스에 미치는 영향을 최소화하도록 도와줍니다.
- 애플리케이션 개발을 간소화할 수 있는 자세한 기술문서, 표준 기반 API, 샘플 코드가 갖춰진 솔루션을 선택하십시오
해당 암호화 방식을 지원하는 보메트릭 솔루션
- 보메트릭 애플리케이션 인크립션은 기존 애플리케이션에 암호화를 추가하는 작업을 간소화합니다.
- 보메트릭 토큰화는 기존 애플리케이션에 토큰화 및 다이나믹 데이터 마스킹 (dynamic data masking)을 추가하는 작업을 간소화합니다.
암호화 방식 요약
리스크 |
풀디스크 암호화 |
파일 레벨 암호화 |
TDE |
애플리케이션 암호화 또는 토큰화 |
데이터센터에서 드라이브 도난 또는 분실 시 데이터 복구 불가 |
가능 |
가능 |
가능 |
가능 |
루트 및 시스템 관리자 접근 불가 데이터 |
불가 |
가능 |
가능 |
가능 |
데이터베이스 관리자 접근 불가 데이터 |
불가 |
불가 |
가능 |
가능 |
데이터 탈취를 위해 루트 자격을 사용하는 APT로 부터 데이터 보호 |
불가 |
가능 |
가능 |
가능 |
규제준수 보고서 및 위협 분석을 위한 정교한 액세스 로그 생성 |
불가 |
가능 |
불가 |
가능 |
백업 및 스냅샷 암호화 보장 |
불가 |
가능 |
가능 |
가능 |
비정형데이터, 구성 파일, 로그 등에 대한 도난 및 변조 방지 |
가능 |
가능 |
불가 |
가능 |
하드웨어 또는 데이터베이스 벤더 록인 방지 |
불가 |
가능 |
불가 |
가능 |
보메트릭 암호화 솔루션에 관한 문의는 아래의 아이마켓코리아 보안 담당자에게 연락주시면 친절하게 안내해드립니다. (견적 문의 가능합니다.)
윤 용 비
대리 │ IT 솔루션 영업팀
TEL : 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090
'보메트릭 암호화 솔루션' 카테고리의 다른 글
| 개인정보보호법 대비, 안전한 암호화 솔루션 보메트릭 (0) | 2018.04.05 |
|---|---|
| 비정형 데이터 암호화 솔루션 보메트릭 (0) | 2018.03.12 |
| 보메트릭 데이터 시큐리티로 기업 데이터 보안 구축 (0) | 2017.08.17 |
| 개인정보 비식별화 솔루션 - 보메트릭 VAE (Vormetric Application Encryption) (0) | 2017.08.04 |
| 보메트릭 시큐리티 인텔리전스 및 라이브 데이터 트랜스 포메이션 소개 (0) | 2017.06.23 |
| 보메트릭 데이터 시큐리티 솔루션으로 보호할 수 있는 시스템은? (0) | 2017.05.15 |
| O2O 숙박 어플 '여기어때' 해킹, 개인정보 유출사고 발생 (0) | 2017.04.28 |
| [빅데이터 보안 솔루션] 보메트릭 데이터 시큐리티 플랫폼 (0) | 2017.04.14 |
| 중국 최대 해커조직 홍커연맹(紅客·Red Hacker), 한국 웹사이트 해킹 공격 선포 (0) | 2017.03.24 |
| 개인정보보호법 준수 가이드라인 (정보통신망법, 신용정보의 이용 및 보호에 관한 법률) (0) | 2017.02.24 |
