기업의 중요 자산을 보호하는 Thales GPHSM 솔루션 소개 (보안 솔루션)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.10 10:29 / 카테고리 : nCipher HSM (Thales-HSM )


기업의 중요 자산을 보호하는 방법으로 많은 기업들이 암호화 모듈을 도입하고 있습니다. HSM과 같은 보안 솔루션은 다양한 업체가 생산하고 판매하고 있지만, 암호화 모듈의 경우 가장 중요한 것은 성능과 보장 가능한 신뢰성이라고 할 수 있습니다.


한번 도입하면 바꾸기가 쉽지 않은 보안관련 제품 특성상, 보안 솔루션을 어떤 브랜드의 제품으로 구입할 것인가 하는 것도 매우 중요한 문제입니다. 이번에는, 전세계 시장 점유율 1위를 하고 있는 Thales에 대한 소개와 Thales의 GPHSM에 대한 장점을 소개하도록 하겠습니다.





Thales는 신뢰를 최우선 하는 오랜 국방 사업 경험을 바탕으로 군, 정부, 일반기업의 정보 시스템 보안 시장을 위한 최고의 기술을 자랑하는 글로벌 기업입니다. 전세계적으로 68,000명의 직원이 있으며, 세계 각국 50여 나라에 자회사를 보유하고 있으며, 각국에는 다양한 협력사가 있습니다. 아이마켓코리아는 Thales 협력사로써 Thales 제품에 대한 공식 총판입니다.


또한, APAC 기술지원 센터가 홍콩에 있고 40년 이상의 풍부한 경험과 실적으로 국방 사업 경험을 바탕으로 한 정보 시스템 보안 사업에서 절대적인 신뢰성과 안정성을 보장합니다.

Thales의 고객으로는 21개의 NATO 회원국과, 20개의 대행 은행 중에 19개 은행을 고객으로 하고 있으며, 전세계적으로써는 3,000개 이상의 금융기관에 Thales의 보안 솔루션이 도입되어 있어, 전세계 적으로 기술력을 인정받은 글로벌 기업입니다.


가장 중요한 보안관련 사업 실적으로는 PHSM 제품의 경우 전세계 70% 이상을 점유하고 있으며, GPHSM은 전세계의 40%를 점유하고 있습니다. 또한, 네크워크 구간 암호화 장비 같은 경우도 전세계의 40%의 제품이 Thales e-security의 제품입니다.




Thales e-security의 제품 라인업으로는 Application Security, Identity Security, Payment Seurity, Network Security, Storage Security가 있습니다.

아이마켓코리아에서는 Thales e-security의 대표적인 제품인 GPHSM(nShield Connect, Solo), 네트워크 보안장비(DataCryptor), 지불결제 보안 모듈(Payshield 9000) 등을 공급하고 있습니다.


아래에서는, 아이마켓코리아가 정식으로 유통하는 Thales의 보안 제품 중 가장 많이 사용되고 있는 GPHSM 제품인 nShield 제품군에 대해서 설명을 드리도록 하겠습니다.

GPHSM은 간단하게 암호화 키를 보호하고 관리할 수 있는 암호화 솔루션입니다. 중요한 비즈니스 로직과 데이터베이스를 보호하고 관리하는데 있어서 최적화 된 제품입니다.


[Thales GPHSM 특장점]

첫째, Thales의 GPHSM은 애플리케이션이 암호화 키를 직접 접근하지 않으며 키는 HSM 밖으로 복호화된 상태로 노출되지 않기 때문에 안전합니다.

둘째, SEE(Secure Execution Engine)을 통해 중요 어플리케이션 Code를 보안에 안전한 HSM 박스 내에서 수행하는 기능을 제공합니다. SEE는 HSM 개발자 툴 킷 옵션 형태로 제공됩니다.



셋째, Thales의 nShiled Connect는 현존하는 가장 빠른 HSM입니다.



넷째, Thales GPHSM은 Oracle 11g와 MS SQL 2008과 연동이 가능합니다.



Thales HSM은 웹 환경에서의 중요 정보를 보호할 수 있으며, 중요한 로그인 및 고객 정보등 (PINs, Password, other Secrets)에 대한 안전한 보호가 가능하며, 내부 개발자 및 운영자 또는 악성코드와 같은 의도적인 공격에 대한 보호가 가능합니다. HSM을 통해 암호화 및 복호화, SSL 세션, 인증 로직과 같은 중요 로직도 HSM 내부에서 처리가 가능합니다.


Thales HSM은 하이테크 산업에서도 적용할 수 있습니다. 생산공정에서의 생산량을 제어할 수 있고, 하이테크 제품의 위조 방지, 제품에 대한 강력한 인증 및 추가적인 보안을 구축할 수 있습니다. 적용방법으로는 생산공정에 위조 방지 카운터를 추가하거나, 인증되지 않은 장비의 사용방지, 장비에 디지털 인증서 주입(장비의 안전한 식별 및 인증, 네트워크 상의 트래픽 암호화)을 통해 가능힙니다.


국내 적용 사례로는 공인인증기관, 전자문서 보관소 등의 키 보호 및 서명에 사용되고 있으며, 금융기관에서도 인터넷뱅킹 키 보호와 암호화에 따른 부하를 분산시키는 용도로 HSM이 사용되고 있습니다. 카드 발급시, 제조에도 키보호 용도로 사용되고 있습니다. 추가적으로 Thales의 지불결제 모듈을 통해 카드사에서는 키보호 및 지불거래처리시에 보안성을 보장 하고 있으며 ATM에도 키보호 솔루션으로 도입되고 있습니다.


※ Thales HSM에 대한 자세한 정보를 알고 싶으시다면, 온라인 카탈로그 페이지(http://it.imarketkorea.com/hsm.php)를 참조하시기 바랍니다.



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아







Trackbacks 0 / Comments 0

암호화 방식과 데이터베이스 보안(DB 보안)의 종류

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.07 20:11 / 카테고리 : nCipher HSM (Thales-HSM )



기업의 중요한 정보를 보호하는 가장 좋은 방법은 바로 암호화입니다.

암호화는 평문이라고 불리는 문서, 사진, 비디오파일, 데이터베이스와 등와 같은 데이터를 기계가 읽을 수 있는 수학적인 공식으로 이루어진 알고리즘을 통해 암호문형태의 읽을 수 없는 형태의 데이터로 전환하는 과정을 말합니다.


대표적으로 암호화에는 2가지 방법이 있습니다. 바로 대칭키 암호화 방식과 비대칭키 암호화 방식으로 구분 지을 수 있습니다.


대칭 키 암호화는 암호화와 복호화에 같은 키가 사용되는 방법으로 대칭 키 알고리즘의 종류로는 3DES, AES 또는 SEED를 들 수 있습니다.

비대칭 키 암호화는 암호화와 복호화에 공개키와 개인키를 쌍으로 불리는 매우 큰 소수의 수학적으로 관련된 한쌍으 이용하는 암호화 방법입니다. 제약 없이 배포되는 공개키는 누군가 암호화된 정보를 키 쌍의 소유자에게 보내고 싶을때 해당 정보에 암호화에 사용됩니다.

또한, 이 암호화된 정보는 오직 소유자만이 가지고 있는 개인 키로만 복호화가 됩니다. 비 대칭키 알고리즘의 종류로는 RSA와 KCDSA가 있습니다.


키는 암호화 알고리즘의 매개변수로써 모든 암호화 방식에서 가장 중요한 정보의 구성요소가 됩니다. 당연히 복잡할 수로 키는 안전합니다.

암호화는 표준으로 제정되며 안전성이 입증되고 완성되며, 표준화됩니다. 많이 알려진 암호화 알고리즘의 하나인 DES 알고리즘은 1974년에 개발되었고 1977년에 미국정부에 의하여 국가 표준으로 채택되었으며 현재는 2002년에 표준으로 채택된 암호화 알고리즘인 AES를 가장 많이 사용하고 있습니다. 


가장 중요한 DB보안의 방식은 크게 DB접근제어와 DB암호화가 있으며 DB 접근제어는 DB서버에 접근하는 SQL, DB명령어 등 모든 요청이 DB서버에 도달하기 전에 중간에서 모니터링/허용/차단/변조하는 것을 의미합니다. 예를 들어, 특정 사용자가 실행할 수 있는 SQL을 시간대별로 제어하거나 대량의 개인정보 유출 가능성이 있는 SQL은 어떤 경우에도 실행을 차단하는 기능을 제공합니다.


DB암호화는 DB서버 내의 데이터 자체를 암호화 하는 것입니다. 해커나 내부 직원이 어떤 방법으로든 방화벽, 접근 제어 등의 모든 보안 솔루션을 다 통과해서 DB서버까지 들어 와서 데이터에 접근했다고 해도 개인 정보는 암호화 되어 있기 때문에 유출되지 않습니다.

대표적인 암호화 방식으로는 TDE방식과 TDE + HSM 방식, 그리고 소프트웨어 기반의 암호화 방식, 그리고 하드웨어 기반 DB암호화 방식이 있습니다.

그 중에서 많이 활용하고 있는 DB암호화 방식인 TDE와 TDE + HSM 방식의 차이점을 설명드리도록 하겠습니다.



[DB 암호화의 종류]

1. TDE(Transparent Database Encryption)

열쇠를 자전거 보관소 안에 두는 방식입니다.  즉, 암호화를 풀 수 있는 암호화 키를 DB서버에 파일 형태로 두는 것입니다. 이 기능은 오라클이나 MS-SQL등의 DB 업체를 통해서 구매할 수 있습니다. 이 방식의 장점은 속도가 가장 빠릅니다. DB를 사용하는 애플리케이션을 수정할 필요 없어 편리합니다. 단점은 DB서버 CPU에 부하가 발생하고, DB서버 파일 시스템이 해킹당하면 암호화 키도 유출할 수 있다는 점이며, 체계적인 암호화 키 관리도 어렵습니다.



2. TDE + HSM(Hardware Security Module)

열쇠를 자전거 보관소 안에 두지만 작은 상자 안에 넣어 두고 그 상자는 또 다른 열쇠로 잠궈 놓는 방식입니다. 암호화 키 자체를 암호화해 DB서버의 파일에 두고, 키를 암호화하는데 사용한 또 다른 키는 DB서버 외부의 HSM(Hadware Security Module)에 보관합니다. HSM 이란 키를 안전하게 보관하기 위한 전용 하드웨어 장비로 탈레스, 세이프넷 등의 전문 업체가 있습니다. 암/복호화 작업이 실행 중인 동안에는 키가 DB서버의 메모리에 존재합니다. 이 장점은 TDE 방식과 동일합니다. 하지만 HSM장비를 같이 활용하여 성능과 보안성을 강화할 수 있다는 점이 다릅니다. 하드웨어 보안 모듈(Hardware Security Module, HSM)의 사용은 보안을 최고 수준으로 구현할 수 있도록 보장합니다.

※ TDE + HSM 관련 글 보기 : 효율적인 오라클 DB암호화 방법 - TDE와 HSM / Microsoft MS-SQL TDE (EKM 키 관리)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아








Trackbacks 0 / Comments 0

[네트워크 보안] 네트워크 암호화의 중요성과 고려해야 할 사항

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.14 11:00 / 카테고리 : nCipher HSM (Thales-HSM )


네트워크 암호화의 중요성과 고려해야 할 사항

물리적 네트워크의 중요성은 몇번을 강조해도 지나치지 않습니다. 최근에는 진정한 의미에서 안전한 개인 네트워크를 실현하는 조직은 거의 없고, 다른 조직과의 네트워크 인프라를 공유하고 있습니다. 결과적으로 이러한 공공 네트워크 및 가상 개인네트워크에서 교환되는 정보는 종종 도청에 취약하기까지 합니다.


따라서 데이터 프라이버시에 대한 오늘의 요구사항과 표준에 따라 사용중인 데이터를 보호하는 것이 요구되고 있습니다. 각 조직은 데이터암호화를 위해 선택한 응용프로그램 수준에서 수행하거나 데이터베이스(Database) 또는 다른 스토리지(Storage) 환경에서 수행여부를 선택할 수 있는 반면에 네트워크를 통해 이동하는 데이터 집합을 보호하는 것은 즉석방식이지만, 특별한 보안 레이어를 추가하는 데에는 매우 효과적인 수단입니다.


네트워크 암호화는 규제된 데이터가 잘못된 보호조치를 실시하고 제출되어 버렸을 경우에는 이를 보호합니다. 또한, 전용 보호조치를 베푸는 정도는 아니지만 역시, 신중하게 취급한다고 간주하는 것과 같은 기타 모든 중요 데이터 파티션에 안전한 보안을 제공합니다.

네트워크 수준의 암호화는 비교적 성숙한 기술이지만, 그것을 사용하는 조직은 어떤 유형의 네트워크 암호화를 도입할 것인지를 결정할 때 몇가지 고려해야 할 사항이 있습니다.



[네트워크 암호화 도입시 체크해야할 내용]

1. 어떤 네트워크 트래픽을 암호화 해야하는 것인가?

대부분의 네트워크 어느정도 오픈되어 있지만, 그 중에는 다른 것들보다 훨씬 개방적인 것들이 있습니다. 내부의 유선 네트워크는 내부자 공격의 위협의 노출될 수 있기 때문에 가장 신중하게 처리할 데이터에 대해서만 취약하다고 간주 할 수 있습니다.

이와는 대조적으로 핵심 네트워크와 광역 네트워크(WAN) 연결은 외부 서비스 공급자가 제공하는 파이프를 공유하는 것이 보통이므로 일반적으로 더 신중하게 검토해야합니다. 무선근거리통신망(LAN)이나 무선 WAN 상의 트래픽은 거의 모든 설정에서 트래픽을 암호화 해야합니다. 인터넷 트래픽 또한 마찬가지로 암호화는 필수입니다. 


2. 트래픽은 OSI 네트워크 모델의 Layer2 및 Layer3 중 무엇으로 암호화 할 것인가?

이 선택에서 문제가 되는 것은 오버헤드로 예상되는 대역폭의 낭비입니다. IPSec등의 잘 알려진 프로토콜을 사용하여 Layer3에 암호화를 적용하면 네트워크의 다른장비가 사용하는 라우팅 정보를 유지해야 합니다. 이 방법은 많은 비용을 초래하고 결과적으로 네트워크 용량 및 대기시간에 영향을 미치게 됩니다. Layer2 암호화는 더 낮은 계층에서 행해지므로, Layer3에서 사용되는 라우팅 정보 흐름 관리방법과는 관계없이 대부분의 경우 보다 효율적으로 암호화 할 수 있습니다.

하지만 IPSec 네트워크 암호화가 일반적인 형태인 것에는 변화가 없습니다. 그러나 대역폭 및 지연시간이 가장 중시되는 데이터센터간의 고속연결의 경우는 Layer2 암호화를 고려 할 수 있습니다.


3. 현재 보안 요구의 적합한 암호화 방식의 선택

네트워크 수준의 암호화는 비교적 성숙한 기술이므로 라우팅 장비 및 스위칭 장비의 임베디드 기능 또는 네이티브 기능으로 사용할 수 있도록 되어있는 것이 보통입니다.

독립형 암호화 플랫폼은 임베디드 암호화 기능과 대등한 또 하나의 선택으로 높은 수준의 보증과 전용키 관리 기능의 장점을 겸비하고 있씁니다.

독립형 암호화 플랫폼은 FIPS 140과 CC 기준등의 보안 벤치마크를 기반으로 독립적인 기관의 인증을 받았으며, 변조방지 뿐만 아니라, 네트워크 관리자 및 보안 책임자의 업무를 명확하기 분리할 수 있는 기능을 제공합니다.

독립형 네트워크 암호화 플랫폼은 데이터센터간의 고속연결에 특히 유용합니다. 세계적으로 상호 연결된 조직 및 서비스 공급업체에서는 최적화된 대역폭, 확실한 재해복구성 및 스토리지 영역 네트워크(SAN) 및 트랜잭션시스템, 클라우드 컴퓨팅과같은 핵심시스템의 보안과 같은 요소들을 유기적으로 결합해야 합니다. 이 구간의 연결은 보안을 최대한 투명하게 확보하는 것이기 때문에 기업의 중요한 성공요인이 될 수 있고 네트워크 서비스 공급자의 큰 차별화 요소가 될 수 있습니다.




[네트워크 암호화의 중요성]

네트워크는 여러가지 위험성에 노출되기도 합니다. 예를 들면 공격자가 네트워크를 통해 이동하는 미 암호화된 데이터를 읽을 수 있기 때문에 프라이버시가 손상될 뿐만 아니라 더 정교한 공격으로 이행하는 단계로써 내용이 수정 또는 대체될 수 있습니다. 그리고 많은 기업들의 요구사항 중 하나로 사용중인 데이터에 대한 보호를 요구하고 있기 때문에 데이터에 대한 보호를 구축하지 않는 기업은 벌금이나 데이터 유출의 위험에 노출되어 신뢰성을 잃어버릴 우려가 있습니다.

응용프로그램에 따라 라우터나 스위치에 내장된 암호화 기능은 필요한 보안의 헛점과 성능의 저하를 가져올 수 있습니다.


이러한 네트워크 암호화를 완벽하게 구축할 수 있는 솔루션으로 Thales e-Security 솔루션이 있습니다. Thales 솔루션 도입을 통해 기업은 네트워크를 통한 공격 방어, 데이터 암호화 보호, 보안성 강화와 성능 향상을 한번에 구현할 수 있습니다.


[네트워크 암호화 : Thales e-Security 솔루션]

독립형 네트워크 암호화 플랫폼을 사용하기 전에 검증된 솔루션을 도입하여 신중하기 취급해야 높은 가치의 데이터가 전송 중에 노출시킬 수 없도록 최대한의 신뢰성을 실현할 수 있습니다. DataCryptor 네트워크 암호화 플랫폼은 미 암호화된 데이터 전송 및 라우터나 스위치에 내장된 기본 암호화 기능 모두에 대해 보호를 강화합니다.

DataCryptor 제품군의 네트워크 암호화 플랫폼은 최첨단의 처리량과 지연시간을 실현하면서, 다양한 네트워크 유형과 암호화 프로토콜 및 인증수준에 대한 광범위한 지원을 제공할 수 있도록 설계되어 있습니다.






성능 및 도입 유연성의 이상적인 조합은 지연시간, 대역폭의 활용, 업무의 명확한 분리가 가장 중시되는 지점간 네트워크 및 멀티포인트 네트워크 보안을 확보하려는 조직 및 서비스 공급업체에게 필수적이라고 할 수 있습니다. 대표적인 이용 시나리오는 다음과 같은 경우를 들 수 있습니다.


[Thales e-Security DataCryptor 대표적 이용 시나리오]

1. 지리적으로 분산된 가상 개인네트워크에 의해 상호연결된 사무실을 가진 기관 및 단체

2. 고속광역네트워크(WAN) 연결을 사용하여 미러링 또는 복제된 데이터센터를 가진 조직

3. 마이크로파 또는 무선 기반 네트워크를 사용하는 조직

4. 고품질의 암호화된 데이터 네트워킹 서비스를 제공하고자 하는 서비스 제공업체

5. 보증할 수 있는 제한된 네트워크에 국내 전용 알고리즘 및 키 관리 기술을 사용하고자 하는 정부 기관



[Thales E-Security DataCryptor로 얻을 수 있는 장점]

1. 탈레스가 가진 20년 이상의 입증된 기술에 의해 보장할 수 있는 네트워크 암호화 솔루션을 구축할 수 있습니다.

2. 가장 효율적인 데이터 전송매체, 네트워크 속도, 프로토콜을 이용하기 때문에 비용을 절감 할 수 있습니다. 

3. DataCryptor 플랫폼은 IP Layer 2 이더넷, E1/T1 및 E3/T3 SONET / SDH, LINK 및 프레임 릴레이에 사용할 수 있습니다.

4. 위변조 방지 물리적 보안 강화, 강력한 인증, 하드웨어 기반의 키 생성, 내장 및 원격 키관리 등 네트워크 스위치나 라우터의 기본 암호화 기능에서 실현될 수 없는 보안 기능의 이점을 이용할 수 있습니다.

5. 네트워크 관리자 및 보안 책임자의 업무 분리를 실현함으로써 내부자에 의한 공격의 위험을 줄일 수 있습니다.

6. 국가별, 혹은 그 국가의 공인된 암호화 알고리즘 및 키 관리 표준을 확장하려고 하는 조직은 구체적인 요구에 맞게 사용할 수 있고, 자정의 알고리즘을 다시 프로그램 할 수 있는 기성품 암호화 장치 사용을 통해 비용을 최소화 할 수 있습니다.

7. FIPS와 공통평가 기준 등 세계적인 보안 표준 및 UK CESG / CAPS 등의 지역적 인증기반을 받은 장치를 사용하여 규정준수를 간소화합니다.


VPN(가설사설망)과 Thales DataCryptor 제품과의 차이점

DataCryptor는 비교할 수 없는 암호화 성능을 자랑하며 Low-Latency를 지원합니다. 또한, VoIP 패킷에서 Jumbo Frame 패킷까지의 동등한 암호화 성능을 제공합니다.

 

 Integrated Software Encryption

 Hardware Encryption (Datacryptor)

 Hardware Random Number Generation

 X

O

 Self-sufficient Certificate Generation

 X

O

 Control Over Key Lifecycle Management

 X

O

 Software Licensing Requirements

 O

X

 Separation of Duties

 X

O

 Low Latency for Fast Encryption

 X

O

 Consistent Encryption Performance

 X

O


최근 Voice와 Video의 네트워크 트래픽 사용량은 계속 증가하고 있습니다. 그리고, Voice와 Video Frame 사이즈는 작고 빠른 특성을 가지고 있습니다. Cisco 등의 장비에 의한 암호화는 일정한 성능을 주지 못합니다. 그 이유는 Voice 등의 작고 빠른 패킷은 프로세서에 부하를 주게되고 Jumbo Frames는 암호화에 많은 시간이 필요합니다. 

DataCryptor는 일정한 성능으로 안정성을 유지할 수 있으며, 그 이유로는 데이터 타입에 상관없이 일정한 암호화 성능을 제공하기 때문입니다. 네트워크 사용량이 증가하고 데이터 타입이 변화함에 상관없이 DataCryptor는 항상 최적의 성능을 제공합니다.


이처럼 네트워크 트래픽 사용량의 증가에 대비한 다량의 암호화, 그리고 성능 향상, 일정한 성능을 제공하여 안전성을 최대한 확보하기 위해서는 20년 기술을 보유하고 있는 Thales의 DataCryptor 솔루션을 통해 안전한 네트워크 구축은 물론, 기업의 비용절감 효과까지 한번에 가져가시기 바랍니다.

Thales DataCryptor 제품에 대한 문의와 구매 상담은 아래에 있는 연락처를 통해서 연락을 주시면 친절하게 상담해 드립니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com




아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.




Trackbacks 0 / Comments 0

[기업보안] 강력한 네트워크 보안을 위한 솔루션 Thales DataCryptor

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.10 11:18 / 카테고리 : nCipher HSM (Thales-HSM )


정보화 시대에 맞추어 네트워크 망은 갈수록 트래픽 용량이 거대하고 분산되는 네트워크 구조로 진행되고 있습니다. 보안측면에서도 요건 및 규제가 정부차원에서 진행되고 있습니다. 특히, 최근 많은 공공기관 및 금융권, 대기업의 내부 및 보안 사고로 인하여 보안의 필요성에 대한 인식이 더욱 강화되고 있는게 오늘날의 보안 현실입니다.


보안 사고가 많이 증가하고 이슈가 됨에 따라서 기업들은 기존의 보안 시스템을 보완 및 강화하려고 하고 있습니다. 일반적으로 시스템 및 네트워크에 대한 보안 강화 방안으로 방화벽, IDS/IPS, UTM, 시스템 업그레이드, 기타 등을 조치하고 있습니다. 이러한 서비스를 제공하기 위한 기 구축된 또는 신규 구축되는 가장 기본적인 물리 전송 구간에 대한 보안의식 및 적용 현황은 아직 미약한 상황이 되고 있습니다.


예를 들어서, 전용 회선의 경우에는 비록 Public 네트워크 망과 분리되어 서비스 되고 있기 때문에 보편적으로 안전하다고 생각되고 있지만, 실질적으로 전용 회선의 경우, 여건에 따라서는 보안에 더욱 취약한 부분이 많은 상황이 되고 있고, 더욱 심각한 것은 물리적인 전송 구간에서의 해킹이 발생했을시에 해킹 흔적을 찾기가 매우 어려운 상황입니다. 그렇기 때문에 해킹에 대한 피해 규모 및 추적도 힘들다는 점이 있습니다.


유럽 및 북미의 경우에는 물리적인 네트워크 구간 해킹에 대한 인식이 많이 고취되어 있는 상태이고, 이에 대한 보안책으로 네트워크 구간 암호화 시스템이라는 장비를 적용하여 1차적으로 물리적인 전송 구간 암호화를 강화하고 있는 추세입니다.



전세계적으로 인터넷 및 기타 네트워크 서비스 부분에 있어서 상위권에 있는 우리나라의 경우에는 물리적인 구간 암호화 방안이 더욱더 고려되어 물리적인 1차 해킹으로부터 피해를 최소화 하는 방향으로 개선이 이루어져야 합니다.


이러한 물리적인 구간 암호화 방식에 최적화된 솔루션을 기업에서 구현하기 위해서 많은 기업 보안 담당자들은 어느 솔루션을 도입하여야 할지 고민이 많은 상황입니다. 

외국의 경우에는 어떤 방식으로 구간 암호화 방식이 이루어질까요? 유럽과 북미에서는 물리적인 구간 암호화 방식에 최적화된 솔루션 구축을 위해서 도입한 제품으로는 탈레스(Thales) DataCryptor 네트워크 구간 암호화 장비가 있습니다. 


DataCryptor 네트워크 구간 암호화 장비는 데이터 암호화/복호화시 저지연(마이크로 단위) 및 높은 유효 대역폭(Data Throughput)을 지원하기 때문에 고성능의 안정적인 시스템입니다.


DataCryptor 제품은 현존하는 모든 전용회선을 암호화할 수 있고, 저속회선 장비군, IP 네트워크 장비군, SONET/SDH 장비군의 세 종류가 있습니다.


저속회선 장비는 RS232, RS422, V.35.X.21등의 비동기 신호등으로 분류되고 있습니다.

또한 IP네트워크 장비는 네트워크 속도에 따라서 10/100Mbps, 1Gbps, 10Gbps로 분류되고, OSI(Open System Interconnection) Layer7 계층 레벨의 Layer2 Data Link 층에서 운용되는 장비입니다. 


SONET/SDH 장비군은 계위(Hierarchy)에 따라서 T1/E1, T3/E3, STM-1, STN-4, STM-16, STM-64로 분류되어 운용이 가능합니다.


탈레스(Thales)의 DataCryptor는 현재 Field에서 사용되고 있는 다양한 망(Topology)과 연동 호환성이 우수하기 때문에 융통성 있는 기업 네트워크 구간 암호화 전송망을 구축할 수 있습니다.



기업 네트워크 구간 암호화 전송망을 구축할 수 있는 최고의 솔루션인 탈레스(Thales) DataCryptor 암호화 솔루션에 대한 주요 특징에 대해서 설명을 드리겠습니다. 


1. AES-256 알고리즘 지원

상업적으로 가장 강력한 암호 알고리즘인 AES-256 알고리즘을 지원합니다. AES-256 알고리즘은 여러가지 암호화 알고리즘 중에 상업적으로 많이 사용하고 있고 가장 강력한 알고리즘을 사용함으로써 안전하게 데이터를 전송할 수 있습니다.


2. 암호화 및 복호화시에 저지연을 지원

이더넷 프레임의 MTU(Maximum Transmission Unit) 사이즈에 관계없이 마이크로 단위로 일정한 암호화 및 복호화 지연시간을 제공함으로써 Field에서 안정적인 서비스를 제공하며 100Mbps에서는 37~40usec, 1Gbps에서는 7usec, 10Gbps에서는 5usec을 지원합니다. 


3. 큰 유효 대역폭을 지원하며 암호화시 최소 오버헤드를 사용

여러가지 암호화 방법(Bulk, Clear Header, Tunnelling)을 제공하면서 사용되는 오버헤드는 3%미만의 최소한으로 사용하기 때문에 실제 고객 서비스시 보다 많은 유효 대역폭을 제공합니다. 


4. 중앙 집중 자동화 키 관리를 제공

자동화된 중앙 집중 자동화 키 관리 및 데이터 암호화 키, 키를 암호화하는 키 운용을 통하여 매우 안정적으로 네트워크 구간 암호화를 구현할 수 있는 장점이 있습니다.


5. PTP, PTM Topology 지원

점대점(Point-to-Point), 점대다(Point-to-Point)등의 네트워크 망(Topology) 구성을 통하여 경제적이고, 효율적으로 망 구성을 할 수 있습니다.


6. FIPS 140-2 Level 3 및 CC 인증

FIPS 및 CC 인증을 통하여 안정적으로 시스템을 운용할 수 있기 때문에 안정성 측면에서 매우 유리합니다.


다음으로는 탈레스(Thales)의 암호화 솔루션인 DataCryptor 암호화 솔루션의 인터페이스에 대해서 알아보겠습니다.

탈레스 DataCryptor는 장비 제어용 인터페이스와 서비스용 인터페이스를 제공하고 있습니다. 장비 제어 포트는 V.24와 10/100Mbps을 지원하고 있고, 원격 장비 제어를 위한 인밴드(Inband) 통신을 지원하고 있습니다. 특히 1/10Gbps DataCrytor는 인터페이스 모듈을 고객 서비스 환경에 맞추어서 사용할 수 있도록 플러그인(Plug-in) 타입의 SFP와 XFP 모듈 타입을 적용하였고, SFP와 XFP는 옵션에 따라 최대 80KM의 원거리 전송도 가능합니다.


전원 모듈은 후면에 위치하고 있고, 10/100Mps 모델은 전원이 단일화 구조이고, 1/10Gbps 모델 전원 모듈은 이중화 및 Hot-Swap 할 수 있는 구조로 설계되어 있기 때문에 향후에 유지보수시에 서비스에 영향이 없이 안정적으로 수행할 수 있는 구조로 되어 있습니다.




Thales DataCryptor의 암호화 방식과 어플리케이션에 대한 자세한 내용은 여기를 클릭해주시면 더 많은 정보를 보실 수 있습니다.


최상의 기업 네트워크 구간 암호화를 위해 안정적인 Thales의 DataCryptor를 도입하여 완벽한 기업 보안을 구축하시길 바랍니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com



아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.


Trackbacks 0 / Comments 0

[기업보안] 암호화 키 관리 방법의 문제점과 해결책

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.02 15:50 / 카테고리 : nCipher HSM (Thales-HSM )


암호화 키 관리 방법의 문제점과 해결책


암호화는 강력한 보안을 제공할수 있는 다양한 프로세스의 근본에 있는 것입니다.

다만, 적절한 관리를 하지 않으면 이러한 프로세스도 복잡하고 비용이 많이 들고 위험을 낳기 쉬운 것이 되어 버립니다


암호화를 기반으로 구축된 디지털 서명과 데이터 암호화 등의 보안 작업 관리 능력은 이러한 과정에 강한 영향력 있는 암호화키를 효과적으로 관리하는 능력에 직접적으로 의존하고 있습니다. 


암호가 조직의 IT 인프라에서 보다 광범위하게 사용되고 관리해야 키의 수와 다양성이 증가함에 따라 키관리 문제는 앞으로도 증가할 것으로 예상 됩니다. 암호화 보안 구현 책임자는 키 관리에 대한 다양한 접근 키관리 기법의 모범사례 및 이러한 기술을 구현하기 위한 기술적 대안을 숙지하고 있어야 합니다.



키관리는 단순한 운영 상의 과제가 없습니다. 감독기관이 키관리의 중요성을 인식함에 따라 보안 및 감사에 대한 이러한 키관리 프로세스별 요구사항은 더 엄격한 것이 되고 있습니다. 

또한 OASIS KMIP (Key Management Interoperability Protocol)와 같은 표준이 정비되어 있으며, 이러한 표준에 따라 다른장치와 시스템 간의 키관리 면의 호환성이 개선될 것으로 전망되고 있습니다. 키관리 전략을 수립함에 있어서는 이러한 추세를 감안하여, 운영, 보안 및 감사 면에서의 요구사항을 고려해야합니다.


Ⅰ. 키 관리

키관리 프로세스는 암호화키를 생성, 유지, 보호하고 그 사용을 관리하는데 필요한 인력, 실시해야 작업과 자동화된 작업을 모두 조합한 것 입니다. 비밀유지를 위한 데이터 암호화, 인증을 위한 디지털 인증서의 사용 또는 문서의 정당성을 증명하기 위한 디지털 서명 프로세스의 실행 등 어떤 작업을 수행할 때 키 관리 문제가 많이존재 하는 것에는 변함이 없습니다. 


각각의 키는 생성, 사용수명에서 사용 폐기하는 기간이 있습니다. 키의 라이프 사이클의 길이와 그 생성에서 폐기까지의 사이에 어떤 일이 일어나는 지는 개별 응용프로그램에 따라 다릅니다.  키의 라이프 사이클 전반에 걸쳐 그 열쇠를 효과적으로 관리함으로써 위험을 줄이고 구축비용을 절감하고 데이터 보호 규칙에 대한 적합성을 유지할 수 있게 됩니다.


ⅰ. 키에 대한 접근 제어

사용자 목표에 따라 단일 응용프로그램의 키 관리에 관심이 있는 경우도 있고, 조직의 사업부 및 기업전체를 대상으로 한 일련의 비즈니스 프로세스 전체에서 보다 효과적으로 키를 관리하기 위한 관심이 있는 경우도 있습니다.



각 조직의 키 관리 방법은 여러가지 방법이 있지만, 그 대표적인 시나리오 3가지를 아래와 같이 들 수 있습니다.


1) 소프트웨어를 통한 키 관리 방법

가장 단순한 수준에서 도입하는 개별제품의 기본기능으로, 제공되는 기본 키 관리 기능을 사용할 수 있습니다. 

예를 들어서, 많은 상용 암호화 제품은 적어도 키 관리 수명주기의 여러 단계 작업을 위한 소프트웨어 기능이 포함되어 있습니다. 이러한 키관리 유틸리티의 강조, 정책, 일반적인 보안 특성은 제품에 따라 다릅니다.


2) 하드웨어 장치를 통한 키관리 방법

리스크 관리를 강화하여 키의 라이프 사이클을 안정적으로 관리하기 위해 하드웨어 보안 모듈(HSM) 등의 목적에 맞게 만들어진 보안강화형 키 관리 장치를 사용하여 상용 응용프로그램이나 사용자 지정 응용프로그램을 보강 할 수 있습니다. 전용 암호화 하드웨어를 사용하면 암호화 기능의 고립된 영역 도는 신뢰할 수 있는 영역을 생성할 수 있기 대문에 소프트웨어 기반의 암호화가 가진 본질적인 취약점을 해결할 수 있습니다. 

키 관리를 위한 독립적인 보안 플랫폼을 사용하면 키 관리 작업과 그 열쇠를 사용하는 응용 프로그램 작업을 엄격하게 구별할 수 있습니다. 단일 슈퍼 유저를 사용함으로써 위협을 완화하기 위해 역할을 분리하는 것은 키 관리 기법의 모범 사례이며, PCI, DSS 등의 보안 표준에 의해 권장됩니다.


3) 키의 중앙관리 방법

대규모 배포의 경우 다른 종류의 응용프로그램이나 시스템의 키를 관리하는 조직은 정책의 일관성과 서로 다른 수준의 보호비용의 상승과 같은 문제에 직면할 수 있습니다. 키 관리를 위한 중앙 집중화된 접근을 싱행하면 통일된 정책 시스템 전체를 대상으로 한 키의 폐기, 자동화된 키 배포, 통합된 감사역할의 명확한 분리, 보호 및 백업을 위한 단일키 저장소 등의 이점이 실현됩니다. 

보다 전략적인 하향식 키 관리 방식을 채용하면 업무의 효율성을 향상키시면서 조직전체의 관리를 향상시킬 수 있습니다. 

중앙 키 관리를 구현하는 조직은 공격자가 최적의 공격 목표가 될 수 있는 시스템의 보안 특성을 신중하게 검토해야 합니다. 또한, 높은 수준의 가용성을 유지해야 합니다. 앙 키 관리 프로세스가 단일 실패지점이 되지 않도록 하려면 재해 복구 및 장애에 대한 메커니즘이 필요합니다.


Ⅱ. 위험 
- 키는 악의적인 사람에게 넘어갈 우려가 있기 대문에, 그 경우는 적절한 권한이 없는 사람이나 응용 프로그램에 신중하게 취급해야 하는 정보 또는 높은 가치의 정보에 액세스 할 수 있게 되어 버럽니다.
- 데이터 유출은 원치 않는 정보의 공개와 고객 ID를 도용하는 결과를 초해할 우려가 있어 벌금이 부과되거나 법적 주장을 수행하거나 할 가능성도 있습니다.
- 열쇠를 분실하거나 키가 복구할 수 없게 할 수도 있어, 이 경우 데이터를 읽을 수 없습니다. 열쇠를 분실 했을 경우 데이터의 구체적인 특성에 따라 영업중단, 고객의 손실 또는 책임과 같은 형태로 기업에 큰 문제가 될 수도 있습니다.
- 소프트웨어 기반의 키 관리 프로세스에 의한 보호는 한정적인 것에 지나지않고, 신중하게 취급해야 키 및 그 열쇠를 보호하는 데이터의 공격에 취약 해지지 않습니다.
- 조각난 키 관리 시스템이 증가해버리면 보안 괸리가 복잡한 것으로 간주 되어 비용을 증가시키는 비즈니스 프로세스 관리가 어려워지고 , 확장성이 손상될 수 있습니다.
- 키 관리 작업의 문서화가 충분하지 않으면 적합성 보고서 작업의 부담이 커집니다.

키 관리에 대한 비용 절감과 간소화된 프로세스, 강력한 보안을 모두 갖춘 솔루션인 키관리 보안 솔루션 세계 점유율 1위 기업 Thales의 e-Security 솔루션을 통한 안전한 키 관리 프로세스를 구축하시기 바랍니다.


Ⅲ. 키관리 : Thales e-Security 솔루션

Thales e-Security는 암호화 과정에서 효과적인 키 관리를 도입하여 조직이 최대한의 보장을 실현하는 것을 지원합니다. 

탈레스의 제품과 서비스를 사용하면 비즈니스 프로세스 관리 및 확장석을 유지하기 위하여 운영 효율성을 확보하면서도 높은 수준의 보증을 제공하는 키 관리 기법의 모범사례를 구축할 수 있습니다.


Thales e-Security 솔루션 제품 소개

1) nShield

HSM을 사용하면 변조방지 하드웨어 키와 거기에 대한 오퍼레이션을 보호하여 암호화 및 디지털 서명 프로세스의 보안을 향상시킬 수 있씁니다. 이러한 HSM은 검증된 키 관리 아키텍쳐인 Thales Security World를 채용하고 있는 것이 특징으로, 이 아키텍쳐는 키 백업 등의 중요한 열쇠관리 작업을 자동화하고 시스템에 존재하는 HSM에 대해 일관된 정책을 실행합니다.




2) Key Authority

Key Authority는 다양한 장치와 프로세스 대상으로 한 중앙집중식 키 관리 방식의 구현을 지원하기 위해 설계된 보안 강화형 키 관리 장치입니다. 이 장치의 특징은 FIPS 140 인증을 받은 변조방지 보안기능 재해 복구를 위한 복제 기능 및 고급 역할기반 정책 제어가 결합되어 있습니다. Key Authority는 최신 KMIP 표준에 맞게 설계되어, 2500만개 이상의 키를 관리 할 수 있습니다.



Ⅳ. Thales e-Security 솔루션의 장점

- 전용 하드웨어 모듈과 중앙 집중화된 키 관리 장치를 사용하여 효과적인 암호화 키 관리를 제공합니다.

- 기본 소프트웨어 기반 키 관리에 비해 보안이 크게 향상됩니다.

- 단편적으로 도입된 암호화 기능과 기타 암호화 기반 응용 프로그램에 대한 관리를 되찾습니다.

- 키 분실 위험을 줄이고 높은 관리 비용을 억제하고, 확장성이 부족한 프로세스를 감소시킵니다.

- 비즈니스 연속성을 위험에 노출시키지 않고 업계의 요구사항과 새로운 키 관리 표준을 충족합니다.

- 키 관리 기법의 모범사례를 구현하고 미래의 요구사항에도 대응할 수 있게 합니다.

- Thales e-Security는 암호화 키 관리의 최첨단 기술을 보유한, 세계적으로도 인정받은 권위 있는 솔루션 제공 업체이며, 30년 이상의 경험을 바탕으로 솔루션을 개발 및 공급 하고 있습니다.


보안키 관리 시스템인 탈레스 HSM (Thales)에 대한 자세한 정보는 아래의 게시물을 클릭하시면 더 상세한 제품 정보를 보실 수 있습니다.





Trackbacks 0 / Comments 0

종이 한 장 들고 나가도 출입구서 '삑삑'

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.05.29 16:32 / 카테고리 : 보안용지




하이닉스반도체는 수년 전부터 모든 사무실 출입구에 금속탐지기를 설치했다. 외장 하드디스크와 USB에 정보를 담아 외부로 빼돌리는 걸 막기 위해서다. '이 정도면 됐다' 싶었던 작년 말,보안문서를 복사해 외부로 유출하려던 사례가 적발됐다. 보안에 구멍이 뚫린 것이다. 

'내부 정보유출을 어떻게 하면 막을 수 있을까' 고민하던 하이닉스는 이달 초부터 전국 모든 사업장에서 PC에 저장된 문서를 일반 복사용지에 인쇄하지 못하도록 금지했다. 대신 보안성을 강화한 특수용지를 의무적으로 사용하도록 했다. 

이 종이는 센서에 감응하는 금속성 물질이 들어 있어 보안 게이트를 통과할 때 '삑~삑~' 경고음이 울린다. 특수용지 값은 장당 70원.일반 복사용지보다 7배가량 비싸다. 

하이닉스 관계자는 "(값비싼 특수용지 사용으로) 비용 부담이 크지만 반도체 정보유출에 따른 피해 방지 효과가 더 클 것으로 판단했다"고 설명했다. 

기업 보안이 갈수록 진화하고 있다. 반도체와 같은 첨단 업종뿐 아니라 모든 산업 영역에서 '정보유출'은 곧 기업 경쟁력 약화로 이어지기 때문이다. 

사내 보안의 최고 지향점은 '공수래 공수거(空手來 空手去)'.회사에 빈손으로 출근했다가 아무것도 가지고 나가지 않게 만들어야 한다는 것이다. 개인 이메일이나 정해진 메신저 외에는 사용하지 못하게 하고 USB,외장 하드디스크 사내 반입을 막는 건 기본.이중 · 삼중 철통보안 시스템을 도입하는 기업들이 많다. 


전자 · IT업체들이 대표적이다. 신제품이나 첨단기술 정보가 외부로 빠져나가면 손해가 이만저만 아니기 때문이다. 삼성전자는 하이닉스와 마찬가지로 반도체 등 주요 사업장에서 금속 성분이 포함된 특수용지 이외에는 외부로 문서를 가지고 나가는 걸 금지하고 있다. 

SK텔레콤은 사내에서 문서를 출력할 때 출력자 이름,출력 시간,출력 횟수 등을 종이에 인쇄하는 시스템을 갖췄다. 모든 문서를 회사 인증을 받지 않은 PC에서 열람할 경우 파일이 깨져서 보이지 않게 만드는 보안 프로그램도 운영 중이다. 

모바일단말기관리(MDM) 프로그램이란 진일보한 첨단 보안시스템을 도입한 곳들도 늘고 있다. 이 프로그램은 임직원이 출입구를 통과하면 그때부터 중앙 서버를 통해 휴대폰 카메라 촬영,와이파이 사용,내 · 외장하드디스크 사용 등을 원천적으로 막는 시스템이다. 임직원이 사무실에서 사진을 찍으려고 하면 경고 메시지가 뜬다. 삼성전자가 지난 3월 처음 도입했다. 포스코도 올 상반기 이 프로그램을 도입해 임직원들이 사내에서 아이폰,갤럭시S,블랙베리 등 스마트폰으로 사진 촬영을 못하도록 막고 있다. 

LG화학은 차세대 배터리기술 개발을 맡는 대전기술연구원 보안을 강화하기 위해 컴퓨터 마우스에 지문인식기를 달았다. 지문이 일치해야만 컴퓨터를 켤 수 있다. 

'굴뚝'업종도 보안을 강화하는 추세다. 현대중공업,삼성중공업,대우조선해양 등 조선업체들은 기술유출을 막기 위해 모든 임직원들로부터 입사 때 예외 없이 비밀유지동의서를 받는다. 

동의서를 작성한 임직원들에겐 퇴직 후 직급에 따라 1~3년간 경쟁업체로 이직을 할 수 없도록 하고,이를 어기면 법적 책임과 손해배상을 하도록 하고 있다. 조선업체들은 협력사 직원들에 대해서도 협업 기간에 한해 비밀유지서약서를 받는다.

이태명/장창민 기자 chihiro@hankyung.com 

출처 : http://www.hankyung.com/news/app/newsview.php?aid=2011071188401





(주) 아이마켓코리아
김 영 호

차장 │ IT 솔루션 영업팀

TEL 02-3708-5725
E-mail : youngho1.kim@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/09   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

방문자 통계

  • 전체 : 366,854
  • 오늘 : 12
  • 어제 : 331
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.