[다크트레이스] 진화하는 갠드크랩 랜섬웨어, 인공지능 보안 솔루션으로 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 2. 25. 19:00 / 카테고리 : 차세대 위협감지 - 다크트레이스


갠드크랩(GandCrab) 랜섬웨어는 지난해부터 현재까지 전 세계의 PC 사용자들을 가장 많이 괴롭혀온 악성코드입니다. 진화를 많이 거치고 있는 랜섬웨어이기에, 대응이 쉽지 않고 피해도 큰 것이 특징입니다. 


갠드크랩 랜섬웨어는 공개키 방식으로 파일을 암호화는 특징이 있으며 주로 스팸메일과 익스플로잇 킷을 통해서 전파되었습니다. 파일 확장자는 [.crab]을 가지고 있습니다. 


버전 업그레이드를 통해서 꾸준히 진화하는 갠드트랩 랜섬웨어를 알아보고 대처할 수 있는 보안 솔루션에 대한 소개를 하겠습니다.


GandCrab v1

2018년 1월에 러시아 해킹 커뮤니티에서 발견되었습니다. 



GandCrab v2

2018년 3월에는 발견되었으며. 일부 내용이 변경되었지만 전체적인 동작과정은 거의 동일하였습니다. 이후에 4월에는 v2.1이 등장하였으며, 저작권 관련한 경고 문구를 삽입하여 실행을 유도하는 방법으로 사용되었습니다. 


또한, APT 기법에도 많이 활용되어 입사지원서로 위장하거나 웹사이트에 기생하는 방식으로 배포되는 등의 다양한 변종이 등장하였습니다. 


GandCrab v3

2018년 5월에는 버전 3이 등장하였으며, 이동식디스크를 통해서 유포되어 좀비PC를 양산하고 암호화폐인 Monero를 강제로 채굴하게 하는 등의 경제적 이득을 취하는 형태로 변형되었습니다. 


또한, 피고 소환장 통지서, 저작권 관련 위반 경고 관련 내용으로 위장하여 많은 클릭을 이끌어 내어 감염사례도 폭증하였습니다. 


GandCrab v4

2018년 7월에는 확장자가 [.krab]으로 변경된 변종이 등장하였으며, 암호화 알고리즘도 Salsa20으로 변경되었습니다. 이것도 입사지원서나 특정 웹사이트에 기생하는 형식, 그리고, 공정거래위원회를 사칭한 APT 공격의 형태로도 배포가 되었습니다.


GandCrab v5

2018년 9월에는 랜덤 확장자와 HTML 랜섬노트를 사용하는 버전 5가 발견되었습니다. 확장자도 5자리의 랜덤한 확장자로 변경되었으며, 안내문도 한글로 이루어져 있다는 특징이 있습니다. 


10월에는 5.05 버전으로 업데이트되어 기존의 복호화 툴로도 복구가 완전히 불가능한 신종변종이 등장하였습니다. 한 백신업체가 5버전 복호화 툴을 개발하였지만 바로 복호화가 불가능한 버전이 나온 것입니다. 



이외에도 5버전 부터 변종이 등장하면서 기존 백신, 복호화 툴로는 막을 수 없는 상황에 이르렀습니다.


이렇게 랜섬웨어와 같이 기업에 막대한 피해를 입히는 악성코드들은 지속적으로 버전업이 되거나 변종이 계속적으로 나오게 됩니다. 기존의 시그니처, 룰 기반으로 안티바이러스나 랜섬웨어 솔루션으로는 피해사례가 발생한 후에나 조치가 가능합니다.


사이버 보안에 있어서 최고의 대응은 바로 사전예방입니다. 기존에 없던 악성코드나 변종은 새로운 방식의 방법으로 접근해야 합니다. 


엔드포인트 및 네트워크 등의 지속적인 감시를 통해서 24시간 인공지능이 감시하고 분석하고 분류하는 방식의 머신러닝 기법을 통해서 안전한 방어가 가능합니다.  



Enterprise Immune System DarkTrace(기업 면역 체계 다크트레이스)

다크트레이스는 실시간으로 사어버 위협을 탐지 하고 차단할 수 있는 인공지능 기반의 머신러닝 보안 솔루션입니다. 실시간 위협 탐지 및 대응이 가능하며 머신러닝 및 AI를 기반으로 설계되었기 때문에 규직이나 사용자 인증이 필요 없습니다.




다크트레이스의 Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.


인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 



Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.




다크트레이스는 다양한 시스템과의 통합이 가능하며, 예방과 대응이 가능합니다.



인공지능 및 머신 러닝을 통해서 조직의 기본 구조를 자동으로 파악합니다.

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한, 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 


Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



왜 다크트레이스(DarkTrace) 인가요?

날로 정교해지는 사이버 공격은 이제 기존 보안 솔루션으로 탐지하고 분석하는데 한계가 있습니다. 또한, 방대한 네트워크의 흐름 속에서 무엇을 보아야 하는지에 대한 어려움이 존재합니다. 다크트레이스는 머신러닝 기반의 이상행위 탐지 솔루션으로 이러한 고민을 해결해 드립니다.


다크트레이스 사이버 인텔리전스 플랫폼


다크트레이스의 주요 기능 소개

  • 대상 네트워크 환경에 대한 자동 분석 및 350가지의 학습 기준 추출

  • 스스로 머신러닝을 통해서 정상행위 모델을 수립하고 지속적으로 발전

  • 유기적인 이상행위 감지 및 250개 이상의 위협으로 자동 분류합니다.

  • 통신내역의 시계열 분석을 통해서, 보안사고 원인을 파악하고 대응하고 지원합니다.


다크트레이스 도입 효과

  • 악성으로 의심되는 행위를 자동 추출함으로서 효과적인 분석 수행 가능

  • 시그니처 기반의 보안솔루션에서 탐지불가한 이상행위에 대한 탐지가 가능

  • 머신러닝 엔진으로 자동 학습을 통한 탐지율 자동 향상

  • 다양한 네트워크 트래픽에서 의심스러운 분석대상 실시간 탐지로, 악성코드, APT 위협 대응 강화


다크트레이스 탐지 효과

  • 수상한 웹사이트에 접속 및 파일 다운로드 감시 및 차단

  • 기업용 랜섬웨어의 내부 확산 방지

  • 업로드 시간, 용량, 패턴의 변화 탐지

  • 미허용 자산의 갑작스러운 통신 감지



다크트레이스 주요 모델별 스펙




한눈에 모든 것을 파악 가능한 Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 


Threat Visualizer 사용자 인터페이스(UI)최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.




100% 가시성

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.



다크트레이스는 전세계 70개국, 3750개 레퍼런스를 보유하고 있는 검증 받은 보안 솔루션입니다.




기업의 가장 큰 위협인 랜섬웨어 예방, 다크트레이스의 네트워크 및 엔드포인트 감시 및 탐지로 안전하게 보호하시기 바랍니다. 제품 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 안내해드립니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 개인정보비식별화, 개인정보보호법 전략 (가명화, 익명화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 2. 18. 08:00 / 카테고리 : 보메트릭 암호화 솔루션



전세계적으로 개인정보 비식별화 움직임 활발

유럽연합의 개인정보보호법(GDPR)을 시작으로 개인정보주체자의 권리 보장을 위한 본격적인 규제가 진행되고 있습니다. 개인정보를 활용하기 위해서는 가명화 및 익명화 등의 장치가 잘 이루어져하 합니다.  이런 개인정보의 가명화 및 익명화 조치가 바로 비식별화 조치입니다. 


유럽 개인정보보호법 (GDPR)은 개인정보보호에 대한 권리를 보호하고, EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 제정됐습니다. GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 해 95년 지침보다 정보주체의 권리를 확대 · 강화한 것이 특징입니다. 


GDPR Compliance : It’s Time To Protect Your Users Data (출처 : hackernoon.com)



위의 내용만 보면, 개인정보 규제에 대해서만 강력하고 활용에 대한 보장은 없는 것처럼 보이지만, 절차 및 컴플라이언스만 준수한다면 일정수준의 범위안에서는 개인정보의 활용을 보장하는 법안이기도 합니다. 


GDPR의 정보보호조치는 가명화 및 익명화로 구분되는데, 가명처리는 말그대로 데이터에 가명처리를 하여 벌도로 보관하는 방식입니다. 일반적으로 말하는 데이터 암호화로 데이터 전체를 비식별화 하는 방식입니다. 


또한, 익명화가 있습니다. 익명화는 개인정보에 익명처리 기술을 통해서 일정 부분만 비식별화 처리하는 방식입니다. 대표적으로 데이터 마스킹(Data Masking)이 있습니다. 예를 들면 데이터의 생년월일 또는 이름, 주민등록번호만 숨기고 저장하는 것을 생각하면 됩니다. 


컴플라이언스 측면에서 보면 대한민국에서는 개인정보보호법, 유럽에서는 GDPR이 제정되어 있으며, 미국에서는 표준기술연구소(NIST)에서 개인정보 활용을 위한 표준을 제정 중에 있습니다. 


비식별 조치 및 사후 관리 절차(출처: 금융보안원)



대한민국 개인정보보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




유럽의 GDPR(개인정보보호법)은 개인정보 가명화를 강조

김기태 탈레스 이시큐리티 한국지사장에 따르면, GDPR에서는 개인정보가 저장될때 가명화 처리되어 저장되는 기술이 매우 중요합니다.


데이터마스킹(Data Masking) 기술에 가명화 요건까지 충족하기 위한 기준은 아래와 같습니다.

  1. 마스킹으로 변환되는 값이 유일할 것 

  2. 마스킹된 값으로부터 원본을 유츄할 수 없어야 할 것 

  3. 시스템상 원본이 존재하지 않기 때문에 서비스 고가용성을 갖출 것

  4. 애플리케이션 내부에서도 복원되지 않는 동적 마스킹 기술이 적용


비식별 조치 방법 예시 (출처: 금융보안원)



재식별 판별을 위한 4가지 기준 (출처: 금융보안원)

개인정보 비식별 조치 가이드라인에서는 비식별 조치 방법에 대해 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 기법을 단독 또는 복합적으로 활용하라고 명시하고 있습니다.



탈레스 이시큐리티의 보메트릭 솔루션은 EU GDPR에 대해서 토큰화 기술을 사용해 가명처리 기법을 구현하였습니다. 




탈레스 이시큐리티의 ‘보메트릭 토큰화’는 형태 보존 토큰화 기술을 사용해 데이터베이스 내의 민감한 필드를 형태 변경 없이 보호할 수 있게 지원합니다. ‘보메트릭 토큰화’를 사용하면 운영계 시스템 내 개인정보를 비롯한 모든 민감한 정보를 가명화함으로써 GDPR 뿐만 아니라 HIPAA, PCI-DSS 등 전세계의 모든 컴플라이언스를 준수할 수 있습니다.



‘보메트릭 토큰화’는 애플리케이션에 정책 기반의 동적 데이터 마스킹을 빠르고 쉽게 추가할 수 있도록 만들어 주며, 동적 데이터 마스킹은 역할과 템플릿 기반으로 구현되므로 다양한 마스킹 요구 사항을 쉽게 반영할 수 있습니다. 결과적으로, 비용과 복잡성을 감소시키고 성능을 향상시킬 수 있으며, 글로벌 규모와 고가용성을 보다 쉽게 확보할 수 있습니다. 




보메트릭 토큰화에 대한 자세한 정보 : https://itblog.imarketkorea.com/464



GDPR에서 요구하는 가명 처리는 소스 데이터의 포맷을 유지하며 데이터를 인식이 불가능한 형태로 만드는 것입니다. 그러나 저장하고자 하는 데이터 유형이 텍스트 파일, PDF, MP3 등의 형식인 비정형 데이터의 경우, 가명화는 개인정보보호를 위한 적절한 솔루션이 되지 못합니다. 이 경우에는 파일 시스템 레벨의 암호화가 더 적절합니다.







특히, 대한민국에서는 개인정보보호법을 통해서 강력하게 규제하고 있으므로 상황에 따라 가명화, 익명화를 선택하여 암호화하는 전략이 반드시 필요합니다.


각종 컴플라이언스 규제를 준수하기 위한 비식별화(암호화) 기술을 제공하는, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스] 보메트릭 솔루션, 기업 비정형데이터를 효과적으로 암호화

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 31. 07:30 / 카테고리 : 보메트릭 암호화 솔루션



금융감독원은 2016년에, 주민등록번호 암호화 대상인 금융권 회사들에게 비정형파일(이미지, 로그, 음성, 문서 파일 등)에 대한 암호화를 권고하였습니다. 그리고, 2017년 1월부터 100만명 이하의 개인정보를 보유한 기업을 대상으로는 개인정보를 반드시 암호화 해야하는 개인정보보호법 개정안 이슈가 있었습니다. 


KISA에서 고지한 개인정보의 암호화 조치 안내서 자세히 보기 (클릭)


개인정보 암호화 의무 (개인정보보호법 개정안)


내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라 「개인정보의 안전성 확보조치 기준」 제7조 제4항(“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다. 


※ 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일

※ 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일



최근에는 기존의 정형데이터 형식보다는 다양한 형식의 비정형데이터의 저장이 많아지고 있고 비정형데이터에 민감한 정보가 저장되고 있습니다. 여기에 포함되어 있는 개인정보가 유출될 경우에는 기업과 개인이 모두 피해를 볼 수 있는 큰 사고가 될 수 있습니다. 


하지만, 비정형데이터 환경을 구축하기 위해서는 시스템 증설 비용, 호환성, 시스템 부하(오버로드), 별도의 애플리케이션 설치로 드는 막대한 비용 등 기업에게 감당할 수 없는 부분이 많아 현실적으로 힘듭니다. 


그렇기 때문에 저비용, 고효율, 호환성이 좋은 암호화 솔루션을 선택하는 것이 매우 중요합니다. 또한, 보안 신뢰성도 높아야합니다. 솔루션의 성능과 회사의 신뢰성을 모두 고려하여 선택/도입하여야 합니다.






1. 신뢰성 있는 전문 보안 회사 선택

Thales e-Security 는 40년 이상 전세계의 많은 기업들에게 암호화 솔루션 및 보안 컨설팅을 제공해온 기업으로 신뢰성이 무엇보다 요구되는 방위산업 분야에서 오랜 경력을 자랑하는 Thales Group에 속했습니다. Vormetric은 Thales Group의 자회사 입니다. 



탈레스 이시큐리티의 보안 제품은 국내 대부분의 생명보험사, 손해보험사를 포함한 400여 곳의 고객사와 월마트, GM, GE, 버라이존, JP모건, Bank of America, 보잉 등 외국계 기업에서 이미 많이 사용하고 있는 신뢰성 높은 회사입니다.


탈레스 이시큐리티는 클라우드 파트너 프로그램, ASAP 테크놀로지 파트너 프로그램, OEM파트너 프로그램 및 채널 파트너 프로그램을 운영하며 고객이 어떤 상황에 처해있든 관계없이 쉽고 빠르게 데이터를 보호할 수 있도록 지원하고 있습니다.


특히, 2018년 10월 멀티클라우드에서 암호화 키를 관리할 수 있는 CipherCloud Key Manager (CCKM)가 출시됨에 따라 온프레미스, 퍼블릭 클라우드 등 다양한 환경에 민감한 데이터를 저장하고 있는 고객들의 보안이 한층 강화될 것으로 보고 있습니다.




2. 입증된 성능의 보안 장비 선택

Thales e-security의 Vormetric Data Security 솔루션은 이미 많은 기업들이 채택하여 사용하고 있는 비정형데이터 암호화 솔루션입니다. 무엇보다 저비용 고효율, 편리한 도입이 강점입니다. 


커널레벨의 파일단위 암호화 기능을 지원하므로 오라클, SQL 서버, DB2와 같은 대부분의 데이터베이스는 물론 로그파일, 이미지, 영상, 음향 등의 비정형데이터까지도 암호화할 수 있다는 특징을 가지고 있습니다. 그리고, 커널레벨 암호화의 장점인 어플리케이션 수정이 필요없다는 특징도 갖고 있어 암호화를 위한 추가 개발 및 추가 시간이 필요없다는 장점도 있습니다.


또한, 블럭단위 암호화를 수행하기 때문에 데이터 암호화를 위한 소요시간이 짧고 암호화 이후 파일사이즈가 변하지 않을 뿐 아니라 시스템 부하가 타사 제품 대비 매우 낮은 것이 특징입니다. 





Vormetric 암호화 솔루션 소개



Vormetric Data Security Platform

보메트릭 데이터 시큐리티 플랫폼은 데이터베이스, 클라우드 및 빅데이터 환경 등 여러 인프라 환경에 존재하는 정형 및 비정형의 대용량 데이터를 효과적으로 보호하는 다양한 솔루션을 하나의 플랫폼 형태로 제공하여 통합된 솔루션으로 호환성과 관리의 용이성을 둘 다 잡은 데이터 보안 솔루션입니다.


성능 저하나 암호 키 관리에 대한 복잡성 없이 모든 유형의 파일, 데이터베이스 및 애플리케이션을 보호할 뿐 아니라 구축 및 관리가 용이합니다. 리눅스, 유닉스, 윈도우 등 주요 운영체제를 모두 지원하며, 정형 데이터뿐 아니라 비정형 데이터를 효과적으로 보호합니다.




Vormetric Data Security Manager

보메트릭 각 솔루션의 보안 정책과 암호키를 중앙 집중적으로 관리할 수 있는 기능을 제공하는 Vormetric Data Security Manager는 보메트릭 암호화 플랫폼의 핵심이라고 말할 수 있습니다. 


실제 운영 환경에서 1만 대 이상의 암호화 대상 서버 관리 능력이 입증되었으며 자동화와 기존 관리 환경과의 연동을 위해 레스트풀 API(RESTful API)와 툴킷(Toolkit)을 제공합니다.


보안 인증으로는 FIPS 140-2 Level 1, FIPS 140-2 Level 2, FIPS 140-2 Level 3,Common Criteria (ESM PP PM V2.1) 인증을 받았습니다.


또한, 가상화 환경과 클라우드 환경, 가상 어플라이언스, 아마존의 AWS AMI 형태도 제공하고 있기 때문에 활용성이 매우 뛰어납니다.





Vormetric Transparent Encryption (VTE)

저장 데이터에 대한 실시간 암호화, 사용자 접근 권한 통제 및 보안 인텔리전스 로그 수집 기능을 제공하는 솔루션입니다. 


물리적, 가상, 빅데이터, 도커 및 클라우드 환경에 존재하는 정형 데이터베이스와 비정형 파일에 대한 실시간 암호화를 유지할 수 있으며 투명한 암호화 방식으로 애플리케이션, 인프라 또는 업무 절차를 변경하지 않고 암호화를 구현할 수 있도록 지원합니다. 


사용자와 프로세스의 무단 접근을 방지하는 정책을 적용하고 관련 액세스 로그를 지속적으로 수집함으로써 데이터에 대한 지속적인 보호 및 통제를 보장할 수 있습니다.




Vormetric Tokenization and Dynamic Data Masking

DB토큰화 및 동적 디스플레이 보안을 제공하기 떄문에 데이터센터, 빅데이터, 컨테이너, 클라우드 환경 등 데이터의 위치에 구애받지 않고 민감한 자산 보안과 비식별화를 효율적으로 달성할 수 있도록 지원합니다. 


Vormetric Tokenization and Dynamic Data Masking을 사용하면, 동적 데이터 마스킹이 포함된 이 솔루션은 각종 보안 정책과 PCI DSS 등의 컴플라이언스를 준수할 수 있습니다.





Vormetric Application Encryption

데이터베이스의 특정 컬럼이나 파일, 빅데이터 노드 및 PaaS 클라우드 환경을 암호화할 수 있습니다. 여기에는 기존의 기업 애플리케이션과의 암호화 통합을 간소화시키는 라이브러리가 포함되어 있기에 도입하기에 매우 용이합니다. 


이 라이브러리는 암호화 및 키 관리 작업에 사용될 수 있는 일련의 문서화된 표준기반 API를 제공하며, 자체적인 암호화 및 키 관리 솔루션을 개발하고 구현하는데 드는 시간, 복잡성 및 위험을 제거해주는 장점이 있습니다. 


Vormetric Application Encryption에는 암호화 전후 사이즈와 형태가 동일하게 하는 FPE(Format Preserving Encryption)라는 신기능이 탑재되어 통상 암호화를 위한 별도의 IT인프라를 증설할 필요가 없기에 시간적, 비용적인 부분에서 기업에 효과적인 솔루션입니다. 






비정형데이터 암호화 및 데이터 통합 보안환경 구성에 최적화된, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

보메트릭 암호화 솔루션 - 토큰화 데이타 마스킹 (Tokenization Data Masking)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 16. 19:30 / 카테고리 : 보메트릭 암호화 솔루션



보메트릭 솔루션 토큰화 (Vormetric Tokenization with Dynamic Data Masking)

토큰을 생성하고 전체 시스템을 보호하기 위한 여러 가지 방법이 있습니다. 그러나 암호화와 달리 형식적인 데이터 토큰화 표준은 존재하지 않습니다. Thales eSecurity의 Vormetric Vaultless Tokenization 을 통해서 안전하게 Token 값을 생성하고, Database에 Token 값을 저장할 수 있습니다. 


또한, Thales Vormetric Vaultless Tokenization with Dynamic Data Masking 은 고객 정보를 보호하고 규정 준수 범위를 줄이며 비용을 절감하기 위한 효과적이고 높은 보증 토큰 솔루션을 지원합니다. 그리고, 조직이 최소한의 중단 및 관리 오버 헤드로 보안 및 규정 준수 목표를 해결 할 수 있도록 지원합니다.


토큰 방식 데이터 보호 : Vormetric Tokenization with Dynamic Data Masking 

  • Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요

  • 토큰화가 적용된 개인정보 DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체 값 적용)

  • AD/LDAP 등 계정 관리 시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용



보메트릭 토큰화 동작 방식 예시 #1 : 주민등록번호(고유식별번호) 토큰화

[동작 과정]

  1. 고객 : 주민등록번호 입력

  2. App 서버 : 전용 API를 통해 개인정보를 토큰 서버로 전송

  3. 토큰 서버 : 토큰 값 생성 → DSM에서 암호화 키 수신 → 개인정보 암호화

  4. 토큰 서버 : 토큰 값 반환

  5. App 서버 : 토큰 값을 DB에 저장





보메트릭 토큰화 동작 방식 예시 #2 : 권환에 따른 정책 기반 실시간 마스킹



[동작 과정]

  1. Token 서버와 연계된 고객사 내부의 AD/LDAP Server에 등록된 사용자에 대해 권한을 각각 부여

  2. 부여된 권한에 따른 정책을 통해 실시간 마스킹 또는 원본 데이터 조회 등 선별적 기능 제공



RESTful API 샘플





타사 API 방식 암호화 제품과의 보안성 비교

보메트릭 토큰화 방식은 AD/LDAP와 연동하여 계정 기반의 접근 통제가 가능합니다. 또한, 토큰 서버와의 통신에 의해서만 토큰화 및 원본 데이터 조회가 가능합니다. 


타사 API 방식은 일반 서버 또는 파일에 의한 암호키 관리가 되며 암호키가 유출될 가능성이 있습니다. 그리고, 비인가 프로그램의 암호화 모듈접근에 대한 통제 수단이 미비하여 평문 데이터 탈취가 가능하여 보안에 취약합니다. 






Vormetric Tokenization 암호화 방식 비교


 구분

 Vormetric Tokenization

 Vormetric 커널 암호화

 Plug-In 방식

 API 방식

 적용방식

 응용프로그램에서 토큰 서버를 호출하여 토큰(대체값)을 생성하도록 소스 코드 수정

 암호화 모듈이 운영체제 커널안에 로딩되어 파일에 대해 암복호화 수행

 DBMS 엔진 내부에 암호화 모듈이  탑재되어 DB 내부에서 암복호화

 응용프로그램에서 암호화 라이브러리를 호출하도록 소소 코드 수정

 운영환경

 제약 없음

(대상 서버에 설치되는 모듈 없음. , 토큰 서버를 위해 x86 기반의 가상화 환경 필요)

 대부분의 상용 운영체제 (AIX, HP-UX, Solaris, Windows,     Red Hat, SLES, Ubuntu, 클라우드)

 일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 지원환경

 RESTful 표준을 지원하는 개발 언어 (C, Java 등 대부분의 개발언어에서 지원)

 Oracle, DB2, MS-SQL, Sybase, Informix, MySQL, PostgreSQL, Cache Hadoop, MongoDB 등 제한 없음

 Oracle, MS-SQL, DB2 등 특정 DBMS

 C 언어, Java 언어 등의 환경

 데이터

 사이즈

 원본 데이터와 동일한 사이즈의 토큰 생성

 암호화 전후 파일 사이즈 동일

 암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 구축기간

 2~4개월

(토큰화 전후 데이터 사이즈가 동일하여 API 방식 암호화 대비 수정 방식이 단순함)

 3~5

 1개월 ~ 3개월

 3~6개월

 구축비용

 유지보수

 응용프로그램 수정을 위한 인력 소요 (초급이상)

토큰이 적용된 DB에는 민감정보가 사라짐에 따라 보안 관리에 용이

 구축 및 유지 보수를 위한 특수한 인력 불필요

 SQL 튜닝 인력비 (고급 이상) 소요

유지보수 중에도 지속적인 튜닝 필요

 응용프로그램 수정 (중급 이상) 소요

유지보수 중에도 지속적인 수정 필요



Vault-less 토큰 지원

  • 토큰 값과 암호화가 적용된 원본 데이터를 위한 저장소(Token Vault) 불필요

  • 기존 제품 대비 성능 대폭 향상

  • 토큰을 생성하는 토큰 서버의 확장성 향상 (이론적으로 무제한)



데이터 마이그레이션 기능 제공

  • 기존 사용 중인 데이터에 대한 자체적인 일괄 토큰화 기능










Thales Vormetric 기업 소개


보메트릭은 2001년 설립된 보안 전문 기업으로 글로벌 기업 Thales Group의 자회사입니다. 한국지사는 2012년 10월에 설립되었습니다. 


전 세계 1500개의 고객사, Fortune 30대 기업 중 17개의 기업이 보메트릭 솔루션을 사용하고 있습니다. 국내에서는 280개 이상의 고객이 있습니다.

2014 Deloitte Technology Fast 500 선정
Deloitte가 매년 선정하는 기술 분야의 선도 500대 기업에 2년 연속 선정 됨
 * 2013년 순위 435위에서 2015년 380위로 55단계 상승



Tokenization Data Masking 방식의 암호화가 가능한 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

보메트릭 솔루션을 활용한 암호화 정책 설정 예시 및 구축 사례 (로그, 팩스)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 16. 08:30 / 카테고리 : 보메트릭 암호화 솔루션



보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축하는 방법 소개

탈레스 보메트릭 비정형데이터 암호화 솔루션은 이미지, 동영상, 음성, 로그, 문서 파일 등 다양한 데이터를 암호화 할 수 있는 통합 암호화 환경입니다. 보메트릭 솔루션을 도입하기 위한 전략과 구축 사례를 소개해드립니다. 이를 통해서 보메트릭 암호화 솔루션 도입에 대하여 참고할 수 있는 자료가 되시길 바랍니다. 




먼저, 보메트릭 데이터 시큐리티 플랫폼(Vormetric Security Platform)으로 암호화 환경을 구축 후에 변화되는 부분은 아래와 같습니다. 


1. 개인정보 컬럼 유형이 변경되지 않습니다.

2. DB 크기 증가가 되지 않습니다. 

3. 응용 프로그램의 변경이 없습니다.

4. 시스템 오버로드가 적은 고성능 암호화가 가능합니다.

5. 비정형데이터 (음성, 파일, 이미지, 영상, 로그 등) 암호화가 가능해 집니다. 




암호화 솔루션인 Vormetric Transparent Encryption의 정책 설정 예시


  • 조건 : Resource, User, Process, Time

  • 동작 : 모든 유형의 IO

  • 제어 : 키 적용 (암호화 및 복호화), 허용, 차단, 감사


 #

 Resource 

 User 

 Process 

 Action 

 Effects

 1

 *.log

 log_daemon

 log_process

 *

 Permit, Apply Key

 2

 *.log

 root

 admin_tools

 read

 Permit, Audit

 3

 *

 *

 * 

 * 

 Deny, Audit 



  1. 로그를 저장하는 특정 유저 및 프로세스만 암호화된 파일에 대해 읽기 및 쓰기 허용

  2. 관리자는 암호화 로그 파일에 대해 백업 등 관리 기능만 수행 가능

  3. 기타 모든 접근에 대해 통제 및 감사 로그 생성





Vormetric Transparent Encryption 의 암호화 방식은?





특허 기술 - MetaClear

  • 파일 이름, 생성일, 변경일 등 메타데이터는 변경하지 않고 파일의 내용만을 암호화 (파일의 속성을 유지)

  • 암호화 시 데이터 크기 변화 없음


▣ 암호화 알고리즘

  • 안전성이 확인 된 국내외 표준 암호화 알고리즘 3DES, AES 128/256, ARIA 128/256 지원


▣ 표준 및 인증

  • 국가사이버안전센터 암호모듈 검증필 (KCMVP)

  • NIST에서 주관하 FIPS 140-2 

  • GS 인증

  • SAP HANA 인증




CCKM – CipherTrust Cloud Key Manager 활용


  • 멀티클라우드 환경에서 중앙 집중화된 암호 키 관리

  • As a Service 또는 기존 전산실 환경에 구축

  • 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅





멀티클라우드 환경 지원

  • IaaS : Amazon Web Services, Microsoft Azure, China and Germany Azure National Clouds

  • SaaS : Microsoft Office 365, Salesforce.com



클라우드 사업자 환경과 연계된 사용성





CipherTrust Cloud Key Manager를 As a Service 또는 기존 전산실 환경에 구축시


AS a Service 에서는 FIPS 140-2 Level 1 인증을 받은 암호 키 저장소, 전산실 구축에서는 개인클라우드 FIPS 140-2 Level 1, 온프레미스에서는 FIPS 140-2 Level 3 암호 키 저장소 구축이 가능합니다.





CipherTrust Cloud Key Manager를 가시성 향상 및 규제 충족을 위한 로깅 및 리포팅에 활용할 수 있습니다. 







암호화 구축사례 - 로그파일 





▣ 구축 및 관리

  • 암호화 : WAS 서버, 웹 서버, 저장 시 또는 통합 로그 서버 저장 시 암호화 (통합 로그 서버에서 암호화 시 WAS 서버, 웹 서버에서 평문)

  • 복호화 : 조회 권한 사용자/애플리케이션에 대해 복호화

  • 암호화 설정 : 업무 요건에 따라 다르지만 1 ~ 2일 내 완료

  • 초기 암호화 : 서버 및 스토리지 구성에 따라 다름. 테스트 필요



▣ 업무 영향

기존 애플리케이션 수정 및 구성 변경 필요 없음





암호화 구축사례 - 팩스 파일



▣ 사용 환경

  • 주 IDC 2대, DR IDC 2대 운영

  • 이미지는 Windows 공유 (CIFS)로 NAS에 저장

  • 키 관리 서버 이중화




팩스 파일 암호화 환경 구현 방안




구축 및 관리

  • FAX 서버에서 파일 입출력 시 암호화 및 복호화

  • FAX 서버 - NAS 구간 및 NAS 상에 암호화 상태 유지

  • 설치 및 암호화 기능 검증 : Main 센터, DR 센터 각 2개, 총 4대를 테스트 포함 수 일내 완료

  • 초기 암호화 없이 신규 수신 데이터 부터 암호화


▣ 업무 영향

  • FAX 어플리케이션 : 어플리케이션 수준에서 암호화 필요 없음 (어플리케이션 변경 없음)

  • 스토리지 및 하드웨어 계층 구성에 투명하게 동작




비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[Vormetric] DBMS MS-SQL 암호화를 지원하는 보메트릭 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019. 1. 14. 17:30 / 카테고리 : 보메트릭 암호화 솔루션


MS SQL은 마이크로소프트에서 개발한 데이터베이스 서버 관리시스템(DBMS)를 말합니다. MS SQL 서버는 SQL에 기반하여 개발되어 있으며, 웹사이트 운영시 혹은 시스템 운영시 필요한 수천만건의 데이터를 저장하고 처리 할 수 있습니다. 또한, 데이터 사이의 관계를 관리하고 이용자의 인터넷 검색 기능 또한 지원합니다. 




하지만, 리눅스 계열 데이터베이스 서버는 소스 코드가 공개되기 때문에 패치 파일을 업데이트 하는 것이 용이하지만, MS는 소스코드를 공개하지 않고 있기 때문에 문제가 발생시 대응이 어렵다는 단점을 가지고 있습니다. 


MS SQL 데이터베이스를 암호화 하기 위해서는 MS SQL 암호화에 적합하게 설계된 암호화 솔루션을 사용해야 합니다. 탈레스 이시큐리티의 보메트릭 솔루션은 비정형데이터 뿐만 아니라, MS SQL로 구성된 데이터베이스 서버를 안전하게 암호화 할 수 있습니다.



지적 재산을 보호하고, 개인 정보 보호 정책이나 규정을 준수하고, 기업의 데이터를 사이버 공격으로부터 보호하기 위해 SQL 서버 데이터베이스 암호화가 중요합니다. Vormetric Data Security Platform을 사용하면 Microsoft SQL Server 데이터베이스의 민감한 자산을 암호화하고 보안을 유지하면서 이러한 형태의 암호화와 관련된 이슈들을 해결 할 수 있습니다. 



MS-SQL 데이터베이스 서버 운용시 아래와 같은 위협이 있을 수 있습니다. 


SQL Server TDE의 성능 저하 이슈

Microsoft SQL Server는 데이터베이스 내에서 모든 암호화 작업을 수행하는 TDE (Transparent Database Encryption) 기능을 제공합니다. 이는, 데이터베이스 서버 리소스에 큰 부담을 줍니다.


SQL Server TDE 사용의 관리 복잡성

대부분의 조직에서 MS SQL Server는 암호화가 필요한 여러 영역 중 하나 일뿐입니다. SQL Server TDE는 SQL Server 암호화만 지원하기 때문에 여러 암호화 구현을 위해서는 교육 및 Work-Flow를 구분해야 합니다. 그렇기 때문에, 서버 암호화와 관련된 비용과 관리 이슈가 늘어납니다.


비효율적이고 복잡한 키 관리

SQL Server TDE는 암호화 키 관리를 위한 최소한의 기능만 제공합니다. SQL Server의 각 인스턴스마다 별도의 암호화 키가 필요하기 때문에 별개의 별도 키 관리자를 사용하면 복잡성이 높아져 키를 분실하거나 도난 당할 위험이 높아집니다.



MS SQL DBMS 문제 해결 방안


Vormetric Transparent Encryption

Vormetric Transparent Encryption은 최소한의 노력과 성능 측면에서 강력한 데이터베이스 암호화를 사용하는 데 필요한 기능을 제공합니다. Vormetric Transparent Encryption을 사용하면 Microsoft SQL Server 데이터베이스 및 기업 전체에서 실행되는 다른 모든 데이터베이스에서 중요한 자산을 보호 할 수 있습니다.


Vormetric Application Encryption

Thales eSecurity는 Vormetric Application Encryption을 제공합니다. 이는, 데이터베이스의 컬럼이나 필드 레벨을 포함하여 더 세부적인 암호화를 적용해야하는 조직에게 적합합니다. Vormetric Application Encryption은 기존의 기업 애플리케이션과의 암호화 통합을 단순화합니다. 이 제품에는 암호화 및 키 관리 작업을 수행하는 데 사용되는 표준 기반 APIs가 있습니다.


Vormetric Key Management

SQL Server 환경에서 SQL Server TDE를 사용하기로 선택한 기업의 경우 Thales는 안전하고 효율적인 암호화 키 관리를 제공합니다. 

Vormetric Key Management는 SQL Server TDE, 모든 Thales eSecurity 제품, Oracle TDE 및 기타 KMIP (Key Management Interoperability Protocol) 호환 암호화 플랫폼의 키를 중앙에서 관리 할 수 ​​있습니다. 결과적으로, 조직은 모든 ​​암호화 키를 중앙에서 안전하게 관리 할 수 ​​있으며, 업무를 간소화 시킬 수 있습니다. 




MS-SQL 서버, Vormetric Data Security Platform 도입 효과


모든 엔터프라이즈 데이터베이스 암호화

SQL Server TDE는 데이터베이스 내의 데이터를 보호 할 수 있지만, Vormetric의 SQL Server 데이터베이스 암호화 솔루션은 데이터베이스의 내부와 외부 모두에서 데이터를 보호합니다. 또한, IBM DB2, Oracle, MySQL, NoSQL 및 Sybase 데이터베이스 암호화를 제공합니다. Thales eSecurity 솔루션은 Windows, Linux 및 UNIX 운영 체제에서 데이터를 보호하며 가상 및 클라우드 기반 서버의 데이터까지 안전하게 보호합니다.


운영 효율성 향상

탈레스의 Vormetric 암호화 솔루션은 여러 환경 및 기술에서 암호화 정책 및 암호화 키를 관리하기위한 단일 콘솔을 제공함으로써 관리 오버 헤드를 최소화합니다. Thales는 보안 팀이 데이터베이스 암호화 저장소를 피하고 비용을 줄이며 보안 정책을 보다 광범위하고 일관되게 적용 할 수 있도록 지원합니다.


견고하고 확장 가능한 뛰어난 암호화 성능 제공

SQL Server TDE와 비교하여 Vormetric 암호화는 훨씬 뛰어난 성능을 제공합니다. Vormetric의 Oracle 암호화 솔루션을 사용하면 파일 시스템 또는 볼륨 관리자의 최적의 위치에서 암호화 및 복호화가 수행됩니다. 또한, Vormetric SQL 암호화 솔루션은 Intel AES-NI와 같은 마이크로 프로세서 암호화 기술을 활용하여 암호화의 성능 오버헤드를 최소화 할 수 있습니다.




TDE 키 관리

Microsoft SQL Server 및 Oracle Database 솔루션은 고객의 데이터베이스에 저장된 데이터를 보호하는 전용 TDE(Transparent Database Encryption)를 지원합니다. TDE 키를 관리하는 일은 TDE 키를 암호화 데이터와 격리하고 안전하게 보관해야 하기 때문에 결코 쉽지 않습니다. Thales의 키 관리 솔루션은 Microsoft SQL Server 및 Oracle Database의 키 관리 체계를 중앙 집중화하여 데이터 보안을 개선하고 키에 대한 보다 강력한 통제기능을 제공합니다.




Vormetric Transparent Encryption 특장점

Vormetric Transparent Encryption은 정형 데이터베이스와 비정형 파일에 적용되는 보고 규정을 능동적으로 준수할 수 있도록 데이터 기반 암호화, 사용자 액세스 권한 통제, 보안 인텔리전스 로그 수집 기능을 지원합니다. Vormetric Transparent Encryption을 사용하면 민감한 데이터를 빅 데이터 플랫폼, 가상화 시스템 등으로 이전하는 추세 속에서 IT 및 보안 전문가가 더 많은 데이터와 환경을 효율적으로 보호하고 날로 증가하는 위협 요소를 차단할 수 있습니다.






Vormetric Data Security Platform을 통한 데이터 보안 구축 절차 (솔루션 도입시)

보메트릭 데이터 보호 솔루션 도입은 총 4단계로 구성되게 됩니다.


1. 구축 준비 및 사전 분석

 ▣ 프로젝트 수행 TFT 구성

  - 고객사와 제안사 인력


 ▣ 업무/어플리케이션 분석

  - 대상 시스템 환경 분석

  - 업무 특성 및 프로세스 분석

  - 어플리케이션 아키텍처 분석


 ▣ 영향도 분석

  - 대상 시스템의 성능 분석

  - 스토리지 증가량 분석

  - 암호/토큰 성능 예측


 ▣ 데이터 보호 정책 수립

  - 암호/토큰 대상 필드 확정

  - 암호 알고리즘 확정

  - 암복호화 권한 정책 확정

  - 실시간마스킹 권한정책 확정


2. 구현 및 검증

 ▣ 테스트 환경 구축

  - 제품 설치 및 구성


 ▣ 암호화 적용

  - 개발자 교육

  - 개발자에 의한 소스 수정

  - 테스트 데이터 마이그레이션


 ▣ 테스트를 통한 검증

  - 테스트 시나리오 작성

  - 테스트 수행

  - 결과 분석


 ▣ 개선 사항 도출 및 대응

  - 어플리케이션 추가 수정

  - 암호/토큰 정책 재 설정


3. 운영 이행

▣ 이행 계획 수립

  - 이행을 위한 세부 계획 작성

  - 원복 계획 작성

  - 이행 리허설


▣ 운영 서버 적용

  - 수정된 소스코드 배포

  - 운영 데이터 마이그레이션


▣ 이행 작업 수행

  - 계획에 따라 이행 작업 수행


4. 안정화

▣ 모니터링

  - 적용 후 운영 전반에 대한 모니터링

  - 어플리케이션 재 수정 등 이슈에 따른 대응


▣ 인수인계

  - 운영자 교육

  - 긴급 대응 계획 수립


※ Vormetric 솔루션 도입시 간편한 적용을 위해 공통 모듈을 작성합니다. 

간편한 데이터 보안 적용을 위해 공통 모듈 제작 후 소스 코드 변경 수행

  • 암호모듈/토큰서버의 초기화 및 인증 등의 처리를 수행하는 공통 모듈 (Wrapping Class, 공용 라이브러리) 작성

  • 기존 어플리케이션에서는 단 하나의 함수 호출만으로 암복호화/토큰화 처리

  • 소스 수정 작업의 최소화 및 가독성 유지로 인해 구축 및 유지보수 편리





※ Vormetric 솔루션 도입시 데이터마이그레이션은 아래와 같은 방법으로 진행합니다.

  • 요구되는 컬럼 데이터를 읽어 암호화/토큰화 후 저장하는 단순한 응용프로그램 작성
  • DB서버에서 해당 응용프로그램을 실행함으로써 데이터 마이그레이션 수행
  • DBMS 종류에 따라 초기마이그레이션 응용프로그램을 DB내부의 UDF로 생성하여 적용 가능
    * UDF (User Defined Function) : 사용자 정의 함수


MS SQL DBMS 환경에서 컬럼 암호화, TDE 까지 안정적으로 지원하고, 시스템 오버로드를 줄이는 우수한 성능의 보메트릭 데이터 보안 솔루션을 통해, 안정적인 MS SQL 서버를 운용하시기 바랍니다. 보메트릭 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 견적 및 도입 상담을 해드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 보메트릭] 빅데이터, 비정형데이터에 가장 적합한 암호화 방법은?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 12. 31. 17:15 / 카테고리 : 보메트릭 암호화 솔루션



많은 기업들이 빅데이터를 활용하고 있으며, 서버 및 내부 저장소에도 많은 빅데이터를 저장하고 활용하고 있습니다. 이미 이 중요성을 파악하고 있는 기업들은 안전한 빅데이터 활용을 위해서 어플라이언스를 마련하고 있습니다. 


빅데이터의 80% 이상은 비정형데이터로 이루어져있습니다. 기존의 정형데이터를 암호화 하고 보호하는 방법으로는 빅데이터와 같은 비정형데이터를 효율적이고 안전하게 암호화하기도 쉽지 않을 뿐더러 다양한 포맷으로 이루어진 빅데이터를 보호할 수 없습니다. 




복잡하고 다양한 비정형데이터 암호화는 빅데이터(비정형데이터) 전용 암호화 솔루션을 사용해야 합니다. 그리고, 비정형데이터 암호화 솔루션이 어떤 방식으로 암호화 하는 지도 잘 살펴보아야 합니다. 


지난, 2018년 5월에 유럽에서 시행된 개인정보보호규정(GDPR: General Data Protection Regulation)에 따르면 심각한 위반을 저질렀을 경우에는 약 2천만 유로화(한화로 약 250억원 이상) 또는 전세계 매출에서 4%가 벌금으로 부과되기에 절대적으로 지켜야 됩니다. 



이미, 국외에서는 시행 중인 강력한 정보보호 법안으로 유럽에 진출한 국내 기업 또는 글로벌 기업들은 이를 준수하기 위해 다양한 보안 솔루션을 도입하고 있습니다. 


 

ISO WD 20889 

ENISA Guideline 

 NISTTR

 UKAN Guideline

 NIST 800-188 

 비식별 용어

 De-identification 

Anonyumization 

 De-identification

 Anonyumization 

  De-identification

 데이터 모델

Data Flow

scenario 

Data Value

chain 

Data Flow

Model 

Data LifeCycle

Models 

 데이터 공유 모델

 X

 비식별 처리 

수준의 개념

 X

O 

 비식별 처리 

기술 분류

 O

 비식별 처리 

절차 및 방법

 X

 비식별 처리 

결과 평가 방법

 X

 비식별 처리 

SW 기능요구사항

 X

 X

O

[국가별 빅데이터 활용을 위한 규정 비교 (출처 : 금융보안원)]



GDPR은 개인정보보호에 대한 권리를 보호하고, 유럽 내에서의 개인정보의 자유로운 이동을 보장하는 목적으로 제정되었습니다. 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 개인정보 이동 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 하여 95년 지침보다 정보주체의 권리를 더 강화하고 확대한 것이 특징입니다. 이를 통해서 기업의 정보보호 책임이 더 명확해졌습니다. 


[개인정보보호법 관련 현황 (출처 : 아시아경제신문)]


일본 또한, 빅데이터의 활용을 위해서 개인정보 보호법을 마련하고 있습니다. 일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고 [익명가명정보]라는 하나의 개념을 정의하고 있습니다. 


GDPR에서는 익명정보의 경우에는 개인정보보호법의 적용을 받지 않지만, 일본 개인정보보호법에서는 익명의 가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회가 정한 기준에 따라서 개인정보를 가공하고 정보 유출 방지를 위한 보안조치를 하여야 합니다. 


또한, 미국에서도 미국국립표준기술연구소(NIST: National Institute of Standards and Technology) 기관을 통하여 [개인 식별 정보의 비식별 처리 가이드]가 마련되어 있습니다. 여기에서는, 모든 데이터 비식별화 기술에는 재식별 위험성이 존재하고 이를 방지해야 한다는 기본 전제가 정의되어 있습니다. 


국내에서도 빅데이터 활용을 위한 개인정보보호 법안들이 제정되거나 개정되고 있습니다. 2015년도에 개정된 개인정보보호법에서는 기존의 데이터베이스에 저장되어 있는 정형데이터 뿐만 아니라 이미지, 음성, 영상, 로그 데이터, 빅데이터, 문서 등의 다양한 데이터로 구성되어 있는 개인정보를 모두 안전하게 암호화하고 보호해야 한다고 지침이 변경되었습니다.



대한민국 개인정보보호법 개정안 (2015년 개정)


◈ 제 21조의 2 : 암호화 적용 대상

데이터베이스 뿐만 아니라 저장되는 모든 개인정보 암호화 필요

- 개인정보 처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의제2제2항에 따라 암호화 조치를 하여야 한다.

- DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


◈ 제24조의2제2항 : 암호화 적용 시기

보유 주민등록번호 수에 따라 적용 시기 적용

- 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 (3금융권 및 캐피탈 등)

- 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 (대부분의 금융사)


개인정보보호법 전체 보기 (클릭)


빅데이터의 활용 및 보호에 대한 관심이 높아지면서 규정도 변화하고 있고 관련 암호화 솔루션에 대한 수요도 늘어나고 있습니다. 개인정보 등 데이터를 보관할 때는 암호화 및 암호키 관리, 접근 제어들의 강력한 보호 조치를 취해야 합니다. 정보유출 방지 및 컴플라이언스 준수를 위해 암호화 장비를 많이 도입하고 있는 추세 입니다. 


특히, 비정형데이터 암호화 솔루션들이 많이 출시되고 있습니다. 다양한 암호화 방법이 있지만 가장 우수한 암호화 방법은 OS 커널 방식입니다. 암호화 솔루션은 크게 3가지로 분류되고 있습니다. API 방식 및 OS 커널 방식 그리고 에이전트 방식이 있습니다. 


1. 에이전트는 소스코드 수정이 불필요하지만 서버내에 설치되기에 시스템 리소스 저하가 있습니다. 

2. API 방식은 애플리케이션 내에서 암호화를 진행하기 때문에 도입시에 구축기간과 작업소요가 많습니다. 하지만 비정형데이터를 보호하기 위해서는 형식별로 소스코드 수정이 필요하기에 복잡합니다.

3. OS 커널 방식OS 커널 레벨에서 암호화를 수행하기에 데이터 종류 모두를 지원하면서, 애플리케이션의 소스코드를 변경할 필요가 없어 효율적인 방식입니다. 


이러한, 이유로 OS 커널 방식의 암호화를 비정형데이터에서 많이 선호되고 있습니다. 비정형데이터의 특징은 음성파일, 이미지파일, 문서 파일 등 파일크기가 정형보다 크다는 점입니다. 큰 파일에 암호화를 적용할 경우에는 더 크기가 커지게 되므로 시스템에 부담을 주게 됩니다. OS 커널 레벨의 암호화는 데이터 크기도 유지하면서 암호화 시간 및 구축 시간도 많이 단축되어 비용과 시간을 절감할 수 있습니다.



 

커널레벨 OS 암호화를 지원하는 비정형데이터 암호화 솔루션 - 탈레스 이시큐리티 보메트릭 

Thales e-Security의 Vormetric Transparent Encrytion (탈레스이시큐리티, 보메트릭 트랜스페어런트 인크립션) 보안 솔루션은 비정형데이터에 최적화된 암호화 솔루션입니다. OS 커널 레벨의 암호화를 지원하기에 기업에 도입하면, 비용과 시간을 절감할 수 있습니다. 오버로드 성능저하나 키 관리의 복잡성을 최대한 줄이고 모든 유형의 파일과 데이터베이스(DB) 및 애플리케이션 레벨을 보호합니다. 




뿐만 아니라 구축 및 관리가 용이한 단일솔루션으로 도입이 용이합니다. 기업에서 요구하는 다양한 운영체제를 지원합니다. (윈도우, 리눅스, 유닉스, 솔라리스, IBM AIX, HP-UX 등) 그리고 다양한 DBMS(DB2, 오라클, MySQL, MSSQL, NoSQL, MongoDB, Sybase 등)를 지원하면서 비정형데이터 뿐만 아니라 기존의 정형데이터도 완벽한 암호화가 가능합니다. 


[DBMS 암호화 사례]

- 탈레스 보메트릭을 이용한 DBMS, Oracle TDE 암호화 안내 (링크)

- 탈레스 보메트릭을 이용한 DBMS, MongoDB 암호화 안내 (링크)


비정형파일들을 온사이트, 클라우드 등 파일 위치에 상관없이 암호화 할 수 있다는 점도 장점으로 뽑히고 있습니다. 기업에서 사용하는 각종 문서 파일을 암호화 하여 저장할 수 있을 뿐만 아니라, 애플리케이션, 인프라 또는 비즈니스 절차도 변경하지 않아도 되기에 리소스가 절감 됩니다. 


[탈레스 보메트릭의 암호화 솔루션 개념도]


또한, 강력한 접근제어 정책을 적용하기 때문에 무단으로 접근하는 사고를 예방할 수 있으며, 액세스 하는 사용자를 지속적으로 감시하고 로깅합니다. 


[Vormetric Tokenization with Dynamic Data Masking -  권한에 따른 정책 기반 실시간 마스킹]


관리자와 데이터 소유자 간의 책임을 분리하는 설정도 가능하도록 설계되어 있으며, 이러한 방식으로 서버관리자 등 직원들은 시스템에 상주하는 민감한 데이터에 접근하지 않고 시스템 관리 및 유지보수 작업을 진행할 수 있기에 관리에 용이성이 좋아집니다. 



OS 커널 암호화 방식으로 비용 절감 뿐만 아니라 안정적으로 다양한 파일포맷을 지원하는 비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

방문자 통계

  • 전체 : 385,082
  • 오늘 : 18
  • 어제 : 274
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.