코드 서명 (Code Signing)
응용프로그램 소프트웨어는 다른 디지털 자산과 마찬가지로 위변조에 취약합니다.
시판제품으로 패키징되어 있거나 자체 개발한 사용자 응용프로그램을 불문하고 소프트웨어에 대한 APT (Advanced Persistent Threats : 지속적인 표적 공격) 위협은 증가하고 있습니다.
공격자는 해당 소프트웨어를 불법으로 변경하여 고객기록이나 지적재산권과 중요한 데이터를 훔치고 있습니다. 악성코드에 감염된 소프트웨어로부터 사업, 브랜드, 파트너 및 사용자를 보호하기 위해 소프트웨어 개발자는 코드서명이라는 기술을 채용하고 있습니다. 공개 키 암호화가 적용되는 코드서명은 인증서 기반의 디지털 서명의 특수한 사용법이며 소프트웨어 게시자의 신원을 확인하고 소프트웨어 게시 후 수정되지 않은 것을 증명할 수 있도록 합니다.
그러나, 코드서명을 신뢰할 수 있는 소프트웨어를 식별하는 효과적인 방법으로 사용하기 위해서는 코드 서명과정 자체가 안전한 것이어야 합니다. 감염코드를 은폐하기 위해 공격자가 위조코드 서명을 사용하는 것을 방지하려면 이 디지털서명 생성 프로세스를 보호하기 위한수단을 강구하여야 합니다. 여러가지 이유로 비즈니스 애플리케이션의 신용을 구축하는 과정은 점점 어려워지고 있습니다.
• 가상화는 유연성이 촉진되면서 응용프로그램의 동적 배포 및 디-프로비저닝 따른 무결성 평가의 필요성이 증가하고 있습니다.
• 클라우드기반 서비스의 확산, 소프트웨어 개발자는 최소한의 제어 밖에 할 수 없는 클라우드 환경에서 소프트웨어가 실행되게 되었기때문에, 소프트웨어의 무결성을 별도로 보장해야 합니다.
• APT의 증가에 따라 소프트웨어 제작자는 높은 보증이 있는 코드 서명 프로세스를 구축해야 합니다. 이러한 과정에서 국가/지역적인 표준과 보안 인증 요구사항을 충족해야 하는 경우도 있습니다.
• 스마트폰과 태블릿의 혁명 '앱스토어 경제권'의 출현 및 지능적으로 연결되는 장치의 확장등을 통해 신뢰할 수 없는 위치에서 또한 안전하지 않은 장치에서 실행되는 비즈니스 로직의 비율이 증가하고 있습니다.
위험성
• APT는 고객정보나 지적재산을 훔치기 위해 당신의 소프트웨어를 제어할 수 있습니다.
• 보안이 불충분한 코드서명은 잘못된 안전 인식(안전하다는 착각)을 관리자에게 제공하고 공격자에 그 흔적을 숨기는 틈을 주는 결과가 됩니다.
• 위조코드 서명이 미치는 영향의 범위는 매우 넓고, 소프트웨어 위변조의 단발적인 공격의 경우 보다 큰 손해를 기업의 명성과 사업 에미칠 수 있습니다.
• 너무 귀찮은 코드 서명 프로세스는 귀중한 기술적 자원을 불필요하게 구속하고 비용을 증가 시킬 수 있습니다.
코드서명(Code Signing) : Thales e-Security 솔루션
모든 규모의 소프트웨어 공급업체와 자사코드를 개발하는 기업을 위해 설계된 탈레스 코드 서명 솔루션은 보증할 수 있는 효율적인 코드 서명 프로세스를 구현하여 위변조에서 소프트웨어를 보호하고 소프트웨어 배포작업을 적절하게 관리하는 것을 허용하는 포괄적인 솔루션입니다.
탈레스 코드 서명 솔루션은 자동으로 요청 및 승인 워크플로워를 포함하여 사용자의 운영 요구에 적합합니다. 다양한 승인 시나리오에 대응하고 코드서명 모범사례와 주의해야 할 새로운 표준에 대한 Thales e-Security의 다양한 전문적인 지식과 기술을 바탕으로 하고 있습니다. 하드웨어 보안모듈은 변조방지코드 서명용 개인키에 대해 인증된 보호기능과 중요한 디지털서명 프로세스가 실행되는 보안플랫폼을 제공합니다.
Thales e-Security HSM의 장점
• 소프트웨어 위변조에 따른 잠재적인 위험으로 부터 기업, 파트너 및 사용자를 보호합니다.
• 다양한 조직의 규모와 범위에 맞는 보안코드 서명 프로세스를 신속하게 구현합니다.
• 변조 방지기능을 가진 하드웨어 기반의 솔루션을 통해 최상의 보안을 제공합니다.
• 워크플로워 자동화기능을 사용하여 코드서명 프로세스의 단순화와 합리화를 실현합니다.
• 코드서명 모범사례 전문가들과 협력하여 위험을 줄일 수 있습니다.
• 규정 준수 및 새롭게 추가되는 기준에 대한 요구사항을 충족시킬 수 있도록 솔루션 확장이 가능합니다.
Thales HSM 제품 관련 문의는 아래의 아이마켓코리아 Thales HSM 담당자에게 연락 주시면 친절하게 상담해드립니다.
'nCipher HSM (Thales-HSM )' 카테고리의 다른 글
[DB보안] 고객정보 유출 카드사, 영업정지 기간 및 과징금 대폭 증가 (6개월, 1억원) (0) | 2015.03.27 |
---|---|
네트워크 암호화 어플라이언스 - DataCryptor Link and Layer 2 Encryption (0) | 2015.03.13 |
금융부분 DB암호화 기술 가이드 (금융보안연구원) (0) | 2015.03.03 |
모바일 결제 보안 솔루션 Payshield 9000 HSM (Mobile Payment) (0) | 2015.02.23 |
[기업 보안] 암호화 전략과 하드웨어암호화 모듈(HSM) (0) | 2015.02.17 |
서버 내장형 보안 모듈 Thales HSM nShield™ Solo (0) | 2015.02.13 |
하드웨어 보안 모듈 Thales HSM nShield™ Connect (0) | 2015.02.11 |
Thales HSM 1달 무료 대여 및 교육 프로모션! (0) | 2015.02.10 |
환자 진료기록 7억건 유출, 의료기관 DB관리 헛점 (0) | 2015.01.23 |
카드3사 개인정보 필수 보안조치 사항! DB암호화 (0) | 2015.01.13 |