본문 바로가기

nCipher HSM (Thales-HSM )

카드3사 개인정보 필수 보안조치 사항! DB암호화

작년인 2014년 1월에는 국내 메이저 카드 3사의 개인정보가 다량 유출되는 사고가 발생하여 우리나라 국민들에게 큰 충격과 피해를 주었습니다. 이제 더 이상 1금융권도 안전하지 않다는 인식이 퍼지기 시작하였고, 이에 따른 소송과 고객신뢰도 하락으로 인한 고객의 다량 이탈로 해당 개인정보유출사고를 일으킨 카드회사들은 막대한 피해를 입었습니다.



그때 유출사고가 일어난 KB국민카드와 롯데카드, 그리고 NH농협은 사고 이후 1년여간 보안 시스템에서 미비한 부분을 보강하고, 인력을 추가로 운영하며, 보안 예산도 확대하였습니다. 하지만 보안에는 완벽이라는 단어가 없는 만큼 아직도 풀어야할 숙제는 많습니다.


특히 KB국민카드에서는 사고 이후 많은 보안관련하여 많은 예산을 투자하였습니다. 사고전인 2013년도의 보안 예산보다 사고 이후인 2014년도의 보안 예산이 5배 가량 증가하는 등 보안에 각고의 노력을 들였습니다. 아직도 정보보호를 위해 많은 예산과 노력을 투자하겠다고 밝인 국민은행이 작년에 진행한 보안집중 점검사항을 아래와 같습니다.


보안관련 유출사고가 외주인력에 대한 내부유출과 암호화 미비에 따른 만큼 국민카드에서는 확대된 예산으로 PC환경을 클라우드로 전환하여 지문 인증 시스템을 도입하였습니다. 그리고 최근에 많이 도입되고 있는 OTP인증 인증체제를 강화하고 종합대응 TFT를 가동하여 조직개편을 진행하였습니다.


개인정보보호법 강화로 인해 기업이 개인정보보호에 대한 여러가지 요구사항이 많아져, 개인신용정보 관련 내용을 파기하였습니다. 그리고 가장 중요한 주민등록번호 대신에 고객대체번호를 도입하여 주민번호 수집을 중단하고 고객정보번호로 고객을 식별하는 등의 보안조치를 진행하였습니다.


추후에는 접근통제와 DB암호화에 대한 내용을 강화할 것으로 보아, DB암호화 솔루션과 키관리, 접근제어를 동시에 수행할 수 있는 HSM 도입을 강화할 것으로 예상되고 있습니다.



[그림 : Thales HSM nCipher]


하드웨어 암호화 모듈(HSM : Hardware Security Module)은 플러그인 방식과 TDE방식이 있는데 최근에는 기업에서 가장 많이 쓰는 오라클 서버에서도 TDE와 HSM을 연동하는 방식으로 사용할 것이 보안성이 가장 뛰어나다고 권고하고 있습니다. 결론적으로, TDE와 HSM을 연동할 시에 보안성 향상과 성능저하를 방지할 수 있어 유리합니다.


Thales의 nCipher HSM은 지불카드 산업데이터 보안 표준(DSS)을 준수하며, Oracle 11g 고급 보안 옵션의 일부인 TDE(Transparent Data Encryption)을 적용하면, 고객정보, 회계정보 및 기타 민감한 정보를 안전하게 암호화 할 수 있습니다. 또한, 데이터는 기존의 애플리케이션이나 프로세스를 변경하지 않고도 안전하게 관리됩니다.


Thales nCipher HSM은 최상의 보안등급으로 데이터베이스를 보호할 수 있습니다. 애플리케이션 및 운영체제와 별도로 암호화 키를 보호할 수 있으며, 암호화 키의 사용은 정책에 의해서만 실행됩니다. 그렇기 때문에 데이터베이스는 절대 노출되지 않습니다.


nCipher HSM은 Oracle 11g의 고급 보안옵션과 신속하고 간단하게 연동이 가능합니다. 암호화 키의 강력한 보호뿐만 아니라, 암호화 정보의 장기사용에 대한 확실한 보장을 제공합니다. 장애 복구 및 데이터 유지를 위해, 융통성 있는 적용 및 관리 옵션을 제공하여 암호화 체계의 관리 부담도 덜 수 있습니다.  단일 서버의 단독 시스템 또는 가상환경의 전체 네트워크 상에서 사용할 수 있는 nCipher HSM은 변화하는 다양한 비즈니스 환경에 효과적으로 대응할 수 있도록 설계되어 있습니다.


대표적인 TDE 방식 암호화에는 컬럼스페이스 방식과 테이블스페이스 방식이 있습니다. 아래에 컬럼 스페이스 방식과 테이블 스페이스 방식의 암호화의 차이점을 비교해보도록 하겠습니다. 스키마 및 인덱스 구조와 100% 호환되고 HSM에 의한 보호를 지원하는 테이블스페이스 방식이 암호화 방식에서는 유리하며 HSM 을 연동하기 위해서는 반드시 테이블스페이스 암호화 방식으로 전환할 필요성이 있습니다.


[컬럼 방식 암호화 VS 테이블 스페이스 방식 암호화]

 컬럼 방식 (Column Level Encryption)

 테이블 스페이스 방식 (Table Space Level Encrypton)

 - 테이블의 특정 컬럼만 암호화

 - 블록의 특정 부분만 암호화

 - SGA에도 암호화된 채로 존재


 - 테이블스페이스 전체가 암호화

 - SGA에서는 Clear Text로 존재

 - 기존 SQL 및 기능 사용상의 제약이 없음

 - 데이터사이즈의 증가가 없음



Oracle Sever에 TDE방식과 HSM을 연동하려면 반드시 오라클 11g R2 버전으로 마이그레이션이 되어야합니다.

(HSM은 오라클 서버 11g R2이하 버전, 컬럼 암호화 방식을 지원하지 않으므로 반드시 HSM 도입전에 오라클 11g R2 버전 이상으로 업그레이드 해주시기 바랍니다)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아