NCipher nShield Connect HSMs 소개 (엔사이퍼 하드웨어 암호화 모듈)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.18 08:00 / 카테고리 : nCipher HSM (Thales-HSM )


nCipher nShield Connect 하드웨어 보안 모듈 (HSM)은 서버 및 가상 컴퓨터에 분산 된 응용 프로그램에 

암호화 키 서비스를 제공하는 인증된 네트워크 접속형 하드웨어 암호화 모듈입니다.





nShield Connect HSM

nShield Connect HSM은 네트워크를 통해 다양한 응용 프로그램에 암호화 서비스를 제공하는 인증 된 하드웨어 보안 장비입니다. 이러한 강화 된 변조 방지 플랫폼은 암호화, 디지털 서명 및 키 생성 및 보호와 같은 기능을 수행합니다. 포괄적 인 기능을 갖춘이 HSM은 인증 기관, 코드 서명 등을 포함한 광범위한 응용 프로그램을 지원할 수 있습니다.



nShield Connect 시리즈에는 nShield Connect+와 뛰어난 비대칭 및 대칭 성능과 동급 최강의 타원 곡선 암호화 (ECC) 트랜잭션 속도를 제공하는 고성능 nShield Connect XC가 포함되어 있습니다.



유연한 아키텍처

nShield Connect HSM은 nCipher의 고유 한 Security World 아키텍처와 통합됩니다. 이 입증된 HSM 암호화 기술을 사용하면 다양한 nShield HSM 장비 모델을 결합하여 확장성, 원활한 장애 복구 및로드 밸런싱을 제공하는 통합 된 생태계를 구축 할 수 있습니다.


더 많은 데이터 처리 속도 향상

nShield Connect HSM은 업계 최고 수준의 암호화 트랜잭션 속도를 지원하므로 처리량이 중요한 엔터프라이즈, 소매점, IoT 및 기타 환경에 이상적입니다. nShield Connect XC는 가장 높은 트랜잭션 성능 속도를 제공합니다.


독점적인 애플리케이션 및 데이터 보호

nShield Connect HSM은 중요한 키와 데이터를 보호하지 않습니다. 또한 중요한 응용 프로그램을 실행하기위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.




공인 하드웨어 솔루션

nCipher eSecurity는 nShield 제품에 대한 광범위한 인증을 획득했습니다. 이러한 인증은 고객이 nShield HSM이 엄격한 업계 표준을 준수한다는 확신을 주면서 컴플라이언스 준수를 위한 도움이 됩니다.


보안 준수 

  • FIPS 140-2 레벨 2 및 레벨 3
  • USGv6 인증
  • nShield Connect + 모델에 대한 공통 기준 EAL4 + (AVA_VAN.5)
  • QSCD (Qualified Signature Creation Device)로 nShield Connect + 인식



안전 및 환경 표준 준수

  • UL, CE, FCC, C-TICK, 캐나다 ICES
  • RoHS2, WEEE

높은 거래율

nShield HSM은 높은 타원 곡선 암호화 (ECC) 및 RSA 트랜잭션 속도를 자랑합니다. 가장 효율적인 암호화 알고리즘 중 하나인 ECC는 소형 센서 또는 모바일 장치에서 실행되는 응용 프로그램과 같이 낮은 전력 소비가 중요한 곳에서 특히 선호됩니다.


 nShield Connect Models

 500+

 XC Base

 1500+

 6000+

 XC Mid

 XC High

 NIST 권장 키 길이에 대한 RSA 서명 성능 (tps)

 2048 bit

 150

 430 

 450 

 3000 

 3500 

 8600 

 4096 bit

 80

 100

 190 

 500 

 850 

 2025 

 ECC NIST 권장 키 길이에 대한 ECC 프라임 곡선 서명 성능 (tps)

 256 bit 540 680  1260  2400  5500 

 14,400 



API, 리눅스 및 OS 지원


지원 API

  • PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI 및 CNG


지원되는 암호화 알고리즘

  • 비대칭 공개 키 알고리즘 : RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)

  • 대칭 알고리즘 : AES, AES-GCM, 아리아, 동백, CAST, RIPEMD160 HMAC, SEED, 염소 DES

  • 해시 / 메시지 다이제스트 : SHA-1, SHA-2 (224, 256, 384, 512 비트), HAS-160

  • 풀 스위트 B 솔루션을 사용하는 브랜 풀 및 커스텀 커브

  • nShield HSM은 표준 기능 세트의 모든 기능을 제공합니다. ECC 또는 한국 알고리즘을 사용하여 조직의 선택적 사용을 허가해야합니다.


지원하는 운영체제

  • Microsoft Windows 7 x64, 10 x64; Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64

  • Red Hat Enterprise Linux AS / ES 6 x64, 6 x86, 7 x64, 5 x64 (libc6.5) (부분 지원); SUSE Enterprise Linux 11 x64 SP2, 12 x64,

  • Oracle Solaris 11 (SPARC), Oracle Solaris 11 x64

  • IBM AIX 7.1 (POWER6, POWER8), HP-UX 11i v3

  • Oracle Enterprise Linux 6.8 x64 및 7.1 x64

※ 가상 환경 지원 : Microsoft Windows Hyper-V Server 2012 R2, 2016, VMware ESXi 6.5, Citrix XenServer 6.5, AIX LPAR


 Model

 MTBF (hours)

 Connect XC

 107,384

 Connect+

 99,284

※ Telcordia SR-332 "전자 장비의 신뢰성 예측 절차" MTBF 표준을 사용하여 25C 작동 온도에서 계산됩니다.



1. 성능 등급 및 옵션

nCipher는 응용 프로그램의 성능 요구를 충족시키기 위해 사양 탭에 표시된대로 다양한 nShield Connect 모델을 제공합니다. 표시된 성능 모델 중에서 선택할 수 있으며 저 성능 모델에서 상위 모델로 현장 업그레이드를 구입할 수도 있습니다.


2. 클라이언트 라이센스

nShield Connect HSM은 각각 IP 주소에 연결할 수있는 세 개의 클라이언트 라이센스와 함께 제공됩니다. 추가 라이센스를 구매할 수 있습니다. 지원되는 클라이언트 라이센스의 최대 수는 nShield Connect 모델에 따라 다음 표와 같습니다.


 Max # Client Licenses per Connect Model

 XC Base/ 500+

 XC Mid/ 1500+

 XC High/ 6000+

 Maximum Client Licenses

 10

 20 

 100 




nShield 웹 서비스 옵션 팩

웹 서비스 옵션 팩을 사용하면 응용 프로그램과 nShield 암호화 서비스 간의 간단한 인터페이스를 제공하는 nShield 웹 서비스 암호화 API를 사용할 수 있습니다. 이 API는 클라우드, 데이터 센터 또는 사내 애플리케이션이 클라이언트 측 통합없이 nShield 데이터 보호 솔루션에 액세스 할 수있게합니다.


nShield 모니터

nShield Monitor는 payShield 및 nShield HSM의 상태를 연중 무휴로 파악할 수있는 모니터링 플랫폼입니다. 이 솔루션을 사용하면 보안 팀이 HSM을 효율적으로 검사하여 잠재적 인 보안, 구성 또는 사용 문제가 업무 핵심 인프라를 손상시킬 수 있는지 즉시 확인할 수 있습니다.


원격 관리 키트

nShield 원격 관리를 통해 사업자는 분산 된 nShield HSM (응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인, 재부팅 등)을 관리 할 수 ​​있으므로 출장을 줄이고 비용을 절감 할 수 있습니다. 원격 관리 키트에는 도구를 설치하고 사용하는 데 필요한 하드웨어 및 소프트웨어가 들어 있습니다. 이 키트는 nShield Solo 및 nShield Connect HSM에서 사용할 수 있습니다.




CodeSafe

CodeSafe는 nShield HSM의 보안 경계 내에서 응용 프로그램을 실행할 수있는 강력하고 안전한 환경입니다. 샘플 응용 프로그램에는 디지털 미터, 인증 에이전트, 디지털 서명 에이전트 및 사용자 지정 암호화 프로세스가 포함됩니다. CodeSafe는 FIPS 140-2 Level 3 인증 nShield Solo 및 nShield Connect HSM과 함께 제공됩니다.


CipherTools 개발자 툴킷

CipherTools Developer Toolkit은 자습서, 참조 문서, 샘플 프로그램 및 추가 라이브러리 세트입니다. 이 툴킷을 사용하면 개발자는 nShield HSM의 고급 통합 기능을 최대한 활용할 수 있습니다. 이 툴킷을 사용하면 표준 API에 대한 지원을 제공 할 수 있을 뿐 아니라 nShield HSM을 사용하여 사용자 정의 응용 프로그램을 실행할 수 있습니다.


데이터베이스 보안 옵션 팩

데이터베이스는 종종 조직의 가장 중요한 데이터를 포함합니다. 고객이 데이터를 보호 할 수 있도록 주요 데이터베이스 공급 업체는 자사 제품에 기본 암호화를 구현했습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft의 EKM (Extensible Key Management) API에 대한 지원을 추가하여 조직에서 Microsoft SQL Server의 중요한 데이터를 보호하는 키를 보다 잘 보호 할 수 있도록 지원합니다.


토큰

nShield Connect HSM 클라이언트를 강력하게 인증하려는 보안 팀은 nTokens PCIe 카드를 사용하여 하드웨어 기반 호스트 식별 및 검증을 수행 할 수 있습니다.



Elliptic Curve Cryptography (ECC) 활성화

ECC 활성화 라이센스를 사용하면 nShield HSM에서 EC-DH, EC-DSA 및 EC-MQV를 사용할 수 있습니다.


KCDSA 활성화

KCDSA 활성화 라이센스를 사용하면 한국어 인증서 기반 디지털 서명 알고리즘 (KCSDA)과 HAS-160, SEED 및 ARIA 알고리즘을 nShield HSM에서 사용할 수 있습니다.


슬라이드 레일

nCipher는 선택 사양 인 슬라이드 레일을 제공하여 사용자가 nShield Connect를 선반없이 19 "랙에 장착 할 수 있습니다 .nCipher는 다른 제조업체의 부품이 호환되지 않을 수 있으므로 고객이 이러한 슬라이드 레일을 독점적으로 사용할 것을 권장합니다.


키보드

nShield Connect HSM의 많은 기능을 장치 전면의 터치 휠을 사용하여 쉽게 실행할 수 있습니다. nCipher는 선택의 USB 키보드를 제공하여 더욱 편리하게 사용할 수 있습니다.



현장에서 교체 가능한 부품

nShield는 작업자가 현장에서 교체 할 수있는 부품을 가동 중단없이 사용할 수 있도록합니다. 이 부분에는 다음이 포함됩니다.

⊙ 전원 공급 장치 (PSU) - 듀얼, 핫 스왑 전원 공급 장치.

⊙ 교체 팬 트레이 - 이중화, 현장 교체 형 팬.





nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.




nCipher nShield HSM 문의
(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

HSM (하드웨어 보안 모듈), nCihper nShield 제품 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.11 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



nCipher nShield 하드웨어 보안 모듈 (HSM)은 암호화 및 서명 키 생성, 디지털 서명 작성, 데이터 암호화 등의 보안 솔루션을 제공합니다.


nCipher nShield 하드웨어 보안 모듈 (HSM)은 보안 암호화 처리, 키 생성 및 보호, 암호화 등을 위해 강화되고 변조 방지 된 환경을 제공합니다. 3개의 FIPS 140-2 인증 폼팩터로 제공되는 nShield HSM은 다양한 배치 시나리오를 지원합니다.




nCipher HSM의 특장점

1. 강력한 아키텍처

모든 nShield HSM은 nCipher의 고유한 Security World 아키텍처와 통합됩니다. 이 입증된 기술을 통해 다양한 nShield HSM 모델을 결합하여 확장성, 원활한 장애 극복 및 로드 밸런싱을 제공하는 통합된 생태계를 구축 할 수 있습니다.


2. 성능 및 다 기능성

nShield HSM을 사용하면 특정 성능 요구 사항을 충족하는데 필요한 것만 구입할 수 있습니다. nShield Connect 및 Solo는 업계 최고의 트랜잭션 속도를 제공하는 다양한 ECC 옵션을 비롯하여 다양한 수준의 성능을 제공하는 세 가지 모델로 제공됩니다.


3. 독점적인 애플리케이션 및 데이터 보호

nShield Connect 및 Solo HSM은 민감한 키와 데이터를 저장하지 않습니다. 또한, 중요한 응용 프로그램을 실행하기 위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.



nCipher HSM은 사용 예시

1. 공개 키 인프라

nShield HSM은 루트 및 CA (Certificate Authority) 키를 생성 및 보호하여 다양한 사용처에서 PKI를 지원합니다.


2. 코드 서명

nShield HSM은 응용 프로그램 코드에 서명하여 소프트웨어가 안전하고 변경되지 않고 확실한 상태로 유지되도록합니다.


3. 디지털 인증서

nShield HSM은 IoT 애플리케이션 및 기타 네트워크 배치를 위해 독점적인 디바이스를 인증하고 인증하기 위한 디지털 인증서를 생성합니다.




nShield HSM을 사용하면 다음과 같은 보안 요건을 만족할 수 있습니다.

° 높은 수준의 데이터 보안 및 신뢰 달성

° 중요한 규제 기준 충족 및 초과

° 높은 서비스 수준과 비즈니스 민첩성 유지








nCipher nShield HSM 제품군 소개


사용자의 특정 환경에 맞게 nShield 범용 HSM 제품군에는 다음과 같은 모델이 포함됩니다. 


1. nShield Connect (네트워크 연결형 HSM)

nShield Connect HSM은 애플리케이션에 암호화 서비스를 제공합니다. 서버에 연결하여 네트워크를 통해 배포됩니다. nShield Connect HSM은 다음에서 사용할 수 있습니다. 

※ 2가지의 옵션 사양이 있습니다 : nShield Connect+ HSM 및 nShield Connect XC HSM 



2. nShield Edge (USB 기반 포터블 HSM)

nShield Edge HSM은 편의성과 경제. Edge는 개발자에게 이상적이며 응용 프로그램을 지원합니다.

낮은 볼륨 루트 키 생성(low volume root key generation)등에서 사용됩니다.



3. nShield Solo (어플라이언스 또는 서버에 내장하기위한 PCIe 카드)

nShield Solo HSM은 로우 프로파일 PCI Express 카드 모듈로서 서버 또는 어플라이언스에서 호스팅되는 응용 프로그램에 대한 암호화 서비스를 제공합니다. 

※ 2가지의 옵션 사양이 있습니다 : classic nShield Solo+ HSM 및 고성능 nShield Solo XC HSM 시리즈



nCipher 고객은 PKI (공개 키 인프라), SSL / TLS 암호화 키 보호, 코드 서명, 디지털 서명 및 블록 체인과 같은 다양한 비즈니스 응용 프로그램에서 nShield HSM을 인증 수단으로 사용합니다.


Things of Internet의 성장으로 인해 장치 ID 및 인증서에 대한 수요가 증가함에 따라 nShield HSM은 디지털 인증서를 사용하는 장치 인증과 같은 중요한 보안 조치를 계속 지원할 것입니다.


nShield HSM은 또한 오늘날의 컴팩트 컴퓨팅 환경 및 업계에서 가장 널리 사용되는 운영 체제 및 API에 이상적인 고속 트랜잭션을 제공하는 타원 곡선 암호화 알고리즘을 포함하여 다양한 암호화 알고리즘을 지원합니다.


Microsoft Azure 또는 세 가지 모두. nShield BYOK를 사용하면 키 관리 방법의 보안을 강화하고 키를 보다 강력하게 제어하며 클라우드에서 데이터를 안전하게 유지할 책임을 공유 할 수 있습니다.




nShield BYOK는 다음과 같은 이점을 제공합니다.

° 클라우드에서 중요한 데이터의 보안을 강화하는보다 안전한 키 관리 컴플라이언스

° FIPS 인증 하드웨어로 보호되는 nShield의 highentropy 난수 생성기를 사용하여보다 강력한 키 생성

° 키에 대한보다 강력한 제어 - 자신의 환경에서 자신 만의 nShield HSM을 사용하여 키를 생성하여 클라우드에 안전하게 전송



엄격한 표준에 대한 nCipher의 솔루션은 컴플라이언스를 준수함과 동시에 nShield HSM의 보안 및 무결성에 대한 높은 무결성을 제공하는데 도움이 됩니다



FIPS 140-2

전 세계적으로 인정되는 FIPS 140-2는 암호화 모듈의 보안 성을 검증하는 미국 정부 NIST 표준입니다. 모든 nCipher nShield HSM은 FIPS 140-2 Level 2 및 Level 3 인증을 받았습니다.


공통 기준 및 EIDAS 적합성

nShield Solo+ 및 Connect+ 모델은 EAL (Common Criteria) 4+ 인증을 받았으며 QSCD (Qualified Signature Creation Device)로도 인증을 받았습니다. QSCD로 nShield HSM은 eDAS (European Digital Signature) 및 인증 서비스, 디지털 서명 및 타임 스탬프와 같은 세계적으로 인정받는 솔루션의 보안 백본을 수행합니다.





nCipher nShield HSM 문의
(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[KISA/과기정통부] 암호알고리즘 및 키길이 이용 안내서

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 19:47 / 카테고리 : nCipher HSM (Thales-HSM )



정보보호제품 및 시스템에 암호 알고리즘을 탑재하고 적용하는 경우에는 알고리즘의 종류나 키의 길이들은 해당 시스템의 안전성 수준을 만족할 수 있도록 선택해야 합니다. 이를 위해서 미국, 일본, 유럽 등에서는 암호알고리즘 및 키 길이에 대한 가이드라인을 제시하고 있습니다.


국내에서도 이에 맞춰서, 과학기술정보통신부 및 한국인터넷진흥원(KISA)는 암호알고리즘 및 키 길이 이용안내서를 제작하여 배부하고 있습니다. 해당 가이드라인(안내서)에는 국산 알고리즘 및 외산 알고리즘을 모두 포함하여 보안강도에 따라 선택가능한 암호 알고리즘의 종류와 키 길이, 유효기간을 안내하고 있습니다. 



기업의 보안 담당자 및 정보보호책임자는 이를 숙지하시고, 암호 키를 안전하게 보호할 수 있는 전용 장비인 HSM에 대한 정보도 알아가시기 바랍니다.



아래의 표는 KISA에서 공개한 권고알고리즘으로 미국, 일본, 유럽과, 국내에 알고리즘입니다. 참고해주시기 바랍니다.


 분류

 NIST (미국) 

 CRYPYREC (일본)

 ECRYPT (유럽)

 국내

 대칭키 암호 알고리즘

 AES

 3TDEA

  AES

  Camellia

 AES

 Camellia

 SEED

 HIGHT

 ARIA

 LEA

 해시 함수

 SHA-224

 SHA-256

 SHA-384

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 SHA-256

 SHA-384

 SHA-512

 SHA-256

 SHA-384

 SHA-512

 SHA-512/256

 SHA3-384

 SHA3-512

 SHA3-shake128

 SHA3-shake256

 Whirlpool-512

 BLAKE-256

 BLAKE-384

 BLAKE-512

 SHA-224

 SHA-256

 SHA-384

 SHA-512

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 LSH-224

 LSH-256

 LSH-512

 LSH-512-224

 LSH-512-256

 공개키 암호 알고리즘

 키 공유용

 DH

 ECDH

 MQV

 ECMQV

 DH

 ECDH

 ECIES-KEM

 PSEC-KEM

 RSA-KEM

 DH

 ECDH

 암/복호화 용

 RSA

 RSA-OAEP

 RSA-OAEP

 RSAES

 공개키 암호 알고리즘

 전자 서명용

 RSA

 DSA

 ECDSA

 RSA-PSS

 RSASSA-PKCS1 (v1.5)

 DSA

 ECDSA

 RSA-PSS

 ISO-9796-2RSA-DS2

 PV Signatures

 Schnorr

 ECSchnorr

 KDSA

 ECKDSA

 XMSS

 RSA-PSS

 KCDSA

 ECDSA

 EC-KCDSA

※ 해당 표에서는 국내외 암호 연구기관에서 발간하는 보고서에서 다루어지는 대표적인 암호 알고리즘을 언급하였습니다.


  • 국내 : 국내 암호 알고리즘은 검증대상보호함수(IT보안인증사무국) 국내 표준들을 기반으로 구성하며, 그외의 암호 알고리즘을 사용할 경우에는, 국외 권고안을 참고하길 권장합니다.

  • 3TDEA : 세개의 키가 다른 TDEA (Triple Data Encryption Algorithm)

  • SHA-3 shake128/256 : 가변적 출력 값을 가지며, 안전성이 최대 128/256bit인 SHA-3 일종

  • KDSA/ECKDSA : ISO/IEC 14888-3 표준에 있는 KCDSA, EC-KCDSA를 KDSA, ECKDSA로 표기



암호 알고리즘 및 키 길이 선택 기준

암호 알고리즘 및 키길의 선택 시에 암호 알고리즘의 안전성 유지기간과 보안강도별 암호 알고리즘 키 길이 비교표, 암호키의 사용 유효기간을 기반으로 암호 알고리즘 및 키 길이를 선택하도록 권장합니다. 


1. 보안강도별 암호 알고리즘 비교

 보안강도

 대칭키 암호 알고리즘

 (보안강도)

 해시함수 

 (보안강도)

 공개키 암호 알고리즘 

 암호 알고리즘 안전성 유지기간

(년도)

 인수분해

 (비트)

 이산대수 

 타원곡선암호

 (비트) 

 공개키 

 (비트)

 개인키

 (비트)

112비트

 112

112

2048 

2048 

224 

224 

2011년에서

2030년까지 

128비트

128 

128 

3072 

3072 

256 

256 

 2030년 이후

192비트

192

192

7680

7680 

384 

384 

256비트

 256

 256 

15360 

15360 

512 

512 



2. 암호키 사용 유효기간

암호 알고리즘 키 사용 유효기간이란 암호키를 사용할 수 있는 기간을 말합니다. 즉, 암호 알고리즘에 사용되는 키의 사용 유효기간은 송신자가 암호키를 사용하는 기간(예, 암호화 과정)과 수신자가 받은 메시지와 관련된 암호키를 사용하는 (예, 복호화 과정) 기간을 포함합니다. 아래의 표에서는 NIST의 키 관리 권고안을 기반으로 암호키의 사용 유효기간을 제시합니다. 


 키 종류

 사용 유효기간

 송신자 사용기간

 수신자 사용기간

 대칭키 암호 알고리즘

 비밀키

 최대 2년

 최대 5년

 공개키 암호 알고리즘

 암호화 공개키

 최대 2년

 

 복호화 공개키

 최대 2년

 

 검증용 공개키

 최대 2년

 

 서명용 공개키

 최대 2년

 

[암호키 사용 유효기간 (NIST 권고안)]




3. 암호 알고리즘 및 키 길이 이용 안내서 활용 예

▣ 주민등록번호 및 계좌정보 등 금융정보를 저장하는 경우

금융정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있습니다. 


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도 (비트) 확인

   -> 보안강도 : 112비트 이상

2. 주민등록번호 및 계좌정보 암호화에 필요한 안전한 암호 알고리즘이란 데이터 암복호화가 가능한 양방향 암호 알고리즘인 대칭키 암호알고리즘이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> AES, SEED, HIGHT, LEA 등이 존재

   -> 국내 암호 알고리즘을 고려한다면 SEED, HIGHT, ARIA, LEA 선택 가능

3. 암호키 사용 유효기간 표를 참조하여 사용 유효기간을 설정 (NIST 권고)

   -> 송신자용 암/복호화 비밀키 : 최대 2년

   -> 수신자용 암/복호화 비밀키 : 최대 5년


  • 주민등록번호 및 계좌정보 등 금융정보 암호화를 위해서는 보안강도 112비트 이상을 제공하는 대칭키 알고리즘들 중, 국내 암호 알고리즘을 사용한다면 SEED, HIGHT, ARIA, LEA 암호 알고리즘 등 선택하여 적용
  • 비밀키 유효기간은 송신자용 최대 2년, 수신자용 최대 5년으로 설정하기를 권장




▣ 비밀번호를 저장하는 경우

비밀번호 정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있다.


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도(비트) 확인

   -> 보안강도 : 112비트 이상

2. 비밀번호 정보 암호화에 필요한 일방향 암호 알고리즘은 단순해시/전자서명용 해시함수이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> SHA-224, SHA-256, SHA-384, SHA-512 등이 존재하며, 이중에서 선택 가능




KISA와 과학기술정보통신부에서 권고하는 암호알고리즘 및 키길이 기준을 충족하기 위해서는 이에 맞는 암호 알고리즘 보안 솔루션을 사용해야 합니다. 


암호키 관리 솔루션으로는 nCipher HSM이 있으며, 데이터를 안전하게 암호화 하기 위한 강력한 비트의 암호화 솔루션에는 Thales Vormetric의 Data Security 제품군이 있습니다. 


[nCipher nShield Connect XC]


  • nCipher HSM은 암호키를 생성하고 저장하는 역할을 하는 암호화 전용 장비

  • 인증, 서명, 암호화 등 다양한 분야에서 암호 키를 관리하는 역할을 담당

  • 하드웨어 기반의 암호화 연산을 수행 (키 생성, 전자서명, 키저장 및 백업)

  • 물리적으로 완벽하게 독립된 공간에 암호화 키를 저장하기 때문에 해킹에도 안전

  • FIPS 140-2 Level 3 및 CC EAL 4+ 등의 인증을 받은 안전한 HSM.





[Vormetric Data Security]


  • Vormetric Transparent Encryption은 커널 레벨 파일 단위의 암호화 방식을 지원 (운영체제 암호화 방식)

  • 강력한 상용 알고리즘인 3DES, AES 128/256, ARIA 128/256 지원

  • 국가사이버안전센터 암호모듈 검증필 모듈 탑재

  • 대부분의 상용 운영체제 지원 (AIX, HP-UX, Solaris, Windows, Red Hat, SLES, Ubuntu, Cloud)

  • 비정형데이터, 로그 파일 이미지 파일 등의 파일 암호화 지원 (다수의 구축 사례 확보)

  • 구축 및 유지 보수를 위한 특수한 인력 불필요. 3~5일 정도의 시간에 구축 가능

  • 보안 솔루션 구축 후, DBMS 혹은 Application의 환경변화가 발생하지 않음



nCipher nShield HSM & Vormetric 암호화 솔루션 문의
(주) 아이마켓코리아

윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 HSM] 데이터 유출 방지를 위한 암호화 구축 성공 사례

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.14 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



글로벌 보안 솔루션 기업인 탈레스 이시큐리티(Thales e-security)에서는 [데이터 유출 방지를 위한 암호화 구축 성공 사례]를 주제로 국내 암호화 동향과 데이터 유출 방지를 위한 보안 담당자들의 인식과 계획을 조사하였습니다.  


전세계 12개국 5200명의 IT 직원을 대상으로 설문 조사하였으며 한국을 비롯하여 미국, 영국, 일본, 독일, 프랑스 등 주요 국가의 담당자들이 설문에 참여하였습니다. 국내에 참여한 보안담당자는 총 317명입니다. 


내용에 따르면 암호화는 13년 동안 꾸준히 증가하고 있으며 기업의 43%는 전사적이고 일관성있는 암호화 전략을 진행하고 있다고 조사되었습니다. 



산업별로는 금융서비스(60%)와 헬스케어 및 제약 분야(55%)에서 압도적으로 높은 암호화 비율을 보였으며, 유통(42%)도 높은 수치를 보였습니다. 




또한, 민감한 데이터에 대한 위협으로는 직원 실수(55%)가 압도적으로 높았으며, 그 외에도 임시직 또는 계약직 직원(32%), 외주 업체(29%) 등 순으로, 시스템 적인 위협보다는 사람이 발생시키는 위협이 높은 수치를 보였습니다. 




암호화 목적으로는 기업의 지적 재산보호(61%)가 가장 높았으며, 파악된 특정 위협으로부터의 정보보호(54%)도 그 뒤를 있었습니다. 최근 가장 화두인 고객의 개인정보보호(50%)도 높았습니다. 




암호화 적용시 필요로 하는 기능의 중요성으로는 시스템 성능 대기시간(86%), 키 관리(72%), 다른 보안 도구와의 통합(66%), 정책 시행(60%), 클라우드 및 온프레미스 구현 지원(60%), 그리고 얼마전에 탈레스 HSM이 업데이트한 ECC(56%) 등의 알고리즘 지원 순이였습니다. 







또한, 암호화 적용을 어렵게 하는 도전 과제로는 조직 내에서 민감 데이터의 위치를 파악(68%), 암호화 기술의 초기 구현(49%) 순으로 높았습니다. 위의 환경에 기업의 암호화 도입이 가장 큰 걸림돌로 파악되고 있었습니다. 




그리고, 클라우드 환경에서의 암호화 구현도 높은 수준에 이르렀으며 향후 2년 동안 13% 증가할 것으로 예상되고 있습니다. 그리고 가장 중요한 구현 방식은 HSM과 퍼블릭 클라우드 기반 애플리케이션을 연동하여 HSM 자체는 온프레미스에서 운영하는 방식을 선호한다는 응답이 더 높았습니다. 







암호화 키 관리를 위해서는 HSM을 많이 사용하거나 사용할 예정이며, 48%의 응답자가 HSM은 현재 매우 중요하다가 밝혔으며, 데이터베이스 암호화 분야에서 특히, 올해 12%가 증가할 것으로 예상되고 있습니다. 




현재 95%는 민감한 데이터에 디지털 프랜스포메이션 기술을 사용하고 있으며, 높은 수준의 도입율로 복잡성이 가중되고 있었습니다. (클라우드, 빅데이터, IoT, 컨테이너, 블록체인, 모바일 결제)






클라우드 컴퓨팅으로 발생되는 우려로는 공유되는 인프라의 취약성(56%), 클라우드 공급업체에서 발생하는 침해(53%), 여러 클라우드 공급업체에 걸친 다수의 암호화 키 관리(53%)로 3가지가 가장 잠재적인 위협이라고 보았습니다. 




탈레스 이시큐리티는 40년 이상의 업력을 자랑하는 전문 보안 업체로 암호가 적용되는 부분에 있어서 높은 수준의 전문성과 레퍼런스를 보유하고 있습니다. 또한, FIPS 140-2, Common Criteria 인증 등의 높은 신뢰성을 보유하고 있습니다. 




레퍼런스로는 Fortune 10대 기업 중 9개 (90%)를 고객사로 두고 있는 글로벌 리더이며, 글로벌 대형 은행 20곳 중 19곳이 탈레스의 보안장비를 사용하고 있습니다. 그리고, POS 전문 트랜잭션의 80%를 탈레스 보안 장비가 보호하고 있습니다. 


탈레스는 HSM 장비인 nShield HSM 제품에서 부터 지불결제 보안 장비 Payshield, 비정형데이터 암호화 솔루션 Vormetric Data Security Manager, 네트워크 암호화 장비 DataCryptor 5000 등의 대표적인 보안 장비를 공급하고 있습니다. 



솔루션에 대한 자세한 정보는 아래 관련글을 클릭하시면 보실 수 있습니다.


솔루션 관련 글 보기

Vormetric 솔루션 관련글 

Thales HSM 솔루션 관련글

Thales DataCrytor 관련글

Thales Payshield 관련글




결론적으로 효과적으로 데이터 보안을 향상하기 위해서는? 아래와 같은 보안 조치가 반드시 필요합니다. 특히, HSM의 중요성은 날이 갈수록 높아지고 있습니다.


데이터 암호화 

- 저장되는 모든 파일, 데이터베이스 암호화 및 애플리케이션 암호화


액세스 관리

- 인가된 사용자에게만 액세스 및 복호화를 허용하는 강력한 액세스 관리


강력한 키 보호 및 관리

- 전용 장비(Thales HSM 등)를 통한 강력한 암호화, 키 보호 및 업계를 선도하는 우수한 키 관리 절차




보안의 가장 핵심 화두인 암호화, 그 중에서도 암호화 키 생성 및 관리는 신뢰성 있는 제조사와 전용장비를 사용하여야 합니다. Thales HSM을 도입하여 안전한 기업 데이터보호를 구축하시기 바랍니다. 도입 및 견적은 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 HSM] 사물인터넷(IoT)와 핀테크를 지원을 위한 타원곡선 암호(ECC) 기능 업데이트

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.07 07:00 / 카테고리 : nCipher HSM (Thales-HSM )



커넥티드카와 같은 사물인터넷 장비들에 대한 보안도 중요해지면서, 사물인터넷과 핀테크 기술에 대한 보안과 암호화장비, 암호화 키 관리에 있어서도 큰 관심이 모아지고 있습니다. 


이를 반영하듯, 미국 캘리포니아에서는 커넥티드 장비법(Information Privacy: Connected Devices Act) 또는 사물인터넷법(California IoT Law)이라고 알려진 법안이 화제가 되고 있습니다. 내용으로는 보안 기능이 거의 전무한 채로 생산되는 사물인터넷 디바이스를 막기 위한 내용을 담고 있습니다. 캘리포니아에서는 사물인터넷 장비를 생산하는 기업이나 주 바깥에 있는 생산자 들을 대행하여 장비 생산을 도맡은 모든 경우에 이 법이 적용됩니다. 




하지만, 일부 전문가들은 "많은 부분에서 모호한 부분이 있으며, 실제 시행이 되고 나면 많은 문제점이 발생될 것으로 예상된다"는 의견도 있긴 하지만, 그정도로 사물인터넷에 대한 보안도 제도화 되고 의무화되고 있다는 것을 보여주고 있습니다. 


글로벌 정보보안 기업인 탈레스 이시큐리티(Thales e-Security)는 하드웨어 보안 모듈인 탈레스 엔실드 HSM(Thales nShield HSM)에 사물인터넷과 핀테크 관련 보안기능을 지난 2018년 11월 경에 업데이트 하였습니다. 



HSM은 높은 수준의 안정성과 보안성이 필요한 커넥티드카, 기업용 사물인터넷 장비, 핀테크 기술 등에 많이 활용되고 있는 대표적인 암호화 제품입니다. 




특히, 작은 암호 키들을 서로 교환하는데 사용하는 기술인 타원곡선 암호 방식을 지원하기에 대체적으로 낮은 사양의 하드웨어와 소프트웨어를 사용하는 사물인터넷 장비들에 적합한 제품입니다. 


이번 탈레스 HSM 업데이트를 통해서 브레인풀(Brainpool)과 에드워드(Edwards) 타원곡선 암호(Elliptic Cryptographic Curves: 이하, ECC)를 지원하게 되었습니다. 이로써 탈레스 HSM을 도입한 사물인터넷과 핀테크 기업은 데이터 무결성 및 보안 요건을 충족할 수 있게 되었습니다. 


타원곡선 암호화(ECC)는 작은 암호 키들을 서로 교환하는데 사용됩니다. 해당 암호 키들은 보다 적은 자원으로 공개키 기반구조(Public Key Infrastructure: PKI) 프로토콜이 제공하는 수준의 보안을 지원합니다. 향후 수년간, 사물인터넷과 핀테크 분야는 성장하는 분야이기 때문에 많은 기업들은 탈레스 HSM과 같은 타원곡선 암호 지원을 하는 보안 장비 인프라에 투자해야 하는 것이 좋습니다.



최근에 제조되는 차량에는 약 100여개의 전자제어 유닛(ECUs)이 포함되어 있습니다. 이 유닛들은 차량 내의 네트워크와 외부 관리 서비스 인증을 위한 전용 디지털 인증서를 필요로 합니다. 


안전하고 즉각적인 고객 고객 경험을 시스템에 전달하기 위해서, 디바이스의 적은 하드웨어 성능과 소프트웨어 자원으로도 빠른 암호화 연산이 가능하여야 합니다. 프로세스의 오버로드를 감소시키고 최적화하여 암호화 하기 위해서 쓰이는 브레인풀 및 에드워드 ECC는 제한적인 처리성능과 메모리로도 빠른 암호연산이 가능하도록 저사양 환경에 최적화되어 있으며, 일반적으로 HSM과 같이 활용되고 있습니다. 


"탈레스는 급변하는 시장에 대처하고 고객의 니즈에 맞춰 제품의 주요 기능을 추가하기 위해 지속적인 혁신을 거듭하고 있습니다. 자동차, 핀테크, 사물인터넷 등의 산업에서 부상 중인 응용프로그램에는 높은 수준의 효율성이 요구 됩니다. 

이번 탈레스 엔쉴드(Thales eSecurity nShield) HSM 업데이트가 고객의 니즈를 어느정도 충족시킬 수 있을 것으로 기대합니다."


탈레스 이시큐리티(Thales eSecurity) 최고 전략 책임자

피터 갤빈 (Peter Gavin)



사물인터넷이 제공하는 기회를 발견하고 기업과 소비자들은 혜택을 받기 시작했습니다. 분산 연결된 장치의 데이터를 캡처하고 분석하는 기능을 통해 프로세스를 최적화하고 새로운 수익원을 창출하며 고객 서비스를 개선 할 수 있습니다. 



그러나, IoT는 네트워크 연결 증가로 인한 새로운 보안 취약성과 설계상 안전하지 않은 장치를 기업에게 노출시킵니다. 또한, 공격자는 IoT 장치의 취약점을 활용하여 다른 시스템으로 침입 할 수 있는 가능성을 입증하고 있습니다.



사물인터넷 서비스에 대한 제안사항


1. 강력한 장치 인증

nShield HSM 및 지원 보안 애플리케이션을 사용하여 기본 키를 생성하고 보호하면 각 IoT 장치는 게이트웨이 또는 중앙 서버에 대한 연결이 시도 될 때 인증되는 고유 한 암호 기반 ID로 제어 할 수 있습니다. 이 고유 ID를 사용하면 라이프 사이클 전반에 걸쳐 각 장치를 추적하고 안전하게 통신하고 유해한 프로세스를 실행하지 못하게 할 수 있습니다. 장치가 예기치 않은 동작을 나타내는 경우 해당 장치의 권한을 쉽게 취소 할 수 있습니다.


2. 디바이스 생산시의 보안

Thales nShield HSM은 보안 소프트웨어와 함께 사용되어 제조업체가 생산 프로세스를 보호 할 수 있게합니다. 예를 들어, 반도체 솔루션을 제공하는 업체인 Microsemi는 보안 소프트웨어와 함께 nShield HSM을 사용하여 각 장치가 생성 된 장치에서만 해독 할 수있는 고유 코드를 생성합니다. 생성 된 인증 코드의 수를 제어함으로써 시스템 구축 횟수를 제한 할 수도 있습니다.


3. IoT를 지원하는 PKI

강력한 인증을 수립하는 것은 퍼즐의 한 부분 일뿐입니다. IoT는 디지털 인증서와 기본 키의 대규모 관리 및 보호를 요구사항을 만족하면서, 단축 키 길이가 적고 집중적인 계산 능력이 제한된 IoT 장치에 매우 적합한 ECC (Elliptic Curve Crypto)를 비롯한 여러 공개 키 알고리즘을 지원합니다. 


가장 중요한 키와 비즈니스 프로세스를 보호하기 위해 허용되는 PKI 모범 사례는 HSM을 사용하는 것입니다. 업계를 선도하는 PKI 파트너와 협력하든 고급 서비스 그룹의 지식과 전문성을 활용하든 관계없이 Thales HSM은 복잡성이나 규모에 상관없이 PKI에 대해 높은 수준의 보안을 제공합니다.



Thales HSM 도입효과


1. 공격자 방어 및 데이터 손실 방지

보호 된 시스템 및 데이터에 대한 액세스를 권한이 부여 된 장치 및 사용자에게만 제한함으로써 APT 및 데이터 유출과 같은 IoT와 관련된 많은 잠재적 위협을 방어하고 데이터 기밀성 및 개인 정보를 보호 할 수 있습니다. 장치 펌웨어 업데이트 및 패치의 신뢰성 및 무결성을 보장하고 인증 및 코드 서명을 위해 HSM에 기반한 암호 기반 식별을 사용하여 신뢰할 수있는 IoT 장치의 안전한 네트워크를 만들 수 있습니다.


2. 운영 비용 절감

물리적, 위치적으로 분산 된 장치를 안전하게 제어하고 모니터링함으로써 기업은 장치 유지 관리 및 업데이트 비용을 절감 할 수 있습니다. 신뢰할 수 없는 장치의 제거 비용까지 절감 할 수 있습니다. 장치가 예기치 않은 동작을 하는 경우에는 기술자가 직접 제어할 필요 없이 원격 명령으로 권한을 쉽게 취소하고 제어 할 수 있습니다. 


3. 기업의 수익 및 브랜드 평판 보호

장치 제조 프로세스를 보안함으로써 기업은 허가 받지 않은 암시장 거래로 인한 수익 손실 및 브랜드 손상을 방지 할 수 있습니다. 기업이 커넥티드 서비스를 사용하여 기능 업그레이드를 제공하거나 프리미엄 콘텐츠 및 서비스를 제공 할 수 있기 때문에 보안 연결 장치는 새로운 매출 흐름의 기회를 제공합니다.




이뿐만 아니라, Thales HSM은 기업 데이터베이스의 데이터 암호화, 암호회 키 관리, 서명 보안 등에 많이 사용되고 있습니다. 사물인터넷 뿐만 아니라 다른 분야에도 Thales nShield HSM을 적용하고 싶으시다면 아래의 글을 참고해주시기 바랍니다. 


1. 클라우드 환경 보안

http://itblog.imarketkorea.com/458


2. 개인정보 보호, 암호화

http://itblog.imarketkorea.com/435


3. 암호화 키 관리

http://itblog.imarketkorea.com/350




타원곡선 암호화를 지원하여 하드웨어 성능이 낮은 사물인터넷 디바이스에서도 최고의 암호화 성능을 보장하는 탈레스 HSM 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090

사물인터넷, 핀테크, Iot, 커넥티드카, 임베디드, 사물인터넷법, 암호화장비, 암호키, 타원곡선 암호화, ECC, 브레인풀, 에드워드, 탈레스 HSM, 탈레스, 탈레스 이시큐리티, 데이터베이스 보안, 암호키, 암호키 관리, Thales, 서명, HSM, 하드웨어 암호화, nshield, 오라클, MSSQL, FIPS 140-2, SaaS, 아이마켓코리아

Trackbacks 0 / Comments 0

[탈레스 HSM] 클라우드 보안에서 가장 중요한 것, HSM를 통한 암호키 관리

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.31 22:11 / 카테고리 : nCipher HSM (Thales-HSM )



클라우드 서비스는 많은 데이터를 저장하고 있지만, 애플리케이션 레벨에서 인터넷으로 연결되어 서비스 되기 때문에 각종 사이버 공격에 매우 취약합니다. 클라우드 서비스 특성상 다양한 OS와 다양한 디바이스, 다양한 인터넷 연결 환경을 모두 지원하면서 보안성을 유지하는 것은 매우 어려운 일입니다. 


클라우드 서비스시에는 방화벽, SSL 암호화, IPS, DNS 보안 등을 많이 사용하여 엔드포인트 보호를 주로 해주고 있습니다. 이러한 물리적인 접근과 엔드포인트에 대한 보안도 중요합니다. 그리고, 그 보다 더 중요한 것은 바로 클라우드 내에 있는 데이터이며, 이를 안전하게 지키는 방법은 암호화 입니다. 




[대표적인 클라우드 웹서비스 아마존 웹서비스]



결국에는 보안이라는 것은 데이터를 안전하고 보호하고 관리하는 것이 최종 목표입니다. 사이버 공격의 대다수는 데이터를 공격하여 금전적인 이득을 취하는게 목적이기 때문입니다. 기업 입장에서는 축적한 데이터가 가장 큰 자산입니다. 


클라우드에는 상대적으로 덜 민감한 데이터를 보호한다고 생각할 수 있지만 실제로는 금융정보 및 신용정보 등 민감하고 치명적인 정보들이 많이 저장되어 있습니다. 규제도 많이 완화되고 있는 추세로, 금융기관도 민감한 정보를 클라우드 서비스로 많이 이관하고 있습니다. 



글로벌 보안 기업인 탈레스가 조사한 [2018년 암호화 동향 보고서]에 따르면 응답자의 88%가 민감한 정보가 포함된 데이터와 애플리케이션을 클라우드에서 사용하고 있는 중 이거나, 앞으로 2년 내에 사용할 예정으로 조사되었습니다. 




많은 기업들이 클라우드를 통해서 데이터를 저장하고 활용하기 위해서는 반드시 보안 대책이 마련되어야 합니다. 엔드포인트나 네트워크 보안도 중요하지만 보안의 최종 단계이자 가장 안전한 보안은 바로 데이터 암호화 입니다. 


탈레스에서 조사한 보고서에서는 응답자의 72%는 퍼블릭 클라우드 서비스에 포괄적인 암호화 또는 부분적인 암호화를 이미 하고 있다고 밝혔습니다. 


멀티 클라우드를 도입하는 기업이 많아질수록 데이터 암호화 요구는 더욱 높아질 겁니다. 탈레스 보고서에서는 조직이 직면한 암호화 이슈는 [민감한 데이터를 위치를 파악하는 것]이 68%로 가장 시급하고 중요한 문제로 나타났습니다. 


멀티 클라우드 환경에서는 데이터 가시성을 확보하는 것이 어렵습니다. 민감 데이터의 위치를 빨리 파악하고 적절한 보호 조치를 취하는 것이 무엇보다 중요합니다. 


그리고, 이번 탈레스의 조사에서는 가장 어려운 문제 중 하나가 바로 암호 키 관리로 나타났습니다. 특히, 클라우드 환경에서의 암호 키 관리가 가장 어려운 문제로 뽑혔으며, 외부 클라우드 및 호스팅 서비스용 BYOK 관리 및 SSH 키 관리도 어렵다는 이슈도 52%로 높은 수치를 나타냈습니다. 



응답자들은 클라우드에서 데이터 접근 제어가 중요하다고 말했으며, 또한 클라우드가 사업자가 제공하는 암호 키로 암호화 하는 경우도 36%에 달했습니다. 하지만, 59%의 응답자는 온프레미스에서 암호화하거나 키 관리 만큼은 온프레미스에서 한다고 답하였습니다. 


아무리 클라우드 서비스를 이용한다고 하지만, 중요한 권한이나 암호화는 기업 내부에서 처리하는 경우가 더 많았다는 것을 알 수 있습니다


그리고 가장 중요한 사실은, 하드웨어 암호화 모듈(HSM : Hardware Security Module)이 매우 중요한 솔루션이라고 답하였으며, 특히 데이터베이스 암호화에서 HSM를 사용하는 비중이 무려 35%를 차지하였습니다. 그 중요성을 볼때, 2019년도에는 12%이상 증가하여 거의 50% 이상이 HSM을 사용할 것으로 전망하고 있습니다. 



가장 중요한 키 관리는 바로 HSM에서 이루어지며, HSM은 물리적인 공간으로 데이터베이스와 완전 분리되고 독립된 공간에서 암호 키를 생성/폐기/관리 등의 암호 키 라이프 사이클을 제어할 수 있습니다. 


보안장비는 신뢰성 있는 보안회사의 제품을 써야 합니다. Thales e-Security의 HSM은 전세계 GPHSM의 40% 이상을 점유하고 있는 이미 HSM에서 입증 받은 기업이자, 방위 산업 40년 이상의 업력으로 국가 주요기관에 암호화 장비를 납품하고 있습니다. 




또한, 데이터 암호화 솔루션 회사인 보메트릭을 인수함으로써 강력한 보메트릭의 비정형암호화 솔루션과 탈레스 HSM의 안정적인 키 관리를 결합하여 암호화 부터 암호 키 관리까지 완벽한 암호화 환경을 구축할 수 있습니다. 




탈레스 nShield HSM : 물리적인 공간으로 완벽히 분리된 안정적인 암호 키 관리


▣ 하드웨어 기반의 암호 연산 (키 생성, 전자서명, 키 저장 및 백업) 기능 

- 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성 증가


▣ 키의 사용에 대한 정책 관리 / 시행

- 관리자 권한의 강력한 분리

- 관리자를 위한 강력한 인증 보호

- 상호 강독을 위한 강력한 이중 통제

- 성능 증대를 위한 프로세싱 분리

- 물리적 보호를 위한 위변조 방지 기술 적용


보메트릭 트랜스페어런트 인크립션 : 정형 및 비정형데이터에 대한 강력한 암호화 제공


▣ 다양한 환경에서 강력한 비정형데이터 암호화 지원

- Oracle, MS-SQL, DB2, Sybase, Informix 등 

- Hadoop, MongoDB, Couchbase, Cassandra

- Teradata EDW, SAP HANA

- 문서 파일, 이미지 파일, 빅데이터, 음성파일, 동영상 등


 단일 관리자 화면을 통한 통합 관리 기능


 응용프로그램 레벨의 컬럼 암호화 지원


 전용 장비를 통한 안전한 키 관리 및 Thales HSM 키 관리 연동

- Vormetric Data Security Manager

- Thales nShield HSM과 연동 가능


 기업의 다양한 데이터보호 환경 지원

- Tokenization with Dynamic Data Masking

- Cloud Encryption Gateway


또한, 탈레스 nShield HSM은 내장형(PCIe) 및 외장형 (Network) 모델을 모두 제공하여, 기업 서버 환경에 맞게 선택하여 설치할 수 있습니다. MSSQL 및 Oracle TDE 까지 전부 지원이 가능하기에 안정적인 데이터베이스 환경이 구축 가능합니다. 그리고 FIPS 140-2 및 CC 인증을 받아 그 안정성을 입증 받았습니다.


 




모든 클라우드와 온프레미스에서, 모든 종류의 데이터를 암호화할 수 있습니다. 단일 플랫폼에서 암호화와 접근제어를 제공하며 강력한 보안 기술 기반의 키 관리 솔루션과 하드웨어 보안 모듈을 제공합니다. 


[Vormetric Application Encryption - 타사 제품과의 보안성 비교]


또한, SaaS 기반의 키관리도 제공하므로써 SaaS 애플리케이션에서도 중단 없는 키 관리와 암호화가 가능합니다. 


클라우드 스토리지 데이터 보호를 위한 [보메트릭 클라우드 인크립션 게이트웨이] 솔루션도 제공되고 있습니다. 이 제품은 게이트웨이에서 암호화하여 클라우드 스토리지로 전송되는 데이터까지 보호하는 강력한 보안을 제공합니다. 



강력한 탈레스 HSM의 암호화 키 관리 솔루션보메트릭의 강력한 데이터 암호화 솔루션의 조합으로 완벽한 데이터 보호 환경을 구축하시기 바랍니다. 제품의 관련된 문의 및 견적은 아래의 아이마켓코리아 탈레스 및 보메트릭 담당자에게 연락주시면 친절하게 안내해드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 보메트릭] 빅데이터, 비정형데이터에 가장 적합한 암호화 방법은?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.31 17:15 / 카테고리 : 보메트릭 암호화 솔루션



많은 기업들이 빅데이터를 활용하고 있으며, 서버 및 내부 저장소에도 많은 빅데이터를 저장하고 활용하고 있습니다. 이미 이 중요성을 파악하고 있는 기업들은 안전한 빅데이터 활용을 위해서 어플라이언스를 마련하고 있습니다. 


빅데이터의 80% 이상은 비정형데이터로 이루어져있습니다. 기존의 정형데이터를 암호화 하고 보호하는 방법으로는 빅데이터와 같은 비정형데이터를 효율적이고 안전하게 암호화하기도 쉽지 않을 뿐더러 다양한 포맷으로 이루어진 빅데이터를 보호할 수 없습니다. 




복잡하고 다양한 비정형데이터 암호화는 빅데이터(비정형데이터) 전용 암호화 솔루션을 사용해야 합니다. 그리고, 비정형데이터 암호화 솔루션이 어떤 방식으로 암호화 하는 지도 잘 살펴보아야 합니다. 


지난, 2018년 5월에 유럽에서 시행된 개인정보보호규정(GDPR: General Data Protection Regulation)에 따르면 심각한 위반을 저질렀을 경우에는 약 2천만 유로화(한화로 약 250억원 이상) 또는 전세계 매출에서 4%가 벌금으로 부과되기에 절대적으로 지켜야 됩니다. 



이미, 국외에서는 시행 중인 강력한 정보보호 법안으로 유럽에 진출한 국내 기업 또는 글로벌 기업들은 이를 준수하기 위해 다양한 보안 솔루션을 도입하고 있습니다. 


 

ISO WD 20889 

ENISA Guideline 

 NISTTR

 UKAN Guideline

 NIST 800-188 

 비식별 용어

 De-identification 

Anonyumization 

 De-identification

 Anonyumization 

  De-identification

 데이터 모델

Data Flow

scenario 

Data Value

chain 

Data Flow

Model 

Data LifeCycle

Models 

 데이터 공유 모델

 X

 비식별 처리 

수준의 개념

 X

O 

 비식별 처리 

기술 분류

 O

 비식별 처리 

절차 및 방법

 X

 비식별 처리 

결과 평가 방법

 X

 비식별 처리 

SW 기능요구사항

 X

 X

O

[국가별 빅데이터 활용을 위한 규정 비교 (출처 : 금융보안원)]



GDPR은 개인정보보호에 대한 권리를 보호하고, 유럽 내에서의 개인정보의 자유로운 이동을 보장하는 목적으로 제정되었습니다. 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 개인정보 이동 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 하여 95년 지침보다 정보주체의 권리를 더 강화하고 확대한 것이 특징입니다. 이를 통해서 기업의 정보보호 책임이 더 명확해졌습니다. 


[개인정보보호법 관련 현황 (출처 : 아시아경제신문)]


일본 또한, 빅데이터의 활용을 위해서 개인정보 보호법을 마련하고 있습니다. 일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고 [익명가명정보]라는 하나의 개념을 정의하고 있습니다. 


GDPR에서는 익명정보의 경우에는 개인정보보호법의 적용을 받지 않지만, 일본 개인정보보호법에서는 익명의 가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회가 정한 기준에 따라서 개인정보를 가공하고 정보 유출 방지를 위한 보안조치를 하여야 합니다. 


또한, 미국에서도 미국국립표준기술연구소(NIST: National Institute of Standards and Technology) 기관을 통하여 [개인 식별 정보의 비식별 처리 가이드]가 마련되어 있습니다. 여기에서는, 모든 데이터 비식별화 기술에는 재식별 위험성이 존재하고 이를 방지해야 한다는 기본 전제가 정의되어 있습니다. 


국내에서도 빅데이터 활용을 위한 개인정보보호 법안들이 제정되거나 개정되고 있습니다. 2015년도에 개정된 개인정보보호법에서는 기존의 데이터베이스에 저장되어 있는 정형데이터 뿐만 아니라 이미지, 음성, 영상, 로그 데이터, 빅데이터, 문서 등의 다양한 데이터로 구성되어 있는 개인정보를 모두 안전하게 암호화하고 보호해야 한다고 지침이 변경되었습니다.



대한민국 개인정보보호법 개정안 (2015년 개정)


◈ 제 21조의 2 : 암호화 적용 대상

데이터베이스 뿐만 아니라 저장되는 모든 개인정보 암호화 필요

- 개인정보 처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의제2제2항에 따라 암호화 조치를 하여야 한다.

- DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


◈ 제24조의2제2항 : 암호화 적용 시기

보유 주민등록번호 수에 따라 적용 시기 적용

- 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 (3금융권 및 캐피탈 등)

- 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 (대부분의 금융사)


개인정보보호법 전체 보기 (클릭)


빅데이터의 활용 및 보호에 대한 관심이 높아지면서 규정도 변화하고 있고 관련 암호화 솔루션에 대한 수요도 늘어나고 있습니다. 개인정보 등 데이터를 보관할 때는 암호화 및 암호키 관리, 접근 제어들의 강력한 보호 조치를 취해야 합니다. 정보유출 방지 및 컴플라이언스 준수를 위해 암호화 장비를 많이 도입하고 있는 추세 입니다. 


특히, 비정형데이터 암호화 솔루션들이 많이 출시되고 있습니다. 다양한 암호화 방법이 있지만 가장 우수한 암호화 방법은 OS 커널 방식입니다. 암호화 솔루션은 크게 3가지로 분류되고 있습니다. API 방식 및 OS 커널 방식 그리고 에이전트 방식이 있습니다. 


1. 에이전트는 소스코드 수정이 불필요하지만 서버내에 설치되기에 시스템 리소스 저하가 있습니다. 

2. API 방식은 애플리케이션 내에서 암호화를 진행하기 때문에 도입시에 구축기간과 작업소요가 많습니다. 하지만 비정형데이터를 보호하기 위해서는 형식별로 소스코드 수정이 필요하기에 복잡합니다.

3. OS 커널 방식OS 커널 레벨에서 암호화를 수행하기에 데이터 종류 모두를 지원하면서, 애플리케이션의 소스코드를 변경할 필요가 없어 효율적인 방식입니다. 


이러한, 이유로 OS 커널 방식의 암호화를 비정형데이터에서 많이 선호되고 있습니다. 비정형데이터의 특징은 음성파일, 이미지파일, 문서 파일 등 파일크기가 정형보다 크다는 점입니다. 큰 파일에 암호화를 적용할 경우에는 더 크기가 커지게 되므로 시스템에 부담을 주게 됩니다. OS 커널 레벨의 암호화는 데이터 크기도 유지하면서 암호화 시간 및 구축 시간도 많이 단축되어 비용과 시간을 절감할 수 있습니다.



 

커널레벨 OS 암호화를 지원하는 비정형데이터 암호화 솔루션 - 탈레스 이시큐리티 보메트릭 

Thales e-Security의 Vormetric Transparent Encrytion (탈레스이시큐리티, 보메트릭 트랜스페어런트 인크립션) 보안 솔루션은 비정형데이터에 최적화된 암호화 솔루션입니다. OS 커널 레벨의 암호화를 지원하기에 기업에 도입하면, 비용과 시간을 절감할 수 있습니다. 오버로드 성능저하나 키 관리의 복잡성을 최대한 줄이고 모든 유형의 파일과 데이터베이스(DB) 및 애플리케이션 레벨을 보호합니다. 




뿐만 아니라 구축 및 관리가 용이한 단일솔루션으로 도입이 용이합니다. 기업에서 요구하는 다양한 운영체제를 지원합니다. (윈도우, 리눅스, 유닉스, 솔라리스, IBM AIX, HP-UX 등) 그리고 다양한 DBMS(DB2, 오라클, MySQL, MSSQL, NoSQL, MongoDB, Sybase 등)를 지원하면서 비정형데이터 뿐만 아니라 기존의 정형데이터도 완벽한 암호화가 가능합니다. 


[DBMS 암호화 사례]

- 탈레스 보메트릭을 이용한 DBMS, Oracle TDE 암호화 안내 (링크)

- 탈레스 보메트릭을 이용한 DBMS, MongoDB 암호화 안내 (링크)


비정형파일들을 온사이트, 클라우드 등 파일 위치에 상관없이 암호화 할 수 있다는 점도 장점으로 뽑히고 있습니다. 기업에서 사용하는 각종 문서 파일을 암호화 하여 저장할 수 있을 뿐만 아니라, 애플리케이션, 인프라 또는 비즈니스 절차도 변경하지 않아도 되기에 리소스가 절감 됩니다. 


[탈레스 보메트릭의 암호화 솔루션 개념도]


또한, 강력한 접근제어 정책을 적용하기 때문에 무단으로 접근하는 사고를 예방할 수 있으며, 액세스 하는 사용자를 지속적으로 감시하고 로깅합니다. 


[Vormetric Tokenization with Dynamic Data Masking -  권한에 따른 정책 기반 실시간 마스킹]


관리자와 데이터 소유자 간의 책임을 분리하는 설정도 가능하도록 설계되어 있으며, 이러한 방식으로 서버관리자 등 직원들은 시스템에 상주하는 민감한 데이터에 접근하지 않고 시스템 관리 및 유지보수 작업을 진행할 수 있기에 관리에 용이성이 좋아집니다. 



OS 커널 암호화 방식으로 비용 절감 뿐만 아니라 안정적으로 다양한 파일포맷을 지원하는 비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 354,144
  • 오늘 : 0
  • 어제 : 87
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.