환자 진료기록 7억건 유출, 의료기관 DB관리 헛점

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2015.01.23 16:28 / 카테고리 : nCipher HSM (Thales-HSM )


최근 5년간 전국 병원 수천곳에서 환자의 개인정보와 진료기록 약 7억건이 암호화 되지 않은 상태로 관리되다가 다국적기업에 대량으로 유출되는 사건이 벌어졌습니다. 의사들의 컴퓨터에 설치된 요양급여 청구 프로그램을 통해 빼돌려진 정보에는 환자의 이름과 주민등록번호, 연락처와 각종 민감한 진료기록들이 전부 포함되어 있어 충격을 주고 있습니다. 이러한 정보들은 법률상으로도 민감한 개인정보로 취급되는 중요정보이지만, 제대로 암호화되지 않고 관리되어 유출되었다는 사실은 큰 충격이 아닐수 없습니다. 


관련 기사는 아래의 링크를 참조하시기 바랍니다.

[출처 : SBS 8시 뉴스] 원본 기사 : http://news.sbs.co.kr/news/endPage.do?news_id=N1002787244&plink=ORI&cooper=NAVER



개인정보범죄 정부합동수사단은 의사들의 컴퓨터에 '건강보험심사평가원 요양급여 사전심사 시스템' 프로그램을 설치해주고 각 병원이 관리한 환자 진료기록 등의 민감한 개인정보 및 진료기록 7억건을 빼돌린 혐의로 김모씨를 구속하였습니다. 


범행 수법으로는 프로그램에 몰래 모듈까지 설치함으로써 의사들이 기록하는 모든 정보를 서버로 전송시키는 방법으로 진행되었으며, 가장 충격적인 것은 대부분의 의료용 소프트웨어 업체들은 통상적으로 민감한 정보를 암호화해 취급하고 보관하는게 일반적이지만 이번 케이스같은 경우에는 서버에 환자들의 민감한 정보를 저장하면서 암호화 조치도 취하지 않는 것으로 밝혀져 더욱 충격을 주고 있습니다.

※ 참고 : 정보통신망법 시행령 개정안 http://itblog.imarketkorea.com/72



특히, 현재 많은 의료기관들이 사용 중인 전자차트 프로그램의 암호화가 제대로 이루어지지 않아 생긴 문제로, DB 암호화는 선택이 아니고 필수라는 인식과 안전하게 암/복호화 관리가 가능한 DB암호화 솔루션에 대한 도입이 반드시 필요합니다.


만약, 고객의 데이터가 안전하게 암호화되고 암/복호화 키 관리가 잘되어 있었다면, 고객의 DB가 유출되었어도 절대 열람할 수 없는 데이터가 되어 폐기처분할 수 밖에 없었을 것입니다. 위의 사례도 이전에 카드3사 개인정보 유출사고와 같이 외부자의 데이터베이스 유출사고라는 점에서 비슷하다고 볼 수 있습니다. 데이터 접근제어에 대한 보안불감증이 1차 원인이고, 최종적으로는 고객 데이터베이스를 안전하게 암호화하지 않은 부분에서 2차 책임이 있다고 볼 수 있습니다.


개인정보보호법과 정보통신망법 개정으로 주민등록번호를 포함한 각종 진료기록, 개인인적사항은 전부 암호화 대상입니다. 대형 병원에서는 주로 이러한 데이터를 전산화하여 서버에 관리하고 있습니다. 하지만 대부분 비용과 서버의 성능저하를 우려하여 DB암호화를 하는 것을 꺼리고 있습니다. 서버의 부담을 줄이면서 안전하게 DB를 암호화하고 키 관리 및 접근제어 까지 가능하게 하는 방법은 HSM을 사용하여 암/복호화하고 키 관리를 하는 것입니다.



세계적인 보안 솔루션 기업인 Thales HSM은 신뢰를 최우선으로 하는 오랜 국방 사업 경험을 바탕으로 군, 정부, 의료기관, 일반 기업의 정보 시스템 보안시장을 위한 최고의 기술을 자랑하고 있습니다. 특히 21개의 Nato 회원국과 20개의 글로벌 대형은행 중 19개의 은행에 도입되어 있고, 전세계 금융기관 3,000개 기관에 Thales의 보안 솔루션이 도입되었습니다.


수치로 보자면, PHSM은 전세계 70% 이상의 점유율을 보이고 있고, GPHSM은 전세계 40% 이상의 시장점유율을 가져가고 있습니다.

Thales의 GPHSM 제품군인 nShield Connect는 현존하는 가장 빠른 HSM으로 가장 많이 사용되는 상용 암호화 알고리즘인 RSA기준으로 빠른 속도를 보장합니다.

특히, RSA 4,096bit에서는 경쟁사의 제품보다 최고 12배의 암호화 처리속도를 자랑합니다.


 


 


 


 RSA 1,024 bit

RSA 2,048 bit 

RSA 4,096 bit 

 경쟁사의 제품보다 1.4배 빠른 속도

경쟁사의 제품보다 2.4배 빠른 속도 

경쟁사의 제품보다 12배 빠른 속도 




[Thales nShield Connect]


Thales는 Microsoft Partner Gold와 Oracle Certifed Partner입니다.



A. 기능

1. 온보드에서 안전하게 키와 애플리케이션의 저장 및 처리 기능

2. 암호학적 오프로딩 / 가속화

3. 인증된 멀티 레벨 접근 제어

4. 엄격한 직무 분리 (관리자와 사용자)

5. nToken 옵션은 뛰어난 클라이언트 인증 기능 제공

6. 안전한 키 랩팅, 백업, 복사 및 복구 기능

7. 무제한의 보호된 키 저장소

8. 클러스터링, 부하조절, "k of n"의 멀티팩터 인증

9. 애플리케이션 키들의 무제한의 논리적/암호학적 분리


B. 지원되는 운영체계

1. 물리적 환경 : Windows, Linux, Solaris, IBM ATX, HP-UX

2. 가상환경 : VMware, Hypher-V, AIX LPARs를 포함하는 다양한 CM 소프트웨어 벤더 지원


C. 지원하는 암호알고리즘

1. 비대칭 공개키 알고리즘 : RSA (1024, 2048, 4096)

    -> Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH

2. 대칭키 알고리즘

    -> AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES

3. Hash/message digest : SHA-1, SHA-2 (224, 256, 384, 512bits)

4. Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현


D. 고 가용성

1. 모든 저장소에 Solid State 방식의 메모리 적용

2. 핫-스와핑 방식의 이중 전원

3. 필드 서비스가 가능한 구성품 (전원 및 냉각 팬)

4. 47,000시간 MTVF(Mil-Std 217F notice 2 part count Method)







더보기


Trackbacks 0 / Comments 0

카드3사 개인정보 필수 보안조치 사항! DB암호화

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2015.01.13 13:05 / 카테고리 : nCipher HSM (Thales-HSM )

작년인 2014년 1월에는 국내 메이저 카드 3사의 개인정보가 다량 유출되는 사고가 발생하여 우리나라 국민들에게 큰 충격과 피해를 주었습니다. 이제 더 이상 1금융권도 안전하지 않다는 인식이 퍼지기 시작하였고, 이에 따른 소송과 고객신뢰도 하락으로 인한 고객의 다량 이탈로 해당 개인정보유출사고를 일으킨 카드회사들은 막대한 피해를 입었습니다.



그때 유출사고가 일어난 KB국민카드와 롯데카드, 그리고 NH농협은 사고 이후 1년여간 보안 시스템에서 미비한 부분을 보강하고, 인력을 추가로 운영하며, 보안 예산도 확대하였습니다. 하지만 보안에는 완벽이라는 단어가 없는 만큼 아직도 풀어야할 숙제는 많습니다.


특히 KB국민카드에서는 사고 이후 많은 보안관련하여 많은 예산을 투자하였습니다. 사고전인 2013년도의 보안 예산보다 사고 이후인 2014년도의 보안 예산이 5배 가량 증가하는 등 보안에 각고의 노력을 들였습니다. 아직도 정보보호를 위해 많은 예산과 노력을 투자하겠다고 밝인 국민은행이 작년에 진행한 보안집중 점검사항을 아래와 같습니다.


보안관련 유출사고가 외주인력에 대한 내부유출과 암호화 미비에 따른 만큼 국민카드에서는 확대된 예산으로 PC환경을 클라우드로 전환하여 지문 인증 시스템을 도입하였습니다. 그리고 최근에 많이 도입되고 있는 OTP인증 인증체제를 강화하고 종합대응 TFT를 가동하여 조직개편을 진행하였습니다.


개인정보보호법 강화로 인해 기업이 개인정보보호에 대한 여러가지 요구사항이 많아져, 개인신용정보 관련 내용을 파기하였습니다. 그리고 가장 중요한 주민등록번호 대신에 고객대체번호를 도입하여 주민번호 수집을 중단하고 고객정보번호로 고객을 식별하는 등의 보안조치를 진행하였습니다.


추후에는 접근통제와 DB암호화에 대한 내용을 강화할 것으로 보아, DB암호화 솔루션과 키관리, 접근제어를 동시에 수행할 수 있는 HSM 도입을 강화할 것으로 예상되고 있습니다.



[그림 : Thales HSM nCipher]


하드웨어 암호화 모듈(HSM : Hardware Security Module)은 플러그인 방식과 TDE방식이 있는데 최근에는 기업에서 가장 많이 쓰는 오라클 서버에서도 TDE와 HSM을 연동하는 방식으로 사용할 것이 보안성이 가장 뛰어나다고 권고하고 있습니다. 결론적으로, TDE와 HSM을 연동할 시에 보안성 향상과 성능저하를 방지할 수 있어 유리합니다.


Thales의 nCipher HSM은 지불카드 산업데이터 보안 표준(DSS)을 준수하며, Oracle 11g 고급 보안 옵션의 일부인 TDE(Transparent Data Encryption)을 적용하면, 고객정보, 회계정보 및 기타 민감한 정보를 안전하게 암호화 할 수 있습니다. 또한, 데이터는 기존의 애플리케이션이나 프로세스를 변경하지 않고도 안전하게 관리됩니다.


Thales nCipher HSM은 최상의 보안등급으로 데이터베이스를 보호할 수 있습니다. 애플리케이션 및 운영체제와 별도로 암호화 키를 보호할 수 있으며, 암호화 키의 사용은 정책에 의해서만 실행됩니다. 그렇기 때문에 데이터베이스는 절대 노출되지 않습니다.


nCipher HSM은 Oracle 11g의 고급 보안옵션과 신속하고 간단하게 연동이 가능합니다. 암호화 키의 강력한 보호뿐만 아니라, 암호화 정보의 장기사용에 대한 확실한 보장을 제공합니다. 장애 복구 및 데이터 유지를 위해, 융통성 있는 적용 및 관리 옵션을 제공하여 암호화 체계의 관리 부담도 덜 수 있습니다.  단일 서버의 단독 시스템 또는 가상환경의 전체 네트워크 상에서 사용할 수 있는 nCipher HSM은 변화하는 다양한 비즈니스 환경에 효과적으로 대응할 수 있도록 설계되어 있습니다.


대표적인 TDE 방식 암호화에는 컬럼스페이스 방식과 테이블스페이스 방식이 있습니다. 아래에 컬럼 스페이스 방식과 테이블 스페이스 방식의 암호화의 차이점을 비교해보도록 하겠습니다. 스키마 및 인덱스 구조와 100% 호환되고 HSM에 의한 보호를 지원하는 테이블스페이스 방식이 암호화 방식에서는 유리하며 HSM 을 연동하기 위해서는 반드시 테이블스페이스 암호화 방식으로 전환할 필요성이 있습니다.


[컬럼 방식 암호화 VS 테이블 스페이스 방식 암호화]

 컬럼 방식 (Column Level Encryption)

 테이블 스페이스 방식 (Table Space Level Encrypton)

 - 테이블의 특정 컬럼만 암호화

 - 블록의 특정 부분만 암호화

 - SGA에도 암호화된 채로 존재


 - 테이블스페이스 전체가 암호화

 - SGA에서는 Clear Text로 존재

 - 기존 SQL 및 기능 사용상의 제약이 없음

 - 데이터사이즈의 증가가 없음



Oracle Sever에 TDE방식과 HSM을 연동하려면 반드시 오라클 11g R2 버전으로 마이그레이션이 되어야합니다.

(HSM은 오라클 서버 11g R2이하 버전, 컬럼 암호화 방식을 지원하지 않으므로 반드시 HSM 도입전에 오라클 11g R2 버전 이상으로 업그레이드 해주시기 바랍니다)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아





더보기


Trackbacks 0 / Comments 0

11월 29일 정보통신망법 시행령 개정 내용

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.12.22 18:05 / 카테고리 : nCipher HSM (Thales-HSM )


개인정보보호에 초점을 맞춘 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안(이하 정보통신망법)이 지난 11월 29일에 본격적으로 시행되었습니다. 특히 개인정보 유출사고 줄지 않고 지속적으로 발생하고 있고 이에 대한 피해를 줄이고 기업의 정보보호 수준을 높이기 위해서 시행되었습니다. 


특히 정보통신망법 개정안의 주요 내용 중 유심히 봐야할 항목은 개인정보유출시에 대한 피해자 구제 제도가 법적으로 강력해졌습니다. 이번 개정법에는 개인정보유출에 대한 법정손해배상제도가 새롭게 포함되어 있어, 개인정보 데이터베이스를 운영하고 있는 기업 및 기관은 반드시 정보통신망법 준수를 위해서 제도적(컴플라이언스 준수) 및 기술적인 조치(암호화 장비 도입)을 반드시 진행해야 합니다.




특히, 이번 정보통신망법의 개정으로 개인정보유출 피해자들은 최고 300만원 이하의 손해배상금을 별도의 입증이 없다라도 보상을 받을 수 있게 되어 있기 때문에 암호화, 접근제어 등의 기술적인 조치를 통해서 이를 안전하게 관리하고 예방해야만 대규모 개인정보유출사고에서 안전하게 고객정보를 관리할 수 있으며, 개인정보 유출에 대한 피해로 인해서 일어나는 막대한 손실을 예방할 수 있습니다. 또한, 기업에서 무는 과징금은 매출액의 최대 3%가 됩니다.


정보통신망법 시행령 개정으로 현행 3년 동안 이용하지 않은 이용자 개인정보 파기 조치도 1년으로 단축됩니다. 또한 광고 전송에 대한 사용자 선택권도 강화되어 2년마다 동의를 확인하는 기술적인 조치도 이루어져야 합니다. 이에 따라 포털사업자, 오픈마켓, 인터넷서비스 업체 등은 핸재 개인정보보관 시스템에 대한 전면적인 개편을 실시하려고 하고 있습니다.




개인정보 유출에 대한 손해배상 청구기간도 기존 보다 늘어나서 개인정보유출사고를 겪은 피해자는 통지를 받은 날로부터 3년 또는, 유출된 날로부터 10년안에 개인정보유출사고를 일으킨 기업이나 기관을 상태로 손해배상을 청구할 수 있게 되었기 때문에, 장기간 데이터베이스를 안전하게 보호할 수 있는 보안 솔루션 도입이 중요합니다. 하단에 대표적으로 사용되는 암호화 솔루션인 HSM, 카드지불 결제 보안 모듈, POS 보안모듈에 대한 내용이 있으니 참고하시기 바랍니다.



아래에 개정된 정보통신망법에 대한 주요 내용을 요약하였습니다. 특히 기업의 개인정보보호 의무와 제재수위를 강화한 내용이 많아 기업보안담당자 분들께서는 반드시 숙지하시고 다양한 컴플라이언스 준수 및 기술적 보호조치를 진행하여야 합니다.


[개정된 정보통신망법 시행령 개정안 주요 내용]

 종전

 변경 

 기업이 개인정보를 유출시켰을 경우 과징금은 매출액의 1%

 개인이 개인정보를 유출시켰을 경우 과징금은 매출액의 3%

 기업이 개인정보를 유출시켰을 경우 과징금은 정액 1억원 이하로 부과

 과징금 기존 정액 1억원 이하 폐지, 최대 정률 매출 3%로 상향 조정

 개인정보유출사고로 행정기관이 과징금 부과시 인과관계 입증 필요

 개인정보유출사고시 인과관계 입증 필요 없음 (기술적 보호조치 위반 사실이 있을 경우)

 개인정보 파기에 관련된 내용이 구체화 되어 있지 않음

 개인정보 파기는 복구 및 재생할 수 없도록 반드시 파기

 손해배상 청구 기간의 제한

 손해배상 청구 기간 확대 (통지를 받은 날부터 3년, 유출된 날로 부터 10년 안에 청구)

 개인의 권리를 침해할 수 있는 특정 정보에 대해서만 수집을 불허

 개인의 다양한 사생활 정보도 수집을 불허 (가족관계, 학력, 사회활동 경력 등)

 현행 3년동안 이용하지 않은 이용자 개인정보 파기조치

 현행 3년동안 이용하지 않은 개인정보 보관 기간을 1년으로 단축 조정


개정된 정보통신망법 시행령 개정안 보기 (국가법령센터) 

(4)정보통신망법.pdf







더보기



Trackbacks 0 / Comments 0

기업의 중요 자산을 보호하는 Thales GPHSM 솔루션 소개 (보안 솔루션)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.10 10:29 / 카테고리 : nCipher HSM (Thales-HSM )


기업의 중요 자산을 보호하는 방법으로 많은 기업들이 암호화 모듈을 도입하고 있습니다. HSM과 같은 보안 솔루션은 다양한 업체가 생산하고 판매하고 있지만, 암호화 모듈의 경우 가장 중요한 것은 성능과 보장 가능한 신뢰성이라고 할 수 있습니다.


한번 도입하면 바꾸기가 쉽지 않은 보안관련 제품 특성상, 보안 솔루션을 어떤 브랜드의 제품으로 구입할 것인가 하는 것도 매우 중요한 문제입니다. 이번에는, 전세계 시장 점유율 1위를 하고 있는 Thales에 대한 소개와 Thales의 GPHSM에 대한 장점을 소개하도록 하겠습니다.





Thales는 신뢰를 최우선 하는 오랜 국방 사업 경험을 바탕으로 군, 정부, 일반기업의 정보 시스템 보안 시장을 위한 최고의 기술을 자랑하는 글로벌 기업입니다. 전세계적으로 68,000명의 직원이 있으며, 세계 각국 50여 나라에 자회사를 보유하고 있으며, 각국에는 다양한 협력사가 있습니다. 아이마켓코리아는 Thales 협력사로써 Thales 제품에 대한 공식 총판입니다.


또한, APAC 기술지원 센터가 홍콩에 있고 40년 이상의 풍부한 경험과 실적으로 국방 사업 경험을 바탕으로 한 정보 시스템 보안 사업에서 절대적인 신뢰성과 안정성을 보장합니다.

Thales의 고객으로는 21개의 NATO 회원국과, 20개의 대행 은행 중에 19개 은행을 고객으로 하고 있으며, 전세계적으로써는 3,000개 이상의 금융기관에 Thales의 보안 솔루션이 도입되어 있어, 전세계 적으로 기술력을 인정받은 글로벌 기업입니다.


가장 중요한 보안관련 사업 실적으로는 PHSM 제품의 경우 전세계 70% 이상을 점유하고 있으며, GPHSM은 전세계의 40%를 점유하고 있습니다. 또한, 네크워크 구간 암호화 장비 같은 경우도 전세계의 40%의 제품이 Thales e-security의 제품입니다.




Thales e-security의 제품 라인업으로는 Application Security, Identity Security, Payment Seurity, Network Security, Storage Security가 있습니다.

아이마켓코리아에서는 Thales e-security의 대표적인 제품인 GPHSM(nShield Connect, Solo), 네트워크 보안장비(DataCryptor), 지불결제 보안 모듈(Payshield 9000) 등을 공급하고 있습니다.


아래에서는, 아이마켓코리아가 정식으로 유통하는 Thales의 보안 제품 중 가장 많이 사용되고 있는 GPHSM 제품인 nShield 제품군에 대해서 설명을 드리도록 하겠습니다.

GPHSM은 간단하게 암호화 키를 보호하고 관리할 수 있는 암호화 솔루션입니다. 중요한 비즈니스 로직과 데이터베이스를 보호하고 관리하는데 있어서 최적화 된 제품입니다.


[Thales GPHSM 특장점]

첫째, Thales의 GPHSM은 애플리케이션이 암호화 키를 직접 접근하지 않으며 키는 HSM 밖으로 복호화된 상태로 노출되지 않기 때문에 안전합니다.

둘째, SEE(Secure Execution Engine)을 통해 중요 어플리케이션 Code를 보안에 안전한 HSM 박스 내에서 수행하는 기능을 제공합니다. SEE는 HSM 개발자 툴 킷 옵션 형태로 제공됩니다.



셋째, Thales의 nShiled Connect는 현존하는 가장 빠른 HSM입니다.



넷째, Thales GPHSM은 Oracle 11g와 MS SQL 2008과 연동이 가능합니다.



Thales HSM은 웹 환경에서의 중요 정보를 보호할 수 있으며, 중요한 로그인 및 고객 정보등 (PINs, Password, other Secrets)에 대한 안전한 보호가 가능하며, 내부 개발자 및 운영자 또는 악성코드와 같은 의도적인 공격에 대한 보호가 가능합니다. HSM을 통해 암호화 및 복호화, SSL 세션, 인증 로직과 같은 중요 로직도 HSM 내부에서 처리가 가능합니다.


Thales HSM은 하이테크 산업에서도 적용할 수 있습니다. 생산공정에서의 생산량을 제어할 수 있고, 하이테크 제품의 위조 방지, 제품에 대한 강력한 인증 및 추가적인 보안을 구축할 수 있습니다. 적용방법으로는 생산공정에 위조 방지 카운터를 추가하거나, 인증되지 않은 장비의 사용방지, 장비에 디지털 인증서 주입(장비의 안전한 식별 및 인증, 네트워크 상의 트래픽 암호화)을 통해 가능힙니다.


국내 적용 사례로는 공인인증기관, 전자문서 보관소 등의 키 보호 및 서명에 사용되고 있으며, 금융기관에서도 인터넷뱅킹 키 보호와 암호화에 따른 부하를 분산시키는 용도로 HSM이 사용되고 있습니다. 카드 발급시, 제조에도 키보호 용도로 사용되고 있습니다. 추가적으로 Thales의 지불결제 모듈을 통해 카드사에서는 키보호 및 지불거래처리시에 보안성을 보장 하고 있으며 ATM에도 키보호 솔루션으로 도입되고 있습니다.


※ Thales HSM에 대한 자세한 정보를 알고 싶으시다면, 온라인 카탈로그 페이지(http://it.imarketkorea.com/hsm.php)를 참조하시기 바랍니다.



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아





더보기



Trackbacks 0 / Comments 0

암호화 방식과 데이터베이스 보안(DB 보안)의 종류

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.07 20:11 / 카테고리 : nCipher HSM (Thales-HSM )



기업의 중요한 정보를 보호하는 가장 좋은 방법은 바로 암호화입니다.

암호화는 평문이라고 불리는 문서, 사진, 비디오파일, 데이터베이스와 등와 같은 데이터를 기계가 읽을 수 있는 수학적인 공식으로 이루어진 알고리즘을 통해 암호문형태의 읽을 수 없는 형태의 데이터로 전환하는 과정을 말합니다.


대표적으로 암호화에는 2가지 방법이 있습니다. 바로 대칭키 암호화 방식과 비대칭키 암호화 방식으로 구분 지을 수 있습니다.


대칭 키 암호화는 암호화와 복호화에 같은 키가 사용되는 방법으로 대칭 키 알고리즘의 종류로는 3DES, AES 또는 SEED를 들 수 있습니다.

비대칭 키 암호화는 암호화와 복호화에 공개키와 개인키를 쌍으로 불리는 매우 큰 소수의 수학적으로 관련된 한쌍으 이용하는 암호화 방법입니다. 제약 없이 배포되는 공개키는 누군가 암호화된 정보를 키 쌍의 소유자에게 보내고 싶을때 해당 정보에 암호화에 사용됩니다.

또한, 이 암호화된 정보는 오직 소유자만이 가지고 있는 개인 키로만 복호화가 됩니다. 비 대칭키 알고리즘의 종류로는 RSA와 KCDSA가 있습니다.


키는 암호화 알고리즘의 매개변수로써 모든 암호화 방식에서 가장 중요한 정보의 구성요소가 됩니다. 당연히 복잡할 수로 키는 안전합니다.

암호화는 표준으로 제정되며 안전성이 입증되고 완성되며, 표준화됩니다. 많이 알려진 암호화 알고리즘의 하나인 DES 알고리즘은 1974년에 개발되었고 1977년에 미국정부에 의하여 국가 표준으로 채택되었으며 현재는 2002년에 표준으로 채택된 암호화 알고리즘인 AES를 가장 많이 사용하고 있습니다. 


가장 중요한 DB보안의 방식은 크게 DB접근제어와 DB암호화가 있으며 DB 접근제어는 DB서버에 접근하는 SQL, DB명령어 등 모든 요청이 DB서버에 도달하기 전에 중간에서 모니터링/허용/차단/변조하는 것을 의미합니다. 예를 들어, 특정 사용자가 실행할 수 있는 SQL을 시간대별로 제어하거나 대량의 개인정보 유출 가능성이 있는 SQL은 어떤 경우에도 실행을 차단하는 기능을 제공합니다.


DB암호화는 DB서버 내의 데이터 자체를 암호화 하는 것입니다. 해커나 내부 직원이 어떤 방법으로든 방화벽, 접근 제어 등의 모든 보안 솔루션을 다 통과해서 DB서버까지 들어 와서 데이터에 접근했다고 해도 개인 정보는 암호화 되어 있기 때문에 유출되지 않습니다.

대표적인 암호화 방식으로는 TDE방식과 TDE + HSM 방식, 그리고 소프트웨어 기반의 암호화 방식, 그리고 하드웨어 기반 DB암호화 방식이 있습니다.

그 중에서 많이 활용하고 있는 DB암호화 방식인 TDE와 TDE + HSM 방식의 차이점을 설명드리도록 하겠습니다.



[DB 암호화의 종류]

1. TDE(Transparent Database Encryption)

열쇠를 자전거 보관소 안에 두는 방식입니다.  즉, 암호화를 풀 수 있는 암호화 키를 DB서버에 파일 형태로 두는 것입니다. 이 기능은 오라클이나 MS-SQL등의 DB 업체를 통해서 구매할 수 있습니다. 이 방식의 장점은 속도가 가장 빠릅니다. DB를 사용하는 애플리케이션을 수정할 필요 없어 편리합니다. 단점은 DB서버 CPU에 부하가 발생하고, DB서버 파일 시스템이 해킹당하면 암호화 키도 유출할 수 있다는 점이며, 체계적인 암호화 키 관리도 어렵습니다.



2. TDE + HSM(Hardware Security Module)

열쇠를 자전거 보관소 안에 두지만 작은 상자 안에 넣어 두고 그 상자는 또 다른 열쇠로 잠궈 놓는 방식입니다. 암호화 키 자체를 암호화해 DB서버의 파일에 두고, 키를 암호화하는데 사용한 또 다른 키는 DB서버 외부의 HSM(Hadware Security Module)에 보관합니다. HSM 이란 키를 안전하게 보관하기 위한 전용 하드웨어 장비로 탈레스, 세이프넷 등의 전문 업체가 있습니다. 암/복호화 작업이 실행 중인 동안에는 키가 DB서버의 메모리에 존재합니다. 이 장점은 TDE 방식과 동일합니다. 하지만 HSM장비를 같이 활용하여 성능과 보안성을 강화할 수 있다는 점이 다릅니다. 하드웨어 보안 모듈(Hardware Security Module, HSM)의 사용은 보안을 최고 수준으로 구현할 수 있도록 보장합니다.

※ TDE + HSM 관련 글 보기 : 효율적인 오라클 DB암호화 방법 - TDE와 HSM / Microsoft MS-SQL TDE (EKM 키 관리)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아






더보기



Trackbacks 0 / Comments 0

PCI–DSS 감사 및 규제준수를 위한 효율적인 방안 - (Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.02 14:42 / 카테고리 : nCipher HSM (Thales-HSM )


PCI DSS(Payment Card Industry Data Security Standard:지불결제산업 데이터보안표준) 감사 및 규제 준수

신용카드 또는 직불카드 지불결제와 관련된 각종가맹점, 은행, 기타관계자는 주요 기업 목표를 실현하는 것과 동시에 오늘날 가장 상세하고 포괄적인 데이터 개인정보보호표준의 하나인 PCI 데이터보안표준 (PCI DSS)에 규정된 의무를 이행하기 위해 계정 데이터의 개인정보를 보호하는 수단을 강구하여야 합니다. 



PCI DSS는 계정 데이터 처리, 저장 및 전송에 대한 엄격한 요구사항이 정해져 있습니다. 표준에 대한 적합성을 정기적으로 유효성을 확인하여야 하며, 적합하지 않은 경우 벌금이 부과되고 다른 신용카드의 취급이 중지될 수 있습니다. PCI DSS는 결제 에코시스템에 특화된 것이지만, 많은 관계자로부터 취급에 주의를 요하는 다양한 유형의 데이터에 대해 일반적인 표준 집합을 구체화한 것으로 간주되어 헬스케어등 다른산업에서도 활용 될 수 있습니다. 


PCI DSS 준수를 실현하려는 조직은 다음과 같은 여러 도전에 직면하게 됩니다.

① 사전 감사가 실시된다 : PCI DSS 감사 절차는 인가감사원의 연례현장검사 또는 자체평가와 정기적인 침투 시험이 포함됩니다. 이에 대해 개인정보 대부분의 다른요구의 적합성에 대해서는 위반사유가 발생한 경우만 감사가 이루어집니다.

② 적합성은 다양한 시스템과 프로세스에 영향을 미칠수있다 : PCI DSS는 기업의 모든 위치에 있는 카드소유자 데이터에 액세스하는 모든 IT 시스템에 적용됩니다. 따라서 잘 조정된 유기적인 접근이 요구되지만 어떠한 영역에서 유연성이 제한될 수 있습니다.  

③ 가능하면 적합성의 범위를 최소화 : PCI DSS의 범위와 영향을 최소한으로 억제하려고 하는 일정한 동기가 계기가 되어, 암호화 및 토큰화의 사용지침이 발행되었습니다. 이 범위를 최소화하면서 적합성을 확보하려면 역시 충분한 주의가 필요합니다.

④ 신기술이 비용과 복잡성을 증대시킬 수 있다 : PCI DSS는 비교적 특수한 것이며, 암호화 등의 새로운 기술의 전개, 기존 비즈니스 응용프로그램의 변경, 새로운 보안 프로세스 및 액세스 제어 설정 등을 유도할 수 있습니다.

⑤ 표준의 진화에 따라 불확실성이 증대 : 모든 개인정보 데이터 보호 요구 및 공개 의무는 위협과 지역적인 법률의 변화에 따라 진화해야 합니다. 조직 적합성에 대한 의무와 보안에 대한 일반적인 목표를 일치시키려고 할 때 상당한 불확실성에 직면합니다. 


[위험]

① 적합하지 않은 경우 벌금과 회비증액이 요구되며, 신용카드의 취급이 중지 될 수 있습니다.

② PCI DSS 준수를 분리하여 생각 할 수 없습니다. 각 조직은 여러 보안 요구 및 데이터 유출 공개에 대응해야 합니다. 반면에, PCI 준수 프로젝트는 광범위한 보안 노력에 의해 본래의 주제에서 그것을 회피하는 경향이 있습니다.

③ PCI DSS는 이미 실시되고 있는 일반적인 방법이 포함되어 있습니다. 그러나, 다른 측면으로는 구체적으로는 암호화 관련 측면은 조직에 새로운 것 일 수 있으며, 정확한 디자인을 하지않으면 구현시에 혼란을 일으켜 업무 효율에 악영향을 미칠 수 있습니다.

④ PCI DSS에 대한 의무의 범위를 축소함으로써 비용과 영향을 줄일 수 있는 경우가 있습니다. 그러나, 새로운 시스템 및 프로세스가 실제로 표준을 준수하는 것으로 받아들여질 수 있도록주의를 기울이지 않으면 시간과 비용을 낭비해 버릴 우려가 있습니다.



PCI DSS 감사와 규제 준수 

탈레스 e-Security솔루션

은행 및 금융기관에 의한 업계의 요구에 대한 적합성을 지원해 온 수십년의 경험을 살려 탈레스 e-Security는 카드 소유자 데이터의 저장, 전송을 위한 암호화, 그리고 액세스 제한을 가능하게 하는 제품과 서비스를 제공합니다. 또한 탈레스는 표준에 대한 적합성에 대한 부담의 범위를 줄일 수 있는 다양한 솔루션을 제공하기 위해 다양한 파트너와 긴밀히 협력하고 있습니다. 또한 인증을 받은 PCI DSS 인증심사기관 (Qualified Security Assessor : QSA)으로 탈레스는 그 전문지식을 확장하고 사전평가 및 컨설팅 서비스를 통해 고객의 표준 준수작업을 지원하는 것은 물론, 일정한 영역에서 공식적인 PCI DSS를 감사할 수 있습니다. 



PCI 데이터보안표준 (www.pcisecuritystandards.org)에는 200개 이상의 테스트에 대한 평가를 규정하고 있으며, 이러한 테스트는 6가지 주요 원칙이 반영된 일반적인 보안영역으로 분류되어 있습니다. 이러한 테스트는 암호화 키 관리 및 기타 데이터 보호방법 등의 기술뿐만 아니라,다양한 일반 보안 기술에 이르고 있습니다.


탈레스는 PCI DSS의 6가지 주요 원칙에 대응하는 다양한 솔루션을 제공하고 있습니다.

① 카드 소유자 데이터 보호 : 표준 준수에 있어서는 카드 소유자 데이터를 공공네트워크에서 전송하는 경우 암호화 및 저장된 카드소유자의 데이터 보호가 요구됩니다. 조직은 전송시데이터를 보호하는 네트워크 암호화 및 SSL / TLS 암호화의 확장뿐만 아니라, 데이터를 보호하고 표준 적용범위를 좁히기 위해 스토리지 암호화, 데이터베이스 암호화, 응용프로그램 수준암호화,토큰화 및 "단대단" 암호화 등의 기술도 전개하고 있습니다.

② 강력한 접근 통제수단의 구현 : 모든 데이터 보호기술은 액세스 제어와 함께 사용됩니다. PKI 및 디지털인증서 등의 암호화 기술은 사용자나 시스템의 인증을 위해 암호 보안의 범위를 넘어 널리 사용되고 있습니다. 또한 암호화된 데이터의 잠금을 해제하기 위한 데이터 암호 해독키에 대한 액세스 제어를 알필요가 있는 사람으로 제한하는 강력한 추가 보안계층이 제공됩니다.

③ 안전한 네트워크 구축 및 유지 : 네트워크 수준의 암호화 이외에 네트워크 보안의 중요한 구성 요소 중 하나는 네트워크 장치의 고강도 인증입니다. 디지털 인증정보는 장치 수준에서 네트워크 액세스제어에 채용되는 것이 많아지고 있어 기업의 PKI의 보안에 대한 중요한 고려사항입니다.

④ 네트워크의 정기적인 모니터링 및 테스트 암호화 사용의 증가의 과제 중 하나는 네트워크 기반 모니터링을 통해 암호화 보호 보다 하층에서 들어오는 공격에 의한 취약점에 노출될 수 있는 것 입니다. 따라서, 암호화는 포장을 일시적으로 제거함으로써 데이터를 안전하게 분석할 수 있는 이벤트 모니터링 시스템 및 데이터 손실방지 시스템이 필요합니다.

⑤ 취약점 관리 프로그램 유지 : 악성코드를 침투시켜 비즈니스 응용 프로그램을 파괴하는 것을 의도한 APT 공격이 증가함에 따라 비즈니스 시스템 및 응용프로그램 소프트웨어의 무결성과 신뢰성을 증명하기 위한 방법으로는 디지털 서명 및 코드서명의 사용이 주목 받게 되었습니다.

⑥ 정보 보안정책의 유지 : PCI DSS는 내부자 공격의 위험을 최소화하기 위해, 직원의 업무를 명확하게 구분하는 것을 특히 중시하고 있습니다. 암호화의 사용이 직무분리를 실행하고 신뢰할 수 있는 이벤트 기록을 작성하여 적합성을 입증하기 위한 강력한 메커니즘을 제공합니다.


[장점]

① 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.

② 전 세계 결제 거래의 80% 이상의 보안을 지원하는 현장에서 입증된 기술을 사용합니다.

③ 레거시 시스템과 클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든위치의 카드소지자 데이터를 보호합니다.



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아





더보기



Trackbacks 0 / Comments 0

데이터베이스(DB) 보안의 필요성

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.10.01 19:52 / 카테고리 : nCipher HSM (Thales-HSM )


최근에 잇다른 개인정보유출사고로 인해 고객과 기업데이터베이스에 보호에 대한 Need가 높아지고 있습니다. 이제는 기업의 내부 기밀뿐만 아니라 기업이 소유하고 있는 고객들의 DB(데이터베이스)까지 보호해야 하기 때문에, 기업의 데이터베이스 보안에 대한 부담은 계속 커지고 있는 추세입니다.


하지만 실상은 국내 기업들은 DB보안에 대해서 투자하는 것을 꺼리고 있는 실정입니다. 보안에 투자하는 것이 기업에 있어서 손실이라고 생각하는 기업대표와 임원의 인식이 기업보안을 가로막고 있습니다.


보안은 손실이 투자의 개념으로 보셔야합니다. 앞서 있었던 카드3사의 개인정보 유출이나 오픈마켓 A사의 개인정보 유출사고 등으로 피해보상을 요구하는 고객들은 많아지고 있으며, 장기적으로 볼때 기업의 신뢰성과 고객을 잃어버리는 계기가 됩니다.


최근 국회에서는 카드정보 유출사태에 따른 긴급국정조사를 9월 30일에 진행하였습니다. 본 회의에서는, 카드 3사에 대한 현장조사는 물론, 금융감독기관 및 정보보호 관련 부처에 대한 종합조사까지 이루어졌습니다. 또한 정보보안 권고사항도 다수 포함이 되었습니다.



국회에 제출된 보고서에 따르면 카드 3사의 개인정보유출사고는 고객 DB에 대한 암호화를 전혀하지 않은 것이 근본적인 원인으로 뽑았고 개인식별정보 변환 조치를 하지 않는 등의 기술적 조치의 미흡사항, 외주직원의 USB사용 허용과 접근제어의 부실, 출입관리 부실 등의 내용이 드러났습니다.


또한 테스트시에도 실데이터의 사용을 금지하고 이를 변환하거나 암호화하여 사용하도록 규정하였지만 이를 지키지 않고 위반한 것으로 확인되었습니다.

국회에서 조사한 보고서에 따르면 증권사의 경우 고객정보의 1/3정도, 보험사는 고객정보의 1/2 정도만 암호화 하고 있는 것으로 드러났습니다.

국회는 이번 보고서에 나온 결과를 토대로 금융당국과 금융회사에 시정 명령을 내렸습니다.


[국회에서 지시한 보안 관련 시정 명령]

1. 금융사 보유 개인정보에 대한 암호화 확대 시행 방안 검토

2. 시스템 개발 외주인력의 고객정보 접근 및 USB 등 외부저장 매체의 반입 전면 금지

3. 정보보호 예산 집행의 적정성에 대한 지도 및 점검 강화

4. 정보보호최고책임자(CISO)의 타 IT 관련 직위와의 겸직 제한

5. 금융회사 정보보안에 대한 국제인증인 카드결제산업 정보보안기준(PCI DSS) 적용 방안 검토

6. IT정보보호 인력 양성 방안 검토

7. 금융회사 내부직원 보안등급제 도입해 정보접근의 범위 및 사용절차 등에 대한 구체적 기준 마련 

8. 금융회사의 과도한 IT아웃소싱 비율 감소 방안 강구

9. 금융회사 자체 정보보호 관련 내부통제 정기검사 의무화 

10. IT경영실태평가시 보안관련 규정의 실제 준수 여부 점검

또한, 국회는 규제 당국이 마련한 조치들을 이행하지 않고 정보보호에 소홀했을 경우 법적 제재 수위를 크게 높이고 민형사상 책임을 묻겠다고 엄정 경고하였습니다.


이러한 사회적 이슈와 국회의 시정명령 때문에 회사 자체 인력으로 운용할 수 있는 DB보안 솔루션에 대한 관심이 높아지고 있습니다. DB보안 솔루션이란 중요 정보 데이터베이스를 암호화를 적용시켜 해독을 못하게 만들어 유출을 방지하고 유출이 되어도 이를 활용할 수 없게 만드는 기능과 특정 사용자의 접근을 제어하는 접근제어를 통해 데이터를 안전하게 관리하는 솔루션을 말합니다. 


DB 보안의 최종적인 목표는 암호화와 접근제어를 동시에 진행하는 것으로, 두 기능다 성능의 저하 없이 완벽한 보안성을 보장하는 솔루션을 선택하는 것이 필수입니다.


데이터베이스(database) 보안은 전통적인 방식으로 보자면 DMZ 존과 상반된 내부 네트워크 내에 데이터베이스 환경이 존재하여, 경계가 되는 방화벽이나 라우터에 의해 외부 연결로 부터 보호하는 형식으로 진행되었습니다. 하지만 최근에는 근본적인 데이터베이스(DB)에 대한 안전한 보호를 위해 암호화 기술에 대한 필요성이 높아졌습니다.


결론적으로 컴플라이언스 준수를 통한 제도적인 규제와 HSM(하드웨어 암호화 모듈)과 같은 암호화 장비를 통한 기술적 조치를 통해 안전한 보안을 구축하지 않으면 기업에 있어서 큰 위협이 될 수 있다는 점을 시사하고 있습니다.


더보기


전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아




Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 354,144
  • 오늘 : 0
  • 어제 : 87
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.