본문 바로가기

보메트릭 암호화 솔루션

개인정보보호법 대비, 안전한 암호화 솔루션 보메트릭



 개인정보보호법 대비, 안전한 암호화 솔루션 보메트릭 






개인정보보호법에 따르면 개인정보인 신분증(주민등록증, 운전면허증), 여권번호, 외국인등록번호,비밀번호, 바이오정보 등을 저장/전송하는 취급자는 이를 암호화하여 저장함으로써 개인정보 유출, 위·변조, 훼손 등을 방지해야 합니다.




[ 개인정보 보호법 ]


• 제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


• 제24조(고유식별정보의 처리 제한)

③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


• 제24조의2(주민등록번호 처리의 제한)

② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


• 제29조(안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.







개인정보보호법은 날로 강화되고 있는 것뿐만 아니라, 소비자의 신뢰도 등 기업 이미지에도 지대한 영향력을 끼치기 때문에 정말 중요한데요!


개인정보보호법 상 암호화 적용 기준은 아래와 같습니다.


[ 암호화 적용 기준 요약표 ]

구분

암호화 기준

정보통신망,
보조저장매체를
통한 송신 시

비밀번호, 바이오정보,

고유식별정보

암호화 송신

개인정보처리
시스템에 저장 시

비밀번호

일방향 암호화 송신

바이오정보

암호화 저장






 주민등록번호

암호화 저장

※ 2017.12.31.까지 암호화 저장: 100만명 이상 정보주체

※ 2016.12.31.까지 암호화 저장: 100만명 미만 정보주체

인터넷 구간,

인터넷 구간과 내부망의 중간지점 (DMZ)

암호화 저장

 내부망에 저장

암호화 저장 또는 다음 항목에 따라 암호화 적용여부·적용범위를 정하여 시행

① 개인정보 영향평가 대상이 되는 공공기관의 경우, 그 개인정보 영향평가의 결과

② 암호화 미적용시 위험도 분석에 따른 결과

업무용 컴퓨터,
모바일 기기에
저장시

 비밀번호, 바이오정보,

고유식별정보

 암호화 저장(비밀번호는 일방향 암호화 저장)

※ 비밀번호는 일방향 암호화 저장

- 내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라 「개인정보의 안전성 확보조치 기준」 제7조 제4항 (“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다.
※ 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일
※ 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일



개인정보처리시스템의 DB를 암호화할 수 있는 방식은 다음 표와 같이 구분할 수 있습니다.


[ 모듈/위치별 암호화 방식 ]

암호화
방식

암·복호화

모듈 위치

암·복호화

요청 위치

설명

응용 프로그램

자체 암호화

어플리케이션

서버

 응용 프로그램

 - 암ㆍ복호화 모듈이 API 라이브러리 형태로 각 어플리케이션 서버에 설치되고, 응용프로그램에서 해당 암ㆍ복호화 모듈을 호출하는 방식

- DB 서버에 영향을 주지 않아 DB 서버의 성능 저하가 적은 편이지만 구축시 응용프로그램 전체 또는 일부 수정 필요

- 기존 API 방식과 유사

DB 서버

암호화

DB 서버

응용 프로그램

 - 암ㆍ복호화 모듈이 DB 서버에 설치되고 DB 서버에서 암ㆍ복호화 모듈을 호출하는 방식

- 구축 시 응용프로그램의 수정을 최소화 할 수 있으나 DB 서버에 부하가 발생하며 DB 스키마의 추가 필요

- 기존 Plug-In 방식과 유사

DBMS

자체

암호화

DB 서버

DB 서버

 - DB 서버의 DBMS 커널이 자체적으로 암ㆍ복호화 기능을 수행하는 방식

- 구축 시 응용프로그램 수정이 거의 없으나, DBMS에서 DB 스키마의 지정 필요

- 기존 커널 방식(TDE)과 유사

DBMS

암호화

기능 호출

DB 서버

 응용 프로그램

 - 응용프로그램에서 DB 서버의DBMS 커널이 제공하는 암ㆍ복호화 API를 호출하는 방식

- 구축 시 암ㆍ복호화 API를 사용하는 응용프로그램의 수정이 필요

- 기존 커널 방식(DBMS 함수 호출)과 유사

운영체제

암호화

파일 서버

운영체제

(OS)

 - OS에서 발생하는 물리적인 입출력(I/O)을 이용한 암ㆍ복호화 방식으로 DBMS의 데이터파일 암호화

- DB 서버의 성능 저하가 상대적으로 적으나 OS, DBMS, 저장장치와의 호환성 검토 필요

- 기존 DB 파일암호화 방식과 유사



이러한 개인정보처리시스템은 암호화 방식마다 성능에 미치는 영향이 다릅니다. 때문에 구축 환경에 따라 암호화 방식의 특성, 장단점 및 제약사항 등을 고려하는 하여 두 가지 이상의 방식을 혼합하여 구현하기도 합니다. 문제는 이로 인해 많은 비용이 발생하고, 관리가 쉽지 않다는 것입니다.



그래서 아이마켓코리아는 개인정보보호법 대비 솔루션으로 보메트릭 (Vormetric)을 소개합니다.



[ 보메트릭 데이터 시큐리티 보호 플랫폼 ]



[ 보메트릭 데이터 시큐리티 데이터 보안 구축 과정]



보메트릭은 다양한 환경을 지원하며 편의성과 보안 안전성 모두 뛰어난 솔루션입니다. API방식 암호화와 토큰 방식의 조합을 통해 개별 솔루션의 한계점을 극복하고 있으며, 이를 단일 관리자 화면으로 통합하여 관리할 수 있어 매우 편리합니다.



[ 플랫폼 주요 제품 및 제안 솔루션 구성 요소 ]



 

보메트릭 데이터 보안 구축 전략


두 방식의 조합을 통해 단순 API 방식 적용에 비해 구축의 편의성 및 보안성 증가


■ API 방식 암호화: Vormetric Application Encryption 적용

- 에이전트(암호모듈)을 WAS 등 Application 서버에 설치하고 소스코드 수정을 통해 암호화 구축

- 저장 데이터(data-at-rest) 뿐만 아니라 WAS <-> DBMS 구간 데이터(data-at-transition)에 대한 추가적인 보호

- 제품과 통합된 장비(DSM - Vormetric Data Security Manager) 에 의한 안전한 암호 키 관리


■ 토큰 방식 데이터 보호: Vormetric Tokenization with Dynamic Data Masking 적용

- Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요

- 토큰화가 적용된 개인정보DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체값 적용)

- AD/LDAP 등 계정관리시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용


[ API방식 암호화와 토큰 방식의 조합 ]




이중 API 방식의 암호화 솔루션 보메트릭 어플리케이션 인크립션(Vormetric Application Encryption)응용프로그램 레벨의 컬럼 암호화로 키 관리를 안전하게 할 수 있습니다. 특히, 전용 장비로 암호화 키 관리를 하기 때문에 암호 키 유출을 차단하며, 인증서 및 비밀번호에 의한 암호모듈 접근도 통제할 수 있습니다.






보메트릭 어플리케이션 인크립션 그 외 특징


■ FPE(Format Preserving Encryption) 지원

- 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

- 미국 NIST 의 암호화 표준 규격 중 FFX 3 모드 적용

- 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불 필요


■ 파일 암호화 기능 향상

- VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

- 두 제품 간의 호환성 증가로 보다 유연한 적용 가능




토큰 방식 데이터 보호 솔루션 보메트릭 토큰화 및 다이내믹 데이터 마스킹(Vormetric Tokenization with Dynamic Data Masking)토큰 서버와의 통신에 의해서만 토큰화 및 원본 데이터 조회가 가능하며 AD/LDAP 연동으로 계정 기반의 접근을 통제할 수 있습니다. 비인가 프로그램에 대한 통제가 미흡한 다른 솔루션에 비해 뛰어난 보안성을 자랑합니다.





보메트릭 토큰화 및 다이내믹 데이터 마스킹 동작 방식은 다음과 같습니다.






 

보메트릭 토큰화 및 다이내믹 데이터 마스킹 기타 특징


■ Vault-less 토큰 지원

- 토큰 값과 암호화가 적용된 원본 데이터를 위한 저장소(Token Vault) 불필요

- 기존 제품 대비 성능 대폭 향상

- 토큰을 생성하는 토큰 서버의 확장성 향상 (이론적으로 무제한)


■ 데이터 마이그레이션 기능 제공

- 기존 사용 중인 데이터에 대한 자체적인 일괄 토큰화 기능






보메트릭 데이터 시큐리티 플랫폼의 더욱 강력한 보안성으로 점점 고도화되는 유출 및 해킹과 개인정보보호법에 대응하시기 바랍니다. 관련하여 자세한 문의는 아래 아이마켓코리아 담당자에게 주시면 친절하게 안내해 드리겠습니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090