개인정보 유출사고 예방의 첫걸음, DB보안 (DB 암호화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.21 17:34 / 카테고리 : nCipher HSM (Thales-HSM )


개인정보 유출사고 예방을 위해서 각 기업 및 관공서 등의 기관에서 가장 중점을 두고 있는 부분은 컴플라이언스 준수와 DB보안 (DB 암호화/DB 접근제어) 인것으로 나타났습니다. 


최근 국내 최대 보안 언론인 보안뉴스에서 조사한 결과에 따르면, 최근에 발생한 개인정보 유출사고 예방을 위해서 가장 중점을 두고 있는 개인정보보호 조치는 무엇인가? 라는 내용으로 기업보안 담당자들에게 설문조사를 한 결과, 행정적으로는 개인정보보호 관련 법률 등 컴플라이언스를 준수하는 것이였습니다. 


그리고 가장 중요한 기술적인 조치는 'DB 보안조치'로 DB 암호화와 DB 접근제어에 가장 중점을 두고 있다는 응답이 전체 응답자 911명 중에서 244명을 차지하여 1위에 꼽혔다고 합니다.




최근에 많이 발생한 고객정보 유출사건과 잇다른 기업의 개인정보 유출사고로 인해서 고객들이 개인정보 보안에 대해서 많이 인식하게 되었고 보안사고로 인한 기업, 기관 이미지의 하락과 대규모 소송으로 인한 손실 등으로 인해서 기업과 기관들은 보안에 더 많은 신경을 쓰게 되었습니다. 또한 금융감독위원회도 기업이 보유한 고객 데이터베이스에 대한 관리를 중점적으로 할 것으로 전망되고 있습니다.


특히 법적인 부분에서 많이 강화가 되었습니다. 국회 본회의에서는 개인정보보법을 개정하였으며 주민번호는 반드시 암호화하도록 의무화하는 등 DB 보안을 강화하도록 했기 때문에 DB보안의 필요성이 증했다고 볼 수 있습니다.



최근에 기업이 많이 사용하는 MS나 Oracle(오라클) 서버에 연동되어 강력한 성능을 자랑하는 HSM 도입을 통해 DB암호화를 할 수 있습니다.

예전 오라클 서버를 사용하는 기업에서는 오라클에서 기본적으로 제공하는 Wallet이라는 암호화 키 관리 보안모듈을 많이 사용하였는데 이 방식은 키 관리 기밀성이 취약점을 극복하기 어렵기 때문에 TDE를 도입하는 기업이 많이 늘고 있습니다.


TDE 방식은 예전에 관리 포인트가 많이 드는 부분(데이터베이스 버전 업데이트)가 있어 많은 기업들이 사용을 하지 않고 플러그인 방식의 암호화를 사용하게 되었습니다.


하지만, 최근에는 기업에서 TDE 방식을 많이 도입하고 있습니다. 그 이유로는 기존의 약점을 완벽하게 보완하였으며, 기존의 플러그인 방식의 암호화 솔루션 보다 비용이 적게 들게 된다는 강력한 이점이 부각되고 있습니다. 기능성의 제약도 많이 사라졌으며 TDE의 취약점이라고 많이 대두 되던 키 관리 기밀성 또한 HSM(하드웨어 암호화 모듈)로와의 연계를 통해 저비용 고효율 DB보안 솔루션을 구축할 수 있습니다. 


서버를 제조하고 공급하는 마이크로소프트와 오라클 역시 HSM의 사용을 적극 권장할 만큼 HSM을 통한 보안 솔루션 구축은 이제 필수적인 사항이 되었습니다. 오라클을 도입하는 기업은 TDE 방식에 HSM을 연동하여 도입하는게 현재 추세입니다. 기업 보안 담당자들은 이제 HSM 장비에 대해서 검토하고 있지만 강력한 성능을 보장하는 HSM 장비를 선택하기에는 어려움이 많습니다. 



많은 DB보안 솔루션 중에서 DB보안을 위한 솔루션으로 안정적인 성능을 바탕으로 저비용 고효율을 보장하는 Thales e-security의 HSM 제품이 있습니다. Thales e-security는 업계 20년 노하우를 바탕으로 다양한 보안장비를 제작 및 보급하고 있습니다. 


또한 세계시장점유율 1위를 자랑하고 있어 전세계 유명 기업들도 Thales e-security의 HSM 제품을 쓰고 있기 때문에 안정성과 비용측면에서 검증된 제품입니다.


Thales HSM에 대한 자세한 정보는 아래의 링크를 통해 확인하시기 바랍니다.


※ Thales HSM 제품 정보 보기 : 효율적인 오라클 DB 암호화 방법 - TDE와 HSM, 하트블리드 방지 보안 솔루션 Thales HSM

Thales의 하드웨어 암호화 모듈(HSM) nShiled Connect / Thales nShield Solo 제품 스펙



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com



아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.





Trackbacks 0 / Comments 0

[개인정보보호] 카드 3社 고객정보 유출로 인한 법 개정

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.18 19:49 / 카테고리 : nCipher HSM (Thales-HSM )


개인정보보호 카드 3社 고객정보 유출로 인한 법 개정안

지난해 부터 올해까지 은행과 카드회사의 잇따른 고객 정보 유출로 인해 많은 보안 이슈가 있었습니다. 특히 최근에는 개인정보 유출로 인한 보안 관심이 높아지자 법조계에서도 이로 인한 관련 법과 규제가 강화되고 있습니다. 각 기업에서는 이미 개정이 되었거나 개정을 앞두고 있는 개인정보보호 관련 법안의 주요 내용을 잘 파악하는 것이 중요하고 개인정보보호법을 준수하기 위한 기업 보안 솔루션 도입에도 많은 관심을 가져야 합니다.


올해 초에는 카드 3社의 개인정보 유출 사건으로 인해서 해당 카드 회사의 CEO와 임원들이 도의적 책임을 지고 사퇴하는 등의 많은 우여곡절을 겪었습니다. 그리고 해당 카드회사는 금융위원회의 제재 및 징계를 앞두고 있는 상황입니다.


이러한 개인정보 유출 사고가 잇다르자 정보는 금융회사 고객 정보 유출에 대한 종합대책을 마련하고 있습니다.


간단하게 말하자면 이에 대한 주요 내용은 대부분의 금융회사 개인정보의 수집과 보유, 이용 기록등의 데이터베이서 기록을 줄여 정보유출될 수 있는 여지를 없애겠다는 정책입니다.

그리고 현재 보유하고 있는 개인정보까지 파기하는 방향으로 유도하고 있어서 매우 바람직한 방법으로 평가 되고 있습니다.


또한, 이전까지는 개인정보보호법에 대한 관심도가 낮았지만 금융위원회가 적극적으로 개인정보보호법의 주무부처가 되겠다는 입장으로 변모하고 있기 때문에 개인정보 보호법 개정을 통해서 금융위원회의 강력한 제재와 개입이 전망됩니다.


특히 개인정보 유출 유형 중에서 절도형은 기업 보안 시스템에 부재로 인한 사고이며 횡령은 개인정보보호 문화 미정착으로 인한 사고로 볼 수 있습니다.

개인정보보호법을 통과시킨 국회에서는 지난 2월 국회 본회의를 통해 주민번호는 반드시 암호화하도록 의무화하고 개인정보 유출 시에 3배 이내 배상 책임 및 안행부 장관의 손해배상 명령권 집단 소송제도, 그리고 유출규모와 상관없이 정보유출시에는 통지의 의무를 지는 것으로 개정이 됩니다.


또한 정보 유출시의 과징금이 매출액의 3%로 상향조정 되고 정보보안 책임자 지정 의무화를 해야 하는 것으로 개정되었습니다. 특히 전자금융거래기록은 불필요시 반드시 파기를 해야하며 안전성 확보가 불충족, 미이행시에는 영업수익의 10% 이내 과징금이 부과되고 10년이하의 징역 또는 1억원 이하의 벌금으로 상향조정 됩니다. 그리고 유출사고시에는 10년 이하의 징역, 5억원 이하의 벌금으로 강화됩니다. 




강화된 개인정보보호법으로 인해 가장 중요한 고객 DB 암호화에 대한 관심도도 높아지고 있습니다. 유출 사고가 발행한 뒤 입는 피해와 기업 이미지를 생각한다면 보안 솔루션은 반드시 필수 입니다. HSM 장비를 통한 DB 암호화를 통해 유출을 방지하고, 유출이 되더라도 절대 해독할 수 없는 하드웨어 방식으로 암호화로 개인정보 유출에 대한 우려를 불식시킬 수 있습니다.





이로 인해 DB 암호화 장비에 대한 기업의 관심이 높아지고 있습니다. 강력한 하드웨어 암호화 방식의 Thales HSM은 오라클와 MS 서버를 전부 지원하며 강력한 DB 암호화를 통해 최고의 안전성을 보장합니다. 이미 세계 HSM 시장 점유율 1위로 입증된 성능과 안정성으로 고객 DB 암호화를 안전하게 할 수 있습니다. 오라클에서는 TDE방식에 HSM을 연동하여 강력한 암호화를 진행 할 수 있으며 상업적으로 최고 보안 등급을 자랑하는 AES-256 암호화 알고리즘을 지원합니다. 


[Thales HSM에 대한 제품 소개]

[기업 보안] 효율적인 오라클(Oracle) DB 암호화 방법 - TDE와 HSM

[기업 보안] 암호화키 관리의 중요성 / 보안키 관리 시스템(KMS)

하트블리드(Heartbleed) 취약 방지 솔루션 Thales-HSM


최고의 기업 DB 암호화 솔루션인 Thales HSM에 대한 구입문의는 아래 연락처(아이마켓코리아)에 문의주시면 친절한 상담을 해드립니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com



아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.





Trackbacks 0 / Comments 0

개인정보 유출사례와 개인정보 보호방법 (DB 암호화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.16 16:00 / 카테고리 : nCipher HSM (Thales-HSM )



개인정보 유출사례와 개인정보 보호방법 (DB 암호화)


개인정보 유출 사고가 많아지면서 우리나라의 보안불감증은 개인 뿐만 아니라 기업까지도 만연해 있다는 것을 알 수 있었습니다. 특히 가장 중요한 금융권에서 개인정보 유출사고가 발생하면서 대량의 피해자가 발생하게 되었습니다. 국내 개인정보 유출 사례를 통해 DB암호화의 중요성에 대해서 알아보겠습니다.




특히 올해에는 KB 국민카드, 롯데카드, NH 농협카드 메이져 카드 3사의 유출사고로 인해 몸살을 앓았습니다. 확인된 총 피해자는 KB 국민카드 5300만명, 롯데카드 2600만건, NH농협카드 2500만건이 유출된 사건으로 총합하여 무려 1억 400만건이라는 개인정보가 유출되어 대부분의 국민들의 개인정보가 전세계로 유출되었다고 볼 수 있습니다. 




대형 포털사이트도 개인정보 유출 사고를 피해 갈 수 없습니다. 네이트, 싸이월드 개인정보 유출사고는 2011년 7월 26일에 발생한 개인정보 유출사건으로 특히 개인용 메신저와 싸이월드 등이 유행하던 시기라서 피해가 엄청났습니다. 가입자 3500만명의 아이디, 비밀번호, 이름, 주민번호, 연락처 등의 개인정보가 유출된 사건으로써 이 포털회사들이 도입한 보안용 백신서버를 통한 해킹으로 추정되어 기업에서 도입하는 백신으로써는 더이상 안전하지 않다는 충격적인 결과가 나타났습니다.




쇼핑 업계에서는 이베이 계열의 종합쇼핑몰 플랫폼인 옥션에서 약 1081만명이 개인정보가 유출되는 사고도 일어났습니다. 이번 사고도 역시 중국발 해커에 의한 개인정보 유출사고로써 2008년경 옥션에 가입된 모든 사람의 개인정보가 유출되었습니다. 검찰 조사로써는 700만명 정도의 규모로 추정되지만 실질적으로는 이보다 더 많은 고객의 정보가 유출된 것으로 확인 되고 있습니다.





최근 많은 현금결제가 이루어지는 게임회사도 예외는 아닙니다. 국내 최대 게임회사인 넥슨에서도 유출사고가 일어났었습니다. 2011년 경 넥슨 게임중 하나인 메이플 스토리 회원의 개인정보가 유출된 사건으로 1300만명의 개인정보가 유출되어 큰 피해를 입었습니다.




또한, 국내 최대 통신사인 KT도 개인정보 유출의 위협에서 벗어날 수 없었습니다. 2014년도 3월경에 일어난 사건으로 약 1200만명의 개인정보가 유출된 사건입니다. 이름, 민증번호, 연락처, 카드결제번호, 카드 유효기간, 주소, 메일 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 정보까지 개인 통신관련 모든 정보가 전부 유출된 사건으로 이 이후 고객들의 휴대폰으로 각종 스팸문자와 가입유도 전화 등을 하였다고 합니다. 이는 오랜기간 동안 이루어져 충격을 주었으며 피의자는 전문해커 김모씨와 정모씨 2명은 구속되고 텔레마케팅 업체 대표 박모씨도 같은 혐의로 불구속 입건이된 사건입니다. 이들은 개인정보를 통해 1년간 115억원의 부당이득을 챙긴 혐의를 받고 있습니다.




국내에서 유출되는 대부분의 개인정보는 중국으로 유통되서 상당한 헐값에 대량으로 판매되었습니다. 대기업 조차도 개인정보 보안에 대해서 취약하다는 충격적인 결과는 물론, 중소형 사업체들은 더더욱 심각한 보안의식을 가지고 있어 기업의 낮은 보안 윤리의식이 사고를 부추기고 있다는 것을 알 수 있습니다.




최근에는 중국해커들의 능률교육, 리브로, 에듀스파, 모닝글로리 등 중견기업체들의 웹사이트 공격을 통해 개인정보가 유출되었다는 사실이 파악되었습니다.

이들 업체는 뒤늦게 사과 공지를 올리고 개인정보보호에 만전을 기하겠다는 공지를 올렸지만 매번, 개인정보가 유출된 후에 사과로 끝내는 방법은 책임 있는 기업이 하는 대처치고는 너무 미흡하다고 할 수 있습니다.


이제는 대기업 뿐만 아니라 중/소규모 사업체들까지 해커들이 개인정보 유출을 하는 만큼 더 각별한 주의가 필요하며, 완벽한 보안 솔루션 구축을 통해 보안에 만전을 기해야 더 큰 피해를 막고 회사의 이미지와 소중한 고객을 지킬 수 있다는 사실입니다.





개인정보를 보호하는 방법은 여러가지가 있지만 만약 유출되어도 안전하게 암호화가 되어 있다면, 이러한 해커들의 위협에게서 안전하다고 할 수 있습니다. 만약 해커들이 기업의 서버를 공격하여도 하드웨어 방식으로 암호화된 데이터베이스는 절대 해독할 수 없으며, 암호화된 정보는 해커들에게 가치가 없습니다. 이러한 방법으로 안전하게 데이터를 보호할 수 있으며, 먼저 유출을 방지하는 시스템을 구축하고, 유출되더라도 안전하게 암호화된 데이터베이스로 2차적인 안전망을 완벽하게 구축할 수 있습니다.


이러한 보안 조치는 하드웨어암호화 솔루션(HSM)을 통해서 구축할 수 있으며, HSM 중에서 가장 고성능을 자랑하는 Thales e-security의 암호화 솔루션은 가장 완벽한 기업 보안 솔루션을 구축할 수 있도록 기술을 제공합니다.



소중한 기업의 데이터베이스, 고객의 개인정보 DB 암호화 하지 않고 보관하시겠습니까? 

하드웨어 암호화를 통해 이러한 개인정보와 회사의 중요정보까지 완벽하게 암호화 할 수 있는 Thales HSM 제품군은 기업들이 많이 사용하는 오라클(Oracle)을 완벽하게 지원하고 있으며 기존에 TDE 방식의 취약점으로 주장되었던 키 관리의 기밀성까지 완벽하게 해결하였습니다. 특히 오라클의 Wallet 암호화 키 관리 보안 모듈은 키 관리에 있어서 취약성이 노출되고 있어 데이터베이스 암호화를 위해서 TDE를 도입하는 기업이 많이 늘고 있습니다. 



특히 오라클 TDE 방식의 암호화는 약점이 완벽하게 보완되었고 경제적으로써 합리적으로써 보안 솔루션을 도입하는 것으로 초점이 맞추어졌습니다. 특히 오라클 TDE방식의 키 관리 기밀성 역시 하드웨어 암호화 모듈인 HSM과의 연계이점이 부각되면서 해결되었고, MS나 ORACLE 역시 하드웨어 암호화 모듈(HSM)의 사용을 적극적으로 권장하고 있습니다. 


개인정보유출 방지 고성능 하드웨어 암호화 솔루션 Thales HSM

강력한 보안성, 경제성, 기밀성, 관리 용이성 등의 효율적인 측면에서 유리한 이점을 가져가기 위해서는 HSM 도입은 반드시 필수이며, 특히 개인정보유출 사고를 막기 위한 고성능 하드웨어 암호화 솔루션(HSM)을 선택해야 됩니다. Thales HSM은 세계시장 점유율 1위를 자랑하게 때문에 안정성을 보장하며 업계 20년의 기술력으로 최상의 성능을 보장합니다.


탈레스 HSM에 대한 자세한 정보는 아래의 링크를 참조하시면 더 많은 정보를 보실 수 있으며 특히 오라클 TDE를 도입하고 있는 기업이시라면 반드시 참고해주시기 바랍니다.  Thales HSM을 통한 효율적인 오라클 DB 암호화를 통한 고객 데이터베이스 암호화 방안(링크)


인정보 유출 방지를 위한 최적의 솔루션인 Thales e-security의 HSM으로 완벽한 고객 DB암호화를 구축하시기 바랍니다.

Thales HSM제품 구입문의는 아래의 아이마켓코리아 IT 솔루션 사업부로 문의주시면 됩니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com




아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.








Trackbacks 0 / Comments 0

[정보보안] 의료기관 개인정보 보호 실태와 취약점 해결 방안

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.07.03 19:20 / 카테고리 : nCipher HSM (Thales-HSM )

[정보보안] 의료기관 개인정보 보호 실태와 취약점 해결 방안


우리나라 전 국민의 의료보험 실시 이후에 우리나라의 각 의료기관에는 병원정보시스템이 도입되기 시작하였습니다. 그러면서 많은 의료기관이 디지털화 되었고 급속도로 발전하는 인터넷 및 웹 환경의 확대와 u-Health, smart-Health 등과 같은 정보 기술이 발전함에 따라서 개인의료정보에 대한 접근성과 이동성은 더욱 편리해지고 체계화 되었습니다.


하지만 이러한 의료시스템의 정보화와 더불어 개인의료정보에 대한 유츌이나 노출 위험도 점차 커지면서 개인의료정보 보호에 대한 필요성도 중요해지고 있습니다.

실제로, 개인정보보호법을 잘 알고 있는 의사는 32%에 불과하고 나머지는 대충 알고 있거나 정보보안 안전성을 확보 조치하고 있는 병원에 60%에 불과하며, 의원은 29%로 더욱 취약한 것으로 조사되었습니다.


이러한 상황에서 병원의 보안담당자들은 기관에 보안전문 인력이나 조직이 없다는 점이 가장 힘들다고 토로하고 있습니다. 특히 보안장비나 솔루션을 도입하다 보면, 의료진들은 진료 업무와 연구활동에 많은 불편을 준다는 이유를 들어서 화면캡쳐나 인터넷 접속 차단을 풀어줄 것을 요구하기도 하였습니다.


이처럼 정부 정책이나 법규제가 강화되는 부분은 환영을 할 일이지만, 이를 준수하기 위해서는 의료진과의 마찰이 예상되는 상황이라는 것입니다.

이에 보안담당자들은 어쩔 수 없이 의료진과의 조율을 통해서 일부 제한사항을 열어주고 진료시간이 지연되거나 환자의 대기시간이 길어지지 않도록 하고 있습니다.


하지만 이렇게 되면 보안의 헛점이 생기게 되고 이를 통한 보안 위협과 사고는 충분히 가능하기 때문에 사전 및 사후에 보안조치가 적절히 운영되어야 합니다.


특히 한국인터넷진흥원(KISA)나 한국정보화진흥원(NIA)에서 진행하는 개인정보보호 관련 교육은 의료기관의 특성에 맞는 교육이 아닌 일반적인 기업이나 기관에 해당하는 교육이기 때문에 의료기관에 맞는 개인정보보호 교육이 필요하다고 말하고 있습니다.


이처럼 의료기관의 개인정보보호는 의료기관의 특성과 현실에 맞는 교육과 컨설팅을 통해서 적절한 개인정보보호 시스템이 구축되고 운영되고 있는가는 매우 중요한 일입니다. 특히 DB암호화를 통한 안전한 개인정보 관리가 기술적으로 이루어지면 신뢰성이 상승하고 관리의 효율성 또한 증대됩니다.


병원과 기관 등에서 많이 사용하는 오라클 서버에 대한 데이터베이스 암호화(DB 암호화)를 통해 이러한 개인정보보안을 해결 할 수 있습니다.

특히 TDE 형식의 암호화 방식에 HSM(하드웨어 보안 모듈)을 연동시키면 기존 플러그인 방식과는 다른 강력한 보안성, 경제성, 기밀성, 관리 용이성 들의 효율적인 측면에서 유리한 이점을 가져갈 수 있습니다. 이러한 이유로 대형병원에서도 TDE와 HSM을 통한 암호화 방식을 많이 채택하고 있습니다.



세계시장 점유율 1위를 자랑하는 Thales HSM은 전세계적으로 성능을 검증을 받은 HSM으로 대형병원 뿐만 아니라 기업에서도 개인정보를 완벽히 암호화하고 관리할 수 있어 개인정보유출에 대한 대비책으로 가장 강력한 성능을 자랑하며 오라클 TDE와의 호환성이 아주 뛰어난 HSM입니다.


특히 Thales의 HSM은 오라클 서버에 대한 지원에 완벽하게 되어 있는 데이터베이스 암호화 솔루션인 nCipher라는 제품이 있습니다.

nChiper의 장점으로는 브랜드 및 데이터 보호 기능, 데이터베이스 암호화의 접근 제어, 쉬운 설정 및 연동, 변화하는 다양한 요구에 대한 적합성 등을 들 수 있습니다.

nChiper는 통합된 암호화 기능으로 데이터 유출을 방지하며, 최상급 보안 등급으로 데이터베이스를 보호합니다. 그리고 고급 보안 옵션을 통해 신속하게 간단하게 연동이 가능한 완벽한 솔루션을 제공합니다. 장애 복구 및 데이터 유지를 위해, 융통성 있는 적용 및 관리 옵션을 제공하여 암호화 체계의 관리 부담을 덜 수 있습니다.


대형 병원에 개인정보보안 솔루션 도입을 고려하고 있으시다면 HSM 세계 시장 점유율 1위를 자랑하는 탈레스 HSM의 nCipher의 도입을 적극적으로 검토해보시기 바랍니다.


탈레스 HSM의 오라클 TDE 보안 솔루션인 nCipher 제품에 대한 구입 문의는 아래의 연락처로 연락주시면 친절한 상담을 받으실 수가 있습니다.


※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com







Trackbacks 0 / Comments 0

[기업 보안] 효율적인 오라클(Oracle) DB 암호화 방법 - TDE와 HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.06.26 18:07 / 카테고리 : nCipher HSM (Thales-HSM )


현재 가장 많은 기업들이 보안에서 중점적으로 신경쓰는 부분은 바로 개인 정보보호입니다. 개인 정보보호를 위해서 많은 기업들이 투자를 하고 있는데요. 기업과 기관에서 가장 먼저 하는 작업이 바로 데이터베이스(Database) 암호화 입니다. 대다수 조직에서 선호하는 DB 암호화의 방법은 크게 플러그인 방식의 DB 암호화 솔루션을 도입하는 것과 데이터베이스에서 제공하는 암호화 기능인 TDE(Transparent Data Encryption)을 이용 하는 방법입니다.





특히 많은 대기업에서는 데이터베이스 솔루션으로 오라클(Oracle)을 도입하여 사용하고 있습니다. 개인정보보호 시장 초기에는 플러그인 방식의 솔루션이 시장을 주도하였지만 지금 현재는 TDE방식의 암호화가 강력한 방법론으로 떠오르고 있습니다.


매년 암호화를 거쳐야 하는 데이터베이스의 양과 빈도는 늘어나고 있습니다. 이 데이터들을 일일히 전용 솔루션을 통해 적용하기에는 많은 시간과 비용이 필요하며, 관리해야할 것들이 많아 짐에 따라 업무량도 증가하게 됩니다.



이러한 이유로 데이터베이스 암호화를 위해 TDE를 도입하는 기업과 기관이 늘고 있는 것입니다.


초기에 TDE가 외면 받았던 이유는 키 관리의 기밀성이 취약점으로 주장되었기 때문입니다. 오라클(Oracle) 은 Wallet이라는 암호화 키 관리 보안 모듈을 제공하고 있는데, 이 Wallet 솔루션 하나만 사용했을 시에는 키 관리 취약성을 극복하기 어렵다는 말이 대두 되었습니다. 또한, 대부분의 조직에서 TDE를 사용하려면 데이터베이스 버전을 업데이트 해야 하다보니 큰 변화 없이 대응이 가능한 플러그인 방식의 암호화를 선호하게 되었습니다.


하지만, 현재의 상황은 달라졌습니다. TDE 방식의 암호화는 약점을 완전하게 보완하여 경쟁력을 갖추었고. 이제는 어떤 방식을 도입하는 것이 더 경제적인가, 또는 합리적인가라는 쪽으로 경쟁의 초점이 달라졌습니다. 기능성의 제약도 많이 사라졌을 뿐만 아니라 DB에 연결된 디스크에 담기는 데이터 수준을 넘어 백업 및 클라우드 등 제 3 지역으로 데이터를 내보내는 것까지 암호화의 적용범위가 넓어지고, TDE의 취약점이라고 많이 대두 되던 키 관리 기밀성 역시 써드파티인 하드웨어암호화 모듈 HSM(Hardware Security Module)과의 연계 이점이 부각되면서 자연스럽게 해결되었으며, MS와 Oracle에서도 HSM의 사용을 적극적으로 권장하고 있습니다.


기존에는 TDE를 사용하게 되면 DB서버에 CPU 부하가 생겨 곤란을 겪었지만, 현재는 MS와 Oracle 역시 모두 최신 버전에서는 좀 더 적은 리소스로 암호화를 수행할 수 있어 이러한 문제점들은 사라졌습니다. 

간단히 말하자면, 기존 TDE 방식의 단점은 사라지고 TDE 방식의 가장 큰 장점인 애플리케이션 수정이 필요없어지고, 성능 손실 또한 줄일 수 있다는 이점이 더욱 커지게 된 것입니다.




이제는 기존의 플러그인 방식의 Third Party 애플리케이션을 이용하는 것에 많은 비용과 시간을 투자하는 것 보다는 TDE에 하드웨어 암호화 모듈인 HSM(Hardware Security Module)을 연동시켜 강력한 보안성, 경제성, 기밀성, 관리 용이성 등의 효율적인 측면에서 유리한 이점을 가져갈 수 있습니다. 이제는 HSM을 도입하는 것은 이제는 선택이 아니라 필수입니다.



TDE의 가장 적합한 HSM은 무엇일까요? 바로 세계 시장점유율 1위를 자랑하는 고성능 HSM인 Thales(탈레스)의 HSM이 있습니다. 이미 전 세계적으로 성능을 검증 받은 제품으로 전 세계 시장 점유율 1위를 달리고 있는 강력한 보안을 자랑하는 HSM입니다.


오라클 서버를 취급하시는 기업 보안 담당자 분들께서는 TDE 방식을 사용하고 있거나 기존 플러그인 방식에서 TDE 방식으로 전환을 고려하시고 계시다면 Thales(탈레스) HSM 도입을 적극적으로 검토해보시기 바랍니다.


기업 보안 전문 기업인 Thales는 오라클(Oracle) 서버에 대한 지원이 완벽하게 되어있으며 독자적인 솔루션 또한 갖추어져 있습니다. 

바로, Thales의 Oracle 11g용 데이터베이스 암호화 솔루션인 nCipher 라는 제품입니다.


간단하게 장점으로 설명드리자면

- 브랜드 및 데이터 보호 기능

- 데이터베이스 암호화의 접근 제어

- 쉬운 설정 및 연동

- 변화하는 다양한 요구에 대한 적합성


총 이 4가지 특징을 가지고 있습니다.


Thales의 Oracle 11g용 데이터베이스 암호화 솔루션인 nCipher에 대하여 자세하게 설명드리자면


1. Thales의 Oracle 11g용 데이터베이스 암호화 솔루션인 nCipher는 통합된 암호화 기능으로 데이터 유출을 방지합니다.

데이터베이스에는 고객 개인 정보, 기밀 경쟁 정보, 지적 재산 등의 매우 중요한 기밀 정보들이 저장되어 있습니다.

데이터 특히 고객정보의 유출 또는 도난은 브랜드 이미지 실추, 경쟁력 악화, 과중한 벌금으로 이어질 수 있습니다. 기업들이 고객 정보를 보호할 수 있도록 지불카드 산업 데이터 보안표준(PCI DSS)이 제정되어 카드 소지자의 정보를 처리, 저장, 전송하는데 있어 철저한 보안 요건을 제시하고 있습니다.

Oracle 11g 고급 보안 옵션의 일부인 TDE(Transparent Data Encryption) 을 적용하면, 고객 정보, 회계정보 및 기타 민감한 정보를 암호화 할 수 있습니다. 또한, 데이터는 기존의 애플리케이션이나 프로세스를 변경하지 않고도 안전하게 관리됩니다.


2. 최상급 보안 등급으로 데이터베이스 보호

데이터 보호를 위하여 nCipher의 하드웨어 보안 모듈(HSM)은 Oracle TDE를 보호하는 키의 안전한 관리를 보장합니다. nCipher HSM의 검증되고 신뢰할 수 있는 암호화 기능으로 애플리케이션 및 운영체제와 별도로 암호화 키를 보호합니다. 암호화 키의 사용은 정책에 의해서만 실행되며 따라서 데이터베이스는 절대 노출되지 않습니다.


3. 완벽한 솔루션

nCipher netHSM은 Oracle 11g 고급 보안옵션과 신속하고 간단하게 연동이 가능합니다. 표준 기반의 인터페이스를 활용하여, 암호화 키의 강력한 보호뿐 아니라 암호화 정보의 장기 사용에 대한 확실한 보장을 제공합니다. 장애 복구 및 데이터 유지를 위해, 융통성 있는 적용 및 관리 옵션을 제공하여 암호화 체계의 관리 부담을 덜 수 있습니다. 단일 서버의 단독 시스템 또는 가상 환경의 전체 네트워크 상에서 사용할 수 있는 nCipher HSM은 변화하는 다양한 비즈니스 환경에 효과적으로 대응할 수 있도록 설계되었습니다.




nCipher HSM은 Oracle TDE Master Key의 오용 및 훼손을 방지합니다. 데이터를 보호하고 규제를 준수하기 위해 nCipher HSM은 데이터베이스와 보안 관리자의 역할을 구분합니다.


오라클 서버에서의 안전한 TDE Master Key 관리와 데이터베이스 보안 강화, 비용 및 시간 절감에 대해 고민 중이시라면 HSM 세계 시장 점유율 1위를 자랑하는 탈레스 HSM의 nCipher의 도입을 적극적으로 검토해보시기 바랍니다.


탈레스 HSM의 오라클 TDE 보안 솔루션인 nCipher 제품에 대한 구입 문의는 아래의 연락처로 연락주시면 친절한 상담을 받을 수 있습니다.






Trackbacks 0 / Comments 0

DB암호화 - 설계

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.05.12 18:24 / 카테고리 : nCipher HSM (Thales-HSM )

DB암호화 - 설계


DB 암호화를 구축하기 위해서는 복호화 권한통제, 암호 키 정의, 그리고 암호화 키 사용 로깅 등 많은 사항을 고려하여야 한다. 

암호화 규칙은 DB를 암호화하기 위한 기본적인 전 제 조건과 고려사항을 언급한 것이며, 암호화를 규칙대로 적용하고 암호화 후 정상적인 DB 서비스를 지속시키기 위한 몇 가지 지표를 다음과 같이 정리할 수 있다.

1. DB에 접속할 수 있는 사용자에 대한 정의가 되어 있는가?

2. DB에 접속하는 사용자 식별에 대한 방법이 정의 되었는가?

3. 암호화 대상 컬럼의 범위는 정의하였는가?

4. 암호화 컬럼에 대한 복호화 권한 통제를 수행 하는가?

5. 암호화 키를 위한 알고리즘과 대상을 정의하였는가?

6. 암호화 키 사용에 대한 로깅을 수행하는가?


가. 복호화 권한 통제

DB 컬럼(Column) 암호화가 수행되면 데이터 보호를 위해 인가된 사용자에게 복호화 된 평문 데이터(Plain Data)를 전송한다. 

하지만 비인가 사용자에게는 암호화된 데이터나 일 부 암호화(마스킹-Masking)된 데이터를 전송하게 된다.

1) 사용자 식별

DB에 접근하는 경우는 다음과 같이 정의할 수 있다.

1. 웹(Web)이나 애플리케이션 서버(Application Server)의 정형적인 접근

2. DB 관리자에 의한 비정형 접근

3. 프로그램 개발자나 유지보수 지원 엔지니어에 의한 비정형 접근


정형적인 접근(Bulletin Job)이란 기업내의 특정 업무 수행을 위해 정기적으로 DB에 접 속하여 반복적인 SQL 작업을 수행하는 것을 의미하며, 변하지 않는 정해진 SQL을 DB에 요청하는 경우를 의미한다. 대체로, 웹 서버나 애플리케이션 서버가 이러한 경우에 해당 하며 때로는 성능관리나 장애관리용 모니터링(Monitoring) 솔루션도 이에 해당한다. 물 론, 웹 서버나 애플리케이션 서버내의 DB 접속 도구(DB Tool - 예를 들어, Oracle의 SQLPLUS)에 의한 DB 접속은 정형적인 접근이라 할 수 없으며 비정형 접근(Non- Bulletin Job)에 해당한다.

비정형 접근(Non-Bulletin Job)이란 시스템 유지보수나 애플리케이션의 개발을 위해 DB에 접속하여 데이터를 변경, 삭제 및 조회하는 작업을 의미한다. DB 관리자(DBA)라 하더라도 DB 내의 데이터를 조작할 권한은 없기 때문에 DB 관리자에 의한 DB 접속도 비 정형 작업에 해당하므로, 정확한 권한 분리(Separation of Duty)를 진행하여야 한다.



암호화된 DB 측면에서 볼 때, 민감한 데이터 보호를 위해 복호화 된 평문 데이터를 전송할 대상을 식별(사용자 식별)하기 위하여 상기의 DB 접속 정보를 구분할 수 있는 경우는 다음 과 같다.

1. DB 접속 날짜 및 시간

2. IP Address 및 호스트 네임(Host Name)

3. DB 계정 (DB User)

4. 애플리케이션 이름 (Application Name)


플러그인(Plug-In) 방식의 컬럼 암호화(Column Level Encryption)의 경우, DB에 접속 하는 DB 클라이언트(Client)의 위와 같은 접속 정보 조합을 통해서 복호화의 대상을 식별 할 수 있다. 반면 API 방식 컬럼 암호화의 경우 데이터의 암복호화 작업이 애플리케이션 서버 상에서 수행되기 때문에 상기의 DB 접속정보를 통한 사용자 식별은 해당되지 않는 다. 즉, API방식 컬럼 암호화는 애플리케이션 서버에 접속하는 애플리케이션 서비스 접속 자의 식별만 가능하므로 DB 서버에 직접 접속하는 DB 사용자의 식별은 불가능하다. 따라 서, API방식의 경우 DB 관리자에 의한 암호화된 데이터 변경 및 관리에 어려움이 따른다.


2) 암호화 대상 컬럼

DB 컬럼 암호화의 주요 목적은 개인정보나 민감한 정보가 담겨 있는 테이블의 컬럼 정보 를 비인가자로부터 보호하는 것이다. 암호화 대상의 컬럼의 경우 DBMS에서 지원하는 다 양한 종류의 데이터 타입을 가지게 되는데, 일반적으로 개인정보의 이름, 주소, 생년월일, 카드번호, Email 주소 등 스트링(String) 타입이 컬럼 암호화 대상이 되는 경우가 많고, 도면이나 음성, 이미지, 바이오 정보 등의 바이너리(Binary) 타입의 경우와 그 외 숫자 타 입을 가지는 경우도 있다.

DB 컬럼의 경우 성능향상을 위해 인덱스(Index)를 자주 사용하게 되는데, 암호화 컬럼의 데이터 타입에 따라서 인덱스에 컬럼 값이 그대로 노출되는 경우가 있기 때문에 컬럼을 암 호화 할 경우 관련 인덱스도 암호화의 대상이 되어야 한다. 즉, 인가된 사용에게 복호화 권 한을 통제하기 위해서는 컬럼뿐만 아니라 인덱스도 복호화 권한 관리 대상에 포함되어야 한다.


3) 암호화 컬럼에 대한 복호화 권한통제

암호화의 대상은 다수의 테이블에 존재하는 다수의 컬럼이다. 하나의 테이블에 존재하는 서로 다른 컬럼이라 하더라도 사용자를 식별하여 복호화를 할 필요가 있다. 대체로, 테이블과 컬럼은 하나의 DB 계정(DB User)에 의해 소유되지만, DB 계정은 여러 사용자에 의해 공유될 수 있고, 이에 따라 테이블에 각기 다른 정보를 담고 있는 컬럼들의 경우 복호화의 권한 제한을 설정할 필요가 있다.


4) 비인가 사용자에 대한 통제

암호화된 데이터는 인가된 사용자나 시스템에게는 정상적인 복호화 데이터를 전송하지만, 비인가 사용자에게는 암호화된 데이터나 일부 암호화(사용자 입장에서는 Masking으로 보일 수 있음) 데이터를 전송하게 된다. 다음은 이러한 비인가 사용자에게 적용할 수 있는 보안의 적용 사례를 살펴보고자 한다.




■ Encrypt Null

“Yes”을선택하면, NULL 값도 암호화하며,“ No”을 선택하면 암호화 후에도 NULL로 값이 유지 된다.


■ If access denied

암호화된 컬럼에 접근사용 권한이 없는 경우

?Return Null : 비인가 사용자에게 암호화된 컬럼 값으로“NULL”을 반환

?Return user value : 비인가 사용자에게 사용자 정의된 값을 반환. 만일 “NULL” 스트링을 입력하면 실제 NULL값을 반환하고, BLOB 타입은 지원하지 않음

?Character 타입column 경우→임의의Character를사용“( ”제외)

Number 타입 column 경우 → 숫자대신“.”혹은 다른 (숫)문자 사용

Date 타입 column 경우 → TO_TIMESTAMP 함수로 변환 예

?Return mask : 비인가 사용자에게 마스킹(* 혹은 다른 글자) 된 스트링 값을 반환.

설정 값에 따라 앞의 몇 글자 혹은 뒤의 몇 글자가 마스킹. 이 옵션은 Character 타 입의 컬럼만 지원

?Return encrypted : 비인가 사용자에게 암호화된 스트링을 그대로 반환하며,

Character 타입의 컬럼일 경우만 지원. BLOB이상의 큰 사이즈는 지원하지 않음


나. 암호화 키 및 알고리즘 정의

암호화 키는 암호화 알고리즘(Encryption Algorithm)과 파라미터 키(Parameter Key) 의 조합이라 할 수 있다. 암호화 방식은 대칭형(Symmetric)과 비대칭형(Asymmetric) 방식으로 나뉘는데, 대칭형은 암호화 키와 복호화 키가 동일하고, 비대칭형은 암호화 키 와 복호화 키가 상이하다.



대표적인 암호화 알고리즘으로 대칭형 알고리즘은 DES, 3-DES, AES, SEED, ARIA, MASK가 있고, 비대칭형 알고리즘은 RSA, DSA가 있다.



암호화 키는 컬럼 별로 독립적으로 적용될 수 있다. 즉, 하나의 테이블 내에 존재하는 컬럼 일지라도 컬럼 별로 암호화 키를 독립적으로 정의할 수 있다. 암호화 키에 사용되는 암호 화 알고리즘의 특성에 따라 성능과 보안성의 차이가 존재하므로 암호화 대상 DB의 성격과 주위 연계 시스템과의 관계를 고려하여 적용한다.


1) 대칭형 알고리즘

대칭형 암호에는 크게 두가지 유형이 있는데 블록 암호(Block Chiper)방식과 스트림 암호 (Stream Chiper)방식이 있다. 스트림 암호 방식은 블록 암호방식보다 2배 정도 빠르지만 고유키(Unique Key)를 사용해야 한다. 블록 암호 방식은 키의 재사용(Reuse)이 가능하 고 DB 암호화의 대부분은 블록암호 방식을 사용하는 경향이 있다. 대칭형 암호 방식의 경우 키길이를 최소 128bit로 할 것을 권장하는데, 키 길이는 암호화 된 데이터에 대한 공격(주로 2가지 방법이 이용됨)으로 부터 보호하기 위한 매우 중요한 요소로 자리잡고 있다.

첫번째 공격방법은 추측과 확인(Guess and Check)형태의 공격으로서 알고리즘이 잘못 구현되었거나 잘못된 랜덤(Random) 변수에 의해 적용되었을 경우, 해커들은 임의의 키 를 적용하고 데이터를 확인하는 작업을 반복함으로써 암호화된 데이터를 복호화한다. 두번째 방법은 브루포싱(Brute Forcing) 기법을 통해 무작위로 키를 대입하여 확인하는 작업이다. 예를 들면, DES 알고리즘의 짧은 56bit 키길이의 경우 24시간내에 해독이 가 능하다. 따라서 대칭키 암호방식을 택한 경우 최소 128bit의 키 길이를 권장한다. DB 암호화를 위하여 자주 사용되는 대칭키 암호 방식에는 AES, DES, 3DES, RC5 등 블록 암호방식이 있다. RC4 알고리즘의 경우 스트림 암호방식도 사용 가능하나 매번 암호 화할 때마다 고유키가 필요하므로 매우 복잡해진다. 블록암호방식의 가장 큰 장점 중의 하 나는 기존키의 재사용이 가능하고 작은 크기의 데이터 암호화 수행이 매우 뛰어나다는 것 이다. DES, 3DES, AES의 알고리즘이 대칭형 방식에서 가장 널리 사용된다.


2) 비대칭형 알고리즘

비대칭형 알고리즘의 경우 한쌍의 키조합이 필요한데, 암호화에 사용된 키와 복호화에 사 용된는 키가 다름에도 수학적 원리에 의해 해독이 가능하도록 한 방식이다. 이 알고리즘은 공개키로 매우 유명하며, PKI(Public Key Infrastructure)가 바로 이에 해당한다. PKI는 기본적으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들이 신뢰할 수 있 는 기관에서 부여된 한 쌍의 공개키와 개인키를 사용함으로써, 안전하고 은밀하게 데이터 나 자금을 교환할 수 있게 해준다. PKI는 한 개인이나 기관을 식별할 수 있는 디지털 인증 서와 인증서를 저장했다가 필요할 때 쓸 수 있는 디렉토리 서비스를 제공한다. 비록 PKI 의 구성 요소들이 일반적으로 알려져 있지만, 공급자 별로 많은 수의 서로 다른 접근방식 이나 서비스들이 생겨나고 있으며, 그 동안에도 PKI를 위한 인터넷 표준은 계속해서 진행 되어 왔다.

PKI는 인터넷 상에서 메시지 송신자를 인증하거나 메시지를 암호화하는데 있어 가장 보 편적인 방법인 공개키 암호문을 사용한다. 전통적인 암호문은 대개 메시지를 암호화하고 해독하는데 사용되는 비밀키를 만들고, 또 공유하는 일들이 관여된다. 이러한 비밀키나 개인키 시스템은 해당 키가 의도하지 않은 사용자에게 습득될 경우, 메시지가 쉽게 해독될 수 있다는 치명적인 약점을 가지고 있다. 이러한 이유 때문에 인터넷 상에서는 공개키 암 호화와 PKI 방식이 선호되고 있는 것이다. 이러한 방식은 DB 암호화에 다소 적용하기에 까다로운 절차가 요구된다.


3) 해싱 알고리즘

해싱 알고리즘(Hashing Algorithm)의 경우 데이터를 암호화하는 것이 아니라 단방향의 데이터를 안전하게 저장하고 무결성을 보장하는데 사용한다. 지문인식을 생각하면 매우 간단한데, 지문인식의 경우 고정길이의 해시값을 두고 원본데이터의 블록을 해싱하면 고 유값이 나오게된다. 즉, 원래 데이터 값을 복원하는 것이 아니라 새로운 데이터가 입력이 되면 해싱 알고리즘을 이용하여 동일한가를 판단하는 것이다.

해싱 알고리즘은 패스워드를 저장할 때 흔히 사용되는데 패스워드를 저장할 때 해싱알고리 즘을 적용하면 원본 패스워드는 복원이 불가능하지만 새로운 패스워드 입력이 도달 했을 때 일치하는가를 판단하는 것이다. 보편적인 해싱 알고리즘으로는 MD5와 SHA-1이 널리 사용되고 있으며, 해싱 알고리즘은 키가 필요하지 않고 키 길이 역시 고려 대상이 아니다.


출처 : http://www.dbguide.net/db.db?cmd=view&boardUid=152809&boardConfigUid=9&categoryUid=216&boardIdx=147&boardStep=1

Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,367
  • 오늘 : 22
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.