[탈레스 HSM] 클라우드 보안에서 가장 중요한 것, HSM를 통한 암호키 관리

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.31 22:11 / 카테고리 : nCipher HSM (Thales-HSM )



클라우드 서비스는 많은 데이터를 저장하고 있지만, 애플리케이션 레벨에서 인터넷으로 연결되어 서비스 되기 때문에 각종 사이버 공격에 매우 취약합니다. 클라우드 서비스 특성상 다양한 OS와 다양한 디바이스, 다양한 인터넷 연결 환경을 모두 지원하면서 보안성을 유지하는 것은 매우 어려운 일입니다. 


클라우드 서비스시에는 방화벽, SSL 암호화, IPS, DNS 보안 등을 많이 사용하여 엔드포인트 보호를 주로 해주고 있습니다. 이러한 물리적인 접근과 엔드포인트에 대한 보안도 중요합니다. 그리고, 그 보다 더 중요한 것은 바로 클라우드 내에 있는 데이터이며, 이를 안전하게 지키는 방법은 암호화 입니다. 




[대표적인 클라우드 웹서비스 아마존 웹서비스]



결국에는 보안이라는 것은 데이터를 안전하고 보호하고 관리하는 것이 최종 목표입니다. 사이버 공격의 대다수는 데이터를 공격하여 금전적인 이득을 취하는게 목적이기 때문입니다. 기업 입장에서는 축적한 데이터가 가장 큰 자산입니다. 


클라우드에는 상대적으로 덜 민감한 데이터를 보호한다고 생각할 수 있지만 실제로는 금융정보 및 신용정보 등 민감하고 치명적인 정보들이 많이 저장되어 있습니다. 규제도 많이 완화되고 있는 추세로, 금융기관도 민감한 정보를 클라우드 서비스로 많이 이관하고 있습니다. 



글로벌 보안 기업인 탈레스가 조사한 [2018년 암호화 동향 보고서]에 따르면 응답자의 88%가 민감한 정보가 포함된 데이터와 애플리케이션을 클라우드에서 사용하고 있는 중 이거나, 앞으로 2년 내에 사용할 예정으로 조사되었습니다. 




많은 기업들이 클라우드를 통해서 데이터를 저장하고 활용하기 위해서는 반드시 보안 대책이 마련되어야 합니다. 엔드포인트나 네트워크 보안도 중요하지만 보안의 최종 단계이자 가장 안전한 보안은 바로 데이터 암호화 입니다. 


탈레스에서 조사한 보고서에서는 응답자의 72%는 퍼블릭 클라우드 서비스에 포괄적인 암호화 또는 부분적인 암호화를 이미 하고 있다고 밝혔습니다. 


멀티 클라우드를 도입하는 기업이 많아질수록 데이터 암호화 요구는 더욱 높아질 겁니다. 탈레스 보고서에서는 조직이 직면한 암호화 이슈는 [민감한 데이터를 위치를 파악하는 것]이 68%로 가장 시급하고 중요한 문제로 나타났습니다. 


멀티 클라우드 환경에서는 데이터 가시성을 확보하는 것이 어렵습니다. 민감 데이터의 위치를 빨리 파악하고 적절한 보호 조치를 취하는 것이 무엇보다 중요합니다. 


그리고, 이번 탈레스의 조사에서는 가장 어려운 문제 중 하나가 바로 암호 키 관리로 나타났습니다. 특히, 클라우드 환경에서의 암호 키 관리가 가장 어려운 문제로 뽑혔으며, 외부 클라우드 및 호스팅 서비스용 BYOK 관리 및 SSH 키 관리도 어렵다는 이슈도 52%로 높은 수치를 나타냈습니다. 



응답자들은 클라우드에서 데이터 접근 제어가 중요하다고 말했으며, 또한 클라우드가 사업자가 제공하는 암호 키로 암호화 하는 경우도 36%에 달했습니다. 하지만, 59%의 응답자는 온프레미스에서 암호화하거나 키 관리 만큼은 온프레미스에서 한다고 답하였습니다. 


아무리 클라우드 서비스를 이용한다고 하지만, 중요한 권한이나 암호화는 기업 내부에서 처리하는 경우가 더 많았다는 것을 알 수 있습니다


그리고 가장 중요한 사실은, 하드웨어 암호화 모듈(HSM : Hardware Security Module)이 매우 중요한 솔루션이라고 답하였으며, 특히 데이터베이스 암호화에서 HSM를 사용하는 비중이 무려 35%를 차지하였습니다. 그 중요성을 볼때, 2019년도에는 12%이상 증가하여 거의 50% 이상이 HSM을 사용할 것으로 전망하고 있습니다. 



가장 중요한 키 관리는 바로 HSM에서 이루어지며, HSM은 물리적인 공간으로 데이터베이스와 완전 분리되고 독립된 공간에서 암호 키를 생성/폐기/관리 등의 암호 키 라이프 사이클을 제어할 수 있습니다. 


보안장비는 신뢰성 있는 보안회사의 제품을 써야 합니다. Thales e-Security의 HSM은 전세계 GPHSM의 40% 이상을 점유하고 있는 이미 HSM에서 입증 받은 기업이자, 방위 산업 40년 이상의 업력으로 국가 주요기관에 암호화 장비를 납품하고 있습니다. 




또한, 데이터 암호화 솔루션 회사인 보메트릭을 인수함으로써 강력한 보메트릭의 비정형암호화 솔루션과 탈레스 HSM의 안정적인 키 관리를 결합하여 암호화 부터 암호 키 관리까지 완벽한 암호화 환경을 구축할 수 있습니다. 




탈레스 nShield HSM : 물리적인 공간으로 완벽히 분리된 안정적인 암호 키 관리


▣ 하드웨어 기반의 암호 연산 (키 생성, 전자서명, 키 저장 및 백업) 기능 

- 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성 증가


▣ 키의 사용에 대한 정책 관리 / 시행

- 관리자 권한의 강력한 분리

- 관리자를 위한 강력한 인증 보호

- 상호 강독을 위한 강력한 이중 통제

- 성능 증대를 위한 프로세싱 분리

- 물리적 보호를 위한 위변조 방지 기술 적용


보메트릭 트랜스페어런트 인크립션 : 정형 및 비정형데이터에 대한 강력한 암호화 제공


▣ 다양한 환경에서 강력한 비정형데이터 암호화 지원

- Oracle, MS-SQL, DB2, Sybase, Informix 등 

- Hadoop, MongoDB, Couchbase, Cassandra

- Teradata EDW, SAP HANA

- 문서 파일, 이미지 파일, 빅데이터, 음성파일, 동영상 등


 단일 관리자 화면을 통한 통합 관리 기능


 응용프로그램 레벨의 컬럼 암호화 지원


 전용 장비를 통한 안전한 키 관리 및 Thales HSM 키 관리 연동

- Vormetric Data Security Manager

- Thales nShield HSM과 연동 가능


 기업의 다양한 데이터보호 환경 지원

- Tokenization with Dynamic Data Masking

- Cloud Encryption Gateway


또한, 탈레스 nShield HSM은 내장형(PCIe) 및 외장형 (Network) 모델을 모두 제공하여, 기업 서버 환경에 맞게 선택하여 설치할 수 있습니다. MSSQL 및 Oracle TDE 까지 전부 지원이 가능하기에 안정적인 데이터베이스 환경이 구축 가능합니다. 그리고 FIPS 140-2 및 CC 인증을 받아 그 안정성을 입증 받았습니다.


 




모든 클라우드와 온프레미스에서, 모든 종류의 데이터를 암호화할 수 있습니다. 단일 플랫폼에서 암호화와 접근제어를 제공하며 강력한 보안 기술 기반의 키 관리 솔루션과 하드웨어 보안 모듈을 제공합니다. 


[Vormetric Application Encryption - 타사 제품과의 보안성 비교]


또한, SaaS 기반의 키관리도 제공하므로써 SaaS 애플리케이션에서도 중단 없는 키 관리와 암호화가 가능합니다. 


클라우드 스토리지 데이터 보호를 위한 [보메트릭 클라우드 인크립션 게이트웨이] 솔루션도 제공되고 있습니다. 이 제품은 게이트웨이에서 암호화하여 클라우드 스토리지로 전송되는 데이터까지 보호하는 강력한 보안을 제공합니다. 



강력한 탈레스 HSM의 암호화 키 관리 솔루션보메트릭의 강력한 데이터 암호화 솔루션의 조합으로 완벽한 데이터 보호 환경을 구축하시기 바랍니다. 제품의 관련된 문의 및 견적은 아래의 아이마켓코리아 탈레스 및 보메트릭 담당자에게 연락주시면 친절하게 안내해드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 보메트릭] 빅데이터, 비정형데이터에 가장 적합한 암호화 방법은?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.31 17:15 / 카테고리 : 보메트릭 암호화 솔루션



많은 기업들이 빅데이터를 활용하고 있으며, 서버 및 내부 저장소에도 많은 빅데이터를 저장하고 활용하고 있습니다. 이미 이 중요성을 파악하고 있는 기업들은 안전한 빅데이터 활용을 위해서 어플라이언스를 마련하고 있습니다. 


빅데이터의 80% 이상은 비정형데이터로 이루어져있습니다. 기존의 정형데이터를 암호화 하고 보호하는 방법으로는 빅데이터와 같은 비정형데이터를 효율적이고 안전하게 암호화하기도 쉽지 않을 뿐더러 다양한 포맷으로 이루어진 빅데이터를 보호할 수 없습니다. 




복잡하고 다양한 비정형데이터 암호화는 빅데이터(비정형데이터) 전용 암호화 솔루션을 사용해야 합니다. 그리고, 비정형데이터 암호화 솔루션이 어떤 방식으로 암호화 하는 지도 잘 살펴보아야 합니다. 


지난, 2018년 5월에 유럽에서 시행된 개인정보보호규정(GDPR: General Data Protection Regulation)에 따르면 심각한 위반을 저질렀을 경우에는 약 2천만 유로화(한화로 약 250억원 이상) 또는 전세계 매출에서 4%가 벌금으로 부과되기에 절대적으로 지켜야 됩니다. 



이미, 국외에서는 시행 중인 강력한 정보보호 법안으로 유럽에 진출한 국내 기업 또는 글로벌 기업들은 이를 준수하기 위해 다양한 보안 솔루션을 도입하고 있습니다. 


 

ISO WD 20889 

ENISA Guideline 

 NISTTR

 UKAN Guideline

 NIST 800-188 

 비식별 용어

 De-identification 

Anonyumization 

 De-identification

 Anonyumization 

  De-identification

 데이터 모델

Data Flow

scenario 

Data Value

chain 

Data Flow

Model 

Data LifeCycle

Models 

 데이터 공유 모델

 X

 비식별 처리 

수준의 개념

 X

O 

 비식별 처리 

기술 분류

 O

 비식별 처리 

절차 및 방법

 X

 비식별 처리 

결과 평가 방법

 X

 비식별 처리 

SW 기능요구사항

 X

 X

O

[국가별 빅데이터 활용을 위한 규정 비교 (출처 : 금융보안원)]



GDPR은 개인정보보호에 대한 권리를 보호하고, 유럽 내에서의 개인정보의 자유로운 이동을 보장하는 목적으로 제정되었습니다. 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 개인정보 이동 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 하여 95년 지침보다 정보주체의 권리를 더 강화하고 확대한 것이 특징입니다. 이를 통해서 기업의 정보보호 책임이 더 명확해졌습니다. 


[개인정보보호법 관련 현황 (출처 : 아시아경제신문)]


일본 또한, 빅데이터의 활용을 위해서 개인정보 보호법을 마련하고 있습니다. 일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고 [익명가명정보]라는 하나의 개념을 정의하고 있습니다. 


GDPR에서는 익명정보의 경우에는 개인정보보호법의 적용을 받지 않지만, 일본 개인정보보호법에서는 익명의 가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회가 정한 기준에 따라서 개인정보를 가공하고 정보 유출 방지를 위한 보안조치를 하여야 합니다. 


또한, 미국에서도 미국국립표준기술연구소(NIST: National Institute of Standards and Technology) 기관을 통하여 [개인 식별 정보의 비식별 처리 가이드]가 마련되어 있습니다. 여기에서는, 모든 데이터 비식별화 기술에는 재식별 위험성이 존재하고 이를 방지해야 한다는 기본 전제가 정의되어 있습니다. 


국내에서도 빅데이터 활용을 위한 개인정보보호 법안들이 제정되거나 개정되고 있습니다. 2015년도에 개정된 개인정보보호법에서는 기존의 데이터베이스에 저장되어 있는 정형데이터 뿐만 아니라 이미지, 음성, 영상, 로그 데이터, 빅데이터, 문서 등의 다양한 데이터로 구성되어 있는 개인정보를 모두 안전하게 암호화하고 보호해야 한다고 지침이 변경되었습니다.



대한민국 개인정보보호법 개정안 (2015년 개정)


◈ 제 21조의 2 : 암호화 적용 대상

데이터베이스 뿐만 아니라 저장되는 모든 개인정보 암호화 필요

- 개인정보 처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의제2제2항에 따라 암호화 조치를 하여야 한다.

- DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


◈ 제24조의2제2항 : 암호화 적용 시기

보유 주민등록번호 수에 따라 적용 시기 적용

- 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 (3금융권 및 캐피탈 등)

- 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 (대부분의 금융사)


개인정보보호법 전체 보기 (클릭)


빅데이터의 활용 및 보호에 대한 관심이 높아지면서 규정도 변화하고 있고 관련 암호화 솔루션에 대한 수요도 늘어나고 있습니다. 개인정보 등 데이터를 보관할 때는 암호화 및 암호키 관리, 접근 제어들의 강력한 보호 조치를 취해야 합니다. 정보유출 방지 및 컴플라이언스 준수를 위해 암호화 장비를 많이 도입하고 있는 추세 입니다. 


특히, 비정형데이터 암호화 솔루션들이 많이 출시되고 있습니다. 다양한 암호화 방법이 있지만 가장 우수한 암호화 방법은 OS 커널 방식입니다. 암호화 솔루션은 크게 3가지로 분류되고 있습니다. API 방식 및 OS 커널 방식 그리고 에이전트 방식이 있습니다. 


1. 에이전트는 소스코드 수정이 불필요하지만 서버내에 설치되기에 시스템 리소스 저하가 있습니다. 

2. API 방식은 애플리케이션 내에서 암호화를 진행하기 때문에 도입시에 구축기간과 작업소요가 많습니다. 하지만 비정형데이터를 보호하기 위해서는 형식별로 소스코드 수정이 필요하기에 복잡합니다.

3. OS 커널 방식OS 커널 레벨에서 암호화를 수행하기에 데이터 종류 모두를 지원하면서, 애플리케이션의 소스코드를 변경할 필요가 없어 효율적인 방식입니다. 


이러한, 이유로 OS 커널 방식의 암호화를 비정형데이터에서 많이 선호되고 있습니다. 비정형데이터의 특징은 음성파일, 이미지파일, 문서 파일 등 파일크기가 정형보다 크다는 점입니다. 큰 파일에 암호화를 적용할 경우에는 더 크기가 커지게 되므로 시스템에 부담을 주게 됩니다. OS 커널 레벨의 암호화는 데이터 크기도 유지하면서 암호화 시간 및 구축 시간도 많이 단축되어 비용과 시간을 절감할 수 있습니다.



 

커널레벨 OS 암호화를 지원하는 비정형데이터 암호화 솔루션 - 탈레스 이시큐리티 보메트릭 

Thales e-Security의 Vormetric Transparent Encrytion (탈레스이시큐리티, 보메트릭 트랜스페어런트 인크립션) 보안 솔루션은 비정형데이터에 최적화된 암호화 솔루션입니다. OS 커널 레벨의 암호화를 지원하기에 기업에 도입하면, 비용과 시간을 절감할 수 있습니다. 오버로드 성능저하나 키 관리의 복잡성을 최대한 줄이고 모든 유형의 파일과 데이터베이스(DB) 및 애플리케이션 레벨을 보호합니다. 




뿐만 아니라 구축 및 관리가 용이한 단일솔루션으로 도입이 용이합니다. 기업에서 요구하는 다양한 운영체제를 지원합니다. (윈도우, 리눅스, 유닉스, 솔라리스, IBM AIX, HP-UX 등) 그리고 다양한 DBMS(DB2, 오라클, MySQL, MSSQL, NoSQL, MongoDB, Sybase 등)를 지원하면서 비정형데이터 뿐만 아니라 기존의 정형데이터도 완벽한 암호화가 가능합니다. 


[DBMS 암호화 사례]

- 탈레스 보메트릭을 이용한 DBMS, Oracle TDE 암호화 안내 (링크)

- 탈레스 보메트릭을 이용한 DBMS, MongoDB 암호화 안내 (링크)


비정형파일들을 온사이트, 클라우드 등 파일 위치에 상관없이 암호화 할 수 있다는 점도 장점으로 뽑히고 있습니다. 기업에서 사용하는 각종 문서 파일을 암호화 하여 저장할 수 있을 뿐만 아니라, 애플리케이션, 인프라 또는 비즈니스 절차도 변경하지 않아도 되기에 리소스가 절감 됩니다. 


[탈레스 보메트릭의 암호화 솔루션 개념도]


또한, 강력한 접근제어 정책을 적용하기 때문에 무단으로 접근하는 사고를 예방할 수 있으며, 액세스 하는 사용자를 지속적으로 감시하고 로깅합니다. 


[Vormetric Tokenization with Dynamic Data Masking -  권한에 따른 정책 기반 실시간 마스킹]


관리자와 데이터 소유자 간의 책임을 분리하는 설정도 가능하도록 설계되어 있으며, 이러한 방식으로 서버관리자 등 직원들은 시스템에 상주하는 민감한 데이터에 접근하지 않고 시스템 관리 및 유지보수 작업을 진행할 수 있기에 관리에 용이성이 좋아집니다. 



OS 커널 암호화 방식으로 비용 절감 뿐만 아니라 안정적으로 다양한 파일포맷을 지원하는 비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2018/12   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

방문자 통계

  • 전체 : 378,366
  • 오늘 : 21
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.