SSL 트래픽 가시성 장비가 필요한 이유 (SSL Visibility Appliance)

작성자 : DSSa / 날짜 : 2017.12.14 13:32 / 카테고리 : etc

왜 SSL 트래픽 가시성 장비가 필요한 걸까요?

SSL 기반 서비스는 개인정보와 중요정보 보호를 위해서 금융권 서비스와 웹사이트 로그인 과정에서 주로 사용되어 왔으며, 현재 지메일, 페이스북, 트위터, 드롭박스 등 다양한 소셜 네트워크 및 비즈니스 웹, 모바일 애플리케이션으로 빠르게 확산되고 있습니다.



그러나, 대부분의 보안제품이 SSL 트래픽 복호화 기능을 자체적으로 제공하지 못하고 있습니다. 이 때문에 암호화 트래픽 유입 시 적용된 보안정책 탐지 및 차단이 불가능합니다. SSL 트래픽이 보안을 위협하는 경로로 사용될 수 있다는 문제도 불거지고 있습니다.


SSL 가시성을 제공해주는 대표적인 복호화 솔루션은 보안 웹 게이트웨이와 SSL 애그리게이션 탭(Aggregation Tap) 제품입니다. 보안 웹 게이트웨이는 트래픽 복호화를 통해서 APT, DLP 등 다양한 보안제품과 ICAP 기반으로 연동하며, SSL 트래픽은 ICAP 통신을 통해서 제어가 되고 있습니다.



트래픽 복호화 후에는 보안 웹 게이트웨이가 가지고 있는 자체 보안기능을 함께 사용할 수 있습니다. 반면에, SSL 애그리게이션 탭은 ICAP 기능을 제공하지 않으며, 풀 트랜스페어런트 SSL 복호화 (Full Transparent SSL Decryption) 동작을 통해서 트래픽만 복호화 후 보안 장비로 전달합니다.


SSL 애그리게이션 탭의 장점은 인라인 및 미러링 방식의 구성을 동시에 수용할 수 있으며, 하나의 물리적 세그먼트당 최대 2대의 보안장비로 동시에 트래픽을 모두 복사(Full Copy)하거나 로드밸런싱해서 전달할 수 있습니다.




인바운드로 구성될 경우에는 외부에서 내부로 들어오는 SSL 트래픽에 대한 제어가 가능합니다. 즉, 서버 앞에 복호화 제품이 설치 됩니다. 아웃바운드는 내부 사용자가 외부로 나가는 SSL 트래픽을 제어하는 클라이언트 환경에 설치되는 포워드 구성방식입니다.


인바운드로 구성하는 경우에는 서버 앞 단에 설치하므로 서버의 키와 인증서를 SSL 복호화 제품에 설치하면 됩니다. SSL 애그리게이션 탭 제품에 가장 적합한 구성으로 물리적인 케이블만 변경하면 되므로 설치가 매우 간단한 장점이 있습니다.


트래픽 흐름을 보면 모든 트래픽을 보안장비로 전달하되 암호화된 트래픽은 복호화 후에 전달합니다. 보안장비 통과 후 받은 복호화 트래픽은 다시 암호화해서 서버까지 최종 전달합니다.


아웃바운드 구성은 사용자 앞에 설치되므로 트래픽을 복호화하는 보안 웹게이트웨이 또는 SSL 애그리게이션 탭 인증서를 사용자 PC에 설치해야 합니다. 트래픽을 처리하는 흐름은 인바운드 방식과 동일합니다.


트래픽 복호화 통한 가시성 확보

트래픽 복호화가 완료되면 암호화된 SSL이 내용이 평문으로 변경되어 가시성이 확보됩니다. SSL 애그리게이션 탭의 로그정보를 통해서 접속한 사이트의 CN, Cipher Suite, 트래픽 처비여부(Decrypt, Cut Throught, Reject) 결과를 확인 할 수 있으며, 만약 트래픽을 복호화할 수 없는 경우에는 이를 차단 또는 바이패스(Cut Through) 할지 결정할 수 있습니다.



보안 웹 게이트웨이에는 트래픽 복호화 후 자체 보안 기능을 추가 수행하므로 상세 URL/URI 접속 정보를 모두 확인 할 수 있습니다.


트래픽 복호화를 통해 가시성이 확보되면 기 운영중인 보안제품에서 탐지 및 차단 정책을 모두 수행할 수 있습니다. 또한, 이를 통해서 악성코드 전파 및 중요 데이터 유출의 우회경로로 활용 될 수 있는 SSL 트래픽을 매우 효과적으로 제어하고 통제 할 수 있습니다.



SSL VISIBILITY NETWORK SWITCH - AISVA(APPLICATION INSIGHT SSL VISIBILITY APPLIANCE) SSL 가시성 네트워크 스위치 장비 AISVA는?

SSL Traffic에 대한 복호화 및 암호화를 제공함으로써 기존 보안 장비에서 암호화된 트래픽에 대해서도 강력한 보안정책이 적용 될 수 있도록 SSL트래픽에 대한 가시성을 제공하는 전용 스위치입니다.




SSL 가시성 장비는 이런 이유로 반드시 필요합니다.

  • SSL 트래픽의 지속적인 증가

  • APT 공격에 SSL 트래픽 사용량 증가

  • 보안 장비의 약 20%만이 SSL 복호화 수행

  • 기존 보안 솔루션의 한계점


AISVA의 특장점은?

  • SSL 트래픽 암/복호화 최적화

  • 다양한 암호화 알고리즘 지원

  • SSLv3, TLS1,TLS1.2지원

  • IPS, IDS, F/W 등 다양한 보안장비 연동

  • IPv4, IPv6 망에 대해서도 동일한 가시성 제공

  • 전체 트래픽 및 SSL 트래픽 모니터링 제공

  • 장비 장애 시 bypass 기능

  • 양방향 복호화 가능

  • 실시간 모니터링

  • 다중관리자기능


AISVA 기능 소개

  • WEB 기반의 직관적인 사용자 인터페이스 제공

  • 네트워크 트래픽 및 SSL 트래픽에 대한 모니터링(Mbps, CPS, Open connection)

  • 다양한 로그 검색 및 관리 기능 제공

  • SSL 가시성 제공을 위한 보호대상 서비스 및 포트 설정, 인증서 등록 기능

  • 복호화된 트래픽을 전송하기 위한 Passive 포트 설정



AISVA 설치 구성도





AISVA 어플라이언스 종류 소개





모니터랩 AISVA 공식 총판
(주) 한성아이티엘

홍 성 도

대리

TEL : 010-7135-6444
E-mail : hsd@itls.co.kr



한성아이티엘 파트너사
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254 / 02-3708-8365
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

암호화된 SSL 트래픽에 대한 가시성 확보, 모니터랩 AISVA

작성자 : DSSa / 날짜 : 2017.12.08 18:03 / 카테고리 : etc



SSL 트래픽에 대한 가시성을 확보하기 위한 전용 어플라이언스, AISVA

인터넷 망에서의 전송 데이터 보호를 위한 SSL 통신이 Web 환경 뿐만 아니라 다양한 어플리케이션에서 사용이 증가하고 있습니다. SSL을 통해 암호화된 데이터를 전송되는 동안 외부에 노출되지 않도록 보호되지만, 반대로 악성코드와 같은 악의적인 목적의 프로그램이나 데이터를 전송하기 위해 사용되는 네트워크 보안 제품들을 우회할 수 있는 수단으로 사용되고 있습니다.

모니터랩 AIVSA는 SSL 가시성 어플라이언스 장비로 SSL로 암호화된 트래픽에 대한 가시성을 확보하여 네트워크 경계 보안 장비들이 암호화된 트래픽에 대해서도 보안 검사를 수행할 수 있는 환경을 만들어 줍니다.


또한, 인프라에 대한 중복 투자 없이 조직의 일관된 암호화 트래픽 관리 전략을 수립할 수 있도록 도와줍니다.



SSL 가시성 확보 어플라이언스 장비인 AISVA는?

APPLICATION INSIGHT SVA (SSL Visibility Appliance) 는 SSL 트래픽에 대한 복호화 및 암호화를 제공함으로써 기존 보안 장비에서 암호화 된 트래픽에 대해서도 보안정책이 적용 될 수 있도록 SSL트래픽에 대한 가시성을 제공하는 전용 어플라이언스 제품입니다.



Point #1 - APPLICATION INSIGHT SVA는 암호화된 트래픽에대한 가시성을 제공합니다.

SSL 기반 트래픽(HTTPS, SMTPS, POP3S 등)에 대한 복호화

◈ RSA, ECC 등 다양한 암호화 알고리즘 지원

◈ 내부 사용자 보호(Out-bound Traffic) 및 내부 서버 보호(In-bound Traffic)를 위한 가시성 제공

◈ IPS, IDS, WAF, APT, DLP 등 다양한 보안장비 연동

◈ IPv4, IPv6 망에 대해서도 동일한 가시성 제공


Point #2 - APPLICATION INSIGHT SVA는 세계 최고 수준의 프록시 기술이 적용된 제품입니다.

Transparent Gateway 특허 등록 (특허번호 제 10-0898371호)


Point #3 - APPLICATION INSIGHT SVA는 다양한 구성을 제공합니다.

내부 서버 보호를 위한 구성 (In-bound Traffic Visibility)

◈ 내부 사용자 보호를 위한 구성 (Out-bound Traffic Visibility)

◈ Inline mode (Active-Inline, Passive-Inline, SSL-Termination)

◈ Mirroring mode (Passive-Mirror)

◈ Multi-Segment, Bonding


Point #4 - 암호화된 트래픽을 통한 보안 위협 요소 증가

◈ SSL 트래픽의 지속적인 증가 : 매년 20%씩 성장

개인정보보호법, PCI-DSS 등 규제 강화에 따른 암호화 대상 확대


◈ 다수의 보안 장비에서 암호화된 트래픽에 대한 복호화 미 지원으로 보안 홀 발생

암호화된 트래픽 처리 시 보안 시스템 성능 저하

최근 발생하고 있는 APT 공격의 80% 정도가 암호화 트래픽


◈ 암호화 트래픽 처리 성능 향상을 위해 시스템 고도화 또는증설 시 비용 발생


Point #5 - 암호화된 트래픽을 통한 보안 위협 요소 증가

◈ 기존 보안 장비들의 구성 변경 없이 SSL 암호화 트래픽에 대한 보안 위협 문제점 제거

보안 장비는 암호화 트래픽에 대해서도 평문 트래픽과 동일한 보안정책 적용 가능


◈ 다수의 보안 시스템에 대한 별도의 인증서 관리 불필요

◈ 시스템 고도화 또는 추가 증설에 대한 비용증가 없음



AISVA 기능

SSL Visibility (SSL 가시성 확보 측면)

◈ 장비 이상 시 Bypass 를 통한 서비스 가용성 제공

SSL3, TLS1, TLS1.1, TLS1.2 지원

◈ RSA, ECC 등 다양한 암호화 알고리즘 지원

아웃바운드 SSL 트래픽 자동 인지 기능

◈ 내부 사용자 보호(Out-bound Traffic) 및 내부 서버 보호(In-bound Traffic)를 위한 양방향 가시성 제공(동시 사용 가능)

IPS, IDS, WAF, APT, DLP 등 다양한 보안장비 연동

◈ Invalid 인증서 검출


Equipment Management (장비 관리 측면)

Transparent Proxy로 One-Step 구축 및 구축 시 기존 보안 시스템에 미치는 영향도 없음

◈ Deployment Mode : Active-Inline, Passive-Inline, SSL-TerminationPassive-Mirror

◈ Real-Time DASHBOARD 제공

◈ 인터페이스별 네트워크 트래픽 및 SSL 트래픽 정보인증서 상태 정보

SSL 트래픽 처리(암복호화)에 대한 SSL 세션 로그 제공

◈ 아웃바운드 트래픽 제어를 위한 인증서 자동 배포 기능 제공



APPLICATION INSIGHT SVA Physical Deployment


APPLICATION INSIGHT SVA Logical Deployment



모니터랩 AISVA 공식 총판
(주) 한성아이티엘

홍 성 도

대리

TEL : 010-7135-6444
E-mail : hsd@itls.co.kr



한성아이티엘 파트너사
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254 / 02-3708-8365
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

애플 판매처 프리스비(Frisbee)의 고객 개인정보 유출 사례로 보는 예방법

작성자 : DSSa / 날짜 : 2017.11.29 15:42 / 카테고리 : nCipher HSM (Thales-HSM )


애플 체험형 리셀러 및 스토어로 알려진 프리스비 스토어가 개인정보 유출이 되는 사건이 발생했습니다. 애플 프리미엄 리셀러 중 하나인 프리스비는 국내에서 가장 유명한 애플 스토어로 알려져 있어 많은 고객이 이용 중이여서 파장이 일고 있습니다. 



이런 프리스비가 보유하고 있던 개인정보가 유출된 사실이 드러났습니다. 이와 관련하여 프리스비는 개인정보 침해 관련 사고 공지를 게시하여 소식을 알렸습니다. 문제는 이 부분이 아니라 개인정보가 유출된 사실 조차 프리스비 측에서는 모르고 있었다는 사실입니다. 


처음 이걸 알게 되었을 때는 이미 수사기관이 개인정보가 유출된 정황을 알아내어 통보한 이후에 알게되었습니다. 해당 사실을 인지하고 나서는 홈페이지에 보안 조치를 하였으나, 대처가 늦었다는 지적을 받고 있습니다. 


유출된 정보는 아래와 같습니다.

회원 아이디, 암호화된 비밀번호, 이메일, 휴대전화번호, 비밀번호 (암호화처리)




프리스비는 정보가 유출된 사실 외에는 추가 피해가 없으나 혹시나 있을지 모르는 피해 방지를 위해서  비밀번호를 변경할 것을 당부했습니다.  하지만 의도적으로 개인정보 유출사실을 고객들이 모르는 장소에 고지하여 알 수 없게 한점은 빈축을 사고 있습니다. 


해당 업체의 사례와 같이 개인정보 유출사고에는 2가지의 중요한 사항이 있습니다. 먼저, 이상징후를 탐지하여 이상조짐이 보였을때 즉각 조치하여 사고를 미연에 방지하는 일과, 고객의 데이터를 안전하게 암호화 시키고 암호화 한 암호 키를 안전하게 보호하고 관리하는 일입니다.


위의 2가지 보안 책이 대비되어 있으면 프리스비와 같은 개인정보 유출사고는 나지 않았을 것입니다. 개인정보 유출사고를 대비하기 위한 사이버 보안 대비 방법을 소개해드립니다.


1. 머신러닝 기반 사이버 면역 시스템 다크트레이스(Darktrace)

사람이 일일히 네트워크 상황과 내부 시스템을 체크하고 이상 징후를 탐지하여 조치하는 시기는 지났습니다. 관리자는 7일 24시간 감시할 수 없으며, 즉각적인 대처를 보장하기도 어렵습니다. 또한, 사람이기에 일어날 수 있는 실수와 조직원들에 의한 보안 사고도 막을 수 없습니다.



다크트레이스는 기업 시스템과 인프라의 정상 상태를 학습하고 모니터링하여 7일 24시간 정상 상태로 유지되는지 체크하고 비정상상태가 되었을 시에 가장 최적화된 방법으로 즉각 조치하여 보안 사고를 미연에 방지 할 수 있습니다. 



또한, 다크트레이스의 위협 시각화 도구는 기존에 알고 있던 보안 지식만 있으면 누구든 상태를 한눈에 볼 수 있으며, 위협과 정상 상태를 파악 할 수 있습니다. 이를 통해 관리자와 보안 책임자는 현재 시스템의 상태를 쉽게 파악하고 대처할 수 있습니다.



그리고, 기존의 시그니처 기반의 보안 솔루션에서 탐지하지 못하였던 신종 랜섬웨어나 변종 악성코드와 같이 기존 안티바이러스 제품 들이 절대 찾아낼 수 없는 위협까지 탐지하여 방어할 수 있습니다.



2. 데이터 암호화 및 암호 키 관리 솔루션 "탈레스 HSM"

만약 다크트레이스와 같은 보안 솔루션이 없어 해커가 데이터베이스에 있는 고객의 민감한 개인정보를 탈취하였을 때 가장 중요한 것은 해커가 탈취한 고객 데이터가 안전하게 암호화가 되어 있는가?와 복호화 할 수 없을 정도로 강력한가? 입니다.

탈레스 HSM은 위 2가지에 대한 질문에 대해서 YES라고 답할 수 있는 보안 솔루션입니다. 탈레스 HSM은 강력한 암호화 성능으로 서버의 부담을 경감시킬 수 있을 뿐만 아니라, 고객의 개인정보를 암호화하여 해커가 데이터를 탈취하더라도 무용지물로 만들어 버릴 수 있습니다.


탈레스 HSM의 또 하나의 강력한 기능은 암호화 키 관리입니다. 암호 키는 강력한 금고의 문을 여는 열쇠입니다. 고객의 암호화된 데이터를 강력한 금고가 암호화로 막고 있다고 하여도 암호 키를 가지고 있다면 사실상 금고안에 있는 고객의 데이터는 쉽게 꺼낼 수 있습니다.



탈레스 HSM의 암호 키 관리 기능은 암호 키 생성 부터 폐기까지 모든 과정을 관리하며, 암호키는 고객의 데이터베이스 서버와 물리적으로 다른 공간에 저장되기 때문에 만약 서버의 데이터베이스가 해커의 손에 떨어지더라도 안전하게 암호화가 되어 있다면 탈레스 HSM에 물리적으로 별도 저장된 암호 키를 손에 넣을 수 없기에 암호화된 고객의 데이터를 복호화 할 수 없어 안전한 상태가 됩니다. 


복호화를 할 수 없는 고객의 개인정보는 가치가 없어진 데이터가 되어 해커는 아무것도 손에 넣을 수가 없게 됩니다. 또한, 탈레스 HSM은 FIPS 140-2 Level 3 인증을 받아 그 안정성을 인정 받았습니다.




위에서 설명한 내용처럼 아이마켓코리아 탈레스 HSM과 다크트레이스를 통해서 사이버 보안 공격에 위협에 대응하고 데이터 유출시에도 안전한 대비책을 마련하여 안전한 고객 서비스 운영이 되시길 바랍니다. 


아이마켓코리아의 다트트레이스 솔루션과 탈레스 HSM의 도입에 대한 문의는 아래의 아이마켓코리아 보안 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

비트코인거래소 해킹 사건 발생! 가상화폐도 암호키 무결성이 중요!

작성자 : DSSa / 날짜 : 2017.11.03 18:41 / 카테고리 : nCipher HSM (Thales-HSM )



지난 7월, 국내 최대 가상화폐거래소이자 하루 최대 거래액이 2조 6천억원에 육박하는 '빗썸' 사이트의 직원 PC가 사이버 해킹 공격으로 고객의 정보가 무더기로 유출되었습니다. 이 해킹된 개인정보를 통해서 빗썸에 접근하여 사이버 화폐를 무단 인출해가는 사건이 발생한 큰 사건이였습니다.


실질적인 재화를 거래하는 사이트가 해킹된 만큼, 굉장히 위험하다고 할 수 있습니다. 빗썸은 전체 이용자의 3% 수준이 피해를 입었다고 밝혔습니다. 이번 해킹의 APT 공격을 통해서 빗썸의 내부직원의 PC에 있던 개인정보가 빠져나간 것으로 보고 있다고 밝혔습니다. 해당 3%의 계정에는 500억원 상당의 가상화폐가 들어있는 계좌 및 거래 기록 등이 담겨져 있어서 큰 문제가 되고 있습니다.




빗썸의 경우에는 개인정보를 통해서 로그인을 하여 실질적으로 가상화폐의 매입과 매각이 가능하므로 개인정보 유출사고는 금융사고에 있어서 치명적인 문제라고 할 수 있습니다.



이러한 상황이 발생하자, 비트코인과 이더리움 등 가상화폐 법령 개정안을 발의하는 등 국가적인 차원에서도 가상화폐 사건에 대한 빠른 대응을 준비하고 있습니다. 


박용진 의원이 발의한 개정안에 따르면 

금융전자거래법에 가상화폐 관련 판매/구입/매매 중개/발행/보관/관리 등 영업활동을 하는 사업자나 국내에서 거래하고자 하는 사업자는 금융위원회의 인가를 받도록 조항이 신설됩니다.


또한. 거래소 인가를 받기 위해서는 5억원 이상의 자본금을 보유하고, 이용자 보호를 의무화해야 하며, 분한 전문 인력과 전산설비 등을 갖추어야 합니다.


블록체인은 구축이나 도입의 측면에서 아직 보완해야 할 점이 존재합니다. 암호화페 거래소에서 사고가 발생하는 것도 대부분 외부적인 요소에서 발생하게 됩니다. 그렇기에 아직 블록체인을 도입하기 위해서는 다양한 보안 장치가 필요합니다.



최근에는 크립토셔플러(CryptoShuffler)라는 암호화화폐 지갑을 노리는 악성코드도 생겨났습니다. 이 악성코드는 사용자의 클립보드에 저장되는 암호화화폐 지갑 ID를 바꿔치기 하는 형식으로 중간에 암호화화폐를 가로채는 방식의 악성코드입니다. 


이런 다양한 암호화화폐(가상화폐) 보안 위협에 대응하기 위해서는 근간 기술인 블록체인 기술에 하드웨어 암호화 모듈(Hardware Security Module)을 통해 안전하게 보호하면서 무결성을 유지해야 합니다. 



올해 2017년 3월, Thales (탈레스)는 미국 컨설팅 기업 액센츄어의 블록체인 기술에 하드웨어 보안 모듈(HSM) 을 적용하였습니다. 현재 블록체인 기반 시스템을 일반적으로 블록체인을 위한 디지털 키를 저장하는 사이버 지갑에 의존하고 있습니다. 


하지만, 위 사례에서 설명하였듯이, 이러한 키는 소프트웨어 서버에 저장되기 때문에 거래 도중에 발생한 네트워크 공격에 매우 취약하다고 할 수 있습니다.


액센츄어는 이러한 보안 위협을 차단하기 위해서 블록체인 기술에 탈레스 HSM을 적용하였습니다. 디지털 키가 IT 네트워크로부터 물리적으로 격리되어 저장되고, 고도화된 보안 매커니즘으로 디지털키의 도용 가능성을 원천적으로 차단하기에는 탈레스 HSM 솔루션이 가장 효과적이기 때문입니다. 



탈레스의 HSM은 CC EAL+4, PCI DSS 3.0을 만족하고 FIPS-140 2 Level 3에 준하는 강력한 보안성을 가지고 있습니다.


"탈레스 HSM 기술을 이용한 액센츄어의 블록체인 솔루션은 기존의 은행들이 사이버 참해로부터 돈과 거래 기록을안전하게 보호하기 위해 수십년 동안 이용한 물리 보안과 유사한 형태의 보안 역량을 제공한다"

- 사이먼 화이트하우스 액센츄어 수석 이사


가상화폐의 근간 기술인 블록체인이 제데로 동작하기 위해서는 이러한 거래내역을 믿고 신뢰할 수 있어야 합니다. 탈레스 HSM 기술을 이용하면 블록체인을 보호하고 악성 공격 행위를 방어할 수 있는 시스템을 구축할 수 있습니다.



가상화폐 거래소 보안, 블록체인 기술, 암호화폐 거래 보안에 최적화된 탈레스 HSM에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090







Trackbacks 0 / Comments 0

[탈레스 HSM] 가상화폐(비트코인, 이더리움) 거래소 보안은 암호화 키 관리 부터

작성자 : DSSa / 날짜 : 2017.09.26 14:41 / 카테고리 : nCipher HSM (Thales-HSM )



국내 가상화폐 시장의 보안 기술적으로의 문제점

가상화폐에 대한 투자자의 관심이 높아지면서 많은 투자금이 가상화폐 거래소로 집중되고 있습니다. 가상화폐에서 거래소의 역할은 기존의 TTP와 유사한 형태의 역할을 수행하고 있습니다. 하지만, 신뢰성 확보를 위한 외부의 관리 및 감시 체계가 갖춰지지 않았기 때문에 기술적인 취약점이나 내부 직원의 도덕적인 해이 등에 따라서 대규모 사고가 발생할 우려가 큽니다. 





국내에서 가장 큰 가상화폐 거래소인 빗썸에서 일어난 해킹 사고

가상화폐의 거래는 블록체인이라는 기술을 근간으로 하고 있습니다. 이 방식은 프로그램 소스를 오픈하여 불특정 다수의 감시자가 존재하는 방식입니다. 상, 가상화폐 거래의 문제점은 블록체인 기술의 취약점이 아닌, 거래소에 있다고 볼 수 있습니다. 



거래소의 보안은 전적으로 보았을 때에 운영주체의 도덕성과 거래소 시스템의 무결성에 의존합니다. 거래소의 보안수준이 해킹사고의 발생 여부와 직결되기 때문에 거래소를 공격을 통해서 획득할 수 있는 자산상의 이득이 크고 가상화폐의 특성상 추적이 어려움 점에서 거래소는 해커의 주 공격대상이 될 가능성이 아주 높습니다. 



국내 가상화폐 거래소는 보안 수준에 대한 외부 감시체계가 없기 때문에 전반적으로 보안 수준이 낮을 상태에 머무를 수 밖에 없는 것이 현실입니다. 이러한 문제를 해결하기 위해서는 가상화폐 거래시스템의 취약점을 보완할 수 있는 기술적인 수단을 확보해야 합니다. 


초기에는 블록체인 기술 자체의 취약점으로 인한 해킹사고가 발생하였지만, 최근에는 블록체인 기술보다는 그 기술을 활용하는 측면에서 사고가 많이 발생하고 있습니다. 


거래소의 개인키 탈취나 스마트 컨트랙트 취약점 공격이 대표적인 예로써 블록체인의 취약점을 노리는 공격은 거의 없을 것으로 보며, 거래소나 마이닝풀, 프로그램, 암호키 관리 등의 측면을 공격하는 방식이 가상화폐 해킹의 주된 수단이 될 것으로 보고 있습니다.


가상화폐 거래에서 제일 중요한 보안 포인트는 바로 "암호화 키"

블록체인 기술 활용시에 보안의 가장 기본이 되는 부분은 바로 암호키 관리에 있습니다. 가상화폐는 본래 암호화 화폐라고 부릅니다. 이름에서 알 수 있듯이 가상화폐 보안의 핵심은 바로 본인이 보유한 암호키를 안전하게 관리하는 것에 있습니다.


그 밖에도 대규모 네트워크 단절 현상이나 블록체인 코드 자체의 취약성으로 인한 해킹사고도 유의해야 합니다. 


하지만, 가장 중요한 것은 암호화 화폐의 근간이 되는 암호키에 대한 체계적이고 안전한 관리가 우선시 되어야 함은 틀림이 없습니다.4


암호키를 안전하게 생성하고 보관하고, 관리하고 폐기하기 위해서는 암호키를 전용 보안솔루션은 필수 있습니다. 암호키 관리를 전문적으로 하는 암호화 장비를 하드웨어 암호화 모듈(HSM)이라고 합니다. 



암호화 키를 생성할 뿐만 아니라 인증과 서명, 암호화까지 다양한 용도로 활용되는 장비입니다.


HSM의 특징으로는 하드웨어 기반의 암호연산이 가능하여 서버의 가용성을 증가시킨과 동시에 키에 사용에 대한 강력한 권한 분리, 인증 절차, 이중통제, 프로세싱 분리, 물리적 보호를 위한 키 변조 방지 기술이 적용되어 있습니다. 


또한, 비대칭 암호연산에 사용되는 개인 키를 하드웨어 방식으로 보안처리하고 안전하게 관리합니다.


HSM을 사용해야 하는 이유

  • S/W Based 모듈보다 뛰어난 보안성 및 운영상의 장점을 가지고 있습니다.

  • 암호키가 박스 속에서 생성되어 저장되기 때문에 키 값에 대한 강력한 보호가 가능합니다.

  • 하드웨어 키 보호시스템을 리적으로 접근이 불가능하게 안전하게 보호됩니다.

  • 임의의 사용자가 물리적으로 하드웨어 키 보호시스템에 접근할 경우에는 키 값이 삭제됩니다.

  • 백업으로 인한 키 관리의 어려움과 분실에 대비한 중앙 집중적인 암호 키 관리가 가능합니다.

  • 내부자에 의한 암호 키 탈취 사고를 막을 수 있는 보안 체계를 구축할 수 있습니다.


HSM은 암호화 키를 보호하는 매우 중요한 장비이기 때문에 무엇보다도 공인된 인증을 획득한 하드웨어 장비를 사용하는 것이 좋습니다. Thales e-security는 방위산업을 근간으로 하는 기술력을 바탕으로 전세계 GPHSM 분야의 70%를 점유하고 있는 사이버 보안 전문 업체입니다. 



PCI DSS 3.0을 만족하며, FIPS 140-2 Level 2와 Level 3 인증을 획득하였습니다. 또한 CC EAL 4+ 인증을 바탕으로 안전성을 검증 받았습니다.



키 관리에 사용되는 GPHSM의 종류로는 Thales e-Security의 탈레스 nShield HSM 제품 군이 있으며, 네트워크 연결형인 탈레스 HSM Connect 제품과 PCI-e 슬롯에 장착하는 내장형 암호화 모듈인 탈레스 HSM Solo 제품이 있습니다.




탈레스 HSM 제품을 통해서 가상화폐 거래소 및 가상화폐 지불 시스템에 대한 암호화 키 검증과 키 보관, 무결성 획득 등의 다양한 활용으로 암호화 화폐 보안성을 높이시기 바랍니다.


탈레스 HSM 제품에 대한 문의는 아래의 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

핀테크 보안, 카카오뱅크가 선택한 탈레스 HSM

작성자 : DSSa / 날짜 : 2017.08.29 16:17 / 카테고리 : nCipher HSM (Thales-HSM )

최근 인터넷에서 돌풍이 불고 있는 카카오 뱅크는 편리한 카카오톡을 앞세운 모바일 중심 기반의 금융업무, 1금융권의 이점, 쉽고 빠른 대출 및 마이너스 통장 개설, 카카오프렌즈 캐릭터를 앞세운 마케팅 등으로 인해서 단숨에 300만 구좌를 달성하였습니다.



카카오뱅크 이전에 케이뱅크가 본격적인 핀테크의 시작을 알렸지만 이번테 카카오뱅크 출범으로 인해서 국민들에게 핀테크가 더 체감되었다고 할 수 있습니다. 카카오뱅크와 같은 인터넷 전문은행은 실물보다는 온라인으로 금융 거래가 이루어지는 만큼 기존의 시중 은행보다 더 강력한 보안 방책이 필요합니다.


인터넷전문은행은 기존 은행처럼 창구 방식이 아닌 비대면 거래를 기반으로 하고 있습니다. 모바일과 인터넷 등의 비대면 채널이 확대되면서 사용자에 대한 인증은 중요한 보안 이슈입니다.  그렇기 때문에 지금 이 디바이스를 통해서 접속한 사용자가 진짜 사용자인지 여부를 파악해야 합니다. 


탈레스에 따르면, 케이뱅크와 카카오뱅크는 탈레스 e-시큐리티의 하드웨어 보안 모듈(HSM)을 통해서 네트워크 보호 및 로그 암호화, 사용자 진위여부를 파악하고 있습니다. 암호화 솔루션을 통해서 결제정보와 네트워크 구간에서 발생되는 데이터와 정보를 암호화 하는 방식으로 이루어지고 있습니다.



여기서 가장 중요한 부분은 바로 인증 절차에 대한 검증과 보안입니다. 탈레스 HSM을 이용하게 되면 키 관리 기능과 암호화 기능을 통해서 더욱 안정적인 보안 환경을 구축할 수 있습니다. 


HSM은 암호화 및 디지털 서명, 키 생성과 보호 등의 기능을 수행하기 위한 보안 플랫폼을 제공하여 코드서명과 디지털 키를 사용하는 다른 애플리케이션들을 포함하는 광범위한 애플리케이션을 온프레미스, 가상화 클라우드 환경에서 지원하고 있습니다.


또한, 탈레스 HSM은 은행, 보험 등 금융회사들의 고객, 데이터를 안전하게 보호하며 정부 및 산업 규제 및 표준들을 충족하고 보안 감사를 용이하게 합니다. 그리고, 보안사고로 인한 데이터 유출을 막아주는 방패의 역할도 수행하고 있습니다.



탈레스는 카카오뱅크에서는 탈레스 HSM으로 진짜 사용자인지 확인하는 신뢰성 확보를 위해서 보안 신뢰를 줄 수 있는 HSM을 공급하였으며, 케이뱅크에서는 키관리 솔루션을 제공하였습니다. 



이렇듯, 탈레스는 국내 핀테크 보안시장을 공략하기 위해 적극적으로 데이터 암호화, 접근통제, 네트워크 보안, 내부 사용자 유출 방지 등 다양한 핀테크 보안영역을 준비하고 있습니다.



탈레스 HSM 소개

탈레스 HSM은 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 그 중 nShield Solo는 서버 내장현 하드웨어 보안 모듈(HSM)입니다. nShield Solo 제품군은 최적화된 타원곡선 암호학 모델이 포함되어 강력한 암호화 모듈 카드로써, 암호화 및 디지털 서명용 중요 키를 안전하게 보관하고 관리합니다.



탈레스 HSM Solo 타입내장형 PCI-e 슬롯에 장착하는 모델로써

안정적인 성능과 속도, 공간활용성이 장점인 HSM 장비


nShield Solo는 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹패브릭(Web fabric), DNS 보안 확장(DNSSEC), 그리고 코드 서명을 포함하는 중요 보안 시스템을 보호합니다. 


nShield Solo는 소프트웨어 기반의 보안 솔루션 만으로는 부족한 서버기반 시스템에게 적절한 수준의 물리적, 논리적 통제를 확립시키는 가장 경제적인 방법입니다. 보안에 대해 계속적으로 개편되고 있는 법규 요구사항과 일반적인 표준들에 앞서서, nShield HSM의 사용은 기존의 데이터센터, 가상화 환경과 클라우드 기반 서비스들에 있어서 명확한 보안 대책을 제공합니다.

운용상 장점

  • 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

  • 규제 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

  • 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

  • OEM 기기를 위한 보안강화 및 암호연산 가속기능 제공


보안상 장점

  • 중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

  • 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하여 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중통제를 확립

  • 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행



탈레스 HSM은 NIST(미국표준기술연구소)에서 FIPS 140-2 Level 2와 Level 3 인증을 받은 제품으로 신뢰성이 높습니다. 또한, 마이크로소프트 애플리케이션 파트너 골드 등급과 오라클 파트너로 인증된 업체입니다.






탈레스 HSM 제품에 관련하여 제품 스펙 및 도입, 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 답변드립니다. 



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

보메트릭 데이터 시큐리티로 기업 데이터 보안 구축

작성자 : DSSa / 날짜 : 2017.08.17 19:49 / 카테고리 : 보메트릭 암호화 솔루션



Vormetric Data Security 데이터 보안 구축 절차

보메트릭 데이터 시큐리티 플랫폼을 통해서 기업 데이터 보안을 안전하게 구축할 수 있습니다. 보메트릭 시큐리티 플랫폼을 통해서 데이터 보안 환경을 구축하기 위해서는 아래와 같은 4단계의 절차가 필요합니다. 자세한 내용은 하단의 내용을 참조해주시기 바랍니다.




1. 구축 준비 및 사전 분석

▣ 프로젝트 수행 TFT 구성 

   - 고객사와 제안사 인력

 업무 / 어플리케이션 분석

   - 대상 시스템 환경 분석

   - 업무 특성 및 프로세스 분석

   - 어플리케이션 아키텍쳐 분석

 영향도 분석

   - 대상 시스템의 성능 분석

   - 스토리지 증가량 분석

   - 암호/토큰 성능 예측

 데이터 보호 정책 수립

   - 암호/토큰 대상 필드 확정

   - 암호 알고리즘 확정

   - 암복호화 권한 정책 확정

   - 실시간마스킹 권한 정책 확정


2. 구현 및 검증

▣ 테스트 환경 구축

   - 제품 설치 및 구성

▣ 암호화 적용

   - 개발자 교육

   - 개발자에 의한 소스 수정

   - 테스트 데이터 마이그레이션

▣ 테스트를 통한 검증

   - 테스트 시나리오 검증

   - 테스트 수행

   - 결과 분석

▣ 개선사항 도출 및 대응

   - 어플리케이션 추가 수정

   - 암호/토큰 정책 재 설정


3. 운영 이행

▣ 이행 계획 수립

   - 이행을 위한 세부 계획 작성

   - 원복 계획 작성

   - 이행 리허설

▣ 운영 서버 적용

   - 수정된 소스코드 배포

   - 운영 데이터 마이그레이션

▣ 이행 작업 수행

   - 계획에 따라 이행 작업 수행


4. 안정화

▣ 모니터링

   - 적용 후 운영 전반에 대한 모니터링

   - 어플리케이션 재수정 등 이슈에 따른 대응

▣ 인수인계

  - 운영자 교육

  - 긴급 대응 계획 수립




Vormetric Data Security 간편한 적용을 위한 방안 : 공통 모듈 작성




간편한 데이터 보안 적용을 위해 공통 모듈 제작 후 소스 코드 변경 수행
  • 암호 모듈/토큰 서버의 초기화 및 인증 등의 처리를 수행하는 공통 모듈 (Wrapping Class, 공용 라이브러리) 작성 
  • 기존 어플리케이션에서는 단 하나의 함수 호출만으로 암복호화/토큰화 처리
  • 소스 수정 작업의 최소화 및 가독성 유지로 인해서 구축 및 유지보수가 편리




구분 

 역할

공통

 PM 조직

  • 프로젝트 진행 플랜 작성
  • 이슈 및 리스크에 대한 사전 점검
  • 각 팀별 진행 사항 점검
  • 보고서 작성 및 프로젝트 수행 내역 점검

고객사

 보안담당

  • 암호 정책 수립 / 암호화 대상 선별

 어플리케이션 담당

  • 어플리케이션 영향도 분석
  • 암호화 API에 의한 소스코드 수정

 DBA

  • 데이터 마이그레이션 협업 

 시스템 담당

  • 시스템 환경 정보 파악
  • 제품 설치 협업

제안사

 지원 담당

  • 암호화 정책 수립 지원
  • 데이터 마이그레이션 지원
  • 제품 설치 / 개발자 교육 / 제품 기술 이슈 대응




데이터 마이그레이션 방안

  • 요구되는 컬럼 데이터를 읽어 암호화 및 토큰화 후 저장하는 단순한 응용프로그램 작성

  • DB 서버에서 해당 응용프로그램을 실행함으로써 데이터 마이그레이션 실행

  • DBMS 종류에 따라서 초기 마이그레이션 응용프로그램을 DB내부의 UDF로 생성하여 적용 가능

※ UDF (User Defined Function) : 사용자 정의 함수




자사 제품과 통합된 암호키 및 정책 관리

  • 중앙집중형 단일 인터페이스를 통한 암호키와 정책 관리

  • 소프트웨어/하드웨어 일체형 어플라이언스 또는 가상 머신 형태

  • 가용성 확보를 위한 이중화 구성 지원

  • 1만대 이상의 서버 환경에서 입증된 관리 기능

  • 웹과 CLI 기반의 콘솔 및 자동화를 위한 API 지원

  • 미국 연방 정부 FIPS 140-2 Level 3 인증 확보






안전한 암호 키 관리 및 관리자 권한 관리

  • 별도 장비에 의한 안전한 암호 키 관리
  • 관리자 권한 세분화로 안전성 강화



[Vormetric DSM의 관리자 권한 설정 GUI 화면 예시]






[Vormetric DSM의 암호화 키 생성 및 관리 화면 예시]





보메트릭 데이터 시큐리티 플랫폼으로 안전한 기업 데이터 환경을 구축하시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,481
  • 오늘 : 136
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.