암호화 방식과 데이터베이스 보안(DB 보안)의 종류

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.07 20:11 / 카테고리 : nCipher HSM (Thales-HSM )



기업의 중요한 정보를 보호하는 가장 좋은 방법은 바로 암호화입니다.

암호화는 평문이라고 불리는 문서, 사진, 비디오파일, 데이터베이스와 등와 같은 데이터를 기계가 읽을 수 있는 수학적인 공식으로 이루어진 알고리즘을 통해 암호문형태의 읽을 수 없는 형태의 데이터로 전환하는 과정을 말합니다.


대표적으로 암호화에는 2가지 방법이 있습니다. 바로 대칭키 암호화 방식과 비대칭키 암호화 방식으로 구분 지을 수 있습니다.


대칭 키 암호화는 암호화와 복호화에 같은 키가 사용되는 방법으로 대칭 키 알고리즘의 종류로는 3DES, AES 또는 SEED를 들 수 있습니다.

비대칭 키 암호화는 암호화와 복호화에 공개키와 개인키를 쌍으로 불리는 매우 큰 소수의 수학적으로 관련된 한쌍으 이용하는 암호화 방법입니다. 제약 없이 배포되는 공개키는 누군가 암호화된 정보를 키 쌍의 소유자에게 보내고 싶을때 해당 정보에 암호화에 사용됩니다.

또한, 이 암호화된 정보는 오직 소유자만이 가지고 있는 개인 키로만 복호화가 됩니다. 비 대칭키 알고리즘의 종류로는 RSA와 KCDSA가 있습니다.


키는 암호화 알고리즘의 매개변수로써 모든 암호화 방식에서 가장 중요한 정보의 구성요소가 됩니다. 당연히 복잡할 수로 키는 안전합니다.

암호화는 표준으로 제정되며 안전성이 입증되고 완성되며, 표준화됩니다. 많이 알려진 암호화 알고리즘의 하나인 DES 알고리즘은 1974년에 개발되었고 1977년에 미국정부에 의하여 국가 표준으로 채택되었으며 현재는 2002년에 표준으로 채택된 암호화 알고리즘인 AES를 가장 많이 사용하고 있습니다. 


가장 중요한 DB보안의 방식은 크게 DB접근제어와 DB암호화가 있으며 DB 접근제어는 DB서버에 접근하는 SQL, DB명령어 등 모든 요청이 DB서버에 도달하기 전에 중간에서 모니터링/허용/차단/변조하는 것을 의미합니다. 예를 들어, 특정 사용자가 실행할 수 있는 SQL을 시간대별로 제어하거나 대량의 개인정보 유출 가능성이 있는 SQL은 어떤 경우에도 실행을 차단하는 기능을 제공합니다.


DB암호화는 DB서버 내의 데이터 자체를 암호화 하는 것입니다. 해커나 내부 직원이 어떤 방법으로든 방화벽, 접근 제어 등의 모든 보안 솔루션을 다 통과해서 DB서버까지 들어 와서 데이터에 접근했다고 해도 개인 정보는 암호화 되어 있기 때문에 유출되지 않습니다.

대표적인 암호화 방식으로는 TDE방식과 TDE + HSM 방식, 그리고 소프트웨어 기반의 암호화 방식, 그리고 하드웨어 기반 DB암호화 방식이 있습니다.

그 중에서 많이 활용하고 있는 DB암호화 방식인 TDE와 TDE + HSM 방식의 차이점을 설명드리도록 하겠습니다.



[DB 암호화의 종류]

1. TDE(Transparent Database Encryption)

열쇠를 자전거 보관소 안에 두는 방식입니다.  즉, 암호화를 풀 수 있는 암호화 키를 DB서버에 파일 형태로 두는 것입니다. 이 기능은 오라클이나 MS-SQL등의 DB 업체를 통해서 구매할 수 있습니다. 이 방식의 장점은 속도가 가장 빠릅니다. DB를 사용하는 애플리케이션을 수정할 필요 없어 편리합니다. 단점은 DB서버 CPU에 부하가 발생하고, DB서버 파일 시스템이 해킹당하면 암호화 키도 유출할 수 있다는 점이며, 체계적인 암호화 키 관리도 어렵습니다.



2. TDE + HSM(Hardware Security Module)

열쇠를 자전거 보관소 안에 두지만 작은 상자 안에 넣어 두고 그 상자는 또 다른 열쇠로 잠궈 놓는 방식입니다. 암호화 키 자체를 암호화해 DB서버의 파일에 두고, 키를 암호화하는데 사용한 또 다른 키는 DB서버 외부의 HSM(Hadware Security Module)에 보관합니다. HSM 이란 키를 안전하게 보관하기 위한 전용 하드웨어 장비로 탈레스, 세이프넷 등의 전문 업체가 있습니다. 암/복호화 작업이 실행 중인 동안에는 키가 DB서버의 메모리에 존재합니다. 이 장점은 TDE 방식과 동일합니다. 하지만 HSM장비를 같이 활용하여 성능과 보안성을 강화할 수 있다는 점이 다릅니다. 하드웨어 보안 모듈(Hardware Security Module, HSM)의 사용은 보안을 최고 수준으로 구현할 수 있도록 보장합니다.

※ TDE + HSM 관련 글 보기 : 효율적인 오라클 DB암호화 방법 - TDE와 HSM / Microsoft MS-SQL TDE (EKM 키 관리)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아








Trackbacks 0 / Comments 0

PCI–DSS 감사 및 규제준수를 위한 효율적인 방안 - (Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.02 14:42 / 카테고리 : nCipher HSM (Thales-HSM )


PCI DSS(Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준) 감사 및 규제 준수

신용카드 또는 직불카드 지불결제와 관련된 각종가맹점, 은행, 기타관계자는 주요 기업 목표를 실현하는 것과 동시에 오늘날 가장 상세하고 포괄적인 데이터 개인정보보호표준의 하나인 PCI 데이터보안표준 (PCI DSS)에 규정된 의무를 이행하기 위해 계정 데이터의 개인정보를 보호하는 수단을 강구하여야 합니다. 



PCI DSS는 계정 데이터 처리, 저장 및 전송에 대한 엄격한 요구사항이 정해져 있습니다. 표준에 대한 적합성을 정기적으로 유효성을 확인하여야 하며, 적합하지 않은 경우 벌금이 부과되고 다른 신용카드의 취급이 중지될 수 있습니다. PCI DSS는 결제 에코시스템에 특화된 것이지만, 많은 관계자로부터 취급에 주의를 요하는 다양한 유형의 데이터에 대해 일반적인 표준 집합을 구체화한 것으로 간주되어 헬스케어등 다른산업에서도 활용 될 수 있습니다. 


PCI DSS 준수를 실현하려는 조직은 다음과 같은 여러 도전에 직면하게 됩니다.

① 사전 감사가 실시된다 : PCI DSS 감사 절차는 인가감사원의 연례현장검사 또는 자체평가와 정기적인 침투 시험이 포함됩니다. 이에 대해 개인정보 대부분의 다른요구의 적합성에 대해서는 위반사유가 발생한 경우만 감사가 이루어집니다.

② 적합성은 다양한 시스템과 프로세스에 영향을 미칠수있다 : PCI DSS는 기업의 모든 위치에 있는 카드소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘 조정된 유기적인 접근이 요구되지만 어떠한 영역에서 유연성이 제한될 수 있습니다.  

③ 가능하면 적합성의 범위를 최소화 : PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰화의 사용지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.

④ 신기술이 비용과 복잡성을 증대시킬 수 있다 : PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도할 수 있습니다.

⑤ 표준의 진화에 따라 불확실성이 증대 : 모든 개인정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치시키려고 할 때 상당한 불확실성에 직면합니다. 


[위험]

① 적합하지 않은 경우 벌금과 회비증액이 요구되며, 신용카드의 취급이 중지 될 수 있습니다.

② PCI DSS 준수를 분리하여 생각 할 수 없습니다. 각 조직은 여러 보안 요구 및 데이터 유출 공개에 대응해야 합니다. 반면에, PCI 준수 프로젝트는 광범위한 보안 노력에 의해 본래의 주제에서 그것을 회피하는 경향이 있습니다.

③ PCI DSS는 이미 실시되고 있는 일반적인 방법이 포함되어 있습니다. 그러나, 다른 측면으로는 구체적으로는 암호화 관련 측면은 조직에 새로운 것 일 수 있으며, 정확한 디자인을 하지않으면 구현시에 혼란을 일으켜 업무 효율에 악영향을 미칠 수 있습니다.

④ PCI DSS에 대한 의무의 범위를 축소함으로써 비용과 영향을 줄일 수 있는 경우가 있습니다. 그러나, 새로운 시스템 및 프로세스가 실제로 표준을 준수하는 것으로 받아들여질 수 있도록주의를 기울이지 않으면 시간과 비용을 낭비해 버릴 우려가 있습니다.



PCI DSS 감사와 규제 준수 

탈레스 e-Security솔루션

은행 및 금융기관에 의한 업계의 요구에 대한 적합성을 지원해 온 수십년의 경험을 살려 탈레스 e-Security는 카드 소유자 데이터의 저장, 전송을 위한 암호화, 그리고 액세스 제한을 가능하게 하는 제품과 서비스를 제공합니다. 또한 탈레스는 표준에 대한 적합성에 대한 부담의 범위를 줄일 수 있는 다양한 솔루션을 제공하기 위해 다양한 파트너와 긴밀히 협력하고 있습니다. 또한 인증을 받은 PCI DSS 인증심사기관 (Qualified Security Assessor : QSA)으로 탈레스는 그 전문지식을 확장하고 사전평가 및 컨설팅 서비스를 통해 고객의 표준 준수작업을 지원하는 것은 물론, 일정한 영역에서 공식적인 PCI DSS를 감사할 수 있습니다. 



PCI 데이터보안표준 (www.pcisecuritystandards.org)에는 200개 이상의 테스트에 대한 평가를 규정하고 있으며, 이러한 테스트는 6가지 주요 원칙이 반영된 일반적인 보안영역으로 분류되어 있습니다. 이러한 테스트는 암호화 키 관리 및 기타 데이터 보호방법 등의 기술뿐만 아니라,다양한 일반 보안 기술에 이르고 있습니다.


탈레스는 PCI DSS의 6가지 주요 원칙에 대응하는 다양한 솔루션을 제공하고 있습니다.

① 카드 소유자 데이터 보호 : 표준 준수에 있어서는 카드 소유자 데이터를 공공네트워크에서 전송하는 경우 암호화 및 저장된 카드소유자의 데이터 보호가 요구됩니다. 조직은 전송시데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용범위를 좁히기 위해 스토리지 암호화, 데이터베이스 암호화, 응용프로그램 수준암호화,토큰화 및 "단대단" 암호화 등의 기술도 전개하고 있습니다.

② 강력한 접근 통제수단의 구현 : 모든 데이터 보호기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안계층이 제공됩니다.

③ 안전한 네트워크 구축 및 유지 : 네트워크 수준의 암호화 이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증정보는 장치 수준에서 네트워크 액세스제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려사항입니다.

④ 네트워크의 정기적인 모니터링 및 테스트 암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호 보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것 입니다. 따라서, 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석할 수 있는 이벤트 모니터링 시스템 및 데이터 손실방지 시스템이 필요합니다.

⑤ 취약점 관리 프로그램 유지 : 악성코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드서명의 사용이 주목 받게 되었습니다.

⑥ 정보 보안정책의 유지 : PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수 있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.


[장점]

① 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.

② 전 세계 결제 거래의 80% 이상의 보안을 지원하는 현장에서 입증된 기술을 사용합니다.

③ 레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든위치의 카드소지자 데이터를 보호합니다.



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아







Trackbacks 0 / Comments 0

Microsoft MS-SQL TDE (EKM 키 관리)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.09.12 11:52 / 카테고리 : nCipher HSM (Thales-HSM )


최근 오라클 TDE와 HSM을 같이 활용하여 암호화 하는 방법을 많은 기업에서 도입 중에 있습니다. MS-SQL에서도 오라클 TDE와 같은 자체 암호화 기능이 있을까요?


MS-SQL에서도 자체 암호화 옵션과 키 관리 기능이 있습니다. Microsoft에서도 암호화 키 관리는 HSM에 하는 것이 안전하다고 권고하고 있습니다.

MS-SQL 서버에서도 HSM을 이용하여 강력한 암호화와 안전한 키 관리를 할 수 있습니다. MS-SQL 서버에서는 이러한 암호화 키 관리 기능을 EKM(확장 가능 키 관리)라고 하고 있습니다. 자세한 내용은 아래의 SQL Server 2014 매뉴얼을 참조하시기 바랍니다. 


아래의 원본 링크를 참조하시거나 아래에 MS SQL Server 라이브러리를 옮긴글을 참조하시기 바랍니다.

※ 참조 문서 원본 : SQL Server 및 데이터베이스 암호화 키 - EKM 확장 가능 키 관리



EKM (확장 가능 키 관리)

SQL Server에서는 암호화 및 키 생성용 MSCAPI(Microsoft Cryptographic API) 공급자를 사용하여 EKM(확장 가능 키 관리)과 함께 데이터 암호화 기능을 제공합니다. 데이터 및 키 암호화를 위한 암호화 키는 임시 키 컨테이너에서 생성되며 데이터베이스에 저장되기 전에 공급자로부터 내보내져야 합니다. 이 방법을 사용하면 SQL Server에서 암호화 키 계층 및 키 백업을 포함한 키 관리를 처리할 수 있습니다.


규정 준수에 대한 요구와 데이터에 포함된 개인 정보 보호에 대한 관심이 증가함에 따라 조직에서는 "심층 방어" 솔루션을 제공하기 위해 암호화를 활용하고 있습니다. 일반적으로 이 방법은 데이터베이스 암호화 관리 도구만 사용하므로 유용한 방법이 아닙니다. 하드웨어 공급업체에서는 HSM(하드웨어 보안 모듈)을 사용하여 엔터프라이즈 키 관리를 해결하는 제품을 제공합니다. HSM 장치는 하드웨어나 소프트웨어 모듈에 암호화 키를 저장합니다. 이 방법은 암호화 키와 암호화 데이터가 별도로 보관되므로 더욱 안전한 솔루션입니다.


많은 공급업체에서 키 관리와 암호화 가속 둘 다를 위해 HSM을 제공합니다. HSM 장치는 응용 프로그램과 HSM 간의 매개자로 서버 프로세스가 포함된 하드웨어 인터페이스를 사용합니다. 또한 공급업체는 하드웨어나 소프트웨어일 수 있는 해당 모듈을 통해 MSCAPI 공급자를 구현합니다. 일반적으로 MSCAPI는 HSM에서 제공하는 기능의 하위 집합만 제공합니다. 또한 공급업체는 HSM, 키 구성 및 키 액세스를 위해 관리 소프트웨어를 제공할 수도 있습니다.


HSM 구현은 공급업체마다 다르며 SQL Server에서 사용하려면 공용 인터페이스가 필요합니다. MSCAPI는 이 인터페이스를 제공하지만 HSM 기능의 하위 집합만 지원합니다. 이외에도 MSCAPI에는 기본적으로 대칭 키를 지속할 수 없고 세션 지향이 지원되지 않는 등의 제한 사항이 있습니다.


SQL Server 확장 가능 키 관리를 사용하면 타사 EKM/HSM 공급업체가 SQL Server에 해당 모듈을 등록할 수 있습니다. EKM 모듈이 등록되면 SQL Server에서 이러한 모듈에 저장된 암호화 키를 사용할 수 있고, 이를 통해 SQL Server에서 이러한 모듈이 지원하는 대량 암호화 및 암호 해독 같은 고급 암호화 기능과 키 에이징 및 키 회전 같은 키 관리 함수에 액세스할 수 있습니다.




EKM 구성

일부 Microsoft SQL Server 버전에서는 확장 가능 키 관리를 사용할 수 없습니다. SQL Server 버전에서 지원하는 기능 목록을 보려면 SQL Server 2014 버전에서 지원하는 기능을 참조하십시오.

기본적으로 확장 가능 키 관리는 해제되어 있습니다. 이 기능을 사용하도록 설정하려면 다음 예와 같이 다음 옵션과 값이 포함된 sp_configure 명령을 사용합니다.



sp_configure 'show advanced', 1

GO

RECONFIGURE

GO

sp_configure 'EKM provider enabled', 1

GO

RECONFIGURE

GO



※ 참고 : EKM을 지원하지 않는 SQL Server 버전에서 이 옵션에 대해 sp_configure 명령을 사용할 경우 오류가 수신됩니다.

기능을 사용하지 않으려면 값을 0으로 설정합니다. 서버 옵션을 설정하는 방법은 sp_configure(Transact-SQL)를 참조하십시오.




EKM 사용 방법

SQL Server 확장 가능 키 관리를 사용하면 데이터베이스 파일을 보호하는 암호화 키를 스마트 카드, USB 장치 또는 EKM/HSM 모듈과 같은 외부 장치에 저장할 수 있을 뿐 아니라 데이터베이스 관리자(sysadmin 그룹의 멤버 제외)로부터 데이터를 보호할 수도 있습니다. 즉, 외부 EKM/HSM 모듈에서 데이터베이스 사용자만 액세스할 수 있는 암호화 키를 사용하여 데이터를 암호화할 수 있습니다.


또한 확장 가능 키 관리는 다음과 같은 이점을 제공합니다.

  • 추가 권한 확인(의무 분리 가능)
  • 하드웨어 기반 암호화/암호 해독의 성능 향상
  • 외부 암호화 키 생성
  • 외부 암호화 키 저장(데이터와 키의 물리적 분리)
  • 암호화 키 검색
  • 외부 암호화 키 보존(암호화 키 회전 사용)
  • 더 쉬워진 암호화 키 복구
  • 안전한 암호화 키 삭제
  • 관리 가능한 암호화 키 배포

사용자 이름과 암호 조합 또는 EKM 드라이버에서 정의한 다른 메서드에 확장 가능 키 관리를 사용할 수 있습니다.
※ 주의 : 문제 해결을 위해 Microsoft 기술 지원 서비스에 EKM 공급자의 암호화 키를 제공하거나 공급업체 도구나 프로세스에 액세스해야 할 수 있습니다.



EKM 장치를 사용한 인증
EKM 모듈은 둘 이상의 인증 유형을 지원할 수 있습니다. 각 공급자는 SQL Server에 한 가지 유형의 인증만 제공합니다. 즉, 모듈에서 기본 또는 기타 인증 유형을 지원하는 경우 둘 다가 아닌 둘 중 하나만 제공합니다.

사용자 이름/암호를 통한 EKM 장치별 기본 인증
username/password 쌍을 사용하여 기본 인증을 지원하는 EKM 모듈의 경우 SQL Server에서 자격 증명을 사용하여 투명한 인증을 제공합니다. 자격 증명에 대한 자세한 내용은 자격 증명(데이터베이스 엔진)을 참조하십시오.

로그온할 때마다 EKM 공급자에 대해 자격 증명을 만든 후 로그인(Windows 및 SQL Server 계정 모두)에 매핑하여 EKM 모듈에 액세스할 수 있습니다. 자격 증명의 Identify 필드에는 사용자 이름이 포함되고 secret 필드에는 EKM 모듈에 연결할 암호가 포함됩니다.

EKM 공급자에 대해 매핑된 로그인 자격 증명이 없으면 SQL Server 서비스 계정에 매핑된 자격 증명이 사용됩니다.

자격 증명이 고유한 EKM 공급자에 대해 사용되는 경우 로그인에 여러 개의 매핑된 자격 증명이 있을 수 있습니다. 로그인별로 각 EKM 공급자에 하나의 매핑된 자격 증명만 있어야 합니다. 동일한 자격 증명이 다른 로그인에 매핑될 수 있습니다.

다른 유형의 EKM 장치별 인증
Windows 또는 user/password 조합 이외의 인증을 사용하는 EKM 모듈의 경우 SQL Server와는 별도로 인증이 수행되어야 합니다.




오라클 TDE 사용 기업뿐만 아니라, MS-SQL Server를 사용하시는 기업에서도 EKM 기능과 HSM을 연동하여 강력한 데이터베이스 보안 시스템 구축이 가능합니다.

전세계 암호화장비 시장 점유율 1위인 Thales E-security의 HSM으로 MS-SQL Server에서도 강력한 데이터베이스 보안 솔루션을 구축하시기 바랍니다.




전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아






Trackbacks 0 / Comments 0

[금융, 은행 보안] 지불 결제 전용 하드웨어 보안 모듈 Thales Payshield 9000

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.09.11 11:40 / 카테고리 : nCipher HSM (Thales-HSM )



최근 잇다른 보안사고로 인해 보안 담당자들은 1차적인 물리적인 보안 뿐만 아니라 내부 데이터베이스 보안까지 고려하고 이에 대한 대응을 하게 되었습니다. 금융권이나 은행권, 또한 고객이 웹사이트 내에서 결제를 하는 다양한 산업 군에서 중요한 보안 조치중 하나는, 현금과 신용거래가 오고가는 결제 시스템 단의 보안이라고 할 수 있습니다.




드웨어 보안 모듈 중에서도 이러한 지불결제 시스템 전용으로 설계된 장비가 있어서 소개해드릴까 합니다.

자동인출기(ATM)와 POS(Point of Sale)의 신용카드 및 직불카드 발급/거래에 필요한 암호화 기능을 제공하는 지불결제 전용 하드웨어 모듈Thales PayShield 9000에 대해서 알아보겠습니다.


Thales PayShield 9000은 암호화 기능과 관리 기능을 통해 다양한 보안 솔루션을 제공하며 아래의 중요 국제 카드 표준의 보안 감사 요구사항을 모두 만족하는 최고의 지불결제 암호화 모듈입니다. 소프트웨어가 동작하는 메인프레임과 서버에 외부 주변 장비로 사용되도록 설계된 장비입니다.



[지원하는 카드사]

- American Express

- Discover

- JCB

- MaterCard

- Union Pay

- Visa




[주요 특징]

- 카드 지불 시스템 보호를 위하여 전용으로 설계된 장비

- 카드와 모바일 보안 요소에 대해 특별하기 디자인된 포괄적이고 인증된 보안을 제공

- 업계 최초의 고 가용성 지불결제 하드웨어 보안 모듈 (Payment HSM)

- 업계 최고 성능 1,500TPS (Key Block 기준)

- 뛰어난 장애복구 기능을 통한

- 현업에서 소프트웨어 업그레이드 가능

- 최신의 FIPS, PCI HSM 보안 규정에 적합한 장비

- 확장 가능한 고성능 모델을 제공

- 뛰어난 장애복구 기능을 통한 비즈니스 연속성 극대화


[PayShield 9000 주요 기능]

1. 업계 최고의 장비 성능, 고가용성, 키 관리 안전성을 제공합니다.

- 최초의 미션 크리티컬 환경의 고가용성을 지원하는 이중화 파워, 네트워크를 지원합니다.

- 최고의 Payment HSM 성능 - up to 1500 tps

- 다중 어플리케이션 환경에 적합한 Multiple LMK 지원


2. 고객 요구사항에 따른 어플리케이션 패키지를 구성합니다

- 전체 비용을 낮출 수 있는 새로운 소프트웨어 패키지를 구성

- 사용자 필요에 따른 어플리케이션 라이선스 선택

- 카드 발급사, VAN사, POS사에 적합한 별도 패키지 구성


3. 완벽한 기존 장비 호환성을 자랑합니다. (기존장비 : Thales HSM 8000 and RG 7000)

- 호스트 어플리케이션 변화 필요 없음

- 보안 프로세스 변경 없음

- 신규 LMK 스마트 카드 필요 없음

- 기존 HSM 8000 개발 코드 이전이 용이함

- 기존 RG 7000, HSM 8000 장비와 공용 사용 가능


지불결제 암호화 모듈 Thales Payshield 9000 도입 업체

 고객사

  적용 업무

 고객사

 적용 업무

 삼성카드

 카드 승인 업무

 현대카드

 카드 승인 업무

 KSNET

 신용카드 거래 보안

 금융투자협회

 DB 보안

 KIS정보통신

 신용카드 거래 보안

 나이스정보통신

 신용카드 거래 보안

 한네트

 CD, VAN 업무

 외환은행

 승인 업무 개선, 보안 업무 강화

 수협은행

 카드 승인 업무

 금융결제원

 ATM 공동이용시스템

 효성노틸러스

 해외 ATM 공급 사업

 

 


Thales Payment HSM인 PayShield 9000을 통해 안전한 지불결제 시스템을 구축하시기 바랍니다.

제품 관련 문의는 하단에 있는 아이마켓코리아 보안담당자 연락처로 연락해주시면 친절한 상담을 받으실 수 있습니다.



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아






Trackbacks 0 / Comments 0

공개 키(PKI) 및 디지털 인증서 관리 방안

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.08.28 11:27 / 카테고리 : nCipher HSM (Thales-HSM )



공개 키 암호화는 사용자, 네트워크 데이터 및 핵심 비즈니스 시스템을 보호하는 방법으로 많이 보급되어 왔습니다. 


데이터암호화 및 개인정보보호 문서 및 메시지의 무결성과 신뢰성을 증명하기 위해서 디지털 서명 또는 사용자나 시스템의 인증 및 액세스 제어에 사용되고 있는 지에 관계없이 이러한 공개 키 운영은 현대의 운영체제, 상용 보안 제품 및 사용자 지정 빌드 시스템에 필수적인 것이 되어 있습니다.



전자상거래, 온라인뱅킹, 인터넷 게임, 스마트폰, 클라우드 컴퓨팅은 모든 사용자의 연결장치, 웹 서비스 및 비즈니스 응용프로그램의 전자적인 정체성을 나타내는 경우 디지털 인증서에 의존하고 있습니다.



[그림 - 공개키 암호화 방식]


각 인증서는 높은 강도를 가지는 고유의 신임을 형성하는 한쌍의 암호화 키를 기반으로 하며, 이들은 대상 고객과 기업에 밀접하게 연관되어 암호화와 서명 등의 보안 작업을 수행하는데 사용됩니다. 


인증기관(CA)는 디지털 인증서를 발급하고 그 인증서가 의도된 목적에 부응하기 위해, 적절한 수준의 신용을 구현하기 위해 여러 단계를 실행합니다.


CA는 공개 키 인프라의 중심을 이루는 것이며, 1개 혹은 복수의 애플리케이션 보안을 지원하고, 적은 수의 인증서에서 수백만 및 수의 증명서까지 지원합니다. 인증서 및 그것에 의해 실현되는 보안 기능을 충분히 활용하고자 하는 조직은, 자기 부담의 PKI를 구축하거나 외부 서비스 공급자로부터 인증서를 구입하거나 둘 중 하나를 선택할 수 있습니다.


다른 조직과 도메인간의 인증서 및 ID를 공유하고 신용을 설치하는 경우에는 후자가 가장 적합합니다.


내부 PKI를 도입하는 조직은 그 조직의 요구에 맞는 보안 모델을 정의할 수 있는 유연성을 가질수 있지만 그 PKI 사용에 대한 조직을 명확화 하는 것으로 그 자체의 유지 및 그 보안의 확보에 있어서 수 많은 도전에 직면합니다.



 - PKI는 신용의 근본을 이루는 것 이므로, PKI를 도입하는 작업은 단순한 기술 이상의 요소가 있습니다. 또한 적절한 검사 기능을 가지고 기술로 자동화되는 부분과 수동 작업의 균형을 취하기 위하여 인간이 관련된 프로세스를 신중하게 설계해야 합니다. 준수를 입증할 필요성이 증가하고 있는 것을 고려하면 공식적으로 문서화된 감사를 받은 인증과정이 필요할 것 입니다.


- 조직은 모든 인증서 요구에 단일 PKI를 사용하거나 개별 응용프로그램과 사용 사례에 맞게 조정되어 적절한 신뢰성 모델을 제공하는 여러 독립적인 PKI를 사용할 것인지 결정해야 합니다. 자기부담의 PKI를 구축하지 않고 외부 PKI를 사용하는 선택은 상황을 더욱 복잡화 시킬 수 있습니다.


- 불행히도, 모든 종류의 PKI는 명백한 공격포인트가 존재합니다. CA가 침입을 받으면 디지털 인증서가 부정사용을 위해 발행되는 우려가있어, 시스템 전체의 신뢰성이 의심되는 결과가 됩니다.


- PKI에 대한 논의는 인증서 발급 프로세스에 집중하는 경향이 있지만, 인증서 유효성 검사 및 해지를 지원하는 관련 프로세스가, 시스템의 성능 및 전반적인 능력에 의해 크게 영향을 주는경우가 적지 않습니다.




[위험성]

- CA의 서명 개인 키 및 루트 키를 훔쳐가지고 가는 경우 위조 인증서를 발급할 수 있기 때문에, 누설이 의심되는 경우는 과거에 발행된 인증서의 일부 또는 전부를 다시 발행해야 할 수 있습니다.

- 서명키 사용에 대한 관리가 불충분한 경우 키 자체가 도용되지 않더 라도 CA가 악용될 우려가 있습니다.

- 온라인 인증서 유효성 검사 프로세스에 관련하고 키를 훔치거나 부정으로 사용된 경우에는 해지 프로세스가 작동되고 해지된 인증서가 악용될 우려가 있습니다.

- 새로운 응용프로그램을 온라인으로 시작할 때 발행 및 검증에 관한 서명행위의 성능적 측면에 주의를 기울이지 않으면 업무에 큰 영향을 줄 우려가 있습니다.







PKI 및 디지털인증서 : Thales e-Security 솔루션

Thales e-Security의 제품 및 서비스는 PKI의 무결성, 성능 및 관리성을 확립하는데 도움이 됩니다. 인증서 발급과정의 보안을 보장하고 서명 키 관리를 강화함으로써, 분실이나 도난을 방지 할 수있으며, 그 결과로 디지털 보안을 위한 안정적인 기반을 구축할 수 있습니다 . PKI에 nShield 하드웨어보안모듈 (HSM)을 추가하는 것은 독립적인 기관에 의해 인증된 변조 방지 장치를 도입하는 것을 의미합니다.


이 장치는 조직내에서 가장 신중하게 처리해야 할 키(key)나 비즈니스프로세스의 보안을 보장하기 위해 사용 됩니다. 이것은 PKI에 대해 널리 인정받은 모범사례입니다. 탈레스는 사용자조직이 도입을 앞당겨 빨리 위험을 최소화하는데 도움을 주기 위해 주요 PKI 벤더간의 상호 운용성 시험을 시행하고 다양한 포괄적인 통합에 대한 설명서를 발행하고 있습니다. 탈레스의제품 지식과 기술, 그리고 서비스를 충분히 활용하여 기업 내 전체 PKI 운영의 자신감을 가지고 운용할 수 있게 합니다.




[장점]

- 높은 신뢰성이 요구되는 모든 키 관리 프로세스와 인증서 발급과정에 대해 쉽게 도입할 수 있는 독립적인 기관의 인증을 받은 제품으로 보안을 충분히 활용할 수 있습니다.

- 암호화처리를 가속화하여 CPU에 부담이 걸리는 서명 작업 속도를 올리고 성능 향상을 촉진함과 동시에 애플리케이션 및 비즈니스 프로세스의 유연한 규모의 변경을 가능하게 합니다.

- 위험도가 높은 수동 키 관리프로세스를 제거합니다.

- 키 관리정책의 강력한 실행을 통해 규제 준수를 입증하기 위해 작업 및 감사요구에 대응하기 위한 작업을 단순화합니다.

- 대기업용 PKI에서 국소적인 CA 응용프로그램에 특화한 CA에 이르기까지 다양한 도입 시나리오에 맞게 광범위한 선택에서 모양과 성능 등급을 바탕으로 최적의 HSM을 선택할 수 있습니다.


더 많은 정보는 하단의 카다로그를 참조하시면 Thales e-security의 고성능 HSM에 대한 자세한 정보를 보실 수 있습니다.


[Thales e-security HSM(하드웨어 암호화 모듈 관련 자료]

2014HSM-nShield-Solo.pdf

Thales HSM Oracle-TDE.pdf

아이마켓코리아 nShield-Connect.pdf



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아






Trackbacks 0 / Comments 0

DB 암호화 범위, 운전면허증, 여권번호까지 확대!

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.08.08 15:00 / 카테고리 : nCipher HSM (Thales-HSM )




국가 주무부처인 방송통신위원회에서는 "국민에게 행복을 주고 신뢰를 받는 방송통신 실현"을 제시하고 향후 3년간 중점적으로 추진할 주요 정책과제를 발표하였습니다. 특히 스마트폰 확산과 서비스 융합등의 다양한 인터넷 환경변화에 따라서 공정한 경쟁 및 이용자의 정보보호에 대한 필요성을 강조하였습니다.





특히 최근 일어난 금융권의 개인정보 유출사고, 이전에 있었던 유명 종합쇼핑몰 A사의 개인정보 유출 등, 국내 인터넷 거대 공룡과 금융권에서도 개인정보 유출사고가 잇달아 발생하자 온라인 상의 개인정보 보호를 강화하여 인터넷의 신뢰성을 높이고 투명한 법과 원칙을 정립하고 인터넷 신산업의 기반을 공고히 할 것이라고 밝혔습니다.


구체적으로 보면,보통신망법에 의거하여 올해인 2014년 8월까지 포털 등 정보통신서비스 제공 사업자는 기존에 보유하던 주민등록번호를 반드시 파기해야합니다. 그리고 131개 대형 사업자 (웹사이트 일 평균 방문자수 10만명 이상)의 경우에는 특별 점검을 하고 영세 사업자의 경우 기술 지원을 실시하겠다고 하였습니다.


가장 중요한 부분은 바로 암호화 조치로써, DB 암호화 등의 보호 조치를 위반한 개인정보 유출기업의 엄중히 제제하고 매년 점검해 나가며, 손해액을 입증하지 않아도 300만원 이하를 청구할 수 있는 법정 손해배상 제도를 올해인 2014년 11월부터 시행하고, 웹사이트의 개인정보 보호 수준을 평가하고 공개하며, DB 암호화 대상을 기존에는 주민등록번호와 비밀번호로 지정하였지만, 이 범위를 넓혀 운전면허증, 여권번호까지 대폭 확대할 예정입니다.


이로써, 더욱 많은 DB를 암호화할 필요가 있으며, 이에 따른 안전한 조치와 뛰어난 성능의 DB암호화 장비를 도입하는 것이 국내에서 고객 DB를 관리하는 기업들이 고민해야할 사항이 되었습니다. 



DB 암호화 장비 선택에 있어서는 DB 암호화의 신뢰성뿐만 아니라 최신 암호화 알고리즘을 지원하는지, 또한 오라클, MS 제품과의 호환성, 그리고 암호화 성능 등을 고려해야하며 키 관리도 안전하게 이루어질 수 있는 최적의 솔루션 선택이 중요해지고 있습니다.


DB 암호화 장비는 기업의 신뢰성을 확보할 수 있는 가장 근본적인 장치이며, 암호화 장비를 도입하면 쉽게 바꾸기 어렵다는 점을 감안하여 비용과 성능을 고려하여 최적의 솔루션을 선택하는 것이 기업 보안 담당자로써 매우 중요한 사항이 되었다고 할 수 있습니다.





서버 운영 환경과 운영 및 관리상 이슈를 고려하여 최적의 DB 암호화 장비를 선택하는 것이 안전한 기업 보안의 첫걸음입니다.


세계 암호화장비 시장에서 1위를 점유하고 있는 Thales e-security의 제품을 통해 기업 데이터베이스에 대한 신뢰성을 확보하시기 바랍니다.

더 자세한 정보는 아래 온라인 카탈로그를 통해 상세 스펙을 확인 하실 수 있습니다.


★ DB암호화 장비 Thales HSM nShiled Connect / Solo

아이마켓코리아 nShield-Connect.pdf

2014HSM-nShield-Solo.pdf


★ 네트워크 암호화 장비 Thales Datacrytor

네트워크 구간암호화-Datacryptor.pdf

Datacryptor 소개자료.pdf


★ 결제 모듈 암호화장비 Thales PayShield

2014payShield.pdf


★ 오라클 TDE + Thales HSM 암호화 소개자료 

Thales HSM Oracle-TDE.pdf


※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com





Trackbacks 0 / Comments 0

개인정보 유출사례와 개인정보 보호방법 (DB 암호화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.16 16:00 / 카테고리 : nCipher HSM (Thales-HSM )



개인정보 유출사례와 개인정보 보호방법 (DB 암호화)


개인정보 유출 사고가 많아지면서 우리나라의 보안불감증은 개인 뿐만 아니라 기업까지도 만연해 있다는 것을 알 수 있었습니다. 특히 가장 중요한 금융권에서 개인정보 유출사고가 발생하면서 대량의 피해자가 발생하게 되었습니다. 국내 개인정보 유출 사례를 통해 DB암호화의 중요성에 대해서 알아보겠습니다.




특히 올해에는 KB 국민카드, 롯데카드, NH 농협카드 메이져 카드 3사의 유출사고로 인해 몸살을 앓았습니다. 확인된 총 피해자는 KB 국민카드 5300만명, 롯데카드 2600만건, NH농협카드 2500만건이 유출된 사건으로 총합하여 무려 1억 400만건이라는 개인정보가 유출되어 대부분의 국민들의 개인정보가 전세계로 유출되었다고 볼 수 있습니다. 




대형 포털사이트도 개인정보 유출 사고를 피해 갈 수 없습니다. 네이트, 싸이월드 개인정보 유출사고는 2011년 7월 26일에 발생한 개인정보 유출사건으로 특히 개인용 메신저와 싸이월드 등이 유행하던 시기라서 피해가 엄청났습니다. 가입자 3500만명의 아이디, 비밀번호, 이름, 주민번호, 연락처 등의 개인정보가 유출된 사건으로써 이 포털회사들이 도입한 보안용 백신서버를 통한 해킹으로 추정되어 기업에서 도입하는 백신으로써는 더이상 안전하지 않다는 충격적인 결과가 나타났습니다.




쇼핑 업계에서는 이베이 계열의 종합쇼핑몰 플랫폼인 옥션에서 약 1081만명이 개인정보가 유출되는 사고도 일어났습니다. 이번 사고도 역시 중국발 해커에 의한 개인정보 유출사고로써 2008년경 옥션에 가입된 모든 사람의 개인정보가 유출되었습니다. 검찰 조사로써는 700만명 정도의 규모로 추정되지만 실질적으로는 이보다 더 많은 고객의 정보가 유출된 것으로 확인 되고 있습니다.





최근 많은 현금결제가 이루어지는 게임회사도 예외는 아닙니다. 국내 최대 게임회사인 넥슨에서도 유출사고가 일어났었습니다. 2011년 경 넥슨 게임중 하나인 메이플 스토리 회원의 개인정보가 유출된 사건으로 1300만명의 개인정보가 유출되어 큰 피해를 입었습니다.




또한, 국내 최대 통신사인 KT도 개인정보 유출의 위협에서 벗어날 수 없었습니다. 2014년도 3월경에 일어난 사건으로 약 1200만명의 개인정보가 유출된 사건입니다. 이름, 민증번호, 연락처, 카드결제번호, 카드 유효기간, 주소, 메일 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 정보까지 개인 통신관련 모든 정보가 전부 유출된 사건으로 이 이후 고객들의 휴대폰으로 각종 스팸문자와 가입유도 전화 등을 하였다고 합니다. 이는 오랜기간 동안 이루어져 충격을 주었으며 피의자는 전문해커 김모씨와 정모씨 2명은 구속되고 텔레마케팅 업체 대표 박모씨도 같은 혐의로 불구속 입건이된 사건입니다. 이들은 개인정보를 통해 1년간 115억원의 부당이득을 챙긴 혐의를 받고 있습니다.




국내에서 유출되는 대부분의 개인정보는 중국으로 유통되서 상당한 헐값에 대량으로 판매되었습니다. 대기업 조차도 개인정보 보안에 대해서 취약하다는 충격적인 결과는 물론, 중소형 사업체들은 더더욱 심각한 보안의식을 가지고 있어 기업의 낮은 보안 윤리의식이 사고를 부추기고 있다는 것을 알 수 있습니다.




최근에는 중국해커들의 능률교육, 리브로, 에듀스파, 모닝글로리 등 중견기업체들의 웹사이트 공격을 통해 개인정보가 유출되었다는 사실이 파악되었습니다.

이들 업체는 뒤늦게 사과 공지를 올리고 개인정보보호에 만전을 기하겠다는 공지를 올렸지만 매번, 개인정보가 유출된 후에 사과로 끝내는 방법은 책임 있는 기업이 하는 대처치고는 너무 미흡하다고 할 수 있습니다.


이제는 대기업 뿐만 아니라 중/소규모 사업체들까지 해커들이 개인정보 유출을 하는 만큼 더 각별한 주의가 필요하며, 완벽한 보안 솔루션 구축을 통해 보안에 만전을 기해야 더 큰 피해를 막고 회사의 이미지와 소중한 고객을 지킬 수 있다는 사실입니다.





개인정보를 보호하는 방법은 여러가지가 있지만 만약 유출되어도 안전하게 암호화가 되어 있다면, 이러한 해커들의 위협에게서 안전하다고 할 수 있습니다. 만약 해커들이 기업의 서버를 공격하여도 하드웨어 방식으로 암호화된 데이터베이스는 절대 해독할 수 없으며, 암호화된 정보는 해커들에게 가치가 없습니다. 이러한 방법으로 안전하게 데이터를 보호할 수 있으며, 먼저 유출을 방지하는 시스템을 구축하고, 유출되더라도 안전하게 암호화된 데이터베이스로 2차적인 안전망을 완벽하게 구축할 수 있습니다.


이러한 보안 조치는 하드웨어암호화 솔루션(HSM)을 통해서 구축할 수 있으며, HSM 중에서 가장 고성능을 자랑하는 Thales e-security의 암호화 솔루션은 가장 완벽한 기업 보안 솔루션을 구축할 수 있도록 기술을 제공합니다.



소중한 기업의 데이터베이스, 고객의 개인정보 DB 암호화 하지 않고 보관하시겠습니까? 

하드웨어 암호화를 통해 이러한 개인정보와 회사의 중요정보까지 완벽하게 암호화 할 수 있는 Thales HSM 제품군은 기업들이 많이 사용하는 오라클(Oracle)을 완벽하게 지원하고 있으며 기존에 TDE 방식의 취약점으로 주장되었던 키 관리의 기밀성까지 완벽하게 해결하였습니다. 특히 오라클의 Wallet 암호화 키 관리 보안 모듈은 키 관리에 있어서 취약성이 노출되고 있어 데이터베이스 암호화를 위해서 TDE를 도입하는 기업이 많이 늘고 있습니다. 



특히 오라클 TDE 방식의 암호화는 약점이 완벽하게 보완되었고 경제적으로써 합리적으로써 보안 솔루션을 도입하는 것으로 초점이 맞추어졌습니다. 특히 오라클 TDE방식의 키 관리 기밀성 역시 하드웨어 암호화 모듈인 HSM과의 연계이점이 부각되면서 해결되었고, MS나 ORACLE 역시 하드웨어 암호화 모듈(HSM)의 사용을 적극적으로 권장하고 있습니다. 


개인정보유출 방지 고성능 하드웨어 암호화 솔루션 Thales HSM

강력한 보안성, 경제성, 기밀성, 관리 용이성 등의 효율적인 측면에서 유리한 이점을 가져가기 위해서는 HSM 도입은 반드시 필수이며, 특히 개인정보유출 사고를 막기 위한 고성능 하드웨어 암호화 솔루션(HSM)을 선택해야 됩니다. Thales HSM은 세계시장 점유율 1위를 자랑하게 때문에 안정성을 보장하며 업계 20년의 기술력으로 최상의 성능을 보장합니다.


탈레스 HSM에 대한 자세한 정보는 아래의 링크를 참조하시면 더 많은 정보를 보실 수 있으며 특히 오라클 TDE를 도입하고 있는 기업이시라면 반드시 참고해주시기 바랍니다.  Thales HSM을 통한 효율적인 오라클 DB 암호화를 통한 고객 데이터베이스 암호화 방안(링크)


인정보 유출 방지를 위한 최적의 솔루션인 Thales e-security의 HSM으로 완벽한 고객 DB암호화를 구축하시기 바랍니다.

Thales HSM제품 구입문의는 아래의 아이마켓코리아 IT 솔루션 사업부로 문의주시면 됩니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com




아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.








Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,481
  • 오늘 : 136
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.