비정형데이터 암호화 솔루션, 보메트릭(Vormetric)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.20 09:22 / 카테고리 : 보메트릭 암호화 솔루션




금융당국, 비정형데이터 암호화 권고

최근 금융감독원에 따르면 기존의 정형 데이터 뿐만 아니라 비정형데이터까지 암호화 해야 한다고 권고하였습니다. 또한 기존의 컬럼 레벨의 암호화 방식으로는 비정형 데이터를 보호할 수 없기 때문에 비정형 데이터를 암호화하는 보안 솔루션에 대한 관심이 커지고 있습니다.


지난 1월부터 시행된 개인정보보호법 시행령 개정안에 따르면 각종 관공서와 기업들은 암호화 조치를 아래와 같이 이행해야 합니다.


100만 이하의 주민번호를 보관하고 있는 곳은 2016년 12월 31일까지 암호화를 적용

100만 이상의 주민번호를 보관하고 있는 곳은 2017년 12월 31일까지 암호화를 적용


위의 내용만 보면 정형데이터 중에서 개인식별번호화 관련된 주민등록번호만 안전하게 암호화하면 되는 것으로 생각되나, 최근에 금융감독원에서는 주민등록번호 암호화 조치 의무화 대상 기업들에게 아래의 사항도 추가로 요청하였습니다.




기존의 DB암호화(정형데이터) 뿐만 아니라 비정형데이터 (로그, 이미지, 동영상, 녹취정보, 문서 등등) 모두 암호화 할 것을 권장


이를 통해서 기존의 DBMS의 데이터 뿐만 아니라 로그, 이미지, 동영상, 녹취파일, 문서 등으로 저장되는 모든 파일을 필수적으로 암호화 해야 합니다. 



빅데이터 시대에는 정형화된 데이터 뿐만 아니라 다양한 종류의 파일이 존재합니다. 회사의 기밀정보 및 각종 개인정보도 이제는 이미지나 동영상으로 저장되거나 빅데이터에 의한 로그 데이터 형태로도 존재하게 됩니다.





특히, OTP 의무 사용이 폐지되면서 생체인증 솔루션이 대체 수단으로 부상할 전망입니다. 생체인증 데이터는 비정형 데이터 이고 다시 바꿀 수 없는 고유의 데이터이기 때문에 이를 보호하기 위한 비정형 데이터 암호화는 더욱 더 중요해질 전망입니다.


인포메이션워크(Information Work)이 조사 및 발표한 2013년 빅데이터 서베이에 따르면 기업 내의 비정형 데이터는 42%로 전제 데이터의 절반을 차지하고 있습니다. 데이터가 3년 사이에 급증한 것을 보면 2016년에는 이미 절반이상을 넘었다고 추측할 수 있습니다.



비정형데이터, 가장 안전한 암호화 방법은?

가장 강력한 암호화 방식은 파일로 저장되는 모든 데이터를 보호하기 위해서 파일을 통째로 암호화 해버리는 것이 가장 안전한 암호화 방식입니다. 최근의 모든 사업 전반에서 빅데이터에 대한 니즈가 많습니다. 이러한 데이터를 안전하게 암호화 하기 위해서는 기존 정형데이터와 비정형데이터 암호화를 전부 지원하는 솔루션을 이용할 필요가 있습니다. 




다른 암호화 솔루션과 달리 보메트릭(Vormetric)은 처음부터 비정형데이터 암호화 솔루션을 제공하고 있습니다. 국내 굴지의 유명 대기업에서 쌓은 수많은 레퍼런스와 기술지원 경험을 통해서 가장 안전하고 효율적인 비정형데이터 암호화 환경을 구축 할 수 있습니다. 


보메트릭의 데이터 시큐리티 제품은 데이터 암호화, 키 관리, 접근 통제, 권한 및 역할 관리, 감사 등의 데이터 보안 기반 기술을 제공하고, 암호화 키도 물리적으로 별도의 장소에서 관리할 수 있도록 해줍니다. 

또한, 키 매니지먼트 솔루션은 암호 키 관리 뿐만 아니라 MS-SQL, Oracle TDE 등의 마스터 키 관리, 각종 전자 인증서 관리 기능, KMIP 호환 암호화 키 관리 기능을 체계적으로 제공합니다. 자세한 사항은 아래를 참고해주시기 바랍니다.




Vormetric Transparent Encryption : 비정형데이터 (PDF)


1. 승인된 사용자/그룹에 대해서 Acrobat을 통해 암호화된 PDF 파일에 대해 읽기/쓰기 적용

2. 관리자 계정은 단지 백업만 가능하고 암호화된 데이터를 읽을 수 없음

3. 기타 모든 접근에 대해서 통제 및 감사 로그 생성 가능


[정책의 이익 및 효과]

1. 데이터 저장소 내의 민감정보를 포함하는 PDF 파일에 대해 접근통제를 통한 안전한 보호

2. 관리자 계정에 의한 데이터 조회 통제




Vormetric Data Security Manager : 안전한 암호 키 관리 및 관리자 권한 관리

별도 장비에 의한 안전한 암호 키 관리 및 관리자의 권한 세분화로 안전성 강화가 가능합니다.


[Vormetric DSM - 전용의 암호 키 및 정책 관리]


개인정보 암호화 조치 안내서 (안전한 암호키 및 관리자 권한 관리 p.29)

DB 암호화의 안정성을 확보하기 위해서는 안전한 암호키의 관리가 필요하다. 암호화된 개인정보가 유출되더라도 복호화 할 수 없도록 암호키에 대한 추가적인 보안과 제한된 관리자만 허용하도록 하는 기술의 적용을 권고한다.


[Vormetric DSM의 관리자 권한 설정 GUI]


 

   - CLI 툴의 경우 : AIX, HPUX, Soloaris, RHEL, SLES, Windows 운영체제 지원

   - SOAP 표준을 지원하는 개발 언어

비정형데이터 암호화 및 암호화 키 관리 솔루션인 보메트릭 제품에 대한 문의는 아래에 있는 아이마켓코리아 IT 솔루션 담당자에게 이메일로 연락주시면 빠르게 답변해드리겠습니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL +82-2-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



비정형데이터, 정형데이터, 데이터 암호화, DB암호화, 문서 암호화, DBMS, 보메트릭, Vormetric, HSM, 암호 키 관리, 암호화키, 암호화 알고리즘, AES-256, DSM, 개인정보보호법 시행령 개정안, 비정형데이터, 금융감독원, 개인정보보호법, 정보통신망법, 보안 컴플라이언스, 오라클, 윈도우서버

Trackbacks 0 / Comments 0

개인정보보호, 생체인식정보 암호화의 중요성

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.03 14:35 / 카테고리 : nCipher HSM (Thales-HSM )




평생가는 데이터, 생체인식 정보의 중요성

카드3사 개인정보 유출사고, 각종 포털사이트 유출 사고등 고객의 개인정보 유출사고가 끊이지 않고 있습니다. 정부에서는 관공서, 정부기관을 제외한 일반 사기업에서는 인터넷으로 수집한 주민등록번호를 연말까지 파기하도록 하였으며, 이를 어길 경우에는 최대 3천만원의 과태료가 부과됩니다





주민등록번호에 대한 문제는 해결이 되었지만, 가장 중요한 것은 생체인식정보 데이터입니다. 생체인식정보로는 지문, 혈액형, DNA, 홍채인식 정보, 혈액정보, 진료 기록 등 한번 유출되는 절대 바꿀수 없는 치명적인 개인 정보입니다. 


최근에는 많은 디바이스나 보안솔루션, 결제 솔루션 등이 지문과 같은 생체인식정보를 활용하는 경우가 많아 생체인식정보에 대한 중요성이 더욱더 높아지고 있습니다.






생체정보 활용도 증가는 편의성에 기인하고 있습니다. 본인확인 및 인증을 위해 별도 정보를 요구하지 않아도 이용자 신원과 동일성을 확인할 수 있기 때문에 매우 유용한 기술입니다. 최근 생체정보 활용은 핀테크(Fin-Tech) 산업 발전, 비대면 실명인증 도입 등으로 확산되고 있습니다.


생체정보는 개인정보의 개념적 범주로 볼때, 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 등 개인정보 보호법제의 적용을 받는 개인정보입니다.





생체인식 정보 사고사례

금융보안원은 지난 3월 16일에 '바이오정보 사고사례 및 대응방안 조사' 보고서를 보면 바이오 정보를 위조하거나 해킹 등으로 정보를 유출한 보안 사고가 이미 국내외에서 많이 발생했다는 보고를 내놓았습니다. 





국내 사고사례를 보면, 지난해 2월 경북지역에서 소방공무원들이 실리콘으로 위조지문을 만든 뒤에 근태관리용 지문인식단말기에 인식시켜 초과근무수당을 챙기다가 적발되어 경찰에 입건된 사건이 있었습니다.



국외로는 CCC라는 독일의 해커단체 사건이 있습니다. 블라디미르 푸틴 러시아 대통령의 고해상도 사진을 출력하여 홍채를 복제하는 데 성공하여 이를 인터넷에 공개하는 사건이 발생하였습니다. 이를 해결 하기 위해서는 다중인증 기술과 정보를 정확하게 식별하는 기술도 필요하지만, 가장 중요한 것은 생체정보를 안전하게 암호화하여 개인식별정보와 분리하여 보관하여야 합니다.


생체정보는 일반 개인정보 중에서도 절대 바꿀 수 없는 절대적인 중요정보이고, 핀테크 등의 기술 확산으로 지문인식, 홍채 인식 등의 생체인식 정보로 인증을 하는 경우가 많아 이를 암호화하여 분리 보관하는 암호화 기술이 절대적으로 필요합니다.



생체정보 암호화는 하드웨어방식으로 암호화해야....

생체정보는 반드시 안전한 암호화 솔루션을 통해서 안전하게 관리되어야 합니다. 이에 가장 적합한 암호화 방법은 하드웨어 암호화 방식(HSM)입니다. 하드웨어 암호화 방식의 이점은 여러가지가 있지만, 데이터의 암호화 뿐만 아니라 데이터의 암복호화를 관리하는 암호화 키까지 안전하게 관리할 수 있습니다.




암호화는 안전한 금고를 만드는 행위에 가깝습니다. 하지만 금고에는 반드시 열쇠가 있습니다. 이 열쇠의 관리가 소홀하다면 안전한 금고에 있는 물건 들은 안전하지 않다고 볼 수 있습니다.


해킹 공격시 해커들이 공격하려는 우선 순위는 바로 암호화 키 저장소입니다. 이에 대한 대비가 가장 중요하다고 볼 수 있습니다. 하드웨어 암호화 모듈(HSM)은 암호화된 데이터와 암호화 키를 물리적으로 분리하고 암호화 키가 유출되지 않도록 하는 기능에 특화되어 있습니다. 




이러한 HSM에도 안전성을 평가하는 기준이 있습니다. 바로 미국 국립표준기술연구소에서 발급하는 FIPS 140-2 인증이 있습니다. HSM을 고를 때는 반드시 FIPS 140-2 인증을 받은 제품을 써야합니다.



Thales HSM 소개

Thales HSM은 높은 수준의 데이터 보안 솔루션을 제공하고 있으며, 공개 키 기반 구조(PKI), 신원관리, 데이터베이스, 웹패브릭, DNS 보안확장, 그리고 코드 서명까지 보호할 수 있습니다. Thales HSM은 소프트웨어 기반의 보안 솔루션 만으로 해결이 어려운 보안문제를 해결할 수 있는 최적의 방법입니다. 




Thales HSM은 미국 국립표준연구소에서 제정한 FIPS 140-2 인증을 획득한 제품입니다.

또한, PCI DSS 3.0을 만족하기 위한 요건을 갖추고 있습니다.



중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘을 제공합니다.


역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하는 견고한 관리자 정책을 통해서 엄격한 직무 분리 및 이중 통제를 확립할 수 있습니다.


하드웨어 보안 범주에서 보안에 민김한 사용자 정의 애플리케이션 코드를 안전하게 실행 할 수 있습니다.


※ Thales HSM 제품군은 접속형 (Thales nShield Connect) / 내장형 (Thales nShield Solo) 가 있습니다.


자세한 정보는 여기(클릭)에서 확인 가능합니다.





지원하는 알고리즘

 구분

 세부 내용

 비대칭 공개키 알고리즘

 RSA (1024, 2048, 4096)

 Diffie-Hellman

 DSA

 El-Gamal

 KCDSA

 ECDSA

 ECDH

 대칭키 알고리즘

 AES

 ARIA

 Camellia

 CAST

 DES

 RIPEMD 160 HMAC

 SEED

 Triple DES

 Hash/Message digest 

 SHA-1, SHA-2 (224, 256, 384, 512 bits)

 Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현



하드웨어암호화 모듈인 Thales HSM 제품에 대한 제품 문의 및 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 최대한 빠르게 답변드립니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



하드웨어 암호화 모듈, 생체인식, 생체정보, 바이오정보, 암호화,  HSM, 하드웨어암호화 모듈, Thales, Thales HSM, 하드웨어 암호화 장비, nShield, nCipher, 공개키 알고리즘, 개인정보보호법, 정보통신망법, 암호화솔루션, 서버암호화, 리눅스 암호화, DB암호화

Trackbacks 0 / Comments 0

지불결제 전용 암호화솔루션 Thales Payshield 9000

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.02.27 19:32 / 카테고리 : nCipher HSM (Thales-HSM )




확장이 가능한 지불결제 암호화 장비 Payshield 9000

지불결제 애플리케이션 용으로 설계된 Thales e-Security payShield 9000은 PIN 보호 및 검증, 트랜잭션 처리, 결제 용 카드 발급, 키 관리 등의 업무를 수행하는 검증된 하드웨어 보안 모듈(HSM)입니다.



탈레스의 지불결제용 HSM payShield 9000은 세계에서 가장 많이 적용되어 있으며, 신용 카드 거래의 약 80%를 차지하고 있습니다. payShield 9000 디자인은 25년 이상의 탈레스의 지불결제 시스템 보안 경험이 활용됨으로써 보안 및 운영 용이성의 이상적인 조합을 제공하는 신뢰할 수 있는 최첨단 솔루션입니다. 


payShield 9000은 지불결제 산업의 카드 발급 및 결제 처리 응용 프로그램을 실행하는 메인 프레임 및 서버의 외부 주변 장치로써 현금 자동 입출금기(ATM)나 POS에서 신용 카드와 직불 카드 거래에 대해 높은 보안 기능을 제공합니다. 



payShield 9000 암호화 및 관리 기능은 American Express, Discover, JCB, MasterCard, Visa 등 주요 국제 카드의 카드 응용 프로그램 요구 사항 및 보안 감사 요구 사항을 충족합니다. payShield 9000은 FIPS 140-2 레벨 3 인증을 받았으며, PCI 보안 표준 협의회가 발행하는 PCI HSM v1.0 사양의 인증을 받은 구성 또한 포함되어 있습니다.


카드 발급 및 결제 처리에 특화되어 설계된 포괄적이고 검증된 보안 기능을 제공합니다.

 주요 지불결제 프로그램에 특별한 추가 구성이 필요 없는 지원을 제공합니다.

 하드웨어 이중화 및 현장 수리가 가능한 구성 요소 클러스터, 그리고 fail-over 지원을 통해 비즈니스 연속성을 극대화합니다.

 도입 및 유지 보수를 합리화하고 발행 회사, 결제 처리업자, 매입사에 맞게 준비된 선택 가능한 소프트웨어 옵션에 따라 규제 준수 비용을 절감합니다.

 일련의 확장 가능한 고성능 기종이 준비되어 있으므로 필요한 처리 용량에 따라 선택적으로 구입할 수 있습니다.



지원하는 암호화 알고리즘, 인증

국내/외 상용화된 암호화 알고리즘을 지원하며, FIPS 140-2 등의 인증도 완료되었습니다.

구   분 

내       용

지원하는 

암호화 

알고리즘

 대칭키 알고리즘

 DES 및 Triple DES (키 길이 : 112 비트, 168 비트)

 - AES (키 길이 : 128 비트, 192 비트, 256 비트)

 비대칭키 알고리즘

 - RSA (키 길이 : 최대 2,048 비트)

 해쉬 알고리즘

 - MD1

 - SHA-1

 - SHA-2

 인증 - FIPS 140-2 레벨 3
 - PCI HSM V1 (특정 구성에만 해당)
 - APCA
 - MEPS
 키 관리 지원 - Thales Key Block (X9 TR-31의 슈퍼 세트 ANSI X9.24 준수)
 - X9 TR-31 Key Block
 - RSA 공개 키
 - PIN 및 데이터 암호화를 위한 DUKPT
 - 마스터 / 세션 키 구성표
 - Racal 트랜잭션 열쇠 체계
 - AS2805

 호스트 연결

 - TCP / IP 및 UDP (10/100/1000 Base-T) – 실패 내구성을 위한 포트 이중화

 - FICON (공장 설치 옵션)

 - Asynchronous (V.24, RS-232)



보안 상의 장점

- 특정 구성에서 PCI HSM 보안 인증을 통해 향후 예상되는 카드 제도의 의무화 전에 PCI 준수 환경으로 마이그레이션을 계획 할 수 있습니다.

- 하나의 HSM에서 여러 로컬 마스터 키 (LMK)을 사용할 수 있기 때문에 일반적인 HSM을 사용하는 어플리케이션 간 또는 거주자 간의 암호화 도메인 사이를 격리시킬 수 있습니다. 이것은 여러 은행 클라이언트 사이에서 키 데이터베이스를 완전히 격리 해야 하는 서비스 회사에 적합합니다.

- Key Management Device (KMD) 옵션은 보안 담당자가 실제 HSM에 물리적으로 연결하지 않고 매우 안전한 휴대 장치를 통해 키 구성 요소 관리, 키 복구, 응용 프로그램 키 추출이 가능합니다.

- 보안 감사 추적은 은행 업계의 최신 보안 감사 표준의 요구 사항을 충족하며 HSM에서 발생하는 보안에 민감한 모든 작업이 기록되어 검토 할 수 있습니다.


운영 상의 장점

- Remote HSM Manager 옵션을 통해 보안 담당자들은 출장 필요 없이 여러 데이터 센터에 흩어져있는 여러 HSM을 관리 할 수 있어 운영 비용이 절감됩니다.

- 통계 기능은 특정 시간 동안 실행된 명령을 모니터링을 통해 필요 성능에 대한 계획 수립에 도움을 주거나 성능 부분의 병목 현상을 방지 할 수 있습니다.

- 이중 전원 공급 장치, 이중 Ethernet 호스트 포트를 통해 이루어진 뛰어난 재해 극복 특성은 가동 시간을 극대화하고 데이터 센터에 대해 유연한 유지 보수 및 지원을 제공합니다.

- 소프트웨어가 업그레이드 가능하며 사용자 정의 기능을 갖추고 있어 초기 하드웨어 투자의 가치를 극대화하고 비용 효율적이며 안전합니다.



다양한 옵션 및 기능 추가

Thales Payshield 9000은 다양한 옵션을 통해서 기능을 확장하고 추가할 수 있습니다. 


기반 소프트웨어 패키지

각 payShield 9000 제품은 특정 용도에 맞도록 기반 소프트웨어 패키지 중 하나로 선택되어 설정 될 수 있습니다. 현재 지원되는 패키지는 트랜잭션 처리 및 마그네틱 카드 발급, EMV 카드 발급, Point-to-point 암호화 (P2PE), 모바일 POS (mPOS), 모바일 결제 관련 기능을 포함하며, 패키지에서 선택할 수 있습니다.


옵션 소프트웨어 라이센스

기반 소프트웨어 패키지의 다른 일련의 옵션 라이센스에 따라 기능을 추가 할 수 있습니다. 라이센스는 단품으로 구매 가능하고 제품의 라이프 사이클 기간 동안 언제든지 설치할 수 있습니다. 옵션의 각종 라이센스가 지원하는 기능에는 사용자 인증, 데이터 보호, 키 관리 확장 (여러 LMK 지원 포함), 지역별 결제 옵션, 고성능 RSA 키 생성, PIN/키 mailer 인쇄 등이 있습니다.


다양한 성능 옵션

payShield 9000은 여러 성능 수준을 가진 다양한 제품이 준비되어 있습니다. 거래량의 증가에 따라 고객은 추가적으로 HSM을 설치하여 부하 증가에 대응하거나 기존 HSM에 대한 성능 업그레이드 옵션을 구입할 수 있습니다. 성능 업그레이드는 물리적인 하드웨어를 변경할 필요 없이 필요한 만큼 소프트웨어 라이센스 업그레이드 적용이 가능한 장점이 있습니다.


Remote HSM Manager

payShield 9000 에 표준으로 제공되는 Local HSM Manager (payShield 9000 에 물리적으로 연결해야 함) 대신 Remote HSM Manager를 적용할 수 있습니다. Remote HSM Manager는 데이터 센터에서 떨어진 장소에서 모든 관리자 기능을 수행 가능한 독립 실행 형 시스템(원격 PC 또는 노트북에서 실행)입니다. 따라서 보안 팀은 실제 HSM 설치된 장소에 나갈 필요가 없습니다.



Key Management Device

Key Management Device (KMD)는 운영의 HSM에 물리적 연결하지 않고 매우 안전한 형태로 구성 요소에서 키를 형성하는 것을 가능하게 하는 독립형 휴대용 장치입니다.


Tandem 호스트 시스템 용 Security Resource Manager (SRM)

Tandem SRM은 Tandem 호스트 시스템에서 실행되는 소프트웨어 응용 프로그램이며, 호스트 측 결제 응용 프로그램과 HSM 간의 인터페이스입니다. 주 목적은 부하 분산 및 장애 복구를 실현하는 것으로, 호스트 측 응용 프로그램으로 하여금 여러 HSM을 관리해야 하는 복잡성을 간단한 인터페이스를 통해 SRM와 통신 할 수 있도록 됩니다. 여러 HSM은 논리적으로 단일 HSM 리소스로 보여집니다.


IBM 호스트 시스템 용 Security Resource Manager (SRM)

IBM SRM 은 IBM 호스트 시스템에서 실행되는 소프트웨어 응용 프로그램이며, 호스트 측 결제 응용 프로그램과 HSM 간의 인터페이스입니다. 주 목적은 부하 분산 및 장애 복구를 실현하는 것으로, 호스트 측 응용 프로그램으로 하여금 여러 HSM을 관리해야 하는 복잡성을 간단한 인터페이스를 통해 SRM와 통신 할 수 있도록 됩니다. 여러 HSM은 논리적으로 단일 HSM 리소스로 보여집니다.


추가 스마트 카드

각 payShield 9000 제품에는 비어있는 LMK 구성 요소 카드와 테스트 LMK 카드가 포함되어 있습니다. 6 장의 추가 카드 팩으로써 여러 데이터 센터에 걸쳐진 운영 및 보안 요구 사항을 충족하기 위해 대량의 카드가 필요한 개별 사용자 구성에 대응 할 수 있습니다. 스마트 카드는 탈레스의 최신 및 기존의 모든 지불결제 용 HSM (payShield 9000, HSM 8000, RG7000)에 사용할 수 있습니다.


캐비닛과 Runner 키트

고객은 개별 데이터 센터의 스토리지 요구 사항에 맞게 높이가 다른 다양한 캐비닛을 선택할 수 있습니다. payShield 9000 측면에 호환되는 보조 Runner 키트가 포함되어 있습니다.


교체 자물쇠와 열쇠

payShield 9000 은 보안 관리 운영 절차의 일환으로 2 개의 매우 안전한 자물쇠와 열쇠를 앞쪽 패널에 채용하고 있습니다. 이 부품은 엄중하게 관리, 등록되어 있으며 일반 시장에 제공되고 있지 않습니다. 탈레스는 자물쇠의 손상, 열쇠 분실 등이 발생했을 경우를 대비하여 자물쇠 교체, 추가 키 제공 서비스를 준비하고 있습니다.


어댑터 케이블

payShield 9000 뒤쪽 패널에 있는 USB 포트를 이용하여 콘솔이나 프린터 등의 주변 장치를 연결할 수 있습니다. 기존 지불결제 용 HSM은 RS232 D-Type 또는 Centronics 병렬 프린터 포트가 준비되어 있었습니다. 기존 케이블의 재사용을 희망하시는 고객들을 위해 그 끝을 USB 형식으로 변환하는 어댑터가 준비되어 있습니다.




아이마켓코리아, Payshield, 아이마켓, HSM, 하드웨어암호화 모듈, 지불결제보안 모듈, PCI DSS, PCIDSS, 암호화, DB암호화, 지불결제, 암호화 솔루션, 핀테크, fintech, 보안표준, 비자, 마스터카드, 페이팔, 알리페이


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[보안사고] 금융권 보안솔루션 디지털서명(코드사인) 해킹사고 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.02.24 15:26 / 카테고리 : nCipher HSM (Thales-HSM )



국내 금융권 보안솔루션 코드사인 해킹

정보보안 업계에서 가장 우려했던 상황이 발생하였습니다. 금융권에 주로 공급되는 보안솔루션의 최신 디지털서명(코드사인)이 해킹되는 사고가 발생하였습니다. 


해킹의 수단으로 지난해 10월 발급된 디지털서명(코드사인)이 이용되었으며, 유출된 디지털서명(코드사인)은 총 13개의 금융기관과 공공기관에 사용되었다고 보고되었습니다. 정부에서는 북한의 사이버테러 조직에 의해 일어난 것으로 추측하고 있으며, 남북간의 긴장이 고조화되고 있기 때문에 2월 ~ 3월에 대규모 사이버테러의 가능성도 있어, 긴장의 끈을 놓을 수 없는 상황입니다.





디지털서명(코드사인) 해킹의 위험성

디지털서명(코드사인)의 경우에는 프로그램의 신뢰와 안전성을 검증하는 역할을 하기 때문에 보안솔루션에서 중요하다고 할 수 있습니다. 그리고, DRM모듈과 보안모듈을 사칭한 악성코드로 위장할 수 있기 때문에, 이러한 코드사인이 해킹되고 오염되었다는 것은 모든 전산망의 검역체계가 무력화 되었다는 것을 의미합니다.  


주로 금융권 및 공공기관 웹사이트에서 업무를 볼 경우에 각종 보안프로그램을 설치하게 됩니다. 이때 컴퓨터에서는 안전한 프로그램이고 신뢰성이 있는 프로그램인지 검증한 뒤에 다운로드 및 설치가 이루어집니다. 특히, 프로그램 설치 시에 프로그램이 디지털서명(코드사인)이 없는 경우에는 '게시자를 확인 할 수 없어 소프트웨어를 차단하였습니다' 라는 경고창과 '알수 없는 게시자'로 나타납니다. 이를 통해 사용자는 악성 프로그램의 설치를 자체적으로 차단할 수 있습니다. (코드사인이 명확한 프로그램은 프로그램 게시자가 명시됨)


[디지털서명예시 : 이미지 출처 KICASSL 한국정보인증 웹사이트]



하지만, 이러한 검증을 하는 디지털서명(코드사인)이 해킹되어서 정보보안시스템의 큰 구멍이 뚫렸습니다. 특히 코드사인을 이용한 해킹사고의 경우에는 백신프로그램을 공급하는 보안회사의 코드사인을 사용하여 사용자로 하게 끔 해커가 배포한 악성코드를 안전한 백신프로그램 개발회사에서 제작한 프로그램으로 인식하게 시켜서 손쉽게 사용자 컴퓨터에 악성코드를 심을 수 있게 되었습니다. 



[디지털서명 프로세스]


디지털서명을 신뢰할 수 있는 소프트웨어를 식별하는 효과적인 방법으로 사용하기 위해서는 디지털서명 과정 자체가 안전해야 합니다. 그리고, 감염 코드를 은폐하기 위해 공격자가 위조 디지털서명을 사용하는 것을 방지하려면 이 디지털 서명 생성 프로세스를 보호하기 위한 수단을 강구하여야 합니다


[디지털서명과 관련된 위험 요소]

• APT는 고객정보나 지적 재산을 훔치기 위해 당신의 소프트웨어를 제어할 수 있습니다.

• 보안이 불충분 한 디지털 서명은 잘못된 안전 인식으로 공격자에 그 흔적을 숨기는 틈을 주게 됩니다.

• 위조된 디지털서명이 미치는 영향의 범위는 매우 넓고, 기업의 명성과 사업에 영향을 미칠 수 있습니다.

• 너무 귀찮은 디지털서명 프로세스는 귀중한 기술적 자원과 비용을 증가시킬 수 있습니다.


백신회사에서는 악성코드에 대응하는 프로그램을 업데이트 하는 등의 조치를 취하였지만 해당 해커가 탈취한 디지털서명을 통해 얼마나 많은 수의 악성코드를 배포하고 설치하게 하였는지는 파악이 어려운 상태입니다. 또한, 디지털서명을 사용한 흔적을 지웠을 확률이 높아서 최근 유행하는 해킹 기법인 APT해킹공격(지능형 해킹 공격 기법)을 사용하고 있는 것으로 보입니다.





소프트웨어(S/W) 방식 디지털서명(코드사인)은 보안상의 취약점이 존재합니다. 위의 사고사례와 같이 일 디지털서명이 해킹에 악용될 수 있으며, 위의 사고사례는 소프트웨어방식의 디지털서명의 취약점을 명확하게 보여줍니다. 


기존 S/W 방식의 보안솔루션의 한계는 명확하며, 이를 해결하기 위해서는 하드웨어암호화 모듈을 통한 하드웨어 방식의 신뢰성 있는 디지털서명(코드사인)이 필수입니다.



하드웨어방식의 디지털서명 솔루션, Thales HSM

탈레스(Thale e-security)의 디지털서명(코드사인) 솔루션은 보증할 수 있는 효율적인 디지털서명(코드사인) 프로세스를 구현하여 위변조에서 소프트웨어를 보호할 수 있는 하드웨어암호화 솔루션입니다. 


[ Thales HSM 자세한 스펙 : http://it.imarketkorea.com/hsm.php ]


탈레스 디지털서명(코드사인) 솔루션은 자동으로 요청 / 승인 워크플로워를 포함하여 다양한 시나리오에 대응하고 디지털서명(코드사인)에 대해서는 Thales e-Security의 다양한 전문적인 지식과 기술을 바탕으로 설계되었습니다. 탈레스 하드웨어 보안 모듈은 변조 방지 코드 사인용 개인 키에 대해 인증된 보호 기능과 중요한 디지털서명(코드사인) 프로세스가 실행되는 보안 플랫폼을 제공합니다.


[Thales e-Security 솔루션의 장점]

• 소프트웨어 위변조에 따른 잠재적인 위협으로부터, 기업, 파트너 및 사용자를 보호합니다.

• 다양한 조직의 규모와 범위에 맞는 보안 코드사인 프로세스를 신속하게 구현합니다.

변조 방지 기능을 가진 하드웨어 기반의 솔루션을 통해 최상의 보안을 제공합니다.

• 워크플로워 자동화 기능을 사용하여 코드사인 프로세스의 단순화와 합리화를 실현합니다.

코드사인 모범 사례 전문가들과 협력하여 위협을 줄일 수 있습니다.

• 규정 준수 및 새롭게 추가되는 기준에 대한 요구 사항을 충족시킬 수 있도록 솔루션 확장이 가능합니다.



하드웨어방식의 디지털서명 솔루션인 Thales e-Security HSM에 대한 문의는 아래의 아이마켓코리아 보안솔루션 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

글로벌 핀테크 산업에 반드시 필요한 지불결제보안표준, PCI DSS

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.02.12 13:24 / 카테고리 : nCipher HSM (Thales-HSM )




지불결제보안 표준 PCI DSS란?

직접적인 재산이 오가는 지불결제가 가장 많이 이루어지는 핀테크 산업에 있어서는 특히 보안은 다른 산업군 보다 더 중요하다고 할 수 있습니다. 특히 신용카드 거래가 온/오프라인에서 구별 없이 편하게 사용할 수 있는 만큼 더욱 더 해킹도 쉬워지고 진화하고 있습니다. 



그리고, 핀테크 및 지불결제 산업 특성상 보안사고가 1번이라도 일어나면 고객들의 핀테크 관련 인식에 대해서 굉장히 부정적으로 돌변하게 되며 산업 전체가 후퇴할 가능성도 있습니다.

이러한 지불결제에 대한 해킹을 막기 위해서 지불결제보안표준이 제정되었습니다. 바로 PCI DSS입니다.

PCI DSS(Payment Card Industry Data Security Standard)는 글로벌 신용카드 회사인 비자카드와 마스터카드 그리고 아멕스, 디스커버, JCB 등 가장 많이 쓰이는 해외 신용카드 브랜드 등이 만든 카드정보 보안체계를 의미합니다.


2016년 올해, 1월에는 '핀테크 시대, 글로벌 보안감사 PCI DSS'를 주제로 서울 잠실에서 정기포럼이 개최되었습니다.  초정인원으로는 PCI DSS 전문가인 Suresh Dadlani(Control Case 최고운영책임자)는 미국에서 은행을 제외한 대부분의 금융회사 및 관련 업체는 이미 PCI DSS를 준수하고 있으며, 전 세계 모든 나라에서 PCI DSS를 국제표준으로 인정하고 있다고 말했습니다.


또한, 한국의 금융사들도 PCI DSS 채택을 적극적으로 검토해야 하다고 강조하였습니다. 이미 국내에서는 PayGate PG업체가 PCI DSS 보안감사를 받고 있으며, 다른 PG업체도 PCI DSS 자격 심사를 받고 있다고 전하였습니다. 




그리고, 글로벌 핀테크 기업인 Paypal(페이팔)과 Alipay(알리페이)도 이미 2006년부터 PCI DSS를 준수하고 있는 대표적인 핀테크 기업으로 페이팔과 알리페이는 세계에서 가장 많은 사용자가 쓰는 지불결제 솔루션입니다. 이들은, PCI DSS를 준수하였기에 페이팔이나 알리페이와 같은 글로벌 핀테크 기업이 높은 점유율과 안정적인 운영으로 세계적으로 많은 사용자를 확보할 수 있었던 것입니다.


국내에서는 아직 PCI DSS를 채택하고 있는 은행 및 카드사 등이 없지만 핀테크 기술을 기반으로 글로벌 진출을 생각하고 있다면 반드시 PCI DSS는 필요합니다.


PCI DSS 인증을 획득하게 되면 얻는 이점은 아래와 같습니다.

◈ 지불결제체계 보호가 보장됨

◈ 사기로 부터 패널티 경감 또는 구제가 가능

◈ 데이터 보호를 위한 신뢰성 증가

◈ 규제순응 요건이 지원됨

◈ 종합적인 정보보안 방법이 향상됨


또한, PCI DSS 인증을 얻기 위해서는 아래의 조건을 만족해야 합니다. 

◈ 정보보호 네트워크 구축과 유지

◈ 카드홀더 데이터 보호

◈ 취약점 강화 프로그램 유지

◈ 정보보호 정책 유지

◈ 소프트웨어 디자인

◈ 강력한 접근통제장치 작동 등 카드 정보보호

◈ 기타 업데이트되는 정보보안 요건 충족 등




지불결제 전용 하드웨어 암호화 모듈 Thales Payshield 9000

아이마켓코리아에서는 글로벌 정보보안 회사인 Thales e-seucurity와 손잡고 PCI DSS 요건을 만족하는 지불결제 전용 보안 솔루션인 Thales Payshield 9000을 공급하고 있습니다. 

Thales Payshield 9000은 오프라인으로는 신용카드 및 직불카드 발급과 거래에 필요한 암호화 기능을 제공하는데 있어서 최적화된 지불결제전용 하드웨어 암호화 모듈입니다. Payshield는 국제 카드 표준의 보안감사요구인 PCI DSS를 만족하는 암호화 기능과 접근제어 등의 관리 기능을 탑재하고 있습니다. 


Payshield 9000은 세계에서 가장 많이 사용하는 글로벌 카드 브랜드인 AMEX, 디스커버, JCB, 마스터카드, 유니온페이, 비자카드 등을 지원합니다. 


[주요 특징 및 기능]

1. 카드 지불 시스템 보호를 위하여 설계된 전용 암호화 장비

2. 업계 최초의 고 가용성 지불결제 하드웨어 보안 장비

3. 뛰어난 장애복구 기능을 통한 비즈니스 연속성 극대화

4. 업계 최고 성능 1,500TPS (키 블록 기준)

5. FIPS, PCI DSS 지불결제 보안표준에 적합한 HSM 장비

6. 다중 어플리케이션 환경에 적합한 Mutiple LMK 지원

7. 카드 발급사 / VAN사, POS, PG 회사 등에 적합한 별도 패키지 구성 가능

8. 사용자 필요에 따른 어플리케이션 라이선스를 선택하여 전체 비용을 절감 가능


Thale Payshield 9000은 삼성카드, 현대카드, 나이스정보통신, KIS정보통신, 수협은행, 외환은행 등에서 이미 사용하고 있는 암호화 장비이기 때문에 신뢰성이 보장됩니다. 



지불결제보안, PCI DSS를 위한 암호화 장비인 Thales Payshield 9000 장비 상담 문의는 아래의 아이마켓코리아 암호화 솔루션 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

카드 3사 개인정보유출 피해자, 집단 소송에서 승소

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.01.29 15:42 / 카테고리 : nCipher HSM (Thales-HSM )



카드 3사 개인정보 유출사고, 첫 피해자 승소

2014년에 금융업계와 정보보안 업계에 있어서 가장 큰 사건이였던 KB국민카드, 농협카드, 롯데카드의 고객 개인정보유출사고에 대해서 피해자들이 카드사를 상대로 낸 소송에서 처음으로 승소하였습니다. 

2016년 1월 22일 서울중앙지법에서는 카드회사는 개인정보보호 관련 법을 위반하였고 카드회사의 개인정보보호 용역을 수행하였던 코리아크레딧뷰로(이하 KCB)도 직원에 대한 관리감독에 대한 소홀로 사상초유의 개인정보유출사태가 일어났음을 언급하였습니다. 


2014년에 일어난 개인정보 유출사태는 카드 3사가 보관 중인 고객 DB가 유출당해 개인정보보안을 위해서 이름, 주민등록번호, 카드번호, 결제계좌번호, 주소, 휴대전화번호, 유효기간 등을 개인정보뿐만 아니라 금융결제 기록까지 유출된 사건이였습니다. 



이 사건은 카드사의 시스템 개발 과정에서 용역업체인 KCB의 직원이 의도적으로 개인정보를 유출한 한 것이 원인으로 그 규모도 전 세계에서 벌어진 개인정보 유출사건에서도 3위에 해당할 만큼 큰 규모의 해킹사고 입니다.



기술적인 보안조치 미흡, 보안사고 발생시 책임회피 어려워

카드 회사에서는 자신들도 피해자이며, KCB에 의한 범행이므로 우리는 책임이 없다고 하였지만, 법원에서는 감독의 의무를 성실히 하지 않았을 뿐더러, 가장 중요한 기술적인 보안조치가 이루어지지 않았기 때문입니다. 

※ 기술적 조치 : 고객정보 DB암호화, 내부정보유출방지 (DLP) 등의 보안적 장치


다만, 이날 소송을 진행한 피해자 5,000여명은 1인당 20~70만원 씩 총 13억원을 요구하였으나, 법원은 재산상의 피해가 확인되지 않았기 때문에 인당 10만원으로 배상금을 책정하였으며, 이로 인해 KB국민 카드회사와 KCB는 공동 4억 5,000만원을 배상하고, NH농협카드는 5,000만원을 배상하여야 합니다. 





업계에서는 배상금액이 문제가 아니라, 이 판결로 인해서 현재 대기 중인 소송 300여건과 총 소송금액이 1,100억원에 달하는 소송에서도 굉장히 불리하게 작용할 전망입니다. 이미 선례로 개인정보유출로 인한 피해를 인정하게 되었으므로 앞으로 일어나는 개인정보유출사고 관련 소송에서 패소하여 피해배상금을 지불해야 할 확률이 높아졌습니다. 



DB암호화는 기업에 있어서 보험과 같습니다.

정보유출 사고의 97%는 관리 부주의에 있다고 합니다. 개인정보보호법이 DB암호화를 반드시 의무화 시킨 이유는 단순한 보안솔루션으로는 개인정보 유출사고를 완벽하게 막을 수 없기 때문입니다. 이를 막을 수 있는 방법은 바로 보유하고 있는 데이터베이스를 DB암호화하는 것입니다. 


DB암호화의 궁극적인 목적은 데이터가 유출된다 하더라도 불법적으로 사용할 수 없는 무용지물 데이터로 만들어 버리는 것입니다. AES-256과 같은 강력한 알고리즘으로 암호화한 경우에는 암호화 시 사용된 암호화 키를 유출당하지 않는 이상 고객의 DB는 안전하게 암호화되어 절대 내용을 확인할 수 없습니다.


그러기 때문에 가장 중요한 부분은 DB암호화도 중요하기 하지만 이를 안전하게 관리하는 암호화 키 관리/보관 방안과 암호화 키를 통해 DB데이터를 복호화할 수 있는 접근권한 제어에 있습니다.



이를 가능하게 하는 보안 장비로는 HSM이 있습니다. (하드웨어암호화 모듈 - Hardware Security Module)은 암호화 키를 생성하고 저장하고 역할을 하는 암호화 전용 장비입니다. Key에 대한 생성, 교환, 백업, 보관, 키 라이프 사이클 관리 등의 기능을 안전하고 편리하게 관리할 수 있습니다.


아이마켓코리아에서 유통하는 Thales HSM은 높은 암호화 성능과 암호화 키 관리 기능으로 서버에 가해지는 부담을 최소화하고 강력한 상용화 알고리즘으로 DB암호화가 가능하며 복호화에 사용되는 암호화 키를 안전하게 분리/보관하게 할 수 있는 강력한 하드웨어암호화 모듈(HSM)입니다.




탈레스 HSM은 (Thales e-security) FIPS 140-2 Level 2 및 Level 3 인증과 CC EAL4+을 받은 제품으로 탈레스는 마이크로소프트와 오라클 골드 파트너사로 등록되어 있습니다. 


[지원되는 암호 알고리즘]

- 비대칭 공개키 알고리즘 : RSA(1024, 2038, 4096), Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH

- 대칭키 알고리즘 : AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES

- Hash/Message Digest : SHA-1, SHA-2 (22, 256, 384, 512 bits)

- Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현

※ Thales nShield Solo HSM은 Solid State 저장소를 사용하기 때문에 가용성이 높습니다.


구축을 통해서 높아져가는 개인정보보호법 요구사항을 준수하여 리스크를 최소화 해야 한다.


Thales HSM은 nShield Solo는 여러 서버들로 구성된 클러스터에 사용되어 부하조절 및 높은 가용성을 실현할 수 있습니다. 데이터 센터 환경에서 여러가지의 nShield Solo 모듈을 사용하는 고객을 위해 스마트카드 리더 렉 마운트가 옵션으로 제공됩니다.



Thales nShield Solo HSM은 성능 및 PCI 인터페이스에 따라서 다양한 모델을 지원하고 있습니다.




아이마켓코리아에서는 전세계 HSM 점유율 1위를 자랑하는 Thales HSM을 DB 암호화 키 관리 용도로만 사용할 경우, PCIe Type인 HSM (FIPS 140-2 Level 3)제품에 대해서 특가 프로모션을 진행하고 있습니다. 


자세한 사항은 http://itblog.imarketkorea.com/173 을 참조해주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

고성능 PCIe 내장형 암호화 모듈 Thales HSM nShield Solo

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.01.24 11:32 / 카테고리 : nCipher HSM (Thales-HSM )



Thales e-Security nShield Solo는 높은 비용 효율성과 안전을 겸비한 보안 솔루션으로 독립형 서버 나 어플라이언스에 내장 되는 PCI 또는 PCIe 카드입니다. 서버 내장형 하드웨어 보안 모듈 (HSM) 은 암호화 전용 오프로드 및 가속화 기능을 갖추고 있으며, 매우 까다로운 성능 요구를 충족합니다. nShield Solo는 소프트웨어 기반 암호화로는 부족한 상황에 대응할 수 있는 전용적인 물리적 및 논리적 제어 기능을 제공합니다. 또한 Security World 아키텍처를 채용하고 있기 때문에, 높은 보안성과 사용성의 이상적인 조합을 제공합니다. 따라서 듀얼 컨트롤 등의 보안 정책 결정과 동시에 일이 많고 부담이 큰 관리자 업무를 자동화 할 수 있습니다.


nShield Solo는 다른 nShield HSM 제품군과 완벽하게 호환되기 때문에 성능 요구사항 증가에 따라 다른 HSM과 쉽게 혼용 및 마이그레이션이 가능합니다. 또한 다양한 기능적 요구를 충족 할 수 있도록 타원 곡선 암호 (Elliptic Curve Cryptography : ECC)에 최적화 된 모델을 포함한 다양한 성능의 모델이 준비되어 있습니다. 이중화된 nShield Solo는 하드웨어 내결함성을 실현하고 고 가용성이 필수적인 데이터 센터에 이상적입니다. 제 3 기관에 의해 검증된 보안 플랫폼은 다양한 상용 비즈니스 애플리케이션 및 사용자 지정 빌드의 비즈니스 응용 프로그램을 위해 공개 키 인프라 (Public Key Infrastructures : PKI) ID 관리 시스템, 데이터베이스, 인터넷 망, DNS 보안 확장 (Domain Name System Security Extension : DNSSEC)의 코드서명 구현을 포함한 중요한 보안 시스템을 위해 암호화와 디지털 서명 키 관리 및 암호화 작업을 수행합니다. nShield Solo는 FIPS 140-2 레벨 3 및 CC EAL4+ 인증을 받아 그 보안성이 검증되었습니다.






nShield Solo의 장점

  • HSM 소프트웨어 기반 암호화가 가지는 본질적인 취약점을 해결합니다.

  • 강력한 키 관리 아키텍처는 규제 준수를 포함한 운영 비용을 최소화합니다.

  • 성능 향상에 특화된 서버 내장형입니다.

  • 중요한 보안 기능을 분리하여 IT의 상호 의존성을 최소화합니다.

  • 보증에 관한 까다로운 어플라이언스 공급 업체를 위해 FIPS 140-2 인증을 획득하고 있습니다.




nShield Solo의 특징

보안 관련

하드웨어 보안 모듈 (HSM)의 주요 목적은 소프트웨어 응용 프로그램이나 운영 체제 또는 보호되지 않은 서버 하드웨어에 의해 수행되는 암호화 작업의 보안을 강화하는 데 있습니다. 이러한 HSM 이외에 의한 방법의 대부분은 데이터 유출, 잘못된 구성 설정, 변경 등에 취약합니다. HSM을 통해 이루어지는 추가적 보안요소는 다중의 단계를 통합하는 여러 가지 입증된 기술을 사용합니다. 이러한 기술들은 아래와 같습니다.


물리적 보안 대책

  • 암호화 프로세스와 키를 응용 프로그램과 호스트 운영 체제에서 분리하여 고립시키고 엄격하게 관리되는 암호화 API를 통한 접근 만을 허용하는 카드 기반의 전용 보안 모듈 (PCI 또는 PCIe 형태).
  • CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용 프로그램 "샌드박스"로 안전하게 실행할 수 있는 옵션 기능을 포함합니다.
  • 프로빙의 공격으로부터 내부 회로를 보호하기 위한 에폭시 포팅 사용을 포함함으로써 물리적 공격을 방지
  • 전원 및 온도의 무결성을 포함한 환경 조건에 대한 모니터링을 통한 공격 가능성을 탐지 합니다.




논리적 보안 대책

  • HSM에 직접 접속하는 모든 관리자와 사용자는 HSM 자체가 발행하고 관리하는 스마트 카드를 사용하여 강력하게 개별 인증되므로 비밀번호에만 의존하지 않습니다. 비밀번호는 그 자체로 취약할 수 있으며, 다른 시스템에서 관리되거나 다른 응용 프로그램에 의해 노출되는 경우가 많아 취약합니다.
  • 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.
  • 키 복구 등 특히 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화하며, 자유로운 구성 설정을 지원하며, HSM 내에서 엄격하게 실행됩니다.
  • CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. (옵션)



운영 관련

과거에는 고급 보안 기능은 단지 귀찮고 추가적인 노력이 요구되며 성능에 안좋은 영향을 미치는 것이 보통이었습니다. 결과적으로 관리자는 보안과 성능 및 효율성 사이의 무의식적인 트레이드 오프를 수행할 수 밖에 없었습니다. nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량 및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다. 자세한 특징은 다음과 같습니다.


  • 기존 데이터 백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용 및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화 합니다.
  • 다양한 애플리케이션 및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화 합니다.
  • 암호화 처리의 가속 및 오프로드는 클라이언트 시스템에서 리소스 집약적인 작업을 없애고 전체적인 성능을 향상시켜 최대한의 용량을 제공 합니다.
  • 안전한 키 저장소의 용량 제한을 없애고, 전반적인 확장성이 향상 됩니다.
  • 키 저장을 위한 고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술 제공.
  • 단일 호스트 또는 호스트 시스템의 그룹에 속한 여러 HSM들을 통합하여 로드 밸런싱 및 fail-over 기능을 갖춘 재해 복구 자원 풀을 구축 가능 합니다.
  • 원격제어를 통해 키 관리자 및 시스템 관리자가 안전한 방식으로 업무를 수행함과 동시에 비용을 절감하고 불편함을 감소 시킵니다.
  • CodeSafe로 보호된 응용 프로그램의 원격 프로비저닝 (옵션).


Thales nShield HSM SOLO(PCIe Type) 제품에 대한 문의는 아래 아이마켓코리아 암호화 솔루션 담당자에게 연락주시면 컨설팅을 받으실 수 있습니다.


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 360,796
  • 오늘 : 180
  • 어제 : 289
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.