[nCipher HSM] PCI DSS 컴플라이언스 대응 HSM 장비

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 22:30 / 카테고리 : nCipher HSM (Thales-HSM )



PCI DSS란 무엇인가요?

PCI DSS(Payment Card Industry Data Security Standard)는 다국적 카드 브랜드 회사(VISA, MASTER, AMERICAN EXPRESS, DISCOVER, JCB)들이 제정한 CHD(Cardholder Data : 카드 소유자 정보) 보호를 위한 표준을 말합니다.



PCI DSS는 PCI SSC(Payment Card Industry Security Standards Council)에 참여하고 있는 다국적 카드 브랜드 회사(VISA, MASTER, AMERICAN EXPRESS, DISCOVER, JCB)의 Credit Card Data를 저장 · 운영 · 전송하는 가맹점, 발급 및 매입사, 서비스 제공자 등이 CHD(Cardholder Data : 카드 소유자 정보)를 안전하게 보호하기 위해 필요한 기술적 · 운영적 측면의 정보보호 요구사항을 정의하고 있는 지불 카드 업계 정보 보호 표준을 말합니다. 세부적인 내용은 아래와 같습니다.


- 안전한 네트워크와 시스템 구축 및 유지

- 카드 소유자 데이터 보호

- 취약점 관리 프로그램 유지

- 강력한 접근 통제  실행

- 정기적 네트워크 감시 및 테스트

- 정보보호 정책 수립 및 운영


PCI DSS 요구사항

신용 카드 및 직불 카드 지불을 처리하는 역할을 하는 조직은 계정 데이터의 처리, 저장 및 전송에 대한 엄격한 PCI DSS 요구 사항을 준수해야합니다.


nCipher HSM은 카드 소유자 데이터로 작업하는 조직이 다음을 포함하여 PCI DSS 준수 및 감사의 여러 측면을 준수하도록 도울 수 있습니다.


  • 저장된 카드 소유자 데이터 보호

  • 시스템 구성 요소에 대한 액세스 식별 및 인증




규제 사항

6 가지 핵심 원칙에 대한 200 가지 이상의 테스트

PCI DSS 표준 (www.pcisecuritystandards.org)은 여섯 가지 핵심 원칙을 대표하는 12개의 일반적인 보안 영역에 속하는 200개가 넘는 테스트에 대한 평가를 포함합니다. 이러한 PCI DSS 테스트는 암호화, 키 관리 및 기타 데이터 보호 기술과 같은 기술과 함께 광범위한 공통 보안 사례에 걸쳐 있습니다.

PCI DSS 감사 및 준수와 관련된 위험

  • PCI DSS 준수 요건을 준수하지 않으면 벌금이 부과되거나 수수료가 증가하거나 지불 카드 거래 처리 능력이 종료 될 수 있습니다.

  • PCI DSS 준수는 따로 고려할 수 없습니다. 조직은 여러 가지 보안 위임 및 데이터 유출 공개 법률 또는 규정의 적용을 받습니다. 한편, PCI 컴플라이언스 프로젝트는 광범위한 엔터프라이즈 보안 이니셔티브에 의해 쉽게 추적 될 수 있습니다.

  • PCI DSS 요구사항과 관련된 지침 및 권장사항에는 이미 적용될 수있는 일반적인 관행이 포함됩니다. 그러나, 암호화와 관련된 일부 측면은 조직에 새로운 것이므로 구현이 어려울 수 있으며 올바르게 설계되지 않은 경우 운영 효율성이 나빠질 수 있습니다.

  • PCI DSS 준수 의무의 범위를 줄이고 비용 및 영향을 줄이는 기회가 있습니다. 그러나 조직은 새로운 시스템과 프로세스가 실제로 PCI DSS 준수로 승인되도록 주의를 기울이지 않으면 시간과 돈을 낭비 할 수 있습니다.



컴플라이언스

PCI DSS의 핵심 요구 사항 해결

nCipher는 은행 및 금융 기관이 업계의 요구 사항을 준수하도록 수십 년간의 경험을 토대로 작성한 제품 및 서비스를 통해 저장된 카드 소유자 데이터를 보호하고 전송을 위해 암호화하며 필요에 따라 액세스를 제한 할 수 있습니다.


  • 카드 소유자 정보를 보호할 수 있습니다. nCipher는 선도적 인 모바일 기기 지불 승인 (mPOS) 솔루션과 함께 선도 결제 데이터 보호 솔루션과 함께 작동하여 카드 소유자 데이터를 보호하고 PCI DSS 준수를 보장합니다. 또한 상거래 조직은 전송중인 데이터를 보호하기 위해 네트워크 암호화 및 SSL / TLS 암호화를 해야 합니다.

  • 강력한 액세스 제어 수단을 구현할 수 있습니다. 모든 데이터 보호 기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털 인증서와 같은 암호화 기술은 사용자 및 시스템을 인증하기 위해 암호 등급 보안 이상으로 널리 사용됩니다. 또한 nCipher HSM을 사용하여 데이터 암호 해독 키에 대한 액세스를 제어하면 데이터를 "알 필요가 있는" 경우에만 해독 할 수 있습니다.

  • 안전한 네트워크를 구축하고 유지 관리할 수 있습니다. 네트워크 보안의 핵심 구성 요소는 네트워크 수준의 암호화 외에도 네트워크 장치의 강력한 인증입니다. 디지털 자격 증명은 네트워크 액세스를 제어하기 위해 장치 수준에서 점점 더 많이 사용되고 있으며 기업 PKI에 대한 중요한 보안 고려 사항입니다.

  • 취약점 관리 프로그램을 유지 관리할 수 있습니다. 맬웨어를 주입하여 비즈니스 응용 프로그램을 손상시키려는 고급 영구 공격의 등장으로 비즈니스 시스템과 응용 프로그램 소프트웨어의 무결성과 신뢰성을 입증하는 방법으로 디지털 서명 및 코드 서명이 사용되었습니다.

  • 정보 보안 정책을 유지 관리할 수 있습니다. PCI DSS는 내부자 공격의 위험을 최소화하기 위해 직원들간에 명확한 업무 분립을 확립하는 데 중점을 둡니다. 암호 기법을 사용하면 이러한 분리를 시행하고 준수를 입증 할 수있는 신뢰할 수 있는 이벤트를 작성하는 강력한 메커니즘을 제공합니다.







보안 전문 기업 nCipher 소개


오늘날 빠르게 변화하는 디지털 환경은 고객 만족도를 높이고 경쟁 우위를 확보하며 운영 효율성을 향상시킵니다. 또한 보안 위험도 증가하였습니다. 



nCipher Security는 업무상 중요한 정보와 응용 프로그램에 신뢰, 무결성 및 제어 기능을 제공하여 세계 최고의 조직을 지원합니다. 


EMC의 암호화 솔루션은 클라우드, IoT, 블록 체인, 디지털 지불 등 신흥 기술을 안전하게 보호하며 오늘날 글로벌 조직이 민감한 데이터, 네트워크 통신 및 엔터프라이즈 인프라에 대한 위협으로부터 시스템을 보호하기 위해 사용하는 입증 된 동일한 기술을 사용하여 새로운 규정 준수 의무를 충족시킵니다. 


nCipher Security의 nShield 하드웨어 보안 모듈 (HSM)은 회사의 가장 중요한 데이터를 보호하는 변조 방지 장치입니다. 이러한 FIPS 140-2 인증 모듈은 암호화 및 서명 키 생성, 관리 및 저장과 같은 보호 기능을 수행하고 보호된 경계 내에서 민감한 기능을 실행합니다.


보안 스택에 강력한 추가 기능인 nShield HSM을 사용하면 다음을 수행 할 수 있습니다.

° 높은 수준의 데이터 보안 및 신뢰 달성

° 중요한 규제 기준 충족 및 초과

° 높은 서비스 수준과 비즈니스 민첩성 유지



nShield 제품군

사용자의 특정 환경에 맞게 nShield 범용 HSM 제품군에는 다음과 같은 모델이 포함됩니다.


▣ NSHIELD CONNECT - 네트워크 연결형 HSM

nShield Connect HSM은 네트워크를 통해 분산 된 응용 프로그램에 암호화 서비스를 제공합니다. nShield Connect HSM은 두 가지 시리즈로 제공됩니다 : 고전적인 nShield Connect + HSM 및 고성능

◈ 자세히 보기 : https://itblog.imarketkorea.com/480


▣ NSHIELD 솔로 - 어플라이언스 또는 서버에 내장하기 위한 PCIe 카

nShield Solo HSM은 서버 또는 어플라이언스에서 호스트되는 애플리케이션에 암호화 서비스를 제공하는 로우 프로파일 PCI-Express 카드 모듈입니다. nShield Solo HSM은 고전 nShield Solo + HSM 및 고성능 nShield Solo XC HSM 시리즈의 두 가지 시리즈로 제공됩니다.

◈ 자세히 보기 : https://imarketkorea.tistory.com/481



▣ NSHIELD EDGE - 휴대용 USB 기반 모듈

nShield Edge HSM은 편의성과 경제성을 고려하여 설계된 데스크톱 장치입니다. Edge는 개발자에게 이상적이며 낮은 볼륨의 루트 키 생성과 같은 응용 프로그램을 지원합니다.

◈ 자세히 보기 : https://imarketkorea.tistory.com/482







FIPS 140-2

전 세계적으로 인정되는 FIPS 140-2는 암호화 모듈의 보안 성을 검증하는 미국 정부 NIST 표준입니다. 모든 nCipher nShield HSM은 FIPS 140-2 Level 2 및 Level 3 인증을 받았습니다. 




공통 기준 및 EIDAS 적합성

nShield Solo + 및 Connect + 모델은 EAL (Common Criteria) 4+ 인증을 받았으며 QSCD (Qualified Signature Creation Device)로도 인정됩니다. QSCD로서, nShield HSM은 유럽 디지털 서명 (eIDAS) 및 인증 서비스, 디지털 서명 및 타임 스탬프와 같은 세계적으로 인정받는 솔루션의 보안 백본 인증을 받았습니다. 






nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

nCipher nShield Monitor - 분산된 HSM를 통합 관리, 모니터링

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 19:48 / 카테고리 : nCipher HSM (Thales-HSM )


nCipher의 nShield HSM 제품군은 성능이 매우 뛰어나지만, 관리자가 이를 전부 파악하고 모니터링 하는 것은 정말 어려운 일입니다. nCipher는 nShield HSM 제품군을 중앙화하고, 모니터링 할 수 있는 nShield Monitor를 제공합니다. nShield Monitor 솔루션을 통해서 쉽고 빠르고, 한눈에 nCipher nShield HSM 제품군을 모니터링 할 수 있습니다. 


[nCipher nShield Solution]


nShield HSM 모니터링 솔루션

nShield Monitor는 하나의 중앙 위치에서 모든 nShield HSM을 연중 무휴 감시합니다.


nShield Monitor는 포괄적인 HSM 모니터링 플랫폼으로서 운영팀이 분산 데이터센터를 포함하여 모든 nShield HSM의 상태에 대해 연중 무휴로 파악 할 수 있도록 합니다. 


이 솔루션을 사용하면 보안팀이 HSM을 효율적으로 감시하여 잠재적인 보안 위협, 구성 또는 사용 문제가 업무 핵심 인프라를 위협 할 수 있는지 즉시 파악이 가능합니다.



[nCiper nShield Monitor 화면]



nShield 모니터 특징 요약

  • 모든 nShield 하드웨어 보안 모듈 (HSM)에서 24 x 7 가시성 제공

  • 성능 병목 현상을 파악하여 용량 계획을 개선합니다.

  • 포괄적인 경고를 통해 잠재적인 문제에 즉각적인 대응 가능

  • 중요한 데이터를 검색하기 위해 HSM에 물리적으로 액세스 할 필요가 없습니다.

  • 기존 HSM 하드웨어 및 소프트웨어 구성과의 완벽한 통합



nShield 모니터 솔루션의 특장점


1. 운영 비용 절감

중요한 데이터를 검색하기 위해 HSM에 물리적으로 액세스하는 것과 관련된 비용을 절감 할 수 있습니다.


2. 활용 최적화

HSM 성능 및 배포 아키텍처 최적화 지원이 가능합니다.


3. 응답성 향상

관리자가 능동적으로 시정 조치를 취하는 데 필요한시기 적절하고 표적화 된 통찰력을 관리자에게 부여합니다.




nCipher nShield Monitor

상세 스펙



nShield Monitor는 매분 모든 HSM에 대한 사용 통계를 새로 고칩니다. 정의한 임계 값에 따라 중요한 상황이 발생할 때 솔루션에서 경고를 생성 할 수 있습니다. 


이메일, SNMP, syslog 또는 웹 인터페이스에서 경고에 대한 내용을 선택할 수 있습니다. 지난 시간, 24 시간, 7일, 30일 또는 사용자 정의 간격을 포함하여 심층 분석을 위한 특정 기간을 정의할 수 있습니다.


nShield Monitor는 아래의 내용을 포함한 다양한 속성에 대해 보고합니다.



◈ 중앙 모니터링 기능

  • 모든 HSM에 대한 사용 통계를 분 단위로 갱신

  • 사용자 정의된 임계 값을 기반으로 일련의 경고를 제공

  • 독립적인 사용자 정의 임계 값을 기반으로 중요한 경고를 제공

  • 사용자가 심층 분석을위한 기간을 정의 가능 (지난 시간, 24시간, 7 일, 30 일 또는 맞춤형)

  • 전자 메일, SNMP 및 원격 syslog 서버를 통해 경고 및 경보 제공


◈ HSM 호환성
  • 보안 세계 소프트웨어 v11.72 이상으로 nShield Edge, Solo, Solo +, Connect 및 Connect +

  • Security World Software v12.40 이상으로 nShield Solo XC 및 Connect XC


◈ 역할 기반 액세스 제어
  • 세가지 역할 - 관리자, 그룹 관리자 및 감사자 지원

  • 명확한 직무 분리를 지원하는 각 역할에 적용 가능

  • 전반적인 nShield Monitor 시스템의 구성 및 관리 측면에서 보안 강화

  • 관리자가 배포를 관리

  • 그룹 관리자가 HSM 모니터링을 제공

  • 감사인이 데이터 및 보고서를 열람 가능


◈ 솔루션 구성 요소
  • Open Virtual Appliance (OVA)로 nShield Monitor 응용 프로그램을 포함한 DVD

  • DVD 접근 방식의 대안으로 지원되는 VM 이미지 다운로드

  • 웹 기반 관리 인터페이스 및 명령행 인터페이스 (CLI)

  • Firefox 및 Internet Explorer 브라우저 지원

  • 최대 500 개의 HSM을 지원하는 유연한 엔드포인트 라이센스 메커니즘


◈ 가상 어플라이언스 최소 스펙
  • 2코어의 CPU 2개

  • 8GB RAM

  • 씬 프로비저닝 하드 드라이브

  • VMware ESXi 5.1 이상 (VM 버전 9) 및 IBM PureApp Hypervisor 버전 2.2.3 이상과 호환 가능


◈ 보안
  • 세션 설정의 일환으로 클라이언트 브라우저를 nShield Monitor 인증에 제공하는 웹 서버 인증서 관리

  • 관리자 및 그룹 관리자를 위한 역할 및 책임의 안전한 분리

  • 강력한 암호 정책 - 만료 및 자동 로그아웃 기간 제어

  • 인증 및 개인 정보 보호를 위한 알고리즘 선택

  • SNMP v3를 nShield Monitor - HSM 연결에 사용



nCipher nShield 제품군과 nSheild Monitor솔루션에 대한 제품 문의 및 견적은 아래의 아이마켓코리아 nCipher 제품군 담당자에게 연락 주시면 친절하게 상담해 드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

구글 크롬 제로데이(zeroday) 취약점, 다크트레이스로 탐지 / 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:50 / 카테고리 : 차세대 위협감지 - 다크트레이스



구글에서 올해 3월 초에 패치한 웹브라우저 크롬에서 제로데이(Zeroday) 취약점이 발견되어 사이버 공격자에 의해서 악용이 되고 있습니다. 악성코드의 이름은 CVE-2019-5786으로 높은 위험성을 가지고 있습니다. 이는 대중적으로 많이 사용되고 있는 API에서 발생되기에 위험성이 높습니다.


웹 앱들이 컴퓨터에 저장된 파일을 읽을 수 있는 웹브라우저용 API인 파일리더에서 발견된 UaF 취약점입니다. 구글에서는 해당 취약점에 대한 익스플로잇이 이미 존재하고 있고 해커들이 이미 악용하고 있다고 공식적으로 발표하였으며, 크롬 브라우저는 최대한 빠르게 최신 버전으로 업데이트 할 것을 권고하였습니다. 



해당 취약점을 성공적으로 익스플로잇하면, 공격자가 임의코드를 브라우저 컨텍스트 안에서 실행할 수 있게 되며, 애플리케이션의 권한에 따라서 달라지는 점이 있지만, 공격자가 프로그램 설치, 데이터 Read & Write 권한, Admin 계정의 생성까지도 가능합니다. 


엣지스폿(EdgeSpot)이라는 익스플로잇 탐지 서비스는 크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있다는 것을 발견하였습니다. PDF 문서 파일의 뷰어 프로그램 또는 API 에서 발견된 취약점이기 때문에 Adobe Reader를 제공하는 Adobe에서도 관련 보안패치를 진행하기도 하였습니다. 

최근에는, 보안에 취약한 윈도우즈 익스플로러(Windows Explorer) 대신에 확장성도 뛰어나고 반응형 웹에 강력한 성능을 보이는 구글 크롬(Google Chrome) 브라우저를 기업에서도 많이 사용하고 있습니다.


뛰어난 보안성을 자랑한다고 보였던 구글 크롬 브라우저에서도 익스플로잇, 제로데이 취약점이 나왔으며, 기업에서 자주 사용하는 PDF Reader 기능을 통해서 데이터가 탈취 당하거나, 파일 접근, 권한 탈취 등의 문제가 생기고 있습니다.

이렇게 새롭게 변조되는 악성코드과 공격 기법은 갈수록 다양해지며, 공격 루트도 웹브라우저 플러그인 등으로 가변적입니다. 기업에서는 실시간으로 감시하고 즉각적인 대응이 가능한 머신러닝, 인공지능 기반 보안 솔루션을 통해서 24/7 대응이 가능하여야 합니다. 


기존의 AV, 시그니처 기반의 보안 솔루션은 현재까지 위협 방어에 대한 접근 방법의 한계성을 드러냅니다. 아이마켓코리아에서 공급하는 다크트레이스 솔루션은 기존 방식의 AV(안티바이러스)에서는 탐지가 불가능한 변종/신종 영역까지 탐지가 가능합니다. 



기존 방식의 위협 방어에 대한 문제점


1. 경계 보안의 강화를 통한 방어 체계의 한계성

많은 기업들과 기관들이 인터넷과 인트라넷, 서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속 진화하는 공격 기법에 대응하기가 어렵습니다.


2. 행위의 대한 정상 및 합법여부 정의의 어려움

정상 행위 여부를 규정하기 Rule과 Signature부터 벗어난 다양한 행위들이 존재하고 있습니다.


3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

악성코드 및 봇넷, 사이버 범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보탈취, 시스템 파괴 및 다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



Rule, Signature, SandBox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근방법이 필요합니다.


정책과 시그니처 룰을 기반으로 한 기존의 심층방어체계에는 한계가 있습니다. 새로운 공격과 위협에 대해서 방어수단 확보까지의 시간이 많이 걸리며, 이때 피해가 급증하게 됩니다. 







다크트레이스(DarkTrace)란?

다크트레이스는 차세대 엔터프라이즈 면역 시스템(DarkTrace – Enterprise Immune System)으로 정상 행위 자동 학습을 통해서 비정상 행위를 탐지합니다. 



▣ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소 들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지못한 영역을 식별합니다.


▣ 네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 기반으로 비정상적인 행위를 순환적으로 확률 추론

베이지안 순환 확률 모형, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 



다크트레이스 면역 시스템은 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강한 면역체계 구축하는 보안 솔루션입니다.






다크트레이스는 비지도 학습 기반(Unsupervised Learning)의 머신러닝 기법을 채택하고 있습니다. 이는, 사람의 개입을 최소화하고 기존 보안 솔루션의 한계점으로 대두되고 있는 시그니처와 룰 기반의 접근 방법의 한계점을 뛰어 넘는 방식으로 탐지합니다. 


1. 사고 - 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시 합니다.

2. 실시간 - 시스템의 현재의 시점을 분석합니다.

3. 자가 개선 - 새롭게 학습되는 정보를 통해서 스스로 개선해 나갑니다. 



지도 학습 VS 지도 학습


 구분

 Unsupervised Learning 비지도학습

 Supervised Learning 지도학습

 정의1. 학습 시 출력 값에 대한 정보 없이(교사 없이) 진행되는 학습
2. 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합

1. 출력 결과 값을 미리 알려주는 교사(supervised)가 존재하는 학습

2. 주로 인식, 분류, 진단, 예측 등의 문제 해결에 적합

 사례

동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류인지 분류



다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위에 대해서 학습, 추론, 시각화를 할 수 있는 종합 면역체계 입니다.




다크트레이스 VS 다른 보안 솔루션


구분
DARKTRACE
APT solution
Network forensic &
Log analysis
위협 영역내부+외부외부내부+외부
위협의 종류모든 이상 행위악성코드알려진 위협
운영 노력낮음높음높음
탐지 기반 기술자동화된 머신러닝가상 샌드박스사람의 지식 및 룰
상세 분석딥 패킷 분석코드 리버싱딥 패킷 분석,SQL
데이터 흐름 가시성3D기반의 100% 가시성없슴제한적
실시간 탐지실시간수분 ~ 수시간수시간 ~ 수일
도입 및 운영 비용





매일 급변하는 보안취약점을 방어하기 위한 인공지능, 머신러닝 기반 엔드포인트 보안 솔루션인 다크트레이스에 대한 도입 / 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 2019년 세계보안엑스포(SECON) 개인정보보호 주요 이슈

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:49 / 카테고리 : 보메트릭 암호화 솔루션


2019년 세계보안엑스포 (SECON)이 3월 8일 일산 킨텍스 그랜드볼룸에서 개최되었습니다. 행정안전부가 주최하고 미디어닷이 주관하는 행사로써 공공기관 CPO를 대상으로 진행되었습니다. 


주로 개인정보보보호정책과 개인정보 주요 이슈를 주제로 강연이 시작되었으며, 이에 대한 사고 유출사례 및 법 개정 내용도 많이 나왔습니다. 



최근의 개인정보 유출 사례는 해킹과 더불어서 접근통제가 미비하거나, 데이터에 대한 암호화 처리 미비, 공개된 장소에 개인정보 공개, 담당자 실수로 인한 개인정보의 유출 등의 기본적인 내용에 대한 것들이 많았습니다. 


또한, 해킹은 유출 사고 원인의 63%를 차지하였으며, 접근 통제 및 암호화 등의 기술적인 조치가 취해지지 않은 경우가 대부분이기 때문에 개인정보가 유출되는 경우가 많았습니다. 휴먼 에러로 인해서 주민등록번호, 생체정보, 여권 정보 등의 민감한 데이터가 대량으로 유출되는 경우도 많았습니다. 


대부분의 담당자가 숙지하고 있는 내용이긴 하지만 아래의 사항들이 잘 지켜지지 않고 있습니다. 

▲ 개인정보 접근권한 관리  접근 통제  개인정보 암호화  접속 기록의 보관   보안 시스템 점검 등


그리고, 행정안전부는 현재의 개인정보보호법으로는 개인정보의 개념이 모호하고, 개인정보 감독기구 및 관련 법령이 분산되는 단점을 보완하고자 개인정보보호법의 개정을 추진하고 있다고 밝혔습니다.

개인정보보호법 개정안에서는 특정 인원을 식별할 수 있는 개인정보(이름, 주민등록번호, 영상, 생체정보 등)과 해당 정보만으로는 특정 개인을 알아볼 수 없지만, 다른 정보와 결합하여 신원 확인이 가능한 가명정보, 그리고 특정 개인사용자를 파악할 수 없는 익명정보까지 포함하게 됩니다. 


이렇듯 최근의 개인정보의 범위가 기존의 개인정보, 가명정보, 익명정보 등으로 더욱 더 확대됨에 따라서 개인정보 암호화에 대한 필요성은 더 높아졌습니다. 개인정보보호를 위해서 가장 기본적인 보안 조치이자 가장 강력한 암호화에 대한 필요성이 높아지고 있습니다.


이전 보다 더 범위가 넓어졌을 뿐더러, 동영상, 로그파일, 이미지, 음성 등의 비정형데이터로 이루어진 개인정보가 많아져서 기업의 입장에서는 서버의 부하, 리소스 점유 등으로 인해 암호화 자체가 큰 부담이 될 수 있습니다. 


그렇기 때문에, 기존 정형데이터와 비정형데이터까지 완벽하게 커버할 수 있는 암호화 솔루션이 반드시 필요합니다. 


아이마켓코리아에서 공급하는 암호화 보안 솔루션인 보메트릭 암호화 솔루션은 기존의 정형데이터 뿐만 아니라 비정형데이터를 적은 리소스 점유로 안전하게 암호화 할 수 있는 보안 솔루션입니다. 



보메트릭 암호화 솔루션인 Vormetric Transparent Encryption은 기존의 API 방식에 개인정보 토큰 값을 적용하여 단순 API 방식 암호화 보다 구축은 더 편리하고 보안성을 증가하였습니다. 또한, 전용 키 관리 장비를 통해서 암호 키의 유출을 방지할 수 있으며, 인증서와 비밀번호를 통한 안전한 암호화 모듈 접근 통제가 가능합니다. 



일반적인 암호화 솔루션은 암호화 이후에 파일의 크기가 증가하는 단점이 있지만, Vormetric Transparent Encryption은 기존의 방식과는 다르게 동일한 파일 크기로 암호화가 가능하며, 지속적인 수정도 필요가 없기 때문에 관리면에서도 우수합니다. 




그리고, 암호화 솔루션 도입시에 어플리케이션 수정 및 데이터베이스의 변화가 없이 도입이 가능한 장점을 가지고 있습니다. 암호화 뿐만 아니라 키 관리, 접근 통제, 권한 및 역할 관리, 감사 등을 지원하여 암호화 보안에 필요한 모든 유틸리티를 갖추고 있습니다. 


Voremtric Transparent Encryption 제품의 특장점 소개


투명성

  • 애플리케이션 변경이 불필요

  • 다양한 형태의 파일에 적용

강력한 보안

  • 우수한 성능, 여러 환경 및 BMT에서 최상의 성능 확인

  • 관리자(root) 접근 통제

손쉬운 구축

  • 암호화 영역에 데이터를 복사하면 구축 완료

  • 구축기간 최소화 (3 ~ 5일 가능)

효과적인 플랫폼

  • 다수 서버에 대한 중앙집중 관리

  • 고성능 실시간 암호화


■  고성능

특정 작업이 요구하는 스토리지 블록에 대해서만 암호화 및 복호화를 수행하기 때문에 아주 작은 오버헤드만으로 동작하는 것이 가능합니다. 디스크 I/O 동작이 보호된 데이터에서 실행될 때에만 암호화 및 해독 작업을 수행하므로, 암호화를 작동시켜도 트랜잭션적인 영향을 피할 수 있습니다.


■  최소의 성능 부하

본 제품은 암호화 후에도 성능 부하를 최소로 유지합니다. 실제로 울산대학교병원은 구축 후 성능 오버헤드를 1~2% 미만으로 유지하여 시스템에 무리 없이 업무를 원활히 수행할 수 있던 사례가 있습니다.


■  투명한 구축

파일 시스템 논리 볼륨 계층 위에 추가되는 형태의 보메트릭 암호화 솔루션은 데이터베이스, 애플리케이션, 파일 및 스토리지 네트워크를 재구성할 필요가 없이 현재 상태에서 투명한 보안을 제공합니다.


■  중앙집중화된 키 및 정책 관리

보메트릭은 폭넓은 IT환경에 걸쳐 쉽게 확장할 수 있는 안전하고 중앙집중화된 키 관리 시스템을 제공합니다. 이는 암호화 데이터가 운영되는 장비와 별도로 운영되는 키 관리 어플라이언스인 데이터 파이어월을 통해 모든 엔터프라이즈 시스템에 단일 방식의 대폭 간소화되고 정밀한 제어와 감사 기능을 가진 별도의 키 관리 시스템을 제공합니다.



FPE (Format Preserving Encryption) 지원

  • 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

  • 미국 NIST의 암호화 표준 규격 중 FFX3 모드 적용

  • 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불필요


파일 암호화 기능 향상

  • VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

  • 두 제품 간의 호환성 증가로 보다 유연한 적용 가능



또한, 보메트릭 암호화 솔루션은 Data Masking 기법의 암호화도 가능하며, 토큰화 암호화 솔루션(Vormetric Tokenization)을 사용하여 안전하게 마스킹 할수 있습니다. 자사 커널 방식의 암호화와 타 플러그인 방식, API 방식과의 비교는 아래를 참조해주시기 바랍니다. 




 구분

Vormetric Tokenization

Vormetric 커널 암호화

Plug-In 방식

API 방식

 적용방식

응용프로그램에서 토큰 서버를 호출하여 토큰(대체값)을 생성하도록 소스 코드 수정

암호화 모듈이 운영체제 커널안에 로딩되어 파일에 대해 암복호화 수행

DBMS 엔진 내부에 암호화 모듈이  탑재되어 DB 내부에서 암복호화

응용프로그램에서 암호화 라이브러리를 호출하도록 소소 코드 수정

 운영환경

제약 없음

(대상 서버에 설치되는 모듈 없음. 단, 토큰 서버를 위해 x86 기반의 가상화 환경 필요)

대부분의 상용 운영체제

(AIX, HP-UX, Solaris, Windows,     Red Hat, SLES, Ubuntu, 클라우드)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 지원환경

RESTful 표준을 지원하는 개발 언어 (C, Java 등 대부분의 개발언어에서 지원)

Oracle, DB2, MS-SQL, Sybase, Informix, MySQL, PostgreSQL, Cache Hadoop, MongoDB 등 제한 없음

Oracle, MS-SQL, DB2 등 특정 DBMS

C 언어, Java 언어 등의 환경

 데이터 사이즈

원본 데이터와 동일한 사이즈의 토큰 생성

암호화 전후 파일 사이즈 동일

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 구축기간

2~4개월

(토큰화 전후 데이터 사이즈가 동일하여 API 방식 암호화 대비 수정 방식이 단순함)

3~5일

1개월 ~ 3개월

3~6개월

구축비용

유지보수

·  응용프로그램 수정을 위한 인력 소요 (초급이상)

·  토큰이 적용된 DB에는 민감정보가 사라짐에 따라 보안 관리에 용이

구축 및 유지 보수를 위한 특수한 인력 불필요

·  SQL 튜닝 인력비 (고급 이상) 소요

·  유지보수 중에도 지속적인 튜닝 필요

·  응용프로그램 수정 (중급 이상) 소요

·  유지보수 중에도 지속적 수정 필요



마지막으로, Vormetric Data Security Manager를 통해서 자사 제품과 통합된 암호 키 및 정책 관리가 가능합니다. 

  • 중앙집중형 단일 인터페이스를 통한 암호키와 정책 관리

  • 소프트웨어 / 하드웨어 일체형 어플라이언스 또는 가상 머신 형태

  • 가용성 확보를 위한 이중화 구성 지원

  • 1만대 이상의 서버 환경에서 입증된 관리 기능

  • 웹과 CLI 기반의 콘솔 및 자동화를 위한 API 지원

  • 미국 연방 정부의 FIPS 140-2 Level 3 인증 확보



보메트릭 암호화 솔루션을 통한 데이터 보안 구축 절차는 아래와 같습니다.

구축 준비 및 사전 분석

구현 및 검증

운영 이행

안정화

· 프로젝트 수행 TFT 구성

· 업무/어플리케이션 분석

· 영향도 분석

· 데이터 보호 정책 수립

· 테스트 환경 구축

· 암호화 적용

· 테스트를 통한 검증

· 개선 사항 도출 및 대응

· 이행 계획 수립

· 계획 작성

· 운영 서버 적용

· 이행 작업 수행

· 모니터링

· 인수인계




개인정보 암호화, 개인정보보호법 대비를 위한 비정형데이터 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/03   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

방문자 통계

  • 전체 : 353,945
  • 오늘 : 170
  • 어제 : 287
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.