Thales, IoT 기기를 nshield HSM 제품군으로 보호할 수 있는 솔루션 발표

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.05 19:43 / 카테고리 : nCipher HSM (Thales-HSM )



한 시장조사 기관에 따르면, 2015년에 100억개였던 인터넷 연결 장치는 2020년까지 340억개로 증가할 으로 전망하고 있습니다. 그리고 현재 많은 기업들이 IoT 기기들을 지속적으로 출시하고 있습니다. IoT 기기는 기업과 가정 등 많은 부분에서 편리함을 가져다 줄 수 있는 기술입니다. 하지만, 잠재적인 보안 문제점을 가지고 있습니다. 


이러한 트렌드에 발 맞춰서, Thales e-Security 에서는 IoT 보안을 위한 제품군을 발표하였습니다. IoT 장치를 인증하고 데이터 수집의 시점부터 시스템에 저장되기까지의 모든 과정을 Thales의 데이터 출생 증명서, 코드 사이닝, 트랜드페어런트 인크립션 솔루션등으로 통합하고 효율적으로 관리할 수 있습니다. 

Thales nShield HSM에서 보장하는 안전한 범위 안에서 생성된 암호키를 기반으로 IoT 장치를 인증하고 정기적으로 보안 설정을 관리 할 수 있는 수단을 제공하고 있습니다. 코드 서명을 통해서 IoT 장치에 대한 신뢰성과 무결성을 검증 할 수 있습니다. 


코드 서명 (Code Signing)

◈ Thales nShield HSM에 탑재되어 있는 Thales Code Signing Solution 기능은 모든 소프트웨어 업체가 소프트웨어의 변조 위험으로 조직을 보호할 수 있도록 합니다. 

◈ HSM을 통해 보안된 키로 서명하기 때문에 IoT 기기에 새로운 기능을 추가하거나 보안 패치를 하는데 필요한 펌웨어 업데이트의 신뢰성과 무결성을 보장할 수 있으며, 악성코드와 같은 위협을 방어할 수 있습니다. 




Thales nShield 제품 군은 크게 네트워크 접속형과 내장형 PCIe 카드형이 있으며, FIPS 140-2와 CC 인증을 획득하여 신뢰성이 높은 제품입니다. 위에 설명드린 IoT 보안 솔루션에도 활용되지만, 데이터 암호화 및 암호키 관리에서 특히 고성능을 발휘합니다.




Thales nShield Connect HSM 제품 소개 (Connect+ 및 Connect XC)

Connect+ 및 Connect XC 모델을 포함하는 nShield Connect 시리즈는 분산 애플리케이션 및 가상머신 환경을 위해 암호화 서비스를 공유 네트워크 자원을 통해 제공합니다. 



물리적 보안

◈ 암호화 프로세스와 키를 응용 프로그램과 호스트 운영 체제에서 분리하여 고립시키고 엄격하게 관리되는 암호화 API를 통한 접근 만을 허용하는 전용 장치입니다.

 CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용프로그램 "샌드박스"로 안전하게 실행할수 있는 옵션 기능을 제공합니다.

 내부 회로를보호하기 위한 에폭시 포팅 및 장치에 대한 직접적인 무단 접근을 감지하는 보안 레이블 등의 대책이 적용 된 물리적 공격 방지 섀시가 있습니다.

 하드웨어 모니터링을 통해 공격 시도를 감지 할 수 있습니다.

 nToken을 사용하는 클라이언트 인증기능은 허가되지 않은 사용자의 접근을 제한합니다.



논리적 보안

◈ 스마트 카드를 사용하는 사용자 인증 기능은 보안 강도가 약하고 고통으로 자주 사용되는 패스워드 방식으로 부터 벗어날 수 있도록 합니다.

 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, 탈레스 Security World는 HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.

 키 복구 등특히 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화 합니다. 자유로운 구성 설정이 가능하며, HSM 내에서 엄격히 수행됩니다.

 CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. 



지원되는 암호화 알고리즘


대칭

  • AES(128, 192 및 256비트)

  • Aria(128, 192 및 256비트)

  • Camelia(128, 192 및 256비트)

  • Triple DES(112, 168비트)


비대칭

  • RSA(1024, 2048, 4096, 8192비트)

  • Diffie-Hellman

  • DSA

  • ECC 제품군 B


해싱

  • SHA-1, SHA-2 (224, 256, 384 및 512비트)




Thales nShield Solo HSM 제품 소개 (Solo+ 및 Solo XC)

nShield Solo 시리즈는 Solo+ 및 새로운 Solo XC 모델로 구성되어 있으며, 독립형 서버 및 어플라이언스에 내장되는 PCIe 카드로 설계된 고 보장 보안 솔루션 입니다.



물리적 보안
◈ 응용 프로그램 및 호스트 운영 체제에서 암호화 프로세스와 키를 분리 전용 카드 기반 보안 모듈만 엄격하게 통제 암호화 API를 통해 액세스 할 수 있습니다. 
◈ CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용프로그램 "샌드박스"로 안전하게 실행 할 수 있는 옵션 기능을 제공합니다.
◈ 내부 회로를 보호하기 위한 에폭시 포팅 및 장치에 대한 직접적인 무단 접근을 감지하는 보안 레이블 등의 대책이 적용 된 물리적 공격 방지 섀시가 있습니다.
◈ 하드웨어 모니터링을 통해 공격 시도를 감지 합니다. 



논리적 보안

◈ 스마트 카드를 사용하는 사용자 인증 기능은 보안 강도가 약하고 고통으로 자주 사용되는 패스워드 방식으로 부터 벗어날 수 있도록 합니다. 

◈ 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, 탈레스 Security World는 HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다. 

◈ 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화 합니다. 

◈ 자유로운 구성 설정이 가능하며, HSM 내에서 엄격히 수행됩니다. 

◈ CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. 



지원되는 암호화 알고리즘


대칭 

  • AES(128, 192 및 256비트)

  • Aria(128, 192 및 256비트)

  • Camelia(128, 192 및 256비트)

  • Triple DES(112, 168비트) 


비대칭 

  • RSA(1024, 2048, 4096, 8192비트) 

  • Diffie-Hellman 

  • DSA

  • ECC 제품군 B


해싱

  • SHA-1, SHA-2 (224, 256, 384 및 512비트)




Thales nShield 제품 군은 FIPS 140-2 를 인증받은 제품으로 각종 규제 준수에 탁월합니다.



또한, 가장 많은 상용 DB서버인 오라클 및 MS 인증을 받은 제품입니다.



Thales nShield HSM 제품 관련 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 컨설팅 및 견적을 안내해드립니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

4차 산업혁신을 이끌 블록체인, 디지털 키 보호를 위한 HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.11 18:59 / 카테고리 : nCipher HSM (Thales-HSM )



4차 산업혁명 시대에 상거래는 가상화폐를 통해서 많이 이루어 질 것이라는 주장이 나오고 있습니다. 특히, 가상화폐를 통해 결제를 하게 되면 반드시 거쳐야할 부분은 바로 블록체인(BlockChain)입니다. 


블록체인은 공공거래 장부라고도 불리는 기술로써 거래에 참여하는 모든 사용자에게 거래 내역을 보내주게 되고 이를 계속 대조하여 데이터 위조를 막는 방식으로 동작합니다. 


블록체인 기술은 이미 가상화폐로 유명한 비트코인(Bit Coin)에 사용되고 있는 기술입니다. 비트코인과 같은 가상화폐 뿐만 아니라 기록물을 블록체인 기반으로 저장하는 방법도 구상되어 있습니다. 두바이 정부는 해당 방식을 통해서 모든 정부의 문서를 블록체인으로 저장하고 기록하는 프로젝트를 진행하고 있습니다. 또한, 거대 IT 기업들도 블록체인을 통한 새로운 플랫폼과 시장을 선점하기 위한 투자를 끊임 없이 진행하고 있습니다. 



글로벌 기업 뿐만 아니라, 국내 IT 기업인 삼성SDS, SK C&C 등도 블록체인을 상용화 하기 위한 기술 개발에 투자를 아끼지 않고 있습니다. 삼성 같은 경우에는 삼성카드에 블록체인 기술을 활용하여 전자문서 원본확인 서비스를 적용하는 등 다양한 신규산업과 융합하여 4차 산업혁명을 이끌 준비를 하고 있습니다. 




이렇게 활용성도 다양하고 전망도 좋은 블록체인 기술도 보안 위협은 존재합니다. 블록체인을 기반으로 하는 화폐 결제 시스템은 블록체인을 위한 디지털 키를 저장하는 사이버 지갑에 의존하고 있습니다. 데이터를 제외한 디지털 키는 기존과 같이 서버에 저장되기에 네트워크 공격에 취약할 수 있습니다. 


이러한 보안 위협을 제거하기 위해서는 디지털 키의 무결성을 보장하여야 합니다. 디지털 키의 무결성을 보장하기 위해서 필요한 기술이 바로 HSM(Hardware Security Module)입니다. 디지털 키를 네트워크와 물리적으로 격리된 공간에 저장하고 디지털 키를 안전하게 보호하기 위한 고도화 보안 매커니즘으로 관리되어야 합니다.




HSM은 암호화 키를 생성하고 저장하는 역할을 하는 암호화 전용 장비로써 인증과 서명, 암호화 등의 다양한 분야에서 키에 대한 생성과 교환, 백업, 보관, 키 라이프 사이클 관리 등의 기능을 가장 안전하고 편리하게 관리하는 전용 장비입니다. 블록체인에서는 이러한 기술 등을 디지털 키 보호에 활용합니다.


최근 탈레스는 액센츄어와 협력하여 만든 블록체인에 HSM 적용하는 기술을 통해서 기존의 강력한 블록체인의 암호화 기능과 함께 디지털 키의 무결성을 보장할 수 있게 되었습니다. 이 기술은 하이퍼렛져(Hyperledger)의 패브릭 기술을 사용하였기 때문에 범용적으로 이용할 수 있고 호환성 또한 높습니다. 



* HyperLedger : 모든 산업에서 범용적으로 이용 가능한 블록체인 기술을 개발하기 위해 100개 이상의 대기업이 협력한 오픈소스 협업 단체



HSM의 특징

1. H/W 기반의 암호화 연산 기능을 제공합니다. 

- 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증대시킵니다.


2. 키에 사용에 대한 정책을 시행합니다.

- 관리자 권한의 강력한 분리

- 관리자를 위한 강력한 인증

- 상호 감독을 위한 강력한 이중 통제

- 성능 증대를 위한 프로세싱 분리

- 물리적 보호를 위한 변조 방지 기술


3. 비대칭 형 암호연산에 사용되는 개인 키를 H/W 보안과 안전한 관리

4. 블록체인에 사용되는 디지털 키에 대한 안전한 보호 및 무결성 보장



HSM을 사용하여야 하는 이유

1. 소프트웨어 기반의 모듈보다 뛰어난 보안성과 운영상의 강점을 가지고 있습니다.

2. 암호키가 HSM 하드웨어 박스 속에서 생성되기 때문에 물리적으로 키 값에 대한 강력한 보호가 가능합니다.

3. 하드웨어 키 보호 시스템은 논리적으로 접근이 불가능하며, 물리적으로 접근시 키 값이 삭제됩니다. 

4. 백업으로 인한 키 관리의 어려움과 분실에 대비한 중앙집중적인 키 관리가 가능합니다.

5. 내부자에 의한 키 탈취에 취약점을 해결할 수 있는 관리 장치가 마련 되어 있습니다.

* 이러한 키 관리에 대한 강점을 블록체인의 디지털 키에도 적용할 수 있습니다.



Thales HSM 소개 (GPHSM 종류)

GPHSM은 일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호 및 생성, 관리 전용 장비입니다. nShield 라는 제품군으로 불리우고 있으며 서버 내장형(Thales nShield Solo)과 서버 외장형(Thales nShield Connect)으로 구분됩니다. 




Thales nShield 제품군은 FIPS 140-2 와 CC 인증을 받은 제품으로 그 보안성을 입증 받은 제품입니다. 




Thales HSM 관련 제품 및 도입 문의아래의 아이마켓코리아 보안 담당자에게 연락주시면 친절하게 안내해드립니다. (견적 문의 가능합니다.)



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

탈레스, 블록체인(blockchain)에 HSM을 통합하는 기술 개발

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.04.27 14:36 / 카테고리 : nCipher HSM (Thales-HSM )



탈레스(Thales)와 액센츄어(Accenture)는 합작으로 차세대 전자금융거래 기술로 각광받고 있는 블록체인(BlockChain) 기술에 HSM(Hardware Security Module, 하드웨어 암호화 모듈)을 통합하는 기술을 공동 개발했다고 밝혔습니다. 이 통합 기술로 인해서 금융 서비스와 헬스케어 및 정부 기관의 산용 보안 시스템의 통합을 단순화 할 수 있을 뿐만 아니라, 금융서비스와 헬스케어 시장의 디지털 키 관리 이슈를 해결할 수 있을 것으로 예상됩니다. 




HSM은 하드웨어암호화 모듈의 약자로써 디지털 키를 보호하고 저장하는 암호화 기술로 탈레스 HSM 아키텍쳐에 저장된 키는 고도로 통제된 프로토콜을 제외하고는 유출할 수 없습니다. 해당 기술은 많이 사용되고 있는 Thales e-security의 nShield HSM을 기반으로 하기에 블록체인 기술을 대규모의 상업적 용도로 활용할 수 있게 끔 지원합니다.



현재, 블록체인 관련 기반 기술은 블록체인을 위한 디지털 키를 저장하는 사이버 지갑에 의존하고 있습니다. 이러한 키는 일반적으로 소프트웨어 서버에 저장되기 때문에 네트워크 공격에 취약할 수 있습니다. 하지만, Thales HSM을 이용하게 되면, 디지털 키가 물리적으로 네트워크와 분리된 공간에 저장되고 비선형적인 보안 매커니즘으로 설계되어 있기 때문에 디지털 키의 도용은 불가능에 가깝습니다. 


또한, 한번만 설치하여도 기업들이 사용하는 블록체인 소프트웨어 및 애플리케이션과 관계 없이 블록체인 환경을 보호할 수 있습니다. 


금융서비스 및 헬스케어 산업 분야에서 블록체인 기술의 이점을 활용할 수 있는지의 여부는 디지털 키를 보호하는 역량에 달려있다고 말합니다. 이번에 개발한 블록체인 보호 솔루션은 하이퍼렛저(HyperLedger) 기술인 패브릭(Fabric)을 사용하였으며, 다른 주요 블록체인 기술 플랫폼에 적용할 수 있습니다. 


HSM의 디지털 키 보호 기능은 많은 산업 분야에서 이미 사용되고 있는 기술입니다. ATM, 메인 프레임 운영, POS 등 주요 시스템을 보호하고 거래 암호의 무결성을 확인 할 수 있습니다. 


해당 블록체인과 HSM을 통합하는 솔루션은 Thales HSM 기반으로 하였기 때문에 FIPS 140-2 Level 2, 3을 인증 받았으며, 안전하고 암호화된 난수 발생기를 통해 키를 생성하고 물리적으로 별도의 공간에 디지털 키를 보관/관리 할 수 있기에 유출에도 안전합니다.



Thales HSM 소개

Thales HSM은 일관되고 통일된 DB암호화 보안 정책 적용이 가능하며, 디지털 키의 안정적인 암호화 키의 생성과 폐기가 가능합니다. 또한, 권한 관리 및 통제 체계 구축이 가능하며, 디지털 키의 라이프 사이클 관리체계를 구축 할 수 있습니다.


Thales HSM을 도입함으로써 얻는 결과는 개인정보 관련 법규 만족 및 개인정보보호 체계 강화, 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대, 내부 및 외부 공격에 대한 중요 데이터 유출 방지, 개인정보보호법 및 관련 법률의 컴플라이언스 만족, 대외 신뢰도 향상, 내부직원을 통한 보안사고에 대한 대비책 구축 등이 있습니다. 


이번에 소개해드린 블록체인 관련 연동 뿐만 아니라 Thales HSM은 기업 서버의 암호 키도 보호할 수 있는 기능을 갖추었습니다. 물리적으로 완전하게 분리된 HSM의 암호 키 저장소는 어떤 네트워크를 통한 공격에도 암호 키를 보호하여 해킹의 위험에서 암호 키를 안전하게 보호합니다. 



제품으로는 Thales nShield Connect (서버 외부 연결형), Thales nShield Solo (서버 내장 PCIe 장착형)이 있습니다. 




암호화 알고리즘 지원

◈ 양방향,대칭키

- SEED, AES, DES, TDES, RC2, RC4, RC5, BlowFish, CAST 128, ARIA 등 국내외 표준 알고리즘 

◈ HASH 알고리즘 (단방향)

- SHA1(160 Bit), SHA2 (224, 256, 384, 512Bit), MD5, HAS 160, RIPEMD 160 등 국내외 표준 알고리즘 




Thales HSM 관련 제품 및 도입 문의는 아래의 아이마켓코리아 보안 담당자에게 연락주시면 친절하게 안내해드립니다. (견적 문의 가능합니다.)



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

중국 최대 해커조직 홍커연맹(紅客·Red Hacker), 한국 웹사이트 해킹 공격 선포

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.24 16:27 / 카테고리 : 보메트릭 암호화 솔루션


중국 최대 해커조직인 홍커연맹이 고고도미사일방어체계(사드, THAAD) 구축을 위한 롯데의 부지 제공문제로 인해서 롯데관련 웹사이트와 한국 기관 및 기업사이트를 대상으로 무차별적인 해킹 공격을 3월 28일 부터 시작할 것으로 알려져 개인정보 유출 사고 등의 보안 사고가 우려되고 있습니다.



[고고도미사일방어체계(사드, THAAD)]


중국의 해커조직인 홍커연맹은 온라인을 통해서 한국 웹사이트를 공격하기 위한 해커들을 모집하는 글을 올렸습니다. 중국 최대 포털사이트인 바이두에 공격 툴을 업로드하고 총 공격 준비를 하고 있는 것으로 나타났습니다. 공격 기간은 28일부터 31일까지로 예상되고 있으며, 대상은 정부부처, 공공기관, 일부 한국 기업 들이 표적이 될 것으로 예상하고 있습니다. 


[홍커연맹]


올해 3월 초에 발생한 방법과 같이 웹사이트의 취약점을 공격하여 화면 변조 및 디도스 공격을 통한 웹사이트 접속 마비, 개인정보 유출 및 탈취 등의 공격이 주를 이룰 것으로 예상됩니다. 


SQL 인젝션 공격 등을 통해 개인정보를 유출하여 블랙마켓에서 몰래 거래를 할 가능성도 높은 것으로 나타나 기업 및 기관의 보안담당자, 책임자는 반드시 이에 대한 대비를 하여야 합니다. 


이에 대비하기 위해서는 SQL 인젝션 공격을 막기 위한 보안 코딩 등이 잘 이루어 졌는지 확인이 필요하고 보안가이드를 준수하였는지 점검해야 합니다. 또한, 한국인터넷진흥원(KISA)에서는 웹취약점을 점검하는 서비스도 신청 받고 있기 때문에 관련하여 컨설팅을 받아 안전한 보안환경을 구축할 수 있습니다. 



이러한 1차적인 방어 뿐만 아니라 해커들이 서버에 침투하였을 때를 대비해야 합니다. 이번 해킹은 정치적인 보복 목적이 강하지만, 이를 틈타 데이터베이스 서버에서 개인정보를 탈취하려는 상업적인 해킹도 반드시 있기 마련입니다. 


결론적으로 이러한 해킹에 완벽하게 100% 대응하기는 어렵습니다. 현 시점에서 가장 좋은 보안은 이러한 해커들의 먹잇감을 무용지물로 만드는 수 밖에 없습니다.  해커들에게서 개인정보를 안전하게 보호하기 위해서는 반드시 암호화 처리하여 보관하고 복호화를 할 수 있는 암호키는 DB 서버와는 별도의 안전한 공간에서 관리되어야 합니다. 


[암호 키 보관/관리가 가능한 전용장비 HSM]



개인정보유출사고는 지속적인 개정으로 보호 요건이 강화되고 범위가 확대되고 있습니다. 또한, 처벌의 강도도 더욱 높아짐에 따라서 DB암호화는 필수 불가결한 요소가 되고 있습니다.

암호화 적용 대상: 데이터베이스 뿐만 아니라 저장되는 모든 개인정보암호화 필요

    - 제21조의 2(주민등록번호 암호화 적용 대상 등)

      ① 개인정보처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는

         법 제24조의2제2항에 따라 암호화 조치를 하여야 한다.

      * 즉, DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


암호화 적용 시기: 보유 주민등록번호 수에 따라 적용 시기 적용

     - ② 법 제24조의2제2항 후단에 따른 암호화 적용시기는 다음 각 호와 같다.

            1. 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 

            2. 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 


추가로 금융권 기업의 경우에는 아래의 내용도 추가로 준수하여야 합니다.

2. 개인정보보호법 제24조의2 제2항 및 동법 시행령 제21조의2(’16.1.1. 시행)에 따라 금융회사 등은 전자적인 방법으로 보관하는 주민등록번호에 대해 암호화 조치를 하여야 합니다.

* 주민등록번호 보유량에 따라 100만명 미만은 ’16.12.31, 100만명 이상은 ’17.12.31까지 조치 필요

 

3. 이와 관련하여 각 권역 별 금융회사를 선정하여 주민등록번호 암호화 진행 상황 등을 조사한 결과, 일부 금융회사에서 다음과 같이 주민등록번호 암호화에 대해 오인하는 사례가 있었습니다.

 가. 로그관리 솔루션에서 제공하는 접근제어 방식을 암호화 조치로 오인

 나. 별도 개발한 뷰어로만 볼 수 있는 이미지, 녹취 및 영상 등에 암호화 조치된 것으로 오인


4. 위 사항을 유의하시어 개인정보보호법에서 정하고 있는 기간 내에 주민등록번호 암호화를 안정적으로 완료할 수 있도록 하여 주시기 바랍니다.


주민번호가 포함된 로그, 이미지, 녹취, 동영상 등 비정형 데이터까지 암호화 작업 필수


아이마켓코리아에서는 정형적인 DB정보와 최근 많아지고 있는 비정형데이터를 암호화 할 수 있으며, 암호 키까지 안전하게 관리할 수 있는 DB보안 솔루션을 공급하고 있습니다. 글로벌 기업의 솔루션으로 국내 개인정보보호법을 준수하면서 FIPS-140-2 의 보안 요건을 만족하고 있습니다. 


DB암호화 솔루션으로는 보메트릭 트랜스페어런트 인크립션 제품이 있습니다. 안전행정부의 개인정보암호화 조치 안내서에 기술되어 있는 커널 레벨의 파일 단위 암호화 방식을 지원하며, 대용량의 암호화 처리에도 성능저하가 거의 없는 최적화 암호화 성능을 보여주고 있습니다.




암호화 키 관리로는 방위산업 기업으로 유명한 Thales e-security의 내장형 하드웨어암호화 모듈(HSM)인 nShield Solo 제품이 있습니다. HSM을 통해서 암호화 키를 DB서버와는 물리적으로 분리된 별도의 저장장소에 저장하고 관리함으로써 복호화 키가 해커에게 탈취 당해서 암호화데이터가 복호화 되는 일을 막아줍니다.

아이마켓코리아에서는 개인정보유출사고를 대비하기 위한 DB암호화 보안 솔루션으로 2가지 솔루션을 제안합니다.


 

 

 제품 소개 : http://itblog.imarketkorea.com/222

제품 소개 :  http://itblog.imarketkorea.com/224


 보메트릭 트랜스페어런트 인크립션 (VTE)

 탈레스 nShield HSM Solo

 - 커널 레벨의 파일 단위 암호화 솔루션

 - 비정형데이터 암호화 (이미지, 동영상, 음성, 로그 등)

 - 관리자 권한 관리 및 분리

 - FIPS 140-2 인증

 - CC 인증

 - 성능 저하 없는 안전한 암호화 처리 (7% 이하)


 - 서버 PCIe 슬롯에 장착되는 내장형 암호화 모듈

 - HSM 장비 내에서 암호화 처리 가능

 - 물리적으로 별도 공간에서 암호 키 생성/관리 가능

 - 관리자 권한 관리 및 분리 가능

 - FIPS 140-2 인증

 - CC 인증

 - 마이크로소프트 및 오라클에 대한 높은 호환성


완벽한 DB 암호화 환경을 구축하여 데이터유출시에도 고객의 정보를 안전하게 보호하고 국내 개인정보보호법을 준수하여 과징금과 처벌을 방지하시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

내장형 하드웨어 암호화 모듈, Thales nShield Solo HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.03 20:54 / 카테고리 : nCipher HSM (Thales-HSM )


nShield Solo 시리즈는 Solo+ 및 새로운 Solo XC 모델로 구성되어 있으며, 독립형 서버 및 어플라이언스에 내장되는 PCIe 카드로 설계된 고 보장 보안 솔루션 입니다.


nShield Solo 시리즈는 최고의 성능 요구사항을 만족 시키기 위해 전용 암호화 오프로드 및 가속기능을 제공합니다. nShield Solo는 탈레스 Security World 구조를 완전히 지원하며 높은 보안성과 높은 편의성의 이상적인 조합을 제공합니다. 따라서, 듀얼컨트롤 등의 보안 정책 결정 및 실행을 쉽게 도와주며 위험 부담이 큰 관리 업무를 자동화 할 수 있습니다.


nShield Solo nShield HSM 제품군 전체와 완벽히 호환되며, 기존 제품과의 혼용 운용 및 요구 성능 증대에 따른 확장이 쉽습니다. 고객의 강력하고 Mission-critical 한 커스텀 알고리즘을 HSM 경계 안에서 보호할 수 있도록 Solo XC 시리즈는 CodeSafe(nShield 고유의 실행시간 환경)를 제공합니다. nShield Solo+ FIPS 140-2 인증을 획득하였습니다.




nShield Solo의 특장점

- 성능 향상을 위한 전용 임베디드 장비

- 대량의 기업 트랜젝션 트래픽 지원 및 가속화

- HSM을 통해 실행 시간 환경에서 강력한 커스텀 애플리케이션들을 보호할 수 있습니다.





보안 기능

nShield HSM 과 탈레스 Security World 구조는 여러 기술을 통합하여 다음과 같은 여러 계층의 보안 기능을 제공합니다.


물리적 보안

- 응용 프로그램 및 호스트 운영 체제에서 암호화 프로세스와 키를 분리 할 수 있는 전용 카드 기반 보안 모듈

- CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용프로그램 "샌드박스"로 안전하게 실행할 수 있는 옵션 기능.

- 내부 회로를 보호하기 위한 에폭시 포팅 및 장치에 대한 직접적인 무단 접근을 감지하는 보안 레이블 등의 대책이 적용 된 물리적 공격 방지 기능

- 하드웨어 모니터링을 통해 공격 시도를 감지



논리적 보안

- 스마트 카드를 사용하는 사용자 인증 기능은 보안 강도가 약하고 고통으로 자주 사용되는 패스워드 방식으로 부터 벗어날 수 있도록 합니다. 

- 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, 탈레스 Security World는 HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.

- 키 복구 작업과 같이 신중한 작업을 수행하기 위한 접근 제어 기능인 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화 합니다. 듀얼 컨트롤은 자유로운 구성 설정이 가능하며, HSM 내에서 엄격히 수행됩니다.

- CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다.



운영상의 특징

nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량 및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다. 

- 기존 데이터백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용 및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화합니다.

- 원격 관리는 HSM 관리자 및 운영자가 그들의 사무실에서 멀리 떨어진 곳에 설치되어 있는 HSM들을 관리할 수 있도록 하여 비용을 절감합니다

- 다양한 애플리케이션 및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화합니다.

- 암호화 처리의 가속 및 리소스 집약적인 작업의 오프로드를 통해 클라이언트 시스템의 전체적인 성능을 향상시킵니다.

- 무제한의 키 저장 용량은 높은 확장성을 제공 키 저장을 위한 고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술을 제공합니다

- HSM을 통합 구성하여 로드-밸런싱 및 장애 복구 기능을 통해 복원력 높은 네트워크를 구축할 수 있습니다



지원되는 암호화 알고리즘

◈ 대칭

   - AES(128, 192 및 256비트)

   - Aria(128, 192 및 256비트)

   - Camelia(128, 192 및 256비트)

   - Triple DES(112, 168비트)


◈ 비대칭

   - RSA(1024, 2048, 4096, 8192비트)

   - Diffie-Hellman

   - DSA

   - ECC 제품군 B


◈ 해싱

   - SHA-1, SHA-2 (224, 256, 384 및 512비트) 


◈ 인증

   - FIPS 140-2 Level 2 및 Level 3 

   - Solo XC 는 FIPS-pending Common Criteria EAL4+ (AVA_VAN.5)

   - UL, CE, FCC

   - RoHS, WEEE


◈ 지원되는 운영 체제

   - Windows

   - Linux

   - 레드햇 리눅스 엔터프라이즈

   - Solaris

  - IBM AIX

  - HP-UX

  - AIX LPARs



Thales Solo HSM에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

암호화 키 관리. 글로벌 시장 1위 Thales HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.02 12:03 / 카테고리 : nCipher HSM (Thales-HSM )


행자부, 개인정보유출사고 방지를 위해 점검 대상 2배 이상 확대

몇년간 지속적으로 이슈가 되고 있는 개인정보유출사고는 아직도 많은 개선이 이루어지지 않고 있습니다. 카드 3사 개인정보유출사고 부터 시작하여 유명 쇼핑몰, 포털사이트 계정 해킹사고 등이 있습니다. 큰 사고 이후, 기업과 기관에서는 개인정보유출방지를 위한 많은 노력들을 기울이고 있습니다.


하지만, 최근에 벌어지고 있는 아시아나 홈페이지 해킹 사고를 시작으로 조직적으로 해킹 그룹들이 한국의 공공기관 및 기업에 대한 대규모 해킹을 기획하고 있기에 더 철처한 대비가 필요합니다.


이러한 배경으로 인해, 행정자치부에서는 한국인터넷진흥원과 협력하여 올해 3월 부터 민간분야 300개 기업을 대상으로 개인정보 보호실태 일제점검을 실시합니다. 아직도 개인정보보호 위반사항이 많은 만큼, 올해 부터 점검 대상을 기존에 비해서 2배 이상 확대 실시할 것을 예고하고 있습니다.


기존의 점검 대상인 300개 기업 이외에도, 5대 분야 총 300개 기업을 추가로 선정하고, 상반기와 하반기로 나누어서 150개 업체를 점검을 실시합니다. 이번 점검에서는 개인정보가 많이 다루어지는 대학, 병원, 건설, 제고, 배송, 유통, 숙박, 레저 등의 다양한 업종과 기업들이 포함되어 있습니다. 


주요 점검 사항은 아래와 같습니다.

- 개인정보 수집근거 및 동의방법 준수여부

- 재화 및 서비스의 홍보나 판매 권유 시 별도 동의 여부

- 개인정보 암호화 조치 등 안전조치 의무 준수 여부

   * 상기에 명시된 내용 외 총 15개 항목

※ 해당 기업은 제공되는 매뉴얼에 따라 점검표 및 증적자료를 4월 21일까지 KISA에 제출하여야 합니다.


많은 기업들은 개인정보 안전조치를 위해 컴플라이언스 준수, 강력한 암호화 솔루션 도입, 데이터 암호화 쪽으로 초첨을 맞추고 있습니다. 위에 방법들은 개인정보보호를 위해서는 반드시 필요한 제도적, 기술적인 보안 조치입니다. 


기업과 기관들은 개인정보를 안전하게 암호화 하였으니 문제가 없다고 생각합니다. 그러나, 아무리 강력한 암호화라도 이를 복호화 할 수 있는 암호화 키에 대한 접근과 관리가 철저하지 않다면 아무런 소용이 없습니다. 아무리 좋은 금고라도 금고키를 아무나 사용할 수 있거나 절취할 수 있으면 단단한 금고 안에 있는 중요한 자산들의 안전은 없는 것이나 마찬가지 입니다.


암호화 키 관리는 암호화 조치 작업시에 반드시 고려해야 할 안전조치입니다. 최근에는 이러한 암호화 키 관리에 대한 관심을 갖는 공공기관과 기업이 많아지면서 암호화 키 관리가 가능한 보안 솔루션에 대한 관심도 높아지고 있는 추세입니다.



암호화 키 관리, 안전하게 하는 방법은?

암호화 키 관리를 위한 최적화된 솔루션으로는 하드웨어 암호화 모듈인 HSM(Hardware Security Module)이 있습니다. HSM은 암호화 키를 별도의 하드웨어에서 관리하도록 하여 외부의 공격으로부터 암호화된 데이터와 암호화 키를 분리할 수 있으며 권한 분리 및 키 생성 및 관리에도 사용되기 때문에 많은 공공기관과 대기업에서 도입하고 있는 추세입니다.




Thales e-Security의 HSM은 H/W 기반의 암호연산이 가능하여 키 생성 및 전자서명, 키 저장 및 백업 까지 모든 것이 가능합니다. 이는 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증대시킬 수 있습니다.  


또한, 암호화 키 접근 및 제어에 관한 것들을 관리 할 수 있습니다. 

1. 관리자 권한의 강력한 분리 기능

2. 관리자를 위한 강력한 인증 기능

3. 상호 감독을 위한 강력한 이중 통제 기능

4. 성능 증대를 위한 프로세싱 분리 기능

5. 물리적 보호를 위한 변조 방지 기술 적용


이를 통해 비대칭형 암호 연산에 사용되는 개인키를 하드웨어 방식으로 보안 처리 할 수 있으며 안전한 관리가 가능합니다.

1. 전 세계 HSM 시장 점유율 1위 글로벌 기업

2. 가장 까다로운 방위 사업 쪽 보안에서 우수성을 입증한 기업

3. S/W Based 모듈보다 뛰어난 보안성 및 운영상의 장점 보유

4. 암호 키가 HSM 속에서 생성되어 저장되기 때문에 물리적으로 키 값에 대한 강력한 보호가 가능

5. 하드웨어 키 보호 시스템은 논리적으로 접근이 불가능하며, 물리적 접근시 키 값이 삭제 처리되어 안전

* FIPS 104-2 Level 3 및 CC EAL 인증을 받은 전용 장치로 안전성을 검증

6. 백업으로 인한 키 관리의 어려움을 해결

7. 암호 키 분실에 대비한 중앙집중적인 암호화 키 관리가 가능

8. 내부자에 의한 암호 키 탈취에 대한 취약점을 해결



Thales HSM 제품 군 소개

1. 일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호 및 관리 

2. 네트워크 접속형(외장형)으로 설치가 간편

3. 암호키에 대한 물리적 분리 가능

[카탈로그 보기] [상세스펙 보기]



1. 일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호 및 관리 

2. 서버 내장형으로 공간 활용 우수

3. PCI-E 슬롯에 장착되어 빠른 처리 속도 보장

4. 암호키에 대한 물리적 분리 가능


1. 지불결제 및 카드발급에 특화된 암호화 장비

2. 주요 국제 카드 표준에 보안 요구사항 만족

3. 유명 카드회사 브랜드 지원

[카탈로그 보기] [상세스펙 보기]





암호화 키 관리와 Thales HSM에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

보안 솔루션 도입 고려요소 1순위는? 'CC인증', 'DB암호화'

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.07.15 13:22 / 카테고리 : nCipher HSM (Thales-HSM )




보안 솔루션을 도입하기 위해서 가장 먼저 고려해야 하는 것은?

개인정보 유출사고와 기업 서버 해킹 등 점점 보안위협은 늘어가고 고도화 되고 있습니다. 이에 따라서 보안 업체들도 다양한 보안 솔루션을 내놓고 있습니다. 갈수록 보안 솔루션을 도입해야 하는 종류는 늘어만 가기 때문에 보안 담당자 들은 많은 보안 솔루션 중에서 가장 최적화된 솔루션을 찾아야 합니다. 



다른 기업의 보안 담당자들은 어떤 기준으로 DB암호화 솔루션을 도입 할까요? 국내 보안전문 언론인 보안뉴스(http://www.boannews.com)에서 보안 담당자 2,298명을 대상으로 정보보호 솔루션 도입시 최우선 고려사항을 진행하였는데, 가장 큰 기준 1순위는 바로 'CC인증'을 받았는지 여부였습니다. 


CC인증은 국제 CC 인증과 국내 CC 인증이 있는데 국제 CC인증은 84건, 국내 CC인증은 525건으로 나타났습니다. 그 다음으로는 '공인기관의 제품 평가 및 테스트 점수'를 뽑았습니다. 그리고 글로벌 보안업체의 보안 솔루션이 가장 본연에 기능에 충실하다고 하여 신뢰성이 높은 것으로 나타났습니다.


그리고 가장 많이 궁금해 할 우선 순위 보안 솔루션 종류는 1위로는 DB암호화 솔루션이 차지하였고, 이어서 PC보안 솔루션, 네트워크 보안 솔루션, 서버 보안 솔루션, DB접근 제어, APT 대응 보안 솔루션 순서로 나타났습니다. DB암호화 솔루션은 특히 개인정보보호법의 영향으로 도입 1순위가 되었다고 보고 있습니다.



CC인증 글로벌 보안업체 제품 3종 소개


1. DB암호화 및 암호 키 관리 솔루션 (Thales e-Security nShield HSM)

글로벌 기업 Thales에서 제작한 DB암호화 및 암호화 키 관리 솔루션으로 내장형 제품과 외장형 제품이 있습니다. 


HSM은 암호화 키를 생성하고 저장하는 역할을 하는 암호화 전용 장비로 인증이나 서명 분야 그리고 해킹 시에도 물리적으로 암호화 키가 전용 저장소에 저장되어 서버가 해킹을 당하여도 암호화 키는 안전하게 보관됩니다. 논리적으로 접근이 불가능하고, 물리적인 접근 시에 키 값이 삭제되기에 보안성이 향상됩니다. 





CC EAL4+ 인증과 FIPS-140-2 인증을 받은 제품으로 공인기관에서 그 안정성과 우수성을 인정받은 제품입니다.  그리고 Thales e-Security는 Oracle Certified Partner와 Microsoft Gold Partner 인증을 받은 제품으로 호환성이 우수합니다.


강력한 암호화도 중요하지만 암호화 키 관리도 중요합니다. 아무리 강력한 암호화 알고리즘도 암호 키가 유출되면 쉽게 복호화 되기 때문에 우수한 암호 키 관리 솔루션 도입은 필수입니다.


▶Thales HSM (내장형 PCI-e Type) :  http://itblog.imarketkorea.com/227








2. 매체제어, DLP 솔루션 (Cososys EndPoint Protector)

많은 기업 비밀은 내부에서 유출되는 자료가 많습니다. 고의적으로 내부 기밀 자료를 탈취하기도 하고, 외부에서 악성코드를 통해서 외부로 반출되기도 합니다. 방법은 다르지만 두 경우의 경우 모두가 매체제어, DLP 기능으로 해결할 수 있습니다. 그리고, 최근에는 다양한 모바일 디바이스와 클라우드 저장소를 통해서도 기밀이 유출될 수 있습니다. 

코소시스코리아의 엔드포인트 프로텍터 4(EndPoint Protector 4) 제품은 매체제어와 DLP 기능 뿐만 아니라 모바일 디바이스에 대한 감시, 클라우드나 메신저를 통한 데이터전송까지 완전 통제 할 수 있습니다.


특히, 엔드포인트프로텍터 제품은 CC인증을 받은 제품이며, 'Computing Security Award ' DLP 분야에서 2년 연속 수상한 제품입니다.


▶엔드포인트 프로텍터 : http://itblog.imarketkorea.com/232

▶엔드포인트 프로텍터 MDM : http://itblog.imarketkorea.com/184






3. 비정형데이터 암호화 솔루션 (Vormetric Transparent Encryption)

많은 개인정보와 기업 기밀데이터는 정형데이터 형태로만 저장되는 것은 아닙니다. PPT, PDF 형태의 문서형태로 저장되거나 Image 파일 형태, 동영상, 음성파일 형태로도 저장되기도 합니다. 이러한 데이터를 비정형데이터라고 합니다.



비정형데이터는 정형데이터 처럼 규격화되어 있지 않으며 파일의 크기가 정형데이터에 비해서 엄청나게 크기 때문에 이를 암호화 하면 서버에 큰 부하가 걸리게 됩니다. 이러한 서버 리소스 부하 때문에 비정형데이터 암호화 솔루션을 도입하는데 많이 어려움이 있습니다.



보메트릭 암호화 솔루션은 금감원이 권고하는 컬럼 단위의 암호화를 수행하면서 성능저하가 2% ~ 4% 밖에 나지 않기 때문에 실질적으로 암호화 후에도 성능저하가 전혀 체감 되지 않는 비정형데이터 암호화를 진행할 수 있습니다. 또한, 보메트릭의 데이터 시큐리티 매니저(Data Security Manager)는 CC인증과 KCMVP 인증을 받았습니다. 



▶보메트릭 트랜스페어런트 인크립션 : http://itblog.imarketkorea.com/238

▶보메트릭 데이터 시큐리티 매니저 : http://itblog.imarketkorea.com/239



소개해드린 암호화 솔루션 도입, 구매, 견적에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,297
  • 오늘 : 56
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.