블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 11. 19. 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

개인정보 유출 사고, 랜섬웨어 예방을 위한 기업용 백신 - 암호화 키 관리 솔루션 탈레스 HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 9. 28. 02:19 / 카테고리 : nCipher HSM (Thales-HSM )




 개인정보 유출 사고, 랜섬웨어 예방을 위한 기업용 백신 

 - 암호화 키 관리 솔루션 탈레스 HSM 







지난 7월 말, 성형외과에서 홈페이지 서버가 전문 해커집단에 해킹돼 개인정보가 유출되는 사건이 발생했습니다. 보안뉴스의 보도에 따르면 피싱 메일, 문자를 통해 금전적 손해를 발생시킬 수 있다는 공지를 올렸고, 유출된 개인정보는 이름, 아이디, 이메일 주소, 전화번호 등 4가지 라고 밝혔습니다. 이와 함께 우려했던 2차 피해가 발생했으며, 이 성형외과에 다닌 이용자에게 랜섬 메일이 발송된 것입니다. 이러한 유형의 랜섬메일 공격이 늘어나는 추세인 만큼 기업과 기관에서는 각별한 주의가 필요하다고 보도했습니다. 







최근 비트코인 거래소 뿐만아니라 일반 사용자 PC 또는 이번 사건과 같은 다양한 사례의 피해가 발생하고 있으며, 랜섬웨어는 점차 고도화되고, 지능화되어 걷잡을 수 없을 만큼 큰 피해로 잇따랐습니다. 


이러한 문제는 개인정보에 대한 기밀성, 무결성, 가용성 확보가 매우 중요하고, 이를 시행하기 위해서는 암호화가 선행되어야 합니다. 또한 암호화를 제공하는 키 관리 또한 매우 중요한 시사점을 갖고 있습니다.







아이마켓코리아에서는 안전한 암호화 키관리를 통해 제공되는 DB암호화 솔루션인 탈레스 HSM을 공급하고 있습니다.


탈레스 HSM은 여러종류의 제품군으로 구성되어 있어 요구하는 사양에 따라 선별하여 제공이 가능합니다. 또한 운영체제와 별도로 암호화 키 관리를 보호하고, HSM 암호화 키관리 및 XecureDB Service Server 이중화 지원이 가능합니다. 따라서 안전하게 시스템을 보호할 수 있습니다. 







시스템 구축 단계에서부터 망 분리와 백업 등 다중 보안이 적용되어있기 때문에 더 안전하게 시스템을 보호 할 수 있습니다. 







하드웨어를 통한 키 관리가 가능하기 때문에 데이터 보호와 호스트 서버의 부하를 경감시킬 수 있다는 장점이 있습니다. 이에 따라 서버가용성을 높일 수 있습니다.







암호화 키 관리 솔루션 탈레스 HSM의 특장점 으로는

 

 - 검증된 Thales HSM을 통하여 서버, 운영체제와 별도로 암호화 키 관리를 보호됩니다.

 - HSM 암호화 키관리 및 XecureDB Service Server 이중화 지원으로 안전하고 안정적인 운영지원됩니다.

 - XecureDB의 암호화 키 및 정책은 DB서버에 암호화 키와 통제정책을 일체 저장하지 않고 HSM 장비와 정책서버에 저장되어 안전하게 보호됩니다.

 - 정책서버에 등록된 암호화 API만 암호화가 수행되도록 통제하며 암호화 키는 AP서버의 메모리에 저장되어 사용됩니다.

 - XecureDB는 암호 키 생성 시 암호화 키의 사용기간 및 유효기간을 설정하여 암호화 키 라이프 사이클 관리를 지원합니다. 

 - 발급된 키는 암호화 가능, 복호화 가능, 사용기간 만료, 폐기로 구분하여 관리합니다. 

 - DB 암호화 적용 시 컬럼 사이즈 증가 및 신규 컬럼 추가 없이 DB 암호화 적용 후 데이터 사이즈 증가 없습니다. (단, 숫자 데이터에 한함 암호화 (자사 특허)  ※국정원 표준 암호화 알고리즘으로)

 - 암호화된 로컬 정책을 암호화 수행 서버(API, Plug-In)로 동기화하여 정책서버 장애와 관계 없이 무중단 암복호 수행 (자사 특허)




탈레스 HSM은 다양한 운영체제 환경에서 지원됩니다.

구성요소

지원 환경

XecureDB 
API 방식

API

ASP,ASP.NET,C,C++,JAVA,JSP,PHP,Stores Procedure

Service
Server
(Daemon)

Solaris 2.6이상, AIX 4.3이상, HP 11.0이상,

HP-ia(Itanium) 11.23이상, Linux Kernel 2.4이상,

Win 2000 sercer 이상, Solaris x86 2.9이상

 DBMS

모든 DBMS 지원

XecureDB 
Plug-in 방식

 Service Server (Daemon)

DBMS 운영체제,

Solaris 2.6이상, AIX 4.3이상, HP 11.0이상,

HP-ia(Itanium) 11.23이상,

Linux Kernel 2.4이상,

Win 2000 sercer 이상, Solaris x86 2.9이상 

 DBMS

Oracle, MS-SQL, DB2, Sybase, Tibero 등
대부분 상용 DBMS 지원

XecureDB Manager

Windows 98, Me, 2000, XP, 2003, Vista, Windows7 등 

 XecureDB Migrator

사용자 환경: Windows98,Me,2000,XP,2003,Vista, Windows7 등

DBMS O/S: 모든 O/S 지원



탈레스 HSM 제품군으로는 네트워크 접속형인 nShield Connect제품과 서버 내장형 방식의 nShield Solo 제품군으로 구분되며 사용자의 서버 환경에 따라 선별 할 수 있습니다.








탈레스 HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2와 Level 3를 인정받았습니다. FIPS 140-2 인증이란 FIPS(연방정부 정보처리 표준) 140-2는 IT 제품이 기밀은 아니지만 민감한 용도로 사용될 때 충족해야 할 암호화 및 관련 보안 요건을 규정한 미정부 표준입니다. 또한 IT 기업 오라클과 마이크로 소프트에서도 인증 받은 이력이 있습니다.







탈레스 HSM을 통해 안전한 화폐거래소 및 개인정보를 보호 하실 수 있습니다.


 

- HSM 시장 점유율 1위

- 방위산업사업분야 업계에서 인증된 보안 우수성

- HSM 내 별도 암호키 생성과 저장을 통한 키 값 보호

- 하드웨어 키 보호 시스템은 논리적으로 접근 불가

- 물리적 접근시 키 값이 삭제 처리되어 내부자에 의한 키 탈취 불가

- 백업으로 통한 키 관리 어려움을 해결

- 암호키 분실을 대비한 중앙집중적 암호하 키 관리 기능




개인정보 유출 사고와 랜선웨어를 예방하기 위한 기업용 백신 - 암호화 키 관리 솔루션 탈레스 HSM에 대한 자세한 문의는 아래 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내해 드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

GDPR 시행에도 계속되는 데이터 유출 사고, 해결책은? 보메트릭 데이터 보호 플랫폼

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 6. 19. 17:51 / 카테고리 : 보메트릭 암호화 솔루션


 GDPR 시행에도 계속되는 데이터 유출 사고, 해결책은?

 보메트릭 데이터 보호 플랫폼 








지난 2018년 3월, 페이스북에서 개인정보 유출 사건이 일어났습니다. 약 5000만 명이라는 사상 최대의 개인정보가 유출되었으며 영국 여론 조작 및 미국 대선 개입 의혹까지 제기되었습니다. 이에 페이스북 CEO 마크 저커버그는 "우리는 이용자의 정보를 보호할 책임이 있다. 만일 보호하지 못한다면 정보를 가질 자격이 없다"며, "이 사태는 신뢰를 저버린 것이다. 더 많은 노력을 하지 못한 점에 대해 죄송하게 생각한다."고 밝혔습니다.







페이스북 뿐만 아니라 구글에서도 위치정보, 카메라·마이크 접근 등 개인정보 유출 문제가 계속하여 제기 되고 있으며, 랜섬웨어, 파일리스 악성 코드 등이 다시 기승을 부리기 시작하면서 데이터에 대한 위협은 끊임 없이 계속 되고 있습니다.







이에 유럽은 지난 5월 25일부터 GDPR(개인 정보 보호 관리법 General Data Protection Regulation)을 시행하였습니다. GDPR은 단순한 데이터를 잘못 관리하더라도  2,000만 유로나 매출의 5%에 이르는 벌금이 부과 됩니다. 그러나 SAS 글로벌 조사에 따르면 GDPR에 알맞은 대응을 완료한 기업이 7%에 불과하다는 통계가 나오고 있습니다.  법 규제는 시행되고 있지만 기업의 대응은 미비한 것이 현실 입니다. 보안 체계와 플랫폼을 구축하여 법의 규제 뿐만 아니라 데이터 보호를 신속하고 안전하게 준비해야 합니다.


하지만 기존의 타제품들의 경우 기존의 제품은 일반 x86 서버 또는 파일에 의존하여 키 관리 기능이 미약하기 때문에 개인정보를 비롯한 데이터 보안에 취약하다는 단점이 있습니다. 또한 암호화 대상에 따라 구축기간이 상이하여 설치에서 암호화 완료까지 상당시간 소요된다는 것은 물론 비정형 데이터 암호화가 지원되지 않은 점은 큰 문제점으로 꼽혔습니다.




[ 보메트릭 데이터 보호 플랫폼 ]




이러한 문제점들은 아이마켓코리아에서 공급하고 있는 보메트릭 데이터 시큐리 플랫폼 ( Vormetric Data Security Platform ) 으로 해결할 수 있습니다.







타 암호화 솔루션과 다르게, 보메트릭은 전용 장비를 통해 키를 관리하기 때문에 안전하게 관리 및 보호가 가능하며, 네트워크 장애 시에도 암·복호화에 영향을 미치지 않아 보안 및 관리에 탁월 합니다. 또한 모든 서버의 비정형 데이터 암호화를 지원하고, 암호화 데이터와는 별도 장비로 암호 키 관리 시스템을 제공하기 때문에 보다 효율적이고 강화된 보안 환경을 구축할 수 있습니다.



보메트릭 데이터 암호 키 및 정책 관리


  • 중앙집중형 단일 인터페이스를 통한 암호 키 관리
  • 소프트웨어, 하드웨어 일체형 어플라이언스 또는 가상 머신 형태
  • 가용성 확보를 위한 이중화 구성 지원
  • 1만대 이상의 서버 환경에서 입증된 관리 기능
  • 웹과 CLI 기반 콘솔 및 자동화 API 지원
  • 미국 연방 정부 FIPS 140-2 Level 3 인증 확보
  • 별도 장비에 의한 안전한 암호 키 관리
  • 관리자 권한 세분화로 안정성 강화








또한, API방식의 암호화 및 토큰 방식이 조합되어 단순API 방식에 비해 편의성과 보안성이 대폭 증가된 형태의 데이터 보안이 이루어 질 수 있습니다. 




[ 보메트릭 데이터 보안 구축 전략 - API방식 암호화와 토큰 방식의 조합 ]








 API 방식 암호화

- 에이전트(암호모듈)을 WAS 등 Application 서버에 설치하고 소스코드 수정을 통해 암호화 구축

- 저장 데이터(data-at-rest) 뿐만 아니라 WAS ↔ DBMS 구간 데이터(data-at-transition)에 대한 추가적인 보호

토큰 방식 데이터 보호

- Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요

- 토큰화가 적용된 개인정보DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체값 적용)

- AD/LDAP 등 계정관리시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용

FPE(Format Preserving Encryption) 지원

- 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

- 미국 NIST 의 암호화 표준 규격 중 FFX 3 모드 적용

- 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불 필요

파일 암호화 기능 향상

- VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

- 두 제품 간의 호환성 증가로 보다 유연한 적용 가능




보메트릭 데이터 보호 플랫폼을 통한 보안 구축 절차는 구축 준비 및 사전 분석, 구현 및 검증, 운영 이행, 안정화 순으로 이루어집니다. 자세한 내용은 아래 표에서 확인할 수 있습니다.




구축 준비

사전 분석

프로젝트 수행 TFT 구성

- 고객사와 제안사 인력


업무/어플리케이션 분석

- 대상 시스템 환경 분석

- 업무 특성 및 프로세스 분석

- 어플리케이션 아키텍처 분석


영향도 분석

- 대상 시스템의 성능 분석

- 스토리지 증가량 분석

- 암호/토큰 성능 예측


데이터 보호 정책 수립

- 암호/토큰 대상 필드 확정

- 암호 알고리즘 확정

- 암복호화 권한 정책 확정

- 실시간마스킹 권한정책 확정

구현 및 검증

테스트 환경 구축

- 제품 설치 및 구성


암호화 적용

- 개발자 교육

- 개발자에 의한 소스 수정

- 테스트 데이터 마이그레이션


테스트를 통한 검증

- 테스트 시나리오 작성

- 테스트 수행

- 결과 분석


개선 사항 도출 및 대응

- 어플리케이션 추가 수정

- 암호/토큰 정책 재 설정

운영 이행

이행 계획 수립

- 이행을 위한 세부 계획 작성

- 원복 계획 작성

- 이행 리허설


운영 서버 적용

- 수정된 소스코드 배포

- 운영 데이터 마이그레이션


이행 작업 수행

- 계획에 따라 이행 작업 수행

안정화

모니터링

- 적용 후 운영 전반에 대한 모니터링

- 어플리케이션 재 수정 등 이슈에 따른 대응


인수인계

- 운영자 교육

- 긴급 대응 계획 수립




갈수록 강력해지는 개인정보 보호 규정에 대비할 수 있는 보메트릭 데이터 보호 플랫폼에 대한 자세한 문의는 아래 아이마켓코리아 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

다이소몰 개인정보 유출사고 발생, 암호화 여부가 관건

작성자 : DSSa / 날짜 : 2018. 5. 2. 16:19 / 카테고리 : nCipher HSM (Thales-HSM )


국내에서 가장 규모가 큰 생활용품 쇼핑몰인 다이소의 온라인쇼핑몰 '다이소몰'이 해킹 공격으로 인해서 대량의 개인정보가 유출되는 사고가 벌어졌습니다. 이번 사고는 내부가 아니라 외부에 의해서 벌어진 사건으로 취약한 온라인 쇼핑몰의 개인정보 관리 실태를 그대로 보여주는 사건입니다.


해킹은 올해 4월 10일 경에 이루어졌으며, 고객정보 일부가 유출된 것으로 의심되고 있습니다. 한국인터넷진흥원 (KISA)에서 현재 조사가 이루어지고 있습니다. 


아직까지 해킹 사고의 경위와 유출 규모, 그리고 개인정보 유출이 어느정도까지 되었는지 본인이 직접 확인할 수 있는 서비스는 공개되지 않고 있습니다. 다이소몰에서는 단순히 해킹 관련 사고에 대해서 공지만 하고 비밀번호 변경 안내만 하고 있습니다. 이에 따른 고객의 불만이 커지고 있는 상황입니다. 



누구의 개인정보가 유출되었는지 확인 절차 이전에, 어떤 데이터가 유출이 되었는지, 그리고 암호화 조치는 잘 이루어져서 유출된 고객정보가 안전한지에 대한 안내가 없기 때문에 고객들은 더 불안해하고 있습니다. 


개인정보, 비밀번호 등이 암호화 처리만 잘 되어 있다면, 개인정보가 유출되어도 큰 걱정은 없습니다. 유출된 데이터가 암호화되어 있고 암호키만 잘 보호되었다면 해커가 유출한 데이터는 쓸모가 없기 때문에 큰 피해는 없을 수 있습니다. 


행정자치부가 고시한 개인정보의 안전성 확보조치 기준이 잘 적용되어 있다면, 해킹은 당하여도 유출시에 피해를 최소화 시킬 수 있습니다.


개인정보의 안전성 확보조치 기준 (행정자치부 고시)

「개인정보의 안전성 확보조치 기준」(행정자치부 고시)에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부 기준을 제시하고 있다. 


  • “고유식별정보”는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 여기에 해당한다.

  • “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 

  • “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.



내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라「개인정보의 안전성 확보조치 기준」제7조제4항(“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다. 

  • 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일 

  • 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1




[DB서버 암호화 구축 방식 예시 - 개인정보 암호화 조치 안내서 참고]

  • DB서버 암호화 방식의 경우에는 암ㆍ복호화 모듈이 DB 서버에 설치되고 DBMS에서 플러그인 (plug-in)으로 연결된 암ㆍ복호화 모듈을 호출하는 방식입니다.

  • 응용프로그램의 수정이 거의 필요하지 않아 구현 용이성이 뛰어나지만, 기존 DB 스키마와 대응하는 뷰(view)를 생성하고 암호화할 테이블을 추가하는 작업이 필요합니다. 

  • 어플리케이션 서버의 성능에는 영향을 주지 않지만 DBMS에서 DB 서버의 암·복호화 모듈을 플러그인으로 호출할 때 추가적인 부하가 발생하여 성능이 저하될 수 있습니다. 

 




 분류

 특성 

 암복호화 모듈

 DB 서버 

 암복호화 요청

 DBMS 엔진 

 DB 서버의 부하

 있음 

 색인 검색 

 가능 

 배치 처리

 가능 

 응용프로그램 수정 

 필요하지 않음 

 DB 스키마 수정

 거의 필요하지 않음 (암호화할 DB 스키마 지정 필요) 



DBMS 자체 암호화 방식은 별도의 암호화 모듈을 사용하는 것보다 안정성도 떨어지고 성능의 저하가 있습니다. 무엇보다 암호키를 물리적으로 같은 저장소에 저장하기 때문에 해킹 시에 암호키 까지 탈취당할 우려가 있기에 보안에 취약합니다. 


DBMS 서버의 암호화 부하를 경감시켜주고 고성능의 암호화 알고리즘을 적용시켜주며, 암호키를 물리적으로 별도의 보관소에 저장하여 관리(접근제어), 생성, 폐기까지 가능한 하드웨어 장비를 HSM(하드웨어 암호화 모듈)이라고 합니다.




HSM의 특징

  • H/W 기반의 암호연산 (키 생성, 전자서명, 키 저장 및 백업 기능)을 제공

   ※ 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증가 


  • 키의 사용에 대한 정책 시행

   - 관리자 권한의 강력한 분리 기능 제공

   - 관리자를 위한 강력한 인증 기능 제공

   - 상호 감독을 위한 강력한 이중 통제 

   - 성능 증대를 위한 프로세싱 분리 기능

   - 물리적 보호를 위한 변조 방지 기술


  • 비대칭형 암호 연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리


탈레스 HSM (Thales HSM)의 암호화 모듈은 FIPS 140-2 Level 2/3인증과 마이크로소프트 골드파트너, 오라클 인증 파트너, CC 인증까지 마친 우수한 보안 제품입니다. 




Thales HSM은 FIPS 140-2 Level 2 & 3 인증을 받았습니다.



FIPS 140-2 인증 이란?

FIPS(Federal Information Processing Standards)는 미국연방정부기관에서 사용하는 정보 처리 기계와 방식을 표준화하기 위해 미국국립표준·기술연구소(NIST)가 제정하는 표준 규격으로 FIPS-PUB(Publica-tion)라는 명칭으로 발행됩니다.


FIPS-140-2은 NIST (National Institute of Standards and Technology)가 후원하는 암호화 모듈 인증입니다. 

FIPS-140-2는 가장 낮은 수준에서 가장 높은 수준까지 4 단계까지 규정되어 있습니다.


  • 레벨 1 - 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미

  • 레벨 2 - 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다. 레벨 3는 암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제

  • 레벨 3 - 제품은 인증된 액세스를 요구

  • 레벨 4 - 수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공



탈레스 HSM에 대한 제품 문의 및 견적은 아래 아이마켓코리아 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

2017 개인정보 암호화 조치 안내서 (개정판) - DB 암호화 / 개인정보보호법

작성자 : DSSa / 날짜 : 2018. 4. 18. 15:15 / 카테고리 : 보메트릭 암호화 솔루션





 

개인정보보호법 암호화 관련 근거

  • 개인정보 보호법 제 24조 (고유식별정보의 처리 제한) 및 동법 시행령 제 21조 (고유식별정보의 안전성 확보 조치)

  • 개인정보 보호법 제 24조의 2(주민등록번호 처리의 제한) 및 동법 시행령 제21조의 2(주민등록번호 암호화 적용 대상 등)

  • 개인정보 보호법 제 29조 (안전조치의무) 및 동법 시행령 제 30조 (개인정보의 안전성 확보 조치)

  • 개인정보의 안전성 확보조치 기준 (행정자치부 고시 제2016-35호)


개인정보보호법 암호화 적용 대상

  • 개인정보보호법에 따라 암호화하여야 하는 개인정보인 고유식별정보 (주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 저장/전송하는 개인정보처리자를 대상으로 한다.






개인정보 보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




개인정보 보호법 시행령

→ 제 21조 (고유식별정보의 안전성 확보 조치)

법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 "법 제29조는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다


→ 제21조의2(주민등록번호 암호화 적용 대상 등)

① 법 제24조의2제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다.


② 제 1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호화 같다.

1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2017년 1월 1일

2. 1000만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2018년 1월 1일


③ 행정자치부장관은 기술적/경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다.


→ 제30조(개인정보의 안전성 확조 조치)

① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야한다.

3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치


③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다.



개인정보의 안전성 확보조치 기준 (행정자치부 고시)

개인정보의 안전성 확보조치 기준(행정자치부 고시)에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부 기준을 제시하고 있다.

  • "고유식별정보"는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 여기에 해당한다.

  • "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

  • "바이오정보"란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.



개인정보를 처리하고 관리하는 개인정보처리시스템은 DB에 저장된 개인정보를 암호화하여 저장함으로써 개인정보, 유출, 위변조, 훼손 등을 방지해야 합니다. 


개인정보처리시스템 암호화 방식마다 성능에 미치는 영향이 다르므로 구축 환경에 따라 암호화 방식의 특성, 장단점 및 제약사항 등을 고려하여 DB암호화 방식을 선택해야 합니다. 아래 표를 개인정보처리시스템 암호화 방식 선택시 고려해야 할 사항입니다.


분류 

고려사항 

일반적 고려 사항

구현 용이성, 구축 비용, 기술지원 및 유지보수 여부 

암호화 성능 및 안전성 

공공기관의 경우, 국가정보원 인증 도는 검증 여부 

기술적 고려 사항

암/복호화 위치(어플리케이션 서버, DB 서버, 파일 서버 등) 

색인검색 기능 유무, 배차처리 가능 여부 



성능이 매우 중요한 요소가 되는 환경에서 DB서버 암호화 방식을 고려하는 경우에는 반드시 벤치마킹 테스트 등을 수행하여 최적의 솔루션을 선택하는 것이 바람직합니다.


공공기관에서는 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 적용해야 합니다.


현재 운영 중이거나 향후 개발 예정인 개인정보처리시스템의 목적 및 환경에 맞게 쉽게 구현이 가능한 암호화 방식을 선택해야 합니다. 응용프로그램 및 DB 스키마 수정 등을 최소화하고 개발 환경에 맞게 성능을 최대화 할 수 있도록 해야 합니다.


DB 암호화의 안전성을 확보하기 위해서는 안전한 암호키의 관리가 필요합니다. 암호화된 개인정보가 유출되더라도 복호화 할 수 없도록 암호키에 대한 추가적인 보안과 제한된 관리자만 허용하도록 하는 기술을 적용해야 합니다.


위에 소개해드린 개인정보 암호화 조치 안내서의 내용과 같이, 개인정보보호법을 준수하기 위해서는 만족해야 하는 요건들이 많습니다. 암호화 솔루션의 경우에는 한번 도입하게 되면 바꾸기가 쉽지 않습니다. 요건을 하나하나 꼼꼼하게 따져서 첫 도입시에 가장 적합하고 우수한 솔루션을 도입해야 합니다.


최근에는 생체정보, 로그정보, 음성정보 등 개인정보는 다양한 형태로 저장되고 있습니다. 기존과 같이 데이터베이스 안에 저장되는 형태가 아닌, 별도의 파일로 존재하는 경우도 많습니다. 


이런 형태의 데이터를 비정형데이터라고 합니다. 비정형데이터는 더 많은 데이터용량을 차지하기 때문에 암호화 시에는 더 많은 리소스를 소모하게 됩니다. 고성능 암호화 솔루션은 이러한 리소스 소모를 절감시켜줍니다. 



[탈레스 보메트릭 암호화 솔루션은 암호화 후에도 성능의 하락폭이 적습니다.]



아이마켓코리아에서 유통하는 탈레스 보메트릭 암호화 솔루션은 위의 조건을 만족하면서 비정형데이터까지 적은 리소스로 안전하게 암호화하기 때문에 기업/기관 암호화 환경 구축시에 우수한 성능을 자랑하고 있습니다. 자세한 내용은 아래의 링크를 참조해주시기 바랍니다.



보메트릭 암호화 솔루션 소개 

http://itblog.imarketkorea.com/229

http://itblog.imarketkorea.com/228

http://itblog.imarketkorea.com/238

http://itblog.imarketkorea.com/230


보메트릭 암호화 솔루션 및 기타 보안 솔루션 제품 견적 문의는 아래 IT 솔루션 영업팀 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

탈레스 HSM PayShield9000, 지불결제 보안표준 PCI DSS 인증

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018. 4. 13. 18:33 / 카테고리 : nCipher HSM (Thales-HSM )

탈레스 HSM PayShield9000, 지불결제 보안표준 PCI DSS 인증






우리나라는 1999년부터 공인인증서를 이용해오고 있습니다. 그러나 지난 1월 22일, 정부가 공인인증서 제도 폐지 방침을 발표했습니다. 도입 이후 약 20여 년 만입니다. 이와 함께 네이버페이, 카카오페이, 토스, 페이팔 등 핀테크 시장이 활성화되고 있습니다.






핀테크(FinTech)란 Financial과 Technology의 합성어로, 금융과 IT 기술의 융합을 통한 금융서비스 및 산업의 변화를 말합니다. 앞서 언급했던 ○○페이, 토스, 페이팔 등을 비롯해 모바일뱅크, 앱카드, 삼성페이, 토스 등이 이에 속합니다. 송금, 지불, 대출, 자산관리 등 대부분의 금융 관련 업종이 핀테크로 빠르게 변화하고 있습니다. 





이렇게 핀테크 시장이 활성화됨에 따라 사용이 간편해지는 만큼 보안 관련 문제가 시급한 상황입니다. 카드 정보, 거래 정보 등 중요한 데이터를 외부 공격으로부터 보호하고, 안전한 서비스를 제공해야하기 때문입니다.


그러나 금융보안 규제가 원칙중심의 자율규제로 바뀜에 따라 금융기업이 자발적으로 보안 체계를 선택하고 운용해야 하는 상황입니다. 개별적으로 보안 시스템을 적용해가는 과정에서 취약점이 드러나는 데다가 비용 부담도 크고 불편한 점이 많이 나타나고 있습니다.





외국에서는 우리나라보다 앞서 알리페이, 페이팔 등 핀테크가 활성화되면서 지불결제 관련된 보안 문제를 해결하기 위해 PCI DSS 인증 등 다양한 조치를 진행하였습니다.


PCI DSS란 지불결제보안 표준으로 Payment Card Industry Data Security Standard의 약자입니다.  VISA, MasterCard, JCB, American Express, Discover 5개 글로벌 카드사가 각기 다른 보안 기준으로 발생하는 불편함을 해소하고, 안전한 서비스를 제공하기 위해 보안표준위원회(PCI Security Standards Council)를 공동으로 설립하고 PCI DSS를 책정한 것입니다.



이미지출처:  ⓒ pcisecuritystandards.org



[ PCI DSS 인증 구조 ]


PCI DSS의 인증 구조는 크게 인프라/하드웨어 관점, 소프트웨어 관점, 전반적 데이터 처리와 보안 관리체계 관점, 데이터의 암호화 관점으로 해석하여 분리


■ PCI PTS(PIN Entry Devices) : 고객 정보를 처리하는 단말기/서비스 환경 인증 기준

■ PCI PA-DSS(Payment Applications) : 고객 정보를 처리하는 응용프로그램 환경 인증 기준

■ PCI DSS(Secure Environment) : 고객 정보를 처리하는 업무의 보안 환경 인증 기준

■ P2PE(Point to Point Encryption) : 고객 데이터의 시작과 종단까지의 암호화 인증 기준






우리나라에서는 아직 생소하지만 글로벌 카드사들이 위원회를 조직하여 만든 규격인 만큼 매우 체계적이며, 하드웨어 설계자, 소프트웨어 개발자, 정보를 취급하는 모든 사람과 정보에 대한 암호화까지 구체적으로 제시하고 있습니다. 위원회에서는 업계종사자들에게 이 기준을 준수하도록 하고 있습니다. 법적 강제성은 없지만 준수하지 않을 경우 1개 정보당 최대 10여 만원의 벌금과 거래 손실비용까지 청구될 수 있습니다.


PCI DSS 기준을 준수해야 하는 대상은 점점 확대되는 추세입니다. 앞으로는 항공사, 전자결제대행업체(PG사) 및 부가가치통신망업체(VAN 사), 카드사 등도 PCI DSS 인증을 받아야 합니다. 


패널티를 피하고 보안을 높이기 위해서는 PCI DSS 인증을 받고, 반드시 업그레이드를 해줘야 합니다. 이 PCI DSS 3.2은 보안 표준 중 하나인 SSL/TLS 프로토콜을 업그레이드 해야 하는 기한은 6월 30일까지 입니다.





아이마켓코리아에서는 공급하는 탈레스 PayShield 9000 HSM은 PCI DSS 인증을 위한 지불결제 시스템 전용 하드웨어 암호화 모듈(HSM)입니다. PIN 보호 및 검증, 트랜잭션 처리, 모바일 및 결제 카드 발행, 키 관리 등의 작업을 수행합니다.


하드웨어 보안 모듈(HSM : Hardware Security Module)은 임호화 키를 생성하고 저장하는 역할을 하는 암호화 전용 장비를 뜻합니다. 인증/서명/암호화 등 다양한 분야에서 키가 활용되면서 키에 대한 생성, 교환, 백업, 보관, Key Life-Cycle 관리 등의 기능을 가장 안전하고 편리하게 관리하는 장비입니다.





또한, PayShield 9000 지불결제 HSM은 현금 자동 입출금기, POS 시스템, 신용 카드 및 현금 카드 트랜잭션을 위해 신뢰도 높은 보호를 제공합니다. 카드지불시스템 보호를 위하여 전용으로 설계된 장비로 카드와 모바일 보안 요소에 대해 특별하게 디자인된 포괄적이고 인증된 보안을 제공합니다. 모든 주요 지불결제 응용 프로그램을 지원하며, 장애복구 기능 역시 뛰어납니다. 뿐만 아니라 발행자, 프로세서, 매입사에 적합하게 소프트웨어 옵션 선택도 가능합니다.





지원하는 카드사는 VISA, American Express, DISCOVER, Master Card, JCB, Union Pay 입니다.




[ 탈레스 e-Security PayShield 9000 장점 ]


■ 입증된 역량 활용

카드 발급, 모바일 프로비저닝 및 결제 트랜잭션 처리를 위해 특별히 설계된 포괄적이며 인증된 보안을 제공합니다. 모든 주요 결제 애플리케이션에 대한 지원을 제공합니다.


■ 규제 준수 비용 절감

구현 및 유지관리를 간소화하고 규제 준수 비용을 절감해줍니다. 발급사, 처리사 및 매입사를 위해 개별화된 유연한 플랫폼과 소프트웨어 옵션이 포함됩니다.


■ 복구력 극대화

이중화된 하드웨어, 현장 지원 가능한 컴포넌트 및 클러스터링과 페일오버를 위한 지원을 제공하여 최고 수준의 비즈니스 연속성을 보장해줍니다.





[ 탈레스 e-Security payShield 9000 사양 ]



■ 지원 암호화 알고리즘


[ 대칭 ]

■ DES 및 Triple DES (키 길이 112 bit, 168 bit)

■ AES (키 길이 128 bit, 192 bit, 256 bit)


[ 비대칭 ]

■ RSA (키 길이 최대 4096 bit)


[ 해싱 ]

■ [MD1

■ SHA-1

■ SHA-2


[ 인증 ]

■ FIPS 140-2 level 3

■ PCI HSM V1 (일부 설정에만 해당)

■ APCA

■ MEPS


[ 키 관리 지원 ]

■ 탈레스 Key Block (ANSI X9.24와 호환; X9 TR-31의 상위 세트)

■ X9 TR-31 Key Block

■ RSA Public Key

■ PIN 및 데이터 암호화용 DUKPT

■ Master/Session Key Scheme

■ Racal Transaction Key Scheme

■ AS2805





PCI DSS 전문가인 Suresh Dadlani(Control Case 최고운영책임자)전 세계 모든 나라에서 PCI DSS를 국제표준으로 인정하고 있다며 한국의 금융사들도 PCI DSS 선택을 적극 검토해봐야 한다고 강조했습니다. 


전세계적 핀테크 기업인 페이팔과 알리페이도 이미 오래전부터 PCI DSS를 준수하고 있습니다. 그 때문에 높은 점유율과 안정적인 운영으로 세계적으로 대표적인 글로벌 기업으로 성장할 수 있었습니다.







우리나라는 아직 PCI DSS를 채택하고 있는 곳은 별로 없지만 핀테크로 글로벌 진출까지 생각하고 있다면 더더욱 PCI DSS 인증이 필요합니다.


PCI DSS는 전 세계 결제 거래 보안의 80% 이상을 지원할 정도로 입증된 기술이며, 준수 의무의 범위를 좁힘으로써 표준 준수 비용을 대폭 줄일 수 있습니다.


레거시 시스템클라우드 기반의 확장을 포함하여 실질적으로 기업 내 모든 위치의 카드소지자 데이터를 보호합니다.





[ PCI DSS 인증 이점 ]


■ 지불결제체계 보호

■ 사기로부터 패널티 경감 또는 구제 가능

■ 데이터 보호를 위한 신뢰성 증가

■ 규제순응 요건이 지원됨

■ 종합적인 정보보안 방법이 향상됨





PCI DSS 환경 구축을 위한 최적의 장비인 탈레스 Payshield 9000에 관한 상담 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

유럽의 개인정보보호규정 시행, DB 접근제어 및 암호화 솔루션 보메트릭

작성자 : DSSa / 날짜 : 2018. 4. 11. 11:50 / 카테고리 : 보메트릭 암호화 솔루션


유럽의 개인정보보호규정(General Data Protection Regulation) 시행

유럽에서는 오는 5월 25일에 개인정보보호규정을 시행합니다. 해당 규정을 위반할 경우에는 최대 2천만 유로(약 266억원) 또는 매출액의 4%라는 엄청난 규모의 과징금을 물어야합니다. 유럽의 기업들은 이에 긴장하고 있습니다. 특히, 해외진출을 하고 있는 국내 법인의 경우 매우 민감한 사항이 되었습니다. 



탈레스 보메트릭 관계자는 암호화 시장이 유럽의 개인정보보호규정의 영향을 많이 받을 것으로 전망하고 있습니다. 정형데이터 뿐만 아니라 비정형데이터까지 암호화 요구사항이 증가하여 시장이 성장할 것이라는 이야기 입니다. 산업별로는 기존 보안에 많은 투자가 이루어졌단 금융과 의료분야 외에도 소비재를 생산하는 제조업체도 데이터베이스 암호화 솔루션을 도입할 것으로 전망하고 있습니다.


국내에서도 개인정보보호법이 강화되고 소비자들의 관심도 집중됨에 따라서, 보안에 대한 관심도 올라가고 있습니다. 특히, 개인정보는 DB에 저장되기 때문에 접근제어 솔루션은 이제 기업의 필수 보안 솔루션이 되었습니다. 



일반적으로 데이터베이스 보안을 강화하기 위해서 기업들은 암호화 하는 방법과 접근제어를 동시에 진행하고 있습니다. 하지만 암호화 같은 경우에는 시스템의 리소스를 많이 사용하기에 기업 입장에서는 많이 꺼려지고 있습니다. 그렇기 때문에 리소스 절감 대비 높은 효과는 DB 접근제어가 더 유리하여 최근에 선호되어 지고 있습니다.


탈레스 보메트릭 관계자의 말에 따르면..

"DB 암호화는 2009년 정보통신망법 시행령에 언급되면서 전면 도입이 시작되어, 이후 개인정보보호법에 의해 금융권 뿐만 아니라 제조기업으로도 확대되고 있다." 라고 말했습니다.



DB접근제어의 큰 장점은 성능저하를 최소화하면서 데이터의 보안성을 올릴 수 있다는 점입니다. 하지만, 높은 권한을 가진 관리자가 DB를 탈취할 수 있다는 단점 또한 부각되고 있습니다. 내부 유출의 이슈까지 막기 위해서는 접근제어 뿐만 아니라 데이터베이스 암호화까지 동시에 이루어져야 합니다. 일부 2가지 방법을 동시에 시행한 업체에서는 장애나 성능저하의 이슈 등의 문제점이 나타나고 있습니다. 


개인정보보호법의 강화로 비정형데이터에 대한 암호화도 이슈가 되고 있습니다. 많은 개인정보는 정형데이터 뿐만 아니라 이미지, 영상, 로그 등의 다양한 형태로 저장되고 있습니다. 2015년 개정된 개인정보보호법에서는 주민번호가 저장된 DB의 암호화뿐만 아니라 로그파일, 이미지파일, 녹취파일 등의 비정형데이터에 주민등록번호가 포함된다면, 이 비정형데이터도 암호화할 것을 의무화했습니다. 



데이터베이스 통합 보안 시스템 구축을 위한 탈레스 ‘보메트릭 트랜스퍼런트 인크립션’

탈레스(Thales)는 보메트릭 트랜스퍼런트 인크립션(Vormetric Transparent Encryption) 제품을 공급하고 있습니다. DB암호화 및 비정형데이터 암호화가 가능하기 때문에 데이터베이스 보안 환경 구축에 매우 적합한 제품입니다. 운영체제 수준에서 데이터에 대한 암호화를 수행하는 것이 특징으로, 그렇기 때문에 애플리케이션 및 DBMS의 종속성 없이 암호화 적용이 가능합니다. 




타사의 암호화 솔루션은 SQL 질의어 및 애플리케이션의 수정이 필요하여 별도의 작업인력이 필요하고 호환성 문제가 생길 수 있습니다. 하지만, 보메트릭의 암호화 솔루션은 이러한 과정이 없기 때문에 금융사, 기업, 공공기관 등 다양한 분야의 암호화 환경 구축에 유리합니다.


보메트릭 트랜스퍼런스 인크립션 역할 기반의 액세스 정책으로 누가, 무엇을 어디서, 언제, 어떻게 액세스를 할 수 있는지 제어할 수 있습니다. 시스템 레벨의 계정은 물론 엔터프라이즈 역할 및 그룹에 대한 통제를 지원합니다. 


<Vormetric DSM의 관리자 권한 설정 GUI>



<Vormetric DSM의 동작 구조>


또한, LDAP (Lightweight Directory Access Protocol)로 액티브 디렉토리 및 기타 디렉토리 서비스 환경을 지원합니다. 통제를 통해서 루트 및 기타 권한을 가진 사용자가 클리어 텍스트 데이터에 액세스하지 않고도 작업을 수행할 수 있도록 돕습니다.


시스템 CPU에 내장된 AES 하드웨어 암호화 알고리즘을 사용해 보다 강력한 암호화 성능을 제공합니다. 뿐만 아니라 멀티 스레딩과 예측 캐싱, 파이프라이닝 등의 파일과 시스템 간의 최적화 기법이 적용되어 성능을 한층 더 강화합니다. 


이를 통해서 SLA에 영향을 주거나 추가적인 컴퓨트 리소스 요구 사항이 필요하지 않은 암호화가 가능해

집니다.  분산된 에이전트 기반의 구현 모델은 프록시 기반의 레거시 암호화 솔루션들에서 만연한 병목현상과 지연시간을 없애주는 역할을 합니다.


그밖에도, 보메트릭 암호화 솔루션은 단일 인프라와 관리 환경을 통해 리눅스, 윈도우, 유닉스를 구동하는 데이터센터, 클라우드 및 빅데이터 환경 전반에서 정형 데이터베이스와 비정형 파일들을 보호합니다. 인프라, 애플리케이션 또는 워크플로우를 변경하지 않고도 암호화, 액세서 제어 및 데이터 액세스 감사 로깅이 가능합니다. 이를 통해서 최소한의 비용과 리소스로 최대한의 효과를 낼 수 있습니다.



보메트릭 보안 솔루션으로 급변하는 개인정보규정에 대응하시기 바랍니다. 관련하여 자세한 문의는 아래 아이마켓코리아 담당자에게 주시면 친절하게 안내해 드리겠습니다. 


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

방문자 통계

  • 전체 : 385,080
  • 오늘 : 16
  • 어제 : 274
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.