SSL보안 (Secure Sockets Layer), 안전하게 구축하는 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 5. 12. 14:51 / 카테고리 : nCipher HSM (Thales-HSM )



2014년도에 미국 시장조사업체인 가트너에서는 2017년에 사이버 공격의 50% 이상은 접속보안층인 SSL(Secure Sockets Layer)로 암호화된 네트워크 트래픽을 통해서 해킹 공격이 이루어질 것으로 전망하고 있습니다.


글로벌 인터넷 사업자 들은 개인정보보호와 웹서비스 속도 향상, 트랜잭션 안정성 등 여러가지 목적을 위해서 SSL 프로토콜을 의무화 하는 등 암호화 트래픽 확산을 주도하고 있습니다. SSL 암호화 방식은 주요 검색서비스, 포털서비스, 소셜네트워크, 은행, 증권, 게임 사이트 등 개인정보와 자산이 관리되는 웹서비스에 사용되고 있습니다.

국내에서도 SSL 프로토콜의 도입이 사이버 공격으로부터 든든한 방어막 역할을 할 것이라고 생각하여 정보통신망법 개정 등 법안에 SSL 보안서버 도입을 의무화, 확대하였습니다. 하지만, 정작 SSL에 통신에 사용되는 인증 키 관리에 대한 보안을 취약한 곳이 많습니다. 


SSL 프로토콜이 안전하다고 하여도 결국에는 SSL 인증서의 마스터 키가 탈취 당하거나 위변조 된다면, SSL 프로토콜의 무결성과 안정성을 신뢰할 수 없게 됩니다.




SSL 공격 원리와 방어 방법

SSL을 사용하여 보안 마스터 키와 거기에 결부 통신을 위협하는 조직의 신원을 증명하는 SSL 인증서에 의존하고 개별 세션에 대해 고유한 암호화 키를 얻을 수 있습니다. 


다른 암호화 키뿐만 아니라 SSL 마스터 키를 보호해야 합니다. SSL 키를 훔친 공격자는 실제 사이트 행세를하고 트래픽을 읽을 수 있습니다. SSL 솔루션의 보안 키의 보안에 직접 관계하기 때문에 높은 보증을 필요로하는 기업과 정부기관은 SSL 키와 SSL 연결 프로세스를 보호하기 위해 추가적인 조치를 필요로 하는 경우가 있습니다. 




높은 수준의 보안성을 취득하기 위한 효과적인 방법은 하드웨어 보안 모듈 (HSM)에서 SSL 암호화 키를 보호하는 것입니다. HSM과 같은 전용 암호화 하드웨어는 물리적인 방식(하드웨어 방식)으로 안전한 저장소에 SSL 인증키를 분리시켜서 저장하고 관리할 뿐만 아니라, 웹 서버와 호스트의 암호화 처리 부하를 줄이고 성능을 크게 향상시키는 동시에 CPU 오버 헤드를 줄일 수 있습니다.





SSL 인증 키 보호, Thales nShield HSM 

Thales e-Security 제품 및 서비스 보증이 높은 고성능 SSL 암호화를 도입하여 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현 가치를 높입니다.



FIPS 140-2 레벨 3 및 공통 평가 기준 EAL4 + 인증을 받은 HSM 장비로써, SSL 암호화 / 복호화 프로세스의 무결성을 보장합니다. 

• 업무 분리를 실현하는 변조 방지 키 생성 기능과 키 관리 기능의 사용을 통해 준수보고를 용이하게 합니다.

암호화 오프로드를 통한 고 가용성 및 서버 성능의 향상을 실현합니다.

• 소량 또는 대량 통신 두 응용 프로그램에 대해서도 비용 효율적인 솔루션을 배포합니다. 속도와 제품 형상을 선택할 수있는 장점을 살려 요구에 맞는 정말 필요한 솔루션 만을 도입하는 경우에도 쉽게 업그레이드 할 수 있습니다.




SSL 마스터키 보호를 위한 솔루션, Thales HSM 

Thales e-Security는 Thales의 보안을 담당하는 사업부로써 Thales 그룹은 전세계 68,000여명의 직원과 50여 나라에 자회사를 보유한 글로벌 회사입니다. 신뢰를 최우선으로 하는 오랜 국방 관련 사업 경험을 바탕으로 군, 정부, 일반기업에 이르기까지 정보 시스템 보안 시장을 위한 최고의 기술을 자랑합니다.


Thales HSM은 글로벌 PHSM 시장의 70%, GPHSM은 40%의 점유율을 차지하고 있습니다. 

소프트웨어 기반의 운영 시스템은 많은 보안 문제점을 내포하고 있습니다. 안전하게 시스템을 운영하기 위한 철저한 보안을 위해서는 하드웨어 기반으로 시스템을 구축하는 것이 중요합니다.


 논리적 공격 

 물리적 공격

 - 악성코드 (트로이 목마 등)

 - 해커는 네트워크 상에서 정보 접근이 가능

 - 복호화 된 데이터는 메모리 상에서 탈취

 - 직원의 중요 정보 복사

 - 직원이 시스템에 백도어 프로그램 설치

 - 시스템 메모리는 절대 안전하지 않음

 - Cold Boot 공격으로 전문적인 소프트웨어

   (파일 디스크 암호화 등) 조차도 안전하지 않음.




절대로 중요하기 관리되어야 하는 암호화 키, 중요한 실행코드, 매우 민감한 데이터는 운영 시스템에서 처리하지 않아야 합니다.


Thales nShield HSM으로 개선

- 암호화 및 복호화는 HSM 내부에서 실행하게 합니다.

- SSL 세션은 HSM 내부에서 처리하도록 합니다.

- 인증 로직과 같은 중요 로직을 HSM 내부에서 처리합니다.


Thales HSM 의 종류 (내장형, 외장형)


 


 


 Model

 nShield Solo

 (500, 6000)

 nShield Connect 

 (500, 1500, 6000)

 인터페이스

 PCI, PCI Express

 2x 1 Gbit Ethernet

 Default Client 라이센스

 1

 3 

 최대 클라이언트 지원

 1

 500 Model : 10

 1500 Model : 20

 6000 Model : 100 

 PSU 및 Fan 이중화

 N/A

 2 (Hot-Swappable) 

 성능 TPS (RSA 1,024/2,048 서명 기준)

PCIe: 500/82, 6000/3000

 500/82, 1500/500, 6000/3000

 인증

 FIPS140-2 Level 2 or 3, Common Criteria EAL 4+

 FIPS140-2 Level 3, Common Criteria EAL 4+

SEE 지원 (Secure Execution Engine)

 FIPS Level 3 장비에만 적용 가능하며 중요한 알고리즘, 소스 코드 및 비즈니스 로직 등의 보호

 Load-balancing 및 Fail-over O – 모델에 상관없이 상호 지원



[nShield 제품군의 FIPS 140-2 인증서]


Thales nShield HSM Series는 FIPS-140-2 인증을 받은 제품입니다.


SSL 인증 키를 안전하게 보호하기 위한 하드웨어 보안 솔루션, Thales nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL보안, Secure Sockets Layer, FIPS 140-2, PCIe, nShield, nCipher, SSL 암호화, DB보안, 서버보안, 오라클 TDE, HSM, 하드웨어암호화모듈, Hardware Security Module, GPHSM, 보안솔루션, 보안어플라이언스, SSL 마스터키, 암호화 키 관리, 암호화 키

Trackbacks 0 / Comments 0

SSL/TLS의 안정성과 보안성을 확보하는 방법, HSM(Hardware Security Module)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 5. 4. 18:34 / 카테고리 : nCipher HSM (Thales-HSM )



SSL 프로토콜을 사용하는 이유과 위험성

SSL (Secure Sockets Layer)은 정확하게는 TLS (Transport Layer Security)라고하지만, 이것은 신중하게 처리 할 데이터를 인터넷상에서 통신 할 경우에 보호하는 기본 방법입니다. Secure Socket Layer 프로토콜은 공용 키와 강력한 암호화를 통해서 클라이언트와 서버간의 통신시 세션을 안전하게 보호할 수 있습니다. 



SSL은 암호화 키와 관련된 협상을 할 수 있을 뿐만 아니라 상위 응용프로그램이 정보를 서버와 교환하기 전에 서버의 진위를 확인해 줄 수 있기 때문에 기존에 온라인 결제서비스에서만 한정적으로 사용하던 SSL은 현재 많은 개인정보를 다루는 곳에서 필수적으로 해야합니다.


반면에 단점도 존재합니다. 일반 통신 방법보다 안전한 만큼 SSL 세션처리를 위해서 암호화화 복호화를 하게 되면 웹 서버의 성능저하가 일어나고 리소스가 많이 필요하게 될 수 있으며, 웹서버 인증서가 탈취되거나 복제가 될 수 있는 보안적인 문제점도 있습니다.




그렇게 때문에, SSL 세션에 참여하려면 자격을 증명하는 디지털 인증서가 반드시 필요하게 됩니다. SSL에서는 CA(Certificate Authority)에서 발행을 하고 사용자의 신원을 확인하는 역할을 합니다. 


[SSL / TLS 핸드쉐이크 프로토콜]


클라이언트와 서버 통신 간에는 메시지 인증 코드(Hash based Message Authentication Code)를 사용하여 메시지를 교환하며, 메시지의 무결성과 신뢰성을 확인하는 방법으로 사용하게 됩니다. 만약에 이 HMAC 값이 일치하지 않는 경우에는 처음부터 다시 검증을 시작하게 됩니다. 이 일련의 과정을 SSL 핸드쉐이크라고 합니다. 


하지만, SSL에서 사설 키를 탈취당하거나 SSL 사설 키 복사본을 사용하면, SSL 사설 키 복사본을 이용하여 신뢰할 수 있는 서버로 위장하여 SSL 핸드쉐이크를 처리할 수 있게 됩니다. 그렇게 되면, 클라이언트가 원래 접속하려는 사이트가 아니라 가짜사이트로 접속경로를 변경시킬 수 있습니다.


일반적인 대부분의 SSL 인증 키는 암호화된 형태로 클라이언트 컴퓨터 하드디스크에 저장됩니다. 그렇기 때문에 이를 탈취하거나 무단 복제가 가능합니다. 


 

SSL : (Secure Socket Layer) 도입시 위험성

1. SSL 키에 액세스 한 공격자는 비밀 정보를 도용하거나 진짜 사이트로 위장하는 것으로, 피해를 줍니다.

2. 소프트웨어에 저장된 SSL 키는 내부 공격에 취약 할 수 있습니다.

3. SSL 암호화 / 복호화 과정은 많은 자원을 소모하기 때문에 서버 및 대량 데이터를 처리하는 응용 프로그램의 성능을 저하시킬 수 있습니다.

4. SSL 기반 작업은 웹 서버 및 비즈니스 응용 프로그램에만 한정되는 것은 아닙니다. SSL 연결은 네트워크 어플라이언스 트래픽 검사 용 게이트웨이나 방화벽 및 기타 성능 모니터링 장치에서 종료되는 경우가 많아지고 있습니다. 이러한 모든 경우에도 키는 일관된 형태로 보호해야 합니다.




SSL 인증 키를 안전하게 관리하는 방법 : HSM의 도입

HSM은 하드웨어보안모듈(Hardware Security Module)로 불리우는 하드웨어 장비로, SSL 인증 키를 안전하게 보호할 수 있는 기능을 가지고 있는 전용 하드웨어 장비입니다. 가장 큰 특징은 HSM 장비 안에서 SSL 인증 키를 생성하고 사용하고, 저장 및 관리 까지 가능하게 할 수 있다는 점으로 보안 안정성이 크게 향상됩니다. 


키 관련 정보가 애플리케이션에서 물리적, 논리적으로 완전히 분리시키기 때문에 네트워크를 통한 공격이 불가능합니다. 


안정성이 높은 HSM을 고르기 위해서는 공인된 검증이 필요합니다. HSM 제품의 안정성을 평가하는 표준 인증으로는 미국국립표준기술연구소에서 인증하는 FIPS 140-2 (Federal Information Processing Standard) 와 CC(Common Criteria) 인증이 있습니다.



        



FIPS 140-2와 CC인증은 HSM 제품을 고를때 반드시 고려해야 할 부분입니다.




Thales e-Security nShield HSM 솔루션

Thales e-Security HSM 솔루션과 고성능 SSL 암호화를 도입하면, 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로 하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현의 가치를 높입니다.


SSL : Thales nShield HSM

마스터 SSL 암호화 키를 보호하여 SSL 프로세스의 무결성을 보장합니다. 표준 API 및 일반 웹 플랫폼 및 SSL 도구와 이미 검증된 통합을 통해 개발자와 IT 보안 담당자는 SSL 개인 키 보호 및 관리를 nShield HSM의 보안 경계 내에서 수행 할 에서 높은 수준의 보증을 제공 할 수 있습니다.

 최적화 된 HSM 장치에서 프로세스를 실행하여 SSL 세션 설정 및 연결에 걸리는 시간을 단축합니다. 상대적 통신 데이터 량이 많아 성능이 중시되는 응용 프로그램은 HSM이 제공하는 암호화 가속 기능을 사용하여 SSL 세션 핸드 쉐이킹을 실행하여 응용 프로그램의 효율성을 크게 향상시킬 수 있습니다.

 nShield HSM에서 제공되는 SSL 처리를 사용하면 웹 서버나 호스트가 더 인터넷 연결을 더 빨리 처리 할 수 있게 되고, 그에 따라 전반적인 능력을 향상시키고, 하드웨어 비용을 최소화 할 수 있습니다.

 SSL 연결의 보안을 확보합니다. 최대한의 보호를 필요로하는 애플리케이션의 경우 설계자는 nShield HSM의 CodeSafe SSL 기능의 장점을 살리고, SSL 소프트웨어 스택 전체에 해당하는 응용 프로그램 논리를 HSM의 보안 경계 내에 넣을 수 있습니다 .

 SSL 기능을 통합 상용 장치 및 장비의 안전의 수준을 올립니다. SSL 종단은 게이트웨이, 방화벽, 네트워크 스위치,로드 밸런서 등 다양한 유형의 장치에서 발생하기 때문에 제품 공급 업체는 이 장치와 HSM을 통합하여 높은 보증을 제공하는 고성능 FIPS 인증을 받은 SSL에 대한 대응 기능을 생성 할 수 있습니다.






Thales nShield HSM은 FIPS 140-2 Level 3 및 공통평가 기준인 CC EAL4+를 사용하여 SSL의 암호화 및 복호화 프로세스의 무결성을 보장하며, 암호화 오프로드를 통해 고 가용성 및 서버 성능의 향상을 실현 가능합니다. 



안전한 SSL 구현을 위한 HSM인 Thales e-Security nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL, TLS, HSM, FIPS 140-2, CC인증, CC EAL4+, SSL 암호키, PKI, 공개키 암호화, CA, 디지털 인증서, 웹인증서, https, 웹서버 인증서, 아이마켓코리아, Thales hsm, hsm, Thales, Thlaes HSM, nshield, ncipher, Secure Socket Layer, SSL 핸드쉐이크


Trackbacks 0 / Comments 0

[보안사고] 금융권 보안솔루션 디지털서명(코드사인) 해킹사고 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 2. 24. 15:26 / 카테고리 : nCipher HSM (Thales-HSM )



국내 금융권 보안솔루션 코드사인 해킹

정보보안 업계에서 가장 우려했던 상황이 발생하였습니다. 금융권에 주로 공급되는 보안솔루션의 최신 디지털서명(코드사인)이 해킹되는 사고가 발생하였습니다. 


해킹의 수단으로 지난해 10월 발급된 디지털서명(코드사인)이 이용되었으며, 유출된 디지털서명(코드사인)은 총 13개의 금융기관과 공공기관에 사용되었다고 보고되었습니다. 정부에서는 북한의 사이버테러 조직에 의해 일어난 것으로 추측하고 있으며, 남북간의 긴장이 고조화되고 있기 때문에 2월 ~ 3월에 대규모 사이버테러의 가능성도 있어, 긴장의 끈을 놓을 수 없는 상황입니다.





디지털서명(코드사인) 해킹의 위험성

디지털서명(코드사인)의 경우에는 프로그램의 신뢰와 안전성을 검증하는 역할을 하기 때문에 보안솔루션에서 중요하다고 할 수 있습니다. 그리고, DRM모듈과 보안모듈을 사칭한 악성코드로 위장할 수 있기 때문에, 이러한 코드사인이 해킹되고 오염되었다는 것은 모든 전산망의 검역체계가 무력화 되었다는 것을 의미합니다.  


주로 금융권 및 공공기관 웹사이트에서 업무를 볼 경우에 각종 보안프로그램을 설치하게 됩니다. 이때 컴퓨터에서는 안전한 프로그램이고 신뢰성이 있는 프로그램인지 검증한 뒤에 다운로드 및 설치가 이루어집니다. 특히, 프로그램 설치 시에 프로그램이 디지털서명(코드사인)이 없는 경우에는 '게시자를 확인 할 수 없어 소프트웨어를 차단하였습니다' 라는 경고창과 '알수 없는 게시자'로 나타납니다. 이를 통해 사용자는 악성 프로그램의 설치를 자체적으로 차단할 수 있습니다. (코드사인이 명확한 프로그램은 프로그램 게시자가 명시됨)


[디지털서명예시 : 이미지 출처 KICASSL 한국정보인증 웹사이트]



하지만, 이러한 검증을 하는 디지털서명(코드사인)이 해킹되어서 정보보안시스템의 큰 구멍이 뚫렸습니다. 특히 코드사인을 이용한 해킹사고의 경우에는 백신프로그램을 공급하는 보안회사의 코드사인을 사용하여 사용자로 하게 끔 해커가 배포한 악성코드를 안전한 백신프로그램 개발회사에서 제작한 프로그램으로 인식하게 시켜서 손쉽게 사용자 컴퓨터에 악성코드를 심을 수 있게 되었습니다. 



[디지털서명 프로세스]


디지털서명을 신뢰할 수 있는 소프트웨어를 식별하는 효과적인 방법으로 사용하기 위해서는 디지털서명 과정 자체가 안전해야 합니다. 그리고, 감염 코드를 은폐하기 위해 공격자가 위조 디지털서명을 사용하는 것을 방지하려면 이 디지털 서명 생성 프로세스를 보호하기 위한 수단을 강구하여야 합니다


[디지털서명과 관련된 위험 요소]

• APT는 고객정보나 지적 재산을 훔치기 위해 당신의 소프트웨어를 제어할 수 있습니다.

• 보안이 불충분 한 디지털 서명은 잘못된 안전 인식으로 공격자에 그 흔적을 숨기는 틈을 주게 됩니다.

• 위조된 디지털서명이 미치는 영향의 범위는 매우 넓고, 기업의 명성과 사업에 영향을 미칠 수 있습니다.

• 너무 귀찮은 디지털서명 프로세스는 귀중한 기술적 자원과 비용을 증가시킬 수 있습니다.


백신회사에서는 악성코드에 대응하는 프로그램을 업데이트 하는 등의 조치를 취하였지만 해당 해커가 탈취한 디지털서명을 통해 얼마나 많은 수의 악성코드를 배포하고 설치하게 하였는지는 파악이 어려운 상태입니다. 또한, 디지털서명을 사용한 흔적을 지웠을 확률이 높아서 최근 유행하는 해킹 기법인 APT해킹공격(지능형 해킹 공격 기법)을 사용하고 있는 것으로 보입니다.





소프트웨어(S/W) 방식 디지털서명(코드사인)은 보안상의 취약점이 존재합니다. 위의 사고사례와 같이 일 디지털서명이 해킹에 악용될 수 있으며, 위의 사고사례는 소프트웨어방식의 디지털서명의 취약점을 명확하게 보여줍니다. 


기존 S/W 방식의 보안솔루션의 한계는 명확하며, 이를 해결하기 위해서는 하드웨어암호화 모듈을 통한 하드웨어 방식의 신뢰성 있는 디지털서명(코드사인)이 필수입니다.



하드웨어방식의 디지털서명 솔루션, Thales HSM

탈레스(Thale e-security)의 디지털서명(코드사인) 솔루션은 보증할 수 있는 효율적인 디지털서명(코드사인) 프로세스를 구현하여 위변조에서 소프트웨어를 보호할 수 있는 하드웨어암호화 솔루션입니다. 


[ Thales HSM 자세한 스펙 : http://it.imarketkorea.com/hsm.php ]


탈레스 디지털서명(코드사인) 솔루션은 자동으로 요청 / 승인 워크플로워를 포함하여 다양한 시나리오에 대응하고 디지털서명(코드사인)에 대해서는 Thales e-Security의 다양한 전문적인 지식과 기술을 바탕으로 설계되었습니다. 탈레스 하드웨어 보안 모듈은 변조 방지 코드 사인용 개인 키에 대해 인증된 보호 기능과 중요한 디지털서명(코드사인) 프로세스가 실행되는 보안 플랫폼을 제공합니다.


[Thales e-Security 솔루션의 장점]

• 소프트웨어 위변조에 따른 잠재적인 위협으로부터, 기업, 파트너 및 사용자를 보호합니다.

• 다양한 조직의 규모와 범위에 맞는 보안 코드사인 프로세스를 신속하게 구현합니다.

변조 방지 기능을 가진 하드웨어 기반의 솔루션을 통해 최상의 보안을 제공합니다.

• 워크플로워 자동화 기능을 사용하여 코드사인 프로세스의 단순화와 합리화를 실현합니다.

코드사인 모범 사례 전문가들과 협력하여 위협을 줄일 수 있습니다.

• 규정 준수 및 새롭게 추가되는 기준에 대한 요구 사항을 충족시킬 수 있도록 솔루션 확장이 가능합니다.



하드웨어방식의 디지털서명 솔루션인 Thales e-Security HSM에 대한 문의는 아래의 아이마켓코리아 보안솔루션 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

카드 3사 개인정보유출 피해자, 집단 소송에서 승소

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 1. 29. 15:42 / 카테고리 : nCipher HSM (Thales-HSM )



카드 3사 개인정보 유출사고, 첫 피해자 승소

2014년에 금융업계와 정보보안 업계에 있어서 가장 큰 사건이였던 KB국민카드, 농협카드, 롯데카드의 고객 개인정보유출사고에 대해서 피해자들이 카드사를 상대로 낸 소송에서 처음으로 승소하였습니다. 

2016년 1월 22일 서울중앙지법에서는 카드회사는 개인정보보호 관련 법을 위반하였고 카드회사의 개인정보보호 용역을 수행하였던 코리아크레딧뷰로(이하 KCB)도 직원에 대한 관리감독에 대한 소홀로 사상초유의 개인정보유출사태가 일어났음을 언급하였습니다. 


2014년에 일어난 개인정보 유출사태는 카드 3사가 보관 중인 고객 DB가 유출당해 개인정보보안을 위해서 이름, 주민등록번호, 카드번호, 결제계좌번호, 주소, 휴대전화번호, 유효기간 등을 개인정보뿐만 아니라 금융결제 기록까지 유출된 사건이였습니다. 



이 사건은 카드사의 시스템 개발 과정에서 용역업체인 KCB의 직원이 의도적으로 개인정보를 유출한 한 것이 원인으로 그 규모도 전 세계에서 벌어진 개인정보 유출사건에서도 3위에 해당할 만큼 큰 규모의 해킹사고 입니다.



기술적인 보안조치 미흡, 보안사고 발생시 책임회피 어려워

카드 회사에서는 자신들도 피해자이며, KCB에 의한 범행이므로 우리는 책임이 없다고 하였지만, 법원에서는 감독의 의무를 성실히 하지 않았을 뿐더러, 가장 중요한 기술적인 보안조치가 이루어지지 않았기 때문입니다. 

※ 기술적 조치 : 고객정보 DB암호화, 내부정보유출방지 (DLP) 등의 보안적 장치


다만, 이날 소송을 진행한 피해자 5,000여명은 1인당 20~70만원 씩 총 13억원을 요구하였으나, 법원은 재산상의 피해가 확인되지 않았기 때문에 인당 10만원으로 배상금을 책정하였으며, 이로 인해 KB국민 카드회사와 KCB는 공동 4억 5,000만원을 배상하고, NH농협카드는 5,000만원을 배상하여야 합니다. 





업계에서는 배상금액이 문제가 아니라, 이 판결로 인해서 현재 대기 중인 소송 300여건과 총 소송금액이 1,100억원에 달하는 소송에서도 굉장히 불리하게 작용할 전망입니다. 이미 선례로 개인정보유출로 인한 피해를 인정하게 되었으므로 앞으로 일어나는 개인정보유출사고 관련 소송에서 패소하여 피해배상금을 지불해야 할 확률이 높아졌습니다. 



DB암호화는 기업에 있어서 보험과 같습니다.

정보유출 사고의 97%는 관리 부주의에 있다고 합니다. 개인정보보호법이 DB암호화를 반드시 의무화 시킨 이유는 단순한 보안솔루션으로는 개인정보 유출사고를 완벽하게 막을 수 없기 때문입니다. 이를 막을 수 있는 방법은 바로 보유하고 있는 데이터베이스를 DB암호화하는 것입니다. 


DB암호화의 궁극적인 목적은 데이터가 유출된다 하더라도 불법적으로 사용할 수 없는 무용지물 데이터로 만들어 버리는 것입니다. AES-256과 같은 강력한 알고리즘으로 암호화한 경우에는 암호화 시 사용된 암호화 키를 유출당하지 않는 이상 고객의 DB는 안전하게 암호화되어 절대 내용을 확인할 수 없습니다.


그러기 때문에 가장 중요한 부분은 DB암호화도 중요하기 하지만 이를 안전하게 관리하는 암호화 키 관리/보관 방안과 암호화 키를 통해 DB데이터를 복호화할 수 있는 접근권한 제어에 있습니다.



이를 가능하게 하는 보안 장비로는 HSM이 있습니다. (하드웨어암호화 모듈 - Hardware Security Module)은 암호화 키를 생성하고 저장하고 역할을 하는 암호화 전용 장비입니다. Key에 대한 생성, 교환, 백업, 보관, 키 라이프 사이클 관리 등의 기능을 안전하고 편리하게 관리할 수 있습니다.


아이마켓코리아에서 유통하는 Thales HSM은 높은 암호화 성능과 암호화 키 관리 기능으로 서버에 가해지는 부담을 최소화하고 강력한 상용화 알고리즘으로 DB암호화가 가능하며 복호화에 사용되는 암호화 키를 안전하게 분리/보관하게 할 수 있는 강력한 하드웨어암호화 모듈(HSM)입니다.




탈레스 HSM은 (Thales e-security) FIPS 140-2 Level 2 및 Level 3 인증과 CC EAL4+을 받은 제품으로 탈레스는 마이크로소프트와 오라클 골드 파트너사로 등록되어 있습니다. 


[지원되는 암호 알고리즘]

- 비대칭 공개키 알고리즘 : RSA(1024, 2038, 4096), Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH

- 대칭키 알고리즘 : AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES

- Hash/Message Digest : SHA-1, SHA-2 (22, 256, 384, 512 bits)

- Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현

※ Thales nShield Solo HSM은 Solid State 저장소를 사용하기 때문에 가용성이 높습니다.


구축을 통해서 높아져가는 개인정보보호법 요구사항을 준수하여 리스크를 최소화 해야 한다.


Thales HSM은 nShield Solo는 여러 서버들로 구성된 클러스터에 사용되어 부하조절 및 높은 가용성을 실현할 수 있습니다. 데이터 센터 환경에서 여러가지의 nShield Solo 모듈을 사용하는 고객을 위해 스마트카드 리더 렉 마운트가 옵션으로 제공됩니다.



Thales nShield Solo HSM은 성능 및 PCI 인터페이스에 따라서 다양한 모델을 지원하고 있습니다.




아이마켓코리아에서는 전세계 HSM 점유율 1위를 자랑하는 Thales HSM을 DB 암호화 키 관리 용도로만 사용할 경우, PCIe Type인 HSM (FIPS 140-2 Level 3)제품에 대해서 특가 프로모션을 진행하고 있습니다. 


자세한 사항은 http://itblog.imarketkorea.com/173 을 참조해주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

고성능 PCIe 내장형 암호화 모듈 Thales HSM nShield Solo

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 1. 24. 11:32 / 카테고리 : nCipher HSM (Thales-HSM )



Thales e-Security nShield Solo는 높은 비용 효율성과 안전을 겸비한 보안 솔루션으로 독립형 서버 나 어플라이언스에 내장 되는 PCI 또는 PCIe 카드입니다. 서버 내장형 하드웨어 보안 모듈 (HSM) 은 암호화 전용 오프로드 및 가속화 기능을 갖추고 있으며, 매우 까다로운 성능 요구를 충족합니다. nShield Solo는 소프트웨어 기반 암호화로는 부족한 상황에 대응할 수 있는 전용적인 물리적 및 논리적 제어 기능을 제공합니다. 또한 Security World 아키텍처를 채용하고 있기 때문에, 높은 보안성과 사용성의 이상적인 조합을 제공합니다. 따라서 듀얼 컨트롤 등의 보안 정책 결정과 동시에 일이 많고 부담이 큰 관리자 업무를 자동화 할 수 있습니다.


nShield Solo는 다른 nShield HSM 제품군과 완벽하게 호환되기 때문에 성능 요구사항 증가에 따라 다른 HSM과 쉽게 혼용 및 마이그레이션이 가능합니다. 또한 다양한 기능적 요구를 충족 할 수 있도록 타원 곡선 암호 (Elliptic Curve Cryptography : ECC)에 최적화 된 모델을 포함한 다양한 성능의 모델이 준비되어 있습니다. 이중화된 nShield Solo는 하드웨어 내결함성을 실현하고 고 가용성이 필수적인 데이터 센터에 이상적입니다. 제 3 기관에 의해 검증된 보안 플랫폼은 다양한 상용 비즈니스 애플리케이션 및 사용자 지정 빌드의 비즈니스 응용 프로그램을 위해 공개 키 인프라 (Public Key Infrastructures : PKI) ID 관리 시스템, 데이터베이스, 인터넷 망, DNS 보안 확장 (Domain Name System Security Extension : DNSSEC)의 코드서명 구현을 포함한 중요한 보안 시스템을 위해 암호화와 디지털 서명 키 관리 및 암호화 작업을 수행합니다. nShield Solo는 FIPS 140-2 레벨 3 및 CC EAL4+ 인증을 받아 그 보안성이 검증되었습니다.






nShield Solo의 장점

  • HSM 소프트웨어 기반 암호화가 가지는 본질적인 취약점을 해결합니다.

  • 강력한 키 관리 아키텍처는 규제 준수를 포함한 운영 비용을 최소화합니다.

  • 성능 향상에 특화된 서버 내장형입니다.

  • 중요한 보안 기능을 분리하여 IT의 상호 의존성을 최소화합니다.

  • 보증에 관한 까다로운 어플라이언스 공급 업체를 위해 FIPS 140-2 인증을 획득하고 있습니다.




nShield Solo의 특징

보안 관련

하드웨어 보안 모듈 (HSM)의 주요 목적은 소프트웨어 응용 프로그램이나 운영 체제 또는 보호되지 않은 서버 하드웨어에 의해 수행되는 암호화 작업의 보안을 강화하는 데 있습니다. 이러한 HSM 이외에 의한 방법의 대부분은 데이터 유출, 잘못된 구성 설정, 변경 등에 취약합니다. HSM을 통해 이루어지는 추가적 보안요소는 다중의 단계를 통합하는 여러 가지 입증된 기술을 사용합니다. 이러한 기술들은 아래와 같습니다.


물리적 보안 대책

  • 암호화 프로세스와 키를 응용 프로그램과 호스트 운영 체제에서 분리하여 고립시키고 엄격하게 관리되는 암호화 API를 통한 접근 만을 허용하는 카드 기반의 전용 보안 모듈 (PCI 또는 PCIe 형태).
  • CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용 프로그램 "샌드박스"로 안전하게 실행할 수 있는 옵션 기능을 포함합니다.
  • 프로빙의 공격으로부터 내부 회로를 보호하기 위한 에폭시 포팅 사용을 포함함으로써 물리적 공격을 방지
  • 전원 및 온도의 무결성을 포함한 환경 조건에 대한 모니터링을 통한 공격 가능성을 탐지 합니다.




논리적 보안 대책

  • HSM에 직접 접속하는 모든 관리자와 사용자는 HSM 자체가 발행하고 관리하는 스마트 카드를 사용하여 강력하게 개별 인증되므로 비밀번호에만 의존하지 않습니다. 비밀번호는 그 자체로 취약할 수 있으며, 다른 시스템에서 관리되거나 다른 응용 프로그램에 의해 노출되는 경우가 많아 취약합니다.
  • 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.
  • 키 복구 등 특히 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화하며, 자유로운 구성 설정을 지원하며, HSM 내에서 엄격하게 실행됩니다.
  • CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. (옵션)



운영 관련

과거에는 고급 보안 기능은 단지 귀찮고 추가적인 노력이 요구되며 성능에 안좋은 영향을 미치는 것이 보통이었습니다. 결과적으로 관리자는 보안과 성능 및 효율성 사이의 무의식적인 트레이드 오프를 수행할 수 밖에 없었습니다. nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량 및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다. 자세한 특징은 다음과 같습니다.


  • 기존 데이터 백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용 및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화 합니다.
  • 다양한 애플리케이션 및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화 합니다.
  • 암호화 처리의 가속 및 오프로드는 클라이언트 시스템에서 리소스 집약적인 작업을 없애고 전체적인 성능을 향상시켜 최대한의 용량을 제공 합니다.
  • 안전한 키 저장소의 용량 제한을 없애고, 전반적인 확장성이 향상 됩니다.
  • 키 저장을 위한 고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술 제공.
  • 단일 호스트 또는 호스트 시스템의 그룹에 속한 여러 HSM들을 통합하여 로드 밸런싱 및 fail-over 기능을 갖춘 재해 복구 자원 풀을 구축 가능 합니다.
  • 원격제어를 통해 키 관리자 및 시스템 관리자가 안전한 방식으로 업무를 수행함과 동시에 비용을 절감하고 불편함을 감소 시킵니다.
  • CodeSafe로 보호된 응용 프로그램의 원격 프로비저닝 (옵션).


Thales nShield HSM SOLO(PCIe Type) 제품에 대한 문의는 아래 아이마켓코리아 암호화 솔루션 담당자에게 연락주시면 컨설팅을 받으실 수 있습니다.


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

HSM 장비를 고르는 필수 기준, FIPS 인증 알아보기

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016. 1. 15. 10:41 / 카테고리 : nCipher HSM (Thales-HSM )


HSM 장비를 선택하는 키 포인트는?

개인정보보보법과 정보통신망법개정으로 주민등록번호, 개인의료정보 데이터 등을 보관하는 기업의 고민은 많아지고 있습니다. 특히 예전과 달리 인터넷을 사용하는 국민들의 보안 의식이 높아지고, 큰 업체의 연이은 보안사고로 인해서 이제 개인정보보호는 선택이 아니라 개인정보를 취급하는 기업, 기관이라면 반드시 해야하는 필수 요소가 되었습니다.

DB보안을 위해서 가장 중요한 것은 기술적 조치입니다. 이러한 기술적 조치를 하기 위해서 많은 기업들이 선택하는 것은 바로 DB를 암호화 시키는 것입니다. 또한, 암호화시 서버의 부담을 경감하고 권한 분리와 암호화 키 관리를 위해서 DB암호화를 하는 많은 기업들은 HSM을 도입하고 있습니다. 많은 기업들이 DB암호화를 AES256등의 상용화 알고리즘으로 하기 때문에 보안성이 강력하다고 말하지만, 이를 증명할 수 있는 방법이 없어서 불안한 것은 사실입니다. 


보안 장비의 특성상, 신뢰성 있는 보안 장비를 선택해야 합니다. HSM 선택시에 중요하게 보아야할 포인트를 알려 드리겠습니다. 


Key Point!

1. FIPS 140-2 인증 여부

2. 모든 암호화 대상의 암호화 키를 안전하게 저장하고 관리할 수 있는 장치

3. 접근제어와 권한분리의 기능의 여부


여기에 추가로 서버의 부하를 경감하거나 암호화 성능의 향상등의 부가적인 요소가 붙습니다.





위 포인트 중에서 가장 확실한 방법으로는 바로 FIPS 인증여부를 확인하는 것입니다. HSM 솔루션 소개에서 반드시 FIPS 140-2 인증을 받은 HSM을 사용하는 것이 안전합니다. 




FIPS 140-2는 암호화 및 보안요건에 관한 규정으로 미국 연방정부에서 인증하는 정보처리의 표준규격입니다. FIPS를 제정한 곳은 미국국립기술연구소로써 140-2는 미국국립기술연구소에서 '이 제품은 강력한 보안 기술이 적용되어 있음'을 뜻합니다. 

※ 미국국립연구소 : National Institute of Standard and Technology : NIST


그리고 FIPS 140-2에도 보안 등급이 있습니다. 미국국립연구소의 FIPS 140-2 등급은 총 4단계로써 등급에 대한 자세한 설명은 아래와 같습니다.


 레벨

 설명

 Level 1

기본적인 보안 요구사항에 대한 평가를 받은 제품, 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미한다.

 Level 2

물리적인 장비 해체 방지 등에 대한 대책, 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다.

 Level 3

암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제하도록 한다. 또한, 인증된 엑세스를 요구해야 한다.

 Level 4

수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공한다.


위의 내용을 숙지하셨으면, 이제 HSM 제품을 선택하는데 있어서 FIPS 140-2 인증을 받았는지 여부를 찾아보아야 합니다. 미국국립연구소 NIST에서는 웹사이트를 통해 인증을 받은 업체와 제품을 공개하고 있습니다.  아래의 페이지에서 140-1 과 140-2 인증을 받은 업체를 찾아볼 수 있습니다. 


※ 140-2 인증 제품 찾기 : http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm








Thales nShield HSM의 장점


[Thales nCipher HSM]


운용상의 장점

1. 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

2. 규제 (예: PCI DSS) 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

3. 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

4. OEM 기기를 위한 보안 강화 및 암호연산 기속기능 제공


보안상의 장점

1. 중요 애플리케이션의 보안 강화를 위해 위변조 방지, 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

2. 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하는 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중 통제를 확립

3. 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행



※ 보호 가능한 보안시스템 : 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹 패브릭(Web Fabric), DNS 보안확장(DNSSEC), 코드 서명 등


Thales HSM에 대한 더 많은 정보는 아래의 링크를 누르면 확인하실 수 있습니다.

※ http://it.imarketkorea.com/hsm.php



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

헌법재판소, 2018년부터 주민등록번호 변경 허용

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2015. 12. 24. 18:50 / 카테고리 : nCipher HSM (Thales-HSM )


공공재가 되어버린 주민등록번호 변경 가능하다?

현재 주민등록 번호는 출생 신고때 부여된 이후로 죽을때까지 변경이 불가능한 고유 식별번호입니다. 이를 변경할 수 없는 것도 규정입니다. 그런데, 헌법 재판소가 이 규정에 대해 헌법 불합치 결정을 내렸습니다. 


헌법재판소는 주민등록번호 변경을 못하게 하는 이번 결정이 '헌법불합치'라는 결정을 내리고 2017년 말까지 현행 주민등록번호 관련법을 개정하고 조치할 것을 주문했습니다. 이로 인해서 2018년도에는 주민등록번호를 변경할 수 있는 방법이 열렸습니다.


이러한 결정이 내려진 이유는 개인정보유출사고로 인해서 많은 개인정보들이 이미 온라인상에 유출되었고, 이러한 유출된 정보로 인해서 사생활 침해와 생명과 신체, 재산을 위협받을 수 있고 범죄에도 악용이 될 수 있다는 소지가 있다는 점에서 이러한 결정이 내려진 것으로 보입니다.


다만, 혼란을 줄이기 위해서 변경 전후로 주민등록번호 사이에 연계시스템을 구축하라고 주문하였으며 객관성과 공정성을 갖춘 기관에서 변경 신청을 심사할 수 있도록 정할 것을 주문하였습니다.




행정자치부, 주민등록관련 관리 감독 강화

행정자치부는 보다 강화된 기준을 엄격하게 적용하여 현재 만연하고 있는 주민번호 수집 근거법령을 정비하고 개인정보 보호위 등 관계부처와 함께 주민번호 수집 근거 법령을 엄격하게 관리 및 감독할 예정입니다.  



또한 주민번호 수집을 허용하는 42개 대통령령의 주민번호 수집근거를 폐지하도록 의결하였습니다. 


가장 중요한 부분은 주민번호를 전자적으로 보관하는 경우에는 보관규모에 따라 최대 2017년 말까지 의무적으로 DB암호화 조치를 해야합니다. 

- 100만명 이하 : 2016년 말 / - 100만명 이상 : 2017년 말 까지

※ 주민번호를 관련 규정에 의거하지 않고 보관할 경우에는 3천만원의 과태료 조치가 내려집니다. 


또한, 이를 감독하기 위해서 한국인터넷진흥원(KISA)과 한극정보화진흥원(NIA)이 진행하는 개인정보보호 관련 업무는 한국인터넷진흥원에 전부 통합되어 관리되어 일원화 됩니다.


행정자치부 관계자는 올해에만 주민번호를 수집하는 기관의 275개 법령들에 대해 관계부처와 협의해 개정작업을 했다고 전했으며, 또한, 지자체 및 산하기관에서 주민번호를 수집하던 5,000여개 자치법규나 조례를 찾아서 변경하고 있다고 밝혔습니다. 


또한, 행정자치부에서는 개인정보보호정책관이 신설되어 개인정보 실태점검을 통해 기업의 개인정보 보호수준과 의식을 높이고 개인정보보호법의 위반이 발견된 경우에는 과태료 처분과 함께 시정조치를 하는 업무를 강화할 것으로 알려졌습니다.



개인정보 보호의 핵심은 DB암호화와 암호화 키 관리

많은 보안관계자에게 물어보면 현시점에서 가장 강력한 보안은 바로 주민등록번호 등을 포함한 고객 데이터(DB)를 강력한 상용화 알고리즘으로 암호화는 것이라고 답할 것입니다. 


하지만 아무리 강력한 암호화를 서버 데이터베이스에 적용하였다고 하더라도 관리자가 아닌 제 3자가 내부 관계자가 쉽게 접근하고 변경, 삭제가 가능하다면 강력한 암호화 알고리즘은 아무 소용이 없게 됩니다. 


DB보안에 있어서 1차 적으로 어느 데이터를 안전하게 암호화하여 보관할 것인가를 생각하여야 하고 2차 적으로는 이 암호화된 데이터를 복호화할 수 있는 중요 열쇠인 암호 키를 관리하는 방법과 이에 대한 접근제어가 중요하다고 할 수 있습니다. 


암호화 성능의 향상과 안전한 암호키 관리, 그리고 접근제어까지 통제할 수 있는 가장 효율적인 방법은 바로 HSM(Hardware Security Module; 하드웨어 암호화 모듈)을 사용하는 것입니다. HSM 제품은 아래과 같은 기능을 제공합니다.


HSM (hardware Security Module) 장비 특징

- 암호키를 생성하고 저장하는 역할을 하는 암호화 전용 장비

- 인증 및 서명, 암호화 등의 다양한 분야에서 사용되는 암호화 키를 전반적으로 생성 및 제어

- 암호 키에 대한 생성, 교환, 백업, 보관, Key의 라이프사이클 관리 등을 안전하게 수행

- 강력한 관리자 권한 분리 및 접근제어 기능

- 호스트서버의 부하를 경감하고 리소스를 확보

- Software 방식 보다 뛰어난 보안성과 안전성을 자랑하는 Hardware 암호화 방식


HSM 제품도 많은 제조사가 있지만 가장 중요한 것은 FIPS-140-2와 같은 국제적인 인증을 받았는지의 여부와 PCI DSS 3.0과 같은 표준을 준수하는 지 여부를 무엇보다 잘 살펴야 합니다. 그리고 Oracle 서버나 MS SQL 서버와 같은 기업에서 가장 많이 사용하는 서버에서 호환성이 뛰어난지도 반드시 고려해야할 요소입니다. 



아이마켓코리아에서는 FIPS-140-2 인증을 획득하고 PCI DSS 3.0을 준수하는 고성능 HSM인 Thales e-seucrity nShield HSM을 유통하고 있으며, Thales nShield 제품군은 오라클 서버와 MS SQL에서도 공식파트너를 획득한 호환성도 우수한 제품입니다.  



[Thales HSM FIPS 140-2 Level 3 인증 문서]


- Fips 140-2 Level 3 인증 및 CC EAL 4+ 인증

- 오라클 서버 및 마이크로소프트 골드 파트너




Thales e-security는 20여년간의 우수한 보안 기술력으로 전세계 HSM 시장 점유율 1위를 차지하고 있는 글로벌 보안 솔루션 기업입니다. 국내 MRO 업계의 선두주자인 아이마켓코리아와 제휴하여 강력한 인프라와 성능을 바탕으로 보안솔루션 제품을 공급하고 있습니다. 


Thales nShield HSM에 관한 정보는 아래의 온라인 카탈로그를 참조해주시기 바랍니다.

※ 온라인카탈로그 보기 : http://it.imarketkorea.com/hsm.php


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2020/01   »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

방문자 통계

  • 전체 : 394,452
  • 오늘 : 7
  • 어제 : 27
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.