[탈레스 보메트릭] 개인정보비식별화, 개인정보보호법 전략 (가명화, 익명화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.18 08:00 / 카테고리 : 보메트릭 암호화 솔루션



전세계적으로 개인정보 비식별화 움직임 활발

유럽연합의 개인정보보호법(GDPR)을 시작으로 개인정보주체자의 권리 보장을 위한 본격적인 규제가 진행되고 있습니다. 개인정보를 활용하기 위해서는 가명화 및 익명화 등의 장치가 잘 이루어져하 합니다.  이런 개인정보의 가명화 및 익명화 조치가 바로 비식별화 조치입니다. 


유럽 개인정보보호법 (GDPR)은 개인정보보호에 대한 권리를 보호하고, EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 제정됐습니다. GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 해 95년 지침보다 정보주체의 권리를 확대 · 강화한 것이 특징입니다. 


GDPR Compliance : It’s Time To Protect Your Users Data (출처 : hackernoon.com)



위의 내용만 보면, 개인정보 규제에 대해서만 강력하고 활용에 대한 보장은 없는 것처럼 보이지만, 절차 및 컴플라이언스만 준수한다면 일정수준의 범위안에서는 개인정보의 활용을 보장하는 법안이기도 합니다. 


GDPR의 정보보호조치는 가명화 및 익명화로 구분되는데, 가명처리는 말그대로 데이터에 가명처리를 하여 벌도로 보관하는 방식입니다. 일반적으로 말하는 데이터 암호화로 데이터 전체를 비식별화 하는 방식입니다. 


또한, 익명화가 있습니다. 익명화는 개인정보에 익명처리 기술을 통해서 일정 부분만 비식별화 처리하는 방식입니다. 대표적으로 데이터 마스킹(Data Masking)이 있습니다. 예를 들면 데이터의 생년월일 또는 이름, 주민등록번호만 숨기고 저장하는 것을 생각하면 됩니다. 


컴플라이언스 측면에서 보면 대한민국에서는 개인정보보호법, 유럽에서는 GDPR이 제정되어 있으며, 미국에서는 표준기술연구소(NIST)에서 개인정보 활용을 위한 표준을 제정 중에 있습니다. 


비식별 조치 및 사후 관리 절차(출처: 금융보안원)



대한민국 개인정보보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




유럽의 GDPR(개인정보보호법)은 개인정보 가명화를 강조

김기태 탈레스 이시큐리티 한국지사장에 따르면, GDPR에서는 개인정보가 저장될때 가명화 처리되어 저장되는 기술이 매우 중요합니다.


데이터마스킹(Data Masking) 기술에 가명화 요건까지 충족하기 위한 기준은 아래와 같습니다.

  1. 마스킹으로 변환되는 값이 유일할 것 

  2. 마스킹된 값으로부터 원본을 유츄할 수 없어야 할 것 

  3. 시스템상 원본이 존재하지 않기 때문에 서비스 고가용성을 갖출 것

  4. 애플리케이션 내부에서도 복원되지 않는 동적 마스킹 기술이 적용


비식별 조치 방법 예시 (출처: 금융보안원)



재식별 판별을 위한 4가지 기준 (출처: 금융보안원)

개인정보 비식별 조치 가이드라인에서는 비식별 조치 방법에 대해 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 기법을 단독 또는 복합적으로 활용하라고 명시하고 있습니다.



탈레스 이시큐리티의 보메트릭 솔루션은 EU GDPR에 대해서 토큰화 기술을 사용해 가명처리 기법을 구현하였습니다. 




탈레스 이시큐리티의 ‘보메트릭 토큰화’는 형태 보존 토큰화 기술을 사용해 데이터베이스 내의 민감한 필드를 형태 변경 없이 보호할 수 있게 지원합니다. ‘보메트릭 토큰화’를 사용하면 운영계 시스템 내 개인정보를 비롯한 모든 민감한 정보를 가명화함으로써 GDPR 뿐만 아니라 HIPAA, PCI-DSS 등 전세계의 모든 컴플라이언스를 준수할 수 있습니다.



‘보메트릭 토큰화’는 애플리케이션에 정책 기반의 동적 데이터 마스킹을 빠르고 쉽게 추가할 수 있도록 만들어 주며, 동적 데이터 마스킹은 역할과 템플릿 기반으로 구현되므로 다양한 마스킹 요구 사항을 쉽게 반영할 수 있습니다. 결과적으로, 비용과 복잡성을 감소시키고 성능을 향상시킬 수 있으며, 글로벌 규모와 고가용성을 보다 쉽게 확보할 수 있습니다. 




보메트릭 토큰화에 대한 자세한 정보 : https://itblog.imarketkorea.com/464



GDPR에서 요구하는 가명 처리는 소스 데이터의 포맷을 유지하며 데이터를 인식이 불가능한 형태로 만드는 것입니다. 그러나 저장하고자 하는 데이터 유형이 텍스트 파일, PDF, MP3 등의 형식인 비정형 데이터의 경우, 가명화는 개인정보보호를 위한 적절한 솔루션이 되지 못합니다. 이 경우에는 파일 시스템 레벨의 암호화가 더 적절합니다.







특히, 대한민국에서는 개인정보보호법을 통해서 강력하게 규제하고 있으므로 상황에 따라 가명화, 익명화를 선택하여 암호화하는 전략이 반드시 필요합니다.


각종 컴플라이언스 규제를 준수하기 위한 비식별화(암호화) 기술을 제공하는, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

보안취약점 탐지, 맥스패트롤 (MAXPartol) 침투테스트 기능

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.11 08:00 / 카테고리 : 보안취약점 진단 - 맥스패트롤



보안취약점 (Vulnerability)은 컴퓨터의 H/W, S/W의 결함이나 설계 및 설정상의 허점으로 이를 악용하여 비인가자의 접근 허용, 주요 데이터 유출 및 변조, 삭제, 정상적인 서비스를 방해할 수 있는 약점을 말합니다. 


보안 취약점은 크게 CCE(Common Configuration Enumeration)와 CVE(Common Vulnerabilities Exposures)로 나뉩니다.  CCE는 IT 인프라 구성의 취약점을 주로 이야기 합니다. 예를 들어 OS, 네트워크, DBMS, WEB, WAS 등이 있습니다. CVE는 어플리케이션 취약점을 주로 나타냅니다. Microsoft, Adobe, Java, Open SSL 등의 어플리케이션 또는 응용프로그램에서 야기되는 문제점을 나타낸다고 해석하면 됩니다. 



일반적으로 취약점 점검은 연 1회 이상 실시하고 취약점을 보완해야하며, 홈페이지는 연 2회 이상 실시하는 것이 좋습니다. 이를, 자동화하고 전수지단으로 취약점 탐지를 더 많이 한다면, 기업의 전반적인 보안 수준은 올라갈 것이며, 악성코드 및 랜섬웨어 등의 피해를 미리 방지할 수 있습니다. 


아이마켓코리아에서 공급하는 MaxPartol(맥스패트롤) 취약점 탐지 솔루션은 Agent 설치가 필요 없는 분석 방식으로 시스템에 미치는 영향을 최소화 하였습니다. 또한, 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다. 





맥스패트롤 특장점 소개

점검 기준 값의 유연한 설정을 제공합니다. 



▣ 신속한 업데이트를 제공합니다. 자세한 내용은 아래의 샘플을 참고해주시기 바랍니다.



동적 스케쥴링 (Dynamic Scheduling) 기능을 지원합니다.

  • AD에 등록된 호스트 자동으로 임포트/ 외부 데이터 임포트하여 스캔 진행

  • 보고서 생성(스캔 후 또는 정기적) / 스캔 결과 아카이빙

  • 취약점 삭제 모니터링 / 호스트 디스커버리 / 컴플라이언스 컨트롤 (이행 점검)


커스터마이징 리포트 기능을 제공합니다. 커스터마이징 리포트 기능은 MaxPatrol에서 제공하는 보고서를 특정 커스텀 리포트로 생성하는 기능입니다. 

  • XML 데이터를 기반으로 다양한 형태의 EXCEL 보고서 생성 가능

  • 쉽게 작성할 수 있는 유연성 제공


다른 보안 시스템과 통합 방안을 제공합니다. 이를 통해서 기존에 구축된 다양한 보안 시스템과 통합 연동 방안을 쉽게 제공합니다.



보안 포털 시스템과의 연동 사례






맥스패트롤 주요 기능 - 침투 테스트


▣ 네트워크 기반 취약점 및 인벤토리 식별 (Black Box 스캐닝)


▣ 취약점 식별

  • 배너 기반 식별

  • 익스플로잇 기반 식별

  • 패스워드 Bruteforce

  • DoS 공격


▣ 낮은 오탐율 (False-Positive) 

  • 서비스 및 소프트웨어의 정확한 버전 파악 후 진단

  • Safe 익스플로잇을 사용


▣ 지속적인 지식기반 업데이트

  • 주간 업데이트

  • CVE 카탈로그 모니터링

  • 취약점 공개 정보

  • 보안 업데이트 모니터링

  • Positive 리서치 팀에 의해 지속 관리


<블랙박스 스캐닝을 통해 확인된 자산 정보 및 취약점 정보>



맥스패트롤 침투테스트의 기본 매커니즘


인벤토리 스캐닝

▣ Host Discovery

- ICMP Ping

- TCP Ping (사전 정의된 포트 또는 커스텀 포트 추가 기능 제공)


▣ TCP Port Scan

- 전체 TCP Port Scan(1~65535)

- 특정 Port Scan


▣ UDP Service Scan

- 특정 UDP Service Scan


▣ Network Service 식별

- 배너 분석(예, “telnet ftp.test.com 21” 이후 응답된 배너 분석

- Protocol command 이용 및 응답 분석


▣ Application 식별

- 에러 메시지, 코드 분석

- 배너, Protocol command 이용 및 응답 분석


▣ OS 식별

- 식별된 Open port set 분석

- Application level service 분석


▣ 추가 정보 수집

- 식별된 서비스 기반으로 추가적인 정보 수집 결정 및 수행


취약점 스캐닝

▣ 취약점 식별

식별된 서비스, Application 취약점 식별 수행


▣ BruteForce 테스트

식별된 서비스/프로토콜 별로 선택 수행




Safe Scan 기능 제공

침투 테스트 시 스캐닝으로 인한 영향(서비스 장애 등)을 최소화 합니다. 


 구분

 설명

 네트워크 프린터 스캔 제외

 - 스캔 도중 네트워크 프린터 발견 시 스캔 대상에서 제외

 - 취약한 프린터로부터 대량의 문서 출력과 같은 오작동을 미연에 방지

 Protocol 별 Bruteforce

 - Bruteforce할 Protocol 선택 가능

     ex) HTTP, FTP, MS-SQL, Oracle, PoP3, SSH, SMP, SMTP, Telnet, VNC, Sybase, SNMP, Radmin, SAP, SIP 등

 Dos 공격 강도 조절 옵션

 - DoS 공격 체크를 위한 버퍼 사이즈 조정 기능 제공

 - Well-Known 또는 Unknown 공격 테스트 비활성화 옵션 기능 제공

 Port Scan 동시 연결 수 제한 기능

 네트워크 부하 감소, 서버 자원 소모 최소화

 Port/Service 식별 이후, 취약점

 점검 비활성화 옵션

 보안 관점 자산 식별 옵션 기능 (Open Port 및 Service 식별만 수행)




침투 테스트 기반 인벤토리 활용 사례



침투 테스트 결과 예시

  • Port/Protocol : 445/TCP

  • Service : Microsoft Directory Service

  • 탐지된 취약점 : 1건 (SMB Signing is not mandatory)

  • 취약점 수정 가이드 : SMB 서버 설정에서 SMB signing 사용 설정(enable)




맥스패트롤 솔루션을 통해서 기업 인프라, 애플리케이션에 대한 침투테스트를 주기적으로 실시하여 보안 취약점을 탐지하고 대책을 세울 수 있습니다. 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/02   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

방문자 통계

  • 전체 : 378,367
  • 오늘 : 22
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.