기업 개인정보 유출사고 발생 시 피해를 최소화하는 방법

작성자 : DSSa / 날짜 : 2018.05.11 12:00 / 카테고리 : nCipher HSM (Thales-HSM )



개인정보 유출사고는 기업이 겪는 꾸준한 보안 이슈 중의 하나입니다. 기업들은 많은 보안 솔루션 도입을 통해서 이를 막고자 노력하고 있지만 개인정보 유출사고는 언제든지 일어날 수 있는 큰 리스크 중 하나입니다. 


개인정보 유출사고가 발생하였을때 적절한 조치만 취하여도 피해를 최소화 할 수 있습니다. 반대로 말하면 적절한 조치를 취하지 않았을 경우 피해는 기하급수적으로 증가하게 됩니다. 개인정보 유출사고 시에 피해를 줄일 수 있는 조치 방안에 대해서 안내해드리겠습니다.


개인정보 유출사고시에 기업 보안 담당자가 취해야될 조치는 크게 아래와 같습니다.

1. 유출된 정보주체 개개인에게 지체 없이 통지 (개인정보보호법 제34조 제1항)

2. 피해 최소화를 위한 대책 마련 및 필요한 조치 실시 (개인정보보호법 제34조 제1항)

3. 1천명 이상 유출된 경우 유출 통지 결과 신고 (개인정보보호법 제34조 제3항)

4. 1천명 이상 유출된 경우에는 추가로 홈페이지에 공지 (개인정보보호법 시행령 제40조 제3항)




[출처 = 2013 ~ 2017 개인정보 실태 점검 및 행정 처분 사례집]


1. 유출된 정보주체 개개인에게 지체 없이 통지 (개인정보보호법 제34조 제1항)

- 시한 : 유출되었음을 알게 되었을 경우 지체 없이 (5일 이내)

- 통지항목 : 유출된 개인정보의 항목, 유출 시점과 그 경위, 피해 최소화를 위한 정보주체의 조치 방법, 기관의 대응 조치 및 피해 구제 절차, 피해 신고 접수 담당부서 및 연락처

* 개인정보 보호법 제75조 제2항 제8호 (3천만원 이하의 과태료) 정보 주체에게 같은 항 각호의 사항을 알리지 않은 자


2. 피해 최소화를 위한 대책 마련 및 필요한 조치 실시 (개인정보 보호법 제34조 제1항)

- 접속 경로 차단, 취약점 점검 및 보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위하여 필요한 긴급 조치 이행

- 긴급 조치 이행 등에 어려움이 있는 경우 전문기관에 기술 지원 요청


3. 1천명 이상 유출된 경우 유출 통지 결과 신고 (개인정보 보호법 제34조 제3항)

- 1천명 이상 개인정보가 유출된 경우에는 유출 통지 및 조치 결과를 지체 없이 행정안전부 또는 전문기관 (한국인터넷 진흥원)에 신고

* 개인정보보호법 제75조 제2항 제9호 (3천만원 이하의 과태료) 조치 결과를 신고하지 않은 자(행정안전부 또는 전문기관에 통지 결과 등을 신고하지 않은 경우)


4. 1천명 이상 유출된 경우에는 추가로 홈페이지에 공지 (개인정보 보호법 시행령 제40조 제3항)

- 1천명 이상 개인정보가 유출된 경우 개별 통지와 함께 유출된 사실을 인터넷 홈페이지 7일 이상 게재

* 홈페이지 등에 공지하지 않거나 7일 미만 개제하는 경우 : 시정명령



개인정보의 유출시에는 유출 사고의 경위와 유출규모와 세부적인 유출 정보, 유출 사실 등에 대해서 정확히 고객들에게 명시를 해야 합니다.


시행을 앞두고 있는 유럽의 GDPR (개인정보보호 규정 [General Data Protection Regulation, 個人情報保護規程]) 에서는 데이터 제어 주체의 책임 항목이 존재합니다. 


1. 기업은 정책 준수에 대한 책임이 있다. 적절한 거버넌스 구조와 정책을 보유하고 있어야 하며, 이를 항시 지켜야 한다.

2. 기업은 데이터 보호 및 프라이버시 중심 디자인(privacy by design)을 도입해야 한다.

3. 특정 유형 혹은 규모의 기업 중 유럽연합과 공식적인 관계가 수립되지 않은 곳이라면 유럽연합 대변인을 지정해야 한다.

4. 데이터 처리를 위한 서드파티를 임명할 때 상당한 주의를 기울여야 한다. 그리고 올바른 계약서를 작성해야 한다.

5. 직원 수가 250명 이상이거나 특정 유형의 데이터를 보유하고 있다면, 처리 과정에 대한 기록을 남겨야 하며, 규제기관이 요청할 때 언제라도 제공할 수 있어야 한다.

6. 유출 사고가 일어났을 때 지역 규계기관에 72시간 내에 알려야 한다. 위협 수준이 높다면 데이터 주체에도 알려야 한다.

7. 데이터 제어자는 규모와 다루는 데이터 유형에 따라 DPO를 임명해야 한다.


추가로, GDPR의 데이터 보호 기본 원칙에는 다음과 같은 항목이 포함되어 있습니다. 5) 필요 없는 데이터라면 반드시 삭제하고, 가지고 있는 데이터는 적절하게 보호해야 한다. 


개인정보 유출사고에 있어서 데이터의 안전한 보호는 매우 중요합니다. 특히, 데이터의 암호화 여부에 따라서 유출사고의 규모가 달라집니다. 개인정보는 안전하게 암호화되서 보호되어야 하며, 이를 복호화 할 수 있는 암호 키 또한 물리적으로 완전 분리되어 안전한 곳에 보관되어야 합니다. 




암호화된 데이터는 유출되어도 사용할 수 없는 데이터가 되어 안전하며, 복호화를 시키기 전까지는 절대 알 수 없습니다. 하지만 암호키가 유출되면 암호화된 데이터를 해독 할 수 있는 열쇠가 됩니다. 금고 위에 열쇠를 두지 않는 것 처럼 암호키는 데이터와 물리적으로 완전 다른 위치에 보관되어야 합니다. (해킹 시에도 안전하게 보관될 수 있는 위치)


아이마켓코리아에서는 정형데이터(데이터베이스) 뿐만 아니라 비정형데이터 (이미지, 로그, 영상, 음성 등)을 안전하게 암호화 할 수 있는 고성능의 암호화 솔루션인 보메트릭 트랜스페어런트 인크립션 제품과 암호키를 안전하게 물리적으로 분리된 공간에서 저장하고 암호화 성능을 향상시키며, 암호키에 대한 접근제어, 생성/폐기까지 가능한 Thales HSM(탈레스 HSM)을 공급하고 있습니다.


(탈레스 HSM Solo)


(보메트릭 암호화 장비)



위의 2가지 솔루션을 통해서 서버 오버로드 없는 고성능 암호화 및 암호키에 대한 안전한 관리 및 접근제어가 가능합니다. 


암호화 솔루션에 대한 자세한 정보는 아래의 링크를 참고해주시기 바랍니다.

1. 암호화 솔루션 보메트릭 트랜스페어런트 인크립션 :  http://itblog.imarketkorea.com/342

2. 암호키 보관, 생성 및 관리, 접근제어 솔루션 탈레스 HSM : http://itblog.imarketkorea.com/277


위 2가지의 보안 솔루션을 통해 안전한 개인정보 보호 환경을 구축하시기 바랍니다. 




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

다이소몰 개인정보 유출사고 발생, 암호화 여부가 관건

작성자 : DSSa / 날짜 : 2018.05.02 16:19 / 카테고리 : nCipher HSM (Thales-HSM )


국내에서 가장 규모가 큰 생활용품 쇼핑몰인 다이소의 온라인쇼핑몰 '다이소몰'이 해킹 공격으로 인해서 대량의 개인정보가 유출되는 사고가 벌어졌습니다. 이번 사고는 내부가 아니라 외부에 의해서 벌어진 사건으로 취약한 온라인 쇼핑몰의 개인정보 관리 실태를 그대로 보여주는 사건입니다.


해킹은 올해 4월 10일 경에 이루어졌으며, 고객정보 일부가 유출된 것으로 의심되고 있습니다. 한국인터넷진흥원 (KISA)에서 현재 조사가 이루어지고 있습니다. 


아직까지 해킹 사고의 경위와 유출 규모, 그리고 개인정보 유출이 어느정도까지 되었는지 본인이 직접 확인할 수 있는 서비스는 공개되지 않고 있습니다. 다이소몰에서는 단순히 해킹 관련 사고에 대해서 공지만 하고 비밀번호 변경 안내만 하고 있습니다. 이에 따른 고객의 불만이 커지고 있는 상황입니다. 



누구의 개인정보가 유출되었는지 확인 절차 이전에, 어떤 데이터가 유출이 되었는지, 그리고 암호화 조치는 잘 이루어져서 유출된 고객정보가 안전한지에 대한 안내가 없기 때문에 고객들은 더 불안해하고 있습니다. 


개인정보, 비밀번호 등이 암호화 처리만 잘 되어 있다면, 개인정보가 유출되어도 큰 걱정은 없습니다. 유출된 데이터가 암호화되어 있고 암호키만 잘 보호되었다면 해커가 유출한 데이터는 쓸모가 없기 때문에 큰 피해는 없을 수 있습니다. 


행정자치부가 고시한 개인정보의 안전성 확보조치 기준이 잘 적용되어 있다면, 해킹은 당하여도 유출시에 피해를 최소화 시킬 수 있습니다.


개인정보의 안전성 확보조치 기준 (행정자치부 고시)

「개인정보의 안전성 확보조치 기준」(행정자치부 고시)에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부 기준을 제시하고 있다. 


  • “고유식별정보”는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 여기에 해당한다.

  • “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 

  • “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.



내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라「개인정보의 안전성 확보조치 기준」제7조제4항(“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다. 

  • 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일 

  • 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1




[DB서버 암호화 구축 방식 예시 - 개인정보 암호화 조치 안내서 참고]

  • DB서버 암호화 방식의 경우에는 암ㆍ복호화 모듈이 DB 서버에 설치되고 DBMS에서 플러그인 (plug-in)으로 연결된 암ㆍ복호화 모듈을 호출하는 방식입니다.

  • 응용프로그램의 수정이 거의 필요하지 않아 구현 용이성이 뛰어나지만, 기존 DB 스키마와 대응하는 뷰(view)를 생성하고 암호화할 테이블을 추가하는 작업이 필요합니다. 

  • 어플리케이션 서버의 성능에는 영향을 주지 않지만 DBMS에서 DB 서버의 암·복호화 모듈을 플러그인으로 호출할 때 추가적인 부하가 발생하여 성능이 저하될 수 있습니다. 

 




 분류

 특성 

 암복호화 모듈

 DB 서버 

 암복호화 요청

 DBMS 엔진 

 DB 서버의 부하

 있음 

 색인 검색 

 가능 

 배치 처리

 가능 

 응용프로그램 수정 

 필요하지 않음 

 DB 스키마 수정

 거의 필요하지 않음 (암호화할 DB 스키마 지정 필요) 



DBMS 자체 암호화 방식은 별도의 암호화 모듈을 사용하는 것보다 안정성도 떨어지고 성능의 저하가 있습니다. 무엇보다 암호키를 물리적으로 같은 저장소에 저장하기 때문에 해킹 시에 암호키 까지 탈취당할 우려가 있기에 보안에 취약합니다. 


DBMS 서버의 암호화 부하를 경감시켜주고 고성능의 암호화 알고리즘을 적용시켜주며, 암호키를 물리적으로 별도의 보관소에 저장하여 관리(접근제어), 생성, 폐기까지 가능한 하드웨어 장비를 HSM(하드웨어 암호화 모듈)이라고 합니다.




HSM의 특징

  • H/W 기반의 암호연산 (키 생성, 전자서명, 키 저장 및 백업 기능)을 제공

   ※ 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증가 


  • 키의 사용에 대한 정책 시행

   - 관리자 권한의 강력한 분리 기능 제공

   - 관리자를 위한 강력한 인증 기능 제공

   - 상호 감독을 위한 강력한 이중 통제 

   - 성능 증대를 위한 프로세싱 분리 기능

   - 물리적 보호를 위한 변조 방지 기술


  • 비대칭형 암호 연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리


탈레스 HSM (Thales HSM)의 암호화 모듈은 FIPS 140-2 Level 2/3인증과 마이크로소프트 골드파트너, 오라클 인증 파트너, CC 인증까지 마친 우수한 보안 제품입니다. 




Thales HSM은 FIPS 140-2 Level 2 & 3 인증을 받았습니다.



FIPS 140-2 인증 이란?

FIPS(Federal Information Processing Standards)는 미국연방정부기관에서 사용하는 정보 처리 기계와 방식을 표준화하기 위해 미국국립표준·기술연구소(NIST)가 제정하는 표준 규격으로 FIPS-PUB(Publica-tion)라는 명칭으로 발행됩니다.


FIPS-140-2은 NIST (National Institute of Standards and Technology)가 후원하는 암호화 모듈 인증입니다. 

FIPS-140-2는 가장 낮은 수준에서 가장 높은 수준까지 4 단계까지 규정되어 있습니다.


  • 레벨 1 - 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미

  • 레벨 2 - 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다. 레벨 3는 암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제

  • 레벨 3 - 제품은 인증된 액세스를 요구

  • 레벨 4 - 수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공



탈레스 HSM에 대한 제품 문의 및 견적은 아래 아이마켓코리아 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

이스트소프트 알패스, 개인정보 유출로 과징금 1억 1200만원 부과

작성자 : DSSa / 날짜 : 2018.03.30 13:15 / 카테고리 : nCipher HSM (Thales-HSM )


한동안 잠잠했던 개인정보 유출사고로 과징금을 받은 사례가 또 생겼습니다. 이번에는 보안백신 및 압축유틸리티로 유명한 알시리즈의 개발사 이스트소프트에서 일어난 사고입니다. 보안 소프트웨어를 개발하는 업체에서 개인정보를 유출하였다는 사실은 충격으로 다가오고 있습니다. 


  • 이스트소프트는 방통위로부터 과징금 1억 1,200만원 / 과태료 1,000만원 / 위반행위의 중지 및 재발방지대책 수립 시정명령 / 시정명령 처분사실 공표 등 행정처분을 받았습니다.




이번 개인정보 유출사고는 실질적으로 사용자의 아이디 및 패스워드까지 유출되어 범죄에 악용된 것으로 보아 파장이 클 것으로 보이고 있습니다. 


방통위는 이스트소프트로부터 지난해 9월에 발생한 개인정보 유출사고 현장조사를 실시간 결과를 확인하고 보고 했습니다. 조사에서는 개인정보 유출규모 및 해킹의 수단 등을 확인하는 방법으로 조사가 진행되었으며 확인 된 내용은 아래와 같습니다. 



  • 이스트소프트의 알툴바 서비스에 접속하면 이용자들이 저장한 알패스 정보를 열람할 수 있음을 파악

  • 이를 통해 개인 정보 유출을 계획 (이용 사이트 URL 주소, 아이디, 패스워드 등)

  • 해커는 유사한 자체 해킹프로그램을 배포해 계정정보를 획득한 뒤 알패스 서비스에 로그인해 사전대입 공격을 하여 아이디 및 패스워드를 획득


※ 사전 대입 공격 (Dictionary Attack)

공격자가 사전에 확보한 아이디 및 패스워드를 정보 또는 일반적으로 사용되는 정보파일을 가지고 프로그램을 통해 임의로 대입하여 결과물을 얻는 방식의 공격 방식


이를 통해 유출된 정보의 규모는 아래와 같습니다.

- 사용자가 이용하는 웹사이트 URL 정보, 아이디, 비밀번호가 포함된 정보 2,546만 1,263건

- 피해인원 수 16만 6179명 (1인당 150여건의 정보 유출)



계정정보가 유출되었기 때문에, 이를 통해서 포털사이트나 이메일에 접속하여 주민등록증 및 신용카드, 사진, 기타 개인정보를 쉽게 확보하여 휴대전화 개통 및 해킹 서버를 따로 임대 후 암호화폐 거래소에서 부정 접속하여 유출된 고객들이 보유한 암호화폐를 전량 무단 출금한 것으로 나타났습니다. 




알패스와 같이 고객의 모든 정보를 저장해주는 해킹으로 정형 데이터가 유출시에 치명적인 2차, 3차 피해를 연쇄적으로 입을 수 있습니다. 해당 서비스는 어떠한 방법으로도 보안이 가장 강력하게 유지되어야 합니다. 


이번, 이스트소프트 해킹 사건 발생시 방통위가 적발한 내용은 아래와 같습니다.


1. 적절한 규모의 침입차단 및 탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점


2. 개인정보가 열람권한이 없는 자에게 공개되거나 외부로 유출되지 않도록 필요한 보안대책 및 개선조치를 취하지 않은 점


위의 사항과 같이 대체적으로 정보통신망법에서 규정하는 개인정보 보호조치 규정을 위반한 것으로 나타났습니다.


탐지시스템 및 관제 시스템의 부재도 치명적이지만 무엇보다 가장 중요한 개인정보 보호의 최후의 수단인 개인정보암호화 조치가 안되어있다는 점이 큰 충격으로 다가오고 있습니다. 정형데이터를 안전하게 암호화하고 복호화를 할 수 있는 암호 키를 안전하게 물리적으로 분리 저장하는 것은 개인정보 보호조치의 기본이라고 할 수 있습니다.


이를 가능하게 하는 장비는 HSM(하드웨어 암호화 모듈)로써, 개인정보 암호화에 있어서 필수 불가결한 보안 솔루션입니다. 



HSM은 서버의 데이터를 안전하게 상용 알고리즘으로 암호화 시키고 암호 키를 안전하게 생성하고 보관하고 관리하며, 서버의 암호화 부담을 경감하여 서버의 가용자원을 늘려줍니다. 


HSM은 물리적으로 분리가 되어 있어 암호키가 별도로 저장되어 있는 방식이 좋습니다. 그 이유는, 정형데이터가 보관된 서버가 해킹을 통해서 정보유출을 당해도 안전하게 보관이 가능하기 때문입니다. 


이를 통해서 서버가 해킹을 당하여도 암호 키가 탈취당하지 않아 유출된 데이터는 복호화할 수 없기 때문에 해커의 입장에서 사용할 수 없는 데이터 일뿐만 아니라, 유출된 데이터를 실질적으로 사용이 불가능하게 됩니다. 


강력한 암호화 성능도 중요하지만 암호 키를 안전하게 보관할 수 있는 안정성도 매우 중요합니다. 그렇기 때문에 HSM은 매우 중요한 장비라고 할 수 있습니다.


아이마켓코리아에서 공급하는 탈레스 HSM은 세계 GPHSM 시장의 70% 이상을 점유하는 우수한 보안 장비로써 프랑스에 본사를 둔 탈레스 그룹 산하의 사이버보안 전문업체입니다. 국방 보안쪽으로 시작하였기 때문에 우수하고 신뢰성 있는 암호화 성능을 자랑합니다. 



FIPS 140-2 Level 2, Level 3의 인증과 CC EAL+ 인증을 받았으므로 안정성은 입증이 되었습니다. 또한 PCI DSS3 인증시에도 탈레스 HSM을 도입하여 인증 받는 경우가 많습니다.



자세한 정보는 하단의 링크를 통해서 제품에 대한 정보를 알 수 있습니다. (Thales nShield HSM 제품군)


Thales 내장형 HSM - nShield SOLO : http://itblog.imarketkorea.com/227?category=58399

Thales 네트워크 연결형 HSM - nShield Connect : http://itblog.imarketkorea.com/85?category=58399


고성능, 높은 안정성을 자랑하는 하드웨어 암호화 모듈, 탈레스 HSM에 대한 도입 문의 및 견적은 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

국내 가상화폐 (암호화폐) 거래소, 탈레스 보안 모듈 HSM 도입

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.03.14 17:38 / 카테고리 : nCipher HSM (Thales-HSM )


 가상화폐 (암호화폐) 거래소에 탈레스 보안 모듈 HSM 도입 





가상화폐 (암호화폐) 거래소 보안 공격이 갈 수록 지능화되고, 그 피해 규모도 커지고 있습니다. 암호화폐 거래소는 2-factor 인증 보안 등의 다양한 보안 장치가 있지만, 가 직접 거래소 서버의 데이터베이스를 침범하여 고객의 개인정보를 탈취 할 수 있다면 큰 사고가 나게 됩니다. 


특히, 고객의 계정 정보(이메일), 비밀번호, 각종 개인의 신분을 인증할 수 있는 다양한 정보가 그대로 평문상태로 유출되거나 쉽게 복호화 된다면 모든 거래소의 자산은 안전하지 않게 되고, 이를 통한 피싱범죄나 APT 공격에 악용될 우려가 있습니다.


가장 안전한 방법은 역시 서버의 모든 데이터를 암호화하는 것입니다. 하지만, 많은 트랜잭션이 일어나는 거래소의 특성상 암호화 작업이 주는 리소스 부담도 커지며, 암호화 키 관리 실패로 인해 데이터 유출시 치명적인 타격을 입을 수도 있습니다.


해당 문제점을 해결하기 위한 솔루션으로 HSM(하드웨어 암호화 모듈)이 있습니다. 거래소는 거액의 자산의 거래가 이루어지는 만큼, 개인정보 보호 및 데이터 암호화는 반드시 필요합니다. 따라서 신뢰성 있는 HSM의 선택이 매우 중요합니다. 




▲ 사이푸, nShield HSM 도입 / 이미지출처: 사이푸 홈페이지 https://saifu.ai



먼저 기존 화폐의 결제 회사인 사이푸는 HSM을 적용하여 고객들의 개인정보 보호, 키 생성 및 보호, 디지털 서명, 변조 방지 등의 높은 보안 수준을 갖추게 되었습니다. 사이푸가 도입한 HSM은 Thales의 nShield HSM으로 높은 성능과 안정성을 자랑합니다.




▲ 코인링크, 국내 최초 보안 시스템 HSM 도입 / 이미지 출처: 코인링크 홈페이지 https://coinlink.co.kr



국내 암호화폐 거래소에서 탈레스 HSM을 도입한 사례로는 써트온의 코인링크가 최초로 탈레스의 HSM을 통한 키 관리를 시작하여 보안 위협에 대응하고 있습니다. 2중, 3중의 보안 시스템외에도 HSM 통해서 안전한 암호화와 키 관리를 통해 보안 최후의 보루까지 완벽하게 갖추었습니다.



▲ 코인이즈, 금융권 수준의 HSM 도입 / 이미지출처: 코인이즈 홈페이지 https://www.coinis.co.kr/index.do 



또한, 국내 소규모 거래소 사례로는, 웨이브스트링의 코인이즈에도 HSM을 도입하여 금융권에 준하는 높은 보안 수준을 갖추었고, 가상화폐 거래소 ‘코미드’에서도 HSM 도입으로 개인정보 보안을 강화했습니다.


이렇듯 가장 강력한 보안성을 보장해야 하는 가상화폐 거래소에서 Thales의 HSM을 도입하고 있다는 것은 높은 성능과 신뢰가 있기에 가능한 결과입니다. 






이렇듯 가상화폐 암호화폐 거래소는 탈레스(THALES e-Security)의 HSM 도입으로 고객들의 재산과 개인정보를 보호하며 보안을 강화하고 있으며 이제는 필수 보안 요소로 자리잡고 있습니다. 위에서 소개한 가상화폐 거래소에서 적용한 탈레스 社의 보안 모듈인 HSM은 하드웨어 암호화 모듈(Hardware Security Module) 입니다. 암호화 키를 별도로 관리하여 외부 공격으로부터 암호화된 데이터와 암호화 키를 분리할 수 있으며, 권한 분리 및 키 생성 관리에도 사용됩니다.



아무리 안전한 암호화 알고리즘을 사용했더라도, 그 암호키(열쇠)가 쉽게 해킹 당해서 유출된다면 암호화된 데이터는 무용지물이나 다름이 없습니다. 


탈레스 HSM은 암호키를 물리적으로 서버와 별도의 공간에 저장하고 관리 하기 때문에 서버의 데이터가 탈취 당하여도 복호화 키(암호 키)를 안전하게 보호하여 해커가 고객의 데이터를 함부로 복호화 할 수 없게 합니다.




 1. HSM 시장 점유율 1위 글로벌 기업


 2. 방위 사업 쪽 보안에서까지 우수성 입증


 3. S/W 베이스 모듈보다 뛰어난 보안성 및 운영상 장점 보유


 4. HSM 내 별도 암호 키 생성 및 저장으로 물리적 분리에 의한 키 값 보호


 5. 하드웨어 키 보호 시스템은 논리적으로 접근 불가능, 물리적 접근 시 키 값이 삭제 처리.
  내부자에 의한 키 탈취에 대한 취약점도 해결


 6. 백업으로 인한 키 관리 어려움 해결


 7. 암호 키 분실을 대비한 중앙집중적 암호화 키 관리 가능

 



미국방성기술표준인 NIST의 FIPS 140-2 Level 2, 3 인증을 받았기에 신뢰성있는 암호화 키 보호가 가능합니다. 



탈레스 HSM은 크게 3가지 상품 군으로 나뉘어집니다.




▲  Thales nShield Connect+ : 네트워크 접속형 하드웨어 보안 모듈

 [ 카탈로그로 상세 내용 확인 ] 



▲  Thales nShield Solo+ : 서버 내장형 하드웨어 보안 모듈

 [ 카탈로그로 상세 내용 확인 ] 



▲  Thales payShield 9000 : 지불결제 하드웨어 보안 모듈

 [ 카탈로그로 상세 내용 확인 ] 





가상화폐 거래소에 도입되는 탈레스의 HSM 보안 모듈에 대한 더욱 자세한 문의 또는 견적 요청은 아래 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내 드리겠습니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

비트코인거래소 해킹 사건 발생! 가상화폐도 암호키 무결성이 중요!

작성자 : DSSa / 날짜 : 2017.11.03 18:41 / 카테고리 : nCipher HSM (Thales-HSM )



지난 7월, 국내 최대 가상화폐거래소이자 하루 최대 거래액이 2조 6천억원에 육박하는 '빗썸' 사이트의 직원 PC가 사이버 해킹 공격으로 고객의 정보가 무더기로 유출되었습니다. 이 해킹된 개인정보를 통해서 빗썸에 접근하여 사이버 화폐를 무단 인출해가는 사건이 발생한 큰 사건이였습니다.


실질적인 재화를 거래하는 사이트가 해킹된 만큼, 굉장히 위험하다고 할 수 있습니다. 빗썸은 전체 이용자의 3% 수준이 피해를 입었다고 밝혔습니다. 이번 해킹의 APT 공격을 통해서 빗썸의 내부직원의 PC에 있던 개인정보가 빠져나간 것으로 보고 있다고 밝혔습니다. 해당 3%의 계정에는 500억원 상당의 가상화폐가 들어있는 계좌 및 거래 기록 등이 담겨져 있어서 큰 문제가 되고 있습니다.




빗썸의 경우에는 개인정보를 통해서 로그인을 하여 실질적으로 가상화폐의 매입과 매각이 가능하므로 개인정보 유출사고는 금융사고에 있어서 치명적인 문제라고 할 수 있습니다.



이러한 상황이 발생하자, 비트코인과 이더리움 등 가상화폐 법령 개정안을 발의하는 등 국가적인 차원에서도 가상화폐 사건에 대한 빠른 대응을 준비하고 있습니다. 


박용진 의원이 발의한 개정안에 따르면 

금융전자거래법에 가상화폐 관련 판매/구입/매매 중개/발행/보관/관리 등 영업활동을 하는 사업자나 국내에서 거래하고자 하는 사업자는 금융위원회의 인가를 받도록 조항이 신설됩니다.


또한. 거래소 인가를 받기 위해서는 5억원 이상의 자본금을 보유하고, 이용자 보호를 의무화해야 하며, 분한 전문 인력과 전산설비 등을 갖추어야 합니다.


블록체인은 구축이나 도입의 측면에서 아직 보완해야 할 점이 존재합니다. 암호화페 거래소에서 사고가 발생하는 것도 대부분 외부적인 요소에서 발생하게 됩니다. 그렇기에 아직 블록체인을 도입하기 위해서는 다양한 보안 장치가 필요합니다.



최근에는 크립토셔플러(CryptoShuffler)라는 암호화화폐 지갑을 노리는 악성코드도 생겨났습니다. 이 악성코드는 사용자의 클립보드에 저장되는 암호화화폐 지갑 ID를 바꿔치기 하는 형식으로 중간에 암호화화폐를 가로채는 방식의 악성코드입니다. 


이런 다양한 암호화화폐(가상화폐) 보안 위협에 대응하기 위해서는 근간 기술인 블록체인 기술에 하드웨어 암호화 모듈(Hardware Security Module)을 통해 안전하게 보호하면서 무결성을 유지해야 합니다. 



올해 2017년 3월, Thales (탈레스)는 미국 컨설팅 기업 액센츄어의 블록체인 기술에 하드웨어 보안 모듈(HSM) 을 적용하였습니다. 현재 블록체인 기반 시스템을 일반적으로 블록체인을 위한 디지털 키를 저장하는 사이버 지갑에 의존하고 있습니다. 


하지만, 위 사례에서 설명하였듯이, 이러한 키는 소프트웨어 서버에 저장되기 때문에 거래 도중에 발생한 네트워크 공격에 매우 취약하다고 할 수 있습니다.


액센츄어는 이러한 보안 위협을 차단하기 위해서 블록체인 기술에 탈레스 HSM을 적용하였습니다. 디지털 키가 IT 네트워크로부터 물리적으로 격리되어 저장되고, 고도화된 보안 매커니즘으로 디지털키의 도용 가능성을 원천적으로 차단하기에는 탈레스 HSM 솔루션이 가장 효과적이기 때문입니다. 



탈레스의 HSM은 CC EAL+4, PCI DSS 3.0을 만족하고 FIPS-140 2 Level 3에 준하는 강력한 보안성을 가지고 있습니다.


"탈레스 HSM 기술을 이용한 액센츄어의 블록체인 솔루션은 기존의 은행들이 사이버 참해로부터 돈과 거래 기록을안전하게 보호하기 위해 수십년 동안 이용한 물리 보안과 유사한 형태의 보안 역량을 제공한다"

- 사이먼 화이트하우스 액센츄어 수석 이사


가상화폐의 근간 기술인 블록체인이 제데로 동작하기 위해서는 이러한 거래내역을 믿고 신뢰할 수 있어야 합니다. 탈레스 HSM 기술을 이용하면 블록체인을 보호하고 악성 공격 행위를 방어할 수 있는 시스템을 구축할 수 있습니다.



가상화폐 거래소 보안, 블록체인 기술, 암호화폐 거래 보안에 최적화된 탈레스 HSM에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090







Trackbacks 0 / Comments 0

[탈레스 HSM] 가상화폐(비트코인, 이더리움) 거래소 보안은 암호화 키 관리 부터

작성자 : DSSa / 날짜 : 2017.09.26 14:41 / 카테고리 : nCipher HSM (Thales-HSM )



국내 가상화폐 시장의 보안 기술적으로의 문제점

가상화폐에 대한 투자자의 관심이 높아지면서 많은 투자금이 가상화폐 거래소로 집중되고 있습니다. 가상화폐에서 거래소의 역할은 기존의 TTP와 유사한 형태의 역할을 수행하고 있습니다. 하지만, 신뢰성 확보를 위한 외부의 관리 및 감시 체계가 갖춰지지 않았기 때문에 기술적인 취약점이나 내부 직원의 도덕적인 해이 등에 따라서 대규모 사고가 발생할 우려가 큽니다. 





국내에서 가장 큰 가상화폐 거래소인 빗썸에서 일어난 해킹 사고

가상화폐의 거래는 블록체인이라는 기술을 근간으로 하고 있습니다. 이 방식은 프로그램 소스를 오픈하여 불특정 다수의 감시자가 존재하는 방식입니다. 상, 가상화폐 거래의 문제점은 블록체인 기술의 취약점이 아닌, 거래소에 있다고 볼 수 있습니다. 



거래소의 보안은 전적으로 보았을 때에 운영주체의 도덕성과 거래소 시스템의 무결성에 의존합니다. 거래소의 보안수준이 해킹사고의 발생 여부와 직결되기 때문에 거래소를 공격을 통해서 획득할 수 있는 자산상의 이득이 크고 가상화폐의 특성상 추적이 어려움 점에서 거래소는 해커의 주 공격대상이 될 가능성이 아주 높습니다. 



국내 가상화폐 거래소는 보안 수준에 대한 외부 감시체계가 없기 때문에 전반적으로 보안 수준이 낮을 상태에 머무를 수 밖에 없는 것이 현실입니다. 이러한 문제를 해결하기 위해서는 가상화폐 거래시스템의 취약점을 보완할 수 있는 기술적인 수단을 확보해야 합니다. 


초기에는 블록체인 기술 자체의 취약점으로 인한 해킹사고가 발생하였지만, 최근에는 블록체인 기술보다는 그 기술을 활용하는 측면에서 사고가 많이 발생하고 있습니다. 


거래소의 개인키 탈취나 스마트 컨트랙트 취약점 공격이 대표적인 예로써 블록체인의 취약점을 노리는 공격은 거의 없을 것으로 보며, 거래소나 마이닝풀, 프로그램, 암호키 관리 등의 측면을 공격하는 방식이 가상화폐 해킹의 주된 수단이 될 것으로 보고 있습니다.


가상화폐 거래에서 제일 중요한 보안 포인트는 바로 "암호화 키"

블록체인 기술 활용시에 보안의 가장 기본이 되는 부분은 바로 암호키 관리에 있습니다. 가상화폐는 본래 암호화 화폐라고 부릅니다. 이름에서 알 수 있듯이 가상화폐 보안의 핵심은 바로 본인이 보유한 암호키를 안전하게 관리하는 것에 있습니다.


그 밖에도 대규모 네트워크 단절 현상이나 블록체인 코드 자체의 취약성으로 인한 해킹사고도 유의해야 합니다. 


하지만, 가장 중요한 것은 암호화 화폐의 근간이 되는 암호키에 대한 체계적이고 안전한 관리가 우선시 되어야 함은 틀림이 없습니다.4


암호키를 안전하게 생성하고 보관하고, 관리하고 폐기하기 위해서는 암호키를 전용 보안솔루션은 필수 있습니다. 암호키 관리를 전문적으로 하는 암호화 장비를 하드웨어 암호화 모듈(HSM)이라고 합니다. 



암호화 키를 생성할 뿐만 아니라 인증과 서명, 암호화까지 다양한 용도로 활용되는 장비입니다.


HSM의 특징으로는 하드웨어 기반의 암호연산이 가능하여 서버의 가용성을 증가시킨과 동시에 키에 사용에 대한 강력한 권한 분리, 인증 절차, 이중통제, 프로세싱 분리, 물리적 보호를 위한 키 변조 방지 기술이 적용되어 있습니다. 


또한, 비대칭 암호연산에 사용되는 개인 키를 하드웨어 방식으로 보안처리하고 안전하게 관리합니다.


HSM을 사용해야 하는 이유

  • S/W Based 모듈보다 뛰어난 보안성 및 운영상의 장점을 가지고 있습니다.

  • 암호키가 박스 속에서 생성되어 저장되기 때문에 키 값에 대한 강력한 보호가 가능합니다.

  • 하드웨어 키 보호시스템을 리적으로 접근이 불가능하게 안전하게 보호됩니다.

  • 임의의 사용자가 물리적으로 하드웨어 키 보호시스템에 접근할 경우에는 키 값이 삭제됩니다.

  • 백업으로 인한 키 관리의 어려움과 분실에 대비한 중앙 집중적인 암호 키 관리가 가능합니다.

  • 내부자에 의한 암호 키 탈취 사고를 막을 수 있는 보안 체계를 구축할 수 있습니다.


HSM은 암호화 키를 보호하는 매우 중요한 장비이기 때문에 무엇보다도 공인된 인증을 획득한 하드웨어 장비를 사용하는 것이 좋습니다. Thales e-security는 방위산업을 근간으로 하는 기술력을 바탕으로 전세계 GPHSM 분야의 70%를 점유하고 있는 사이버 보안 전문 업체입니다. 



PCI DSS 3.0을 만족하며, FIPS 140-2 Level 2와 Level 3 인증을 획득하였습니다. 또한 CC EAL 4+ 인증을 바탕으로 안전성을 검증 받았습니다.



키 관리에 사용되는 GPHSM의 종류로는 Thales e-Security의 탈레스 nShield HSM 제품 군이 있으며, 네트워크 연결형인 탈레스 HSM Connect 제품과 PCI-e 슬롯에 장착하는 내장형 암호화 모듈인 탈레스 HSM Solo 제품이 있습니다.




탈레스 HSM 제품을 통해서 가상화폐 거래소 및 가상화폐 지불 시스템에 대한 암호화 키 검증과 키 보관, 무결성 획득 등의 다양한 활용으로 암호화 화폐 보안성을 높이시기 바랍니다.


탈레스 HSM 제품에 대한 문의는 아래의 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

핀테크 보안, 카카오뱅크가 선택한 탈레스 HSM

작성자 : DSSa / 날짜 : 2017.08.29 16:17 / 카테고리 : nCipher HSM (Thales-HSM )

최근 인터넷에서 돌풍이 불고 있는 카카오 뱅크는 편리한 카카오톡을 앞세운 모바일 중심 기반의 금융업무, 1금융권의 이점, 쉽고 빠른 대출 및 마이너스 통장 개설, 카카오프렌즈 캐릭터를 앞세운 마케팅 등으로 인해서 단숨에 300만 구좌를 달성하였습니다.



카카오뱅크 이전에 케이뱅크가 본격적인 핀테크의 시작을 알렸지만 이번테 카카오뱅크 출범으로 인해서 국민들에게 핀테크가 더 체감되었다고 할 수 있습니다. 카카오뱅크와 같은 인터넷 전문은행은 실물보다는 온라인으로 금융 거래가 이루어지는 만큼 기존의 시중 은행보다 더 강력한 보안 방책이 필요합니다.


인터넷전문은행은 기존 은행처럼 창구 방식이 아닌 비대면 거래를 기반으로 하고 있습니다. 모바일과 인터넷 등의 비대면 채널이 확대되면서 사용자에 대한 인증은 중요한 보안 이슈입니다.  그렇기 때문에 지금 이 디바이스를 통해서 접속한 사용자가 진짜 사용자인지 여부를 파악해야 합니다. 


탈레스에 따르면, 케이뱅크와 카카오뱅크는 탈레스 e-시큐리티의 하드웨어 보안 모듈(HSM)을 통해서 네트워크 보호 및 로그 암호화, 사용자 진위여부를 파악하고 있습니다. 암호화 솔루션을 통해서 결제정보와 네트워크 구간에서 발생되는 데이터와 정보를 암호화 하는 방식으로 이루어지고 있습니다.



여기서 가장 중요한 부분은 바로 인증 절차에 대한 검증과 보안입니다. 탈레스 HSM을 이용하게 되면 키 관리 기능과 암호화 기능을 통해서 더욱 안정적인 보안 환경을 구축할 수 있습니다. 


HSM은 암호화 및 디지털 서명, 키 생성과 보호 등의 기능을 수행하기 위한 보안 플랫폼을 제공하여 코드서명과 디지털 키를 사용하는 다른 애플리케이션들을 포함하는 광범위한 애플리케이션을 온프레미스, 가상화 클라우드 환경에서 지원하고 있습니다.


또한, 탈레스 HSM은 은행, 보험 등 금융회사들의 고객, 데이터를 안전하게 보호하며 정부 및 산업 규제 및 표준들을 충족하고 보안 감사를 용이하게 합니다. 그리고, 보안사고로 인한 데이터 유출을 막아주는 방패의 역할도 수행하고 있습니다.



탈레스는 카카오뱅크에서는 탈레스 HSM으로 진짜 사용자인지 확인하는 신뢰성 확보를 위해서 보안 신뢰를 줄 수 있는 HSM을 공급하였으며, 케이뱅크에서는 키관리 솔루션을 제공하였습니다. 



이렇듯, 탈레스는 국내 핀테크 보안시장을 공략하기 위해 적극적으로 데이터 암호화, 접근통제, 네트워크 보안, 내부 사용자 유출 방지 등 다양한 핀테크 보안영역을 준비하고 있습니다.



탈레스 HSM 소개

탈레스 HSM은 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 그 중 nShield Solo는 서버 내장현 하드웨어 보안 모듈(HSM)입니다. nShield Solo 제품군은 최적화된 타원곡선 암호학 모델이 포함되어 강력한 암호화 모듈 카드로써, 암호화 및 디지털 서명용 중요 키를 안전하게 보관하고 관리합니다.



탈레스 HSM Solo 타입내장형 PCI-e 슬롯에 장착하는 모델로써

안정적인 성능과 속도, 공간활용성이 장점인 HSM 장비


nShield Solo는 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹패브릭(Web fabric), DNS 보안 확장(DNSSEC), 그리고 코드 서명을 포함하는 중요 보안 시스템을 보호합니다. 


nShield Solo는 소프트웨어 기반의 보안 솔루션 만으로는 부족한 서버기반 시스템에게 적절한 수준의 물리적, 논리적 통제를 확립시키는 가장 경제적인 방법입니다. 보안에 대해 계속적으로 개편되고 있는 법규 요구사항과 일반적인 표준들에 앞서서, nShield HSM의 사용은 기존의 데이터센터, 가상화 환경과 클라우드 기반 서비스들에 있어서 명확한 보안 대책을 제공합니다.

운용상 장점

  • 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

  • 규제 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

  • 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

  • OEM 기기를 위한 보안강화 및 암호연산 가속기능 제공


보안상 장점

  • 중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

  • 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하여 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중통제를 확립

  • 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행



탈레스 HSM은 NIST(미국표준기술연구소)에서 FIPS 140-2 Level 2와 Level 3 인증을 받은 제품으로 신뢰성이 높습니다. 또한, 마이크로소프트 애플리케이션 파트너 골드 등급과 오라클 파트너로 인증된 업체입니다.






탈레스 HSM 제품에 관련하여 제품 스펙 및 도입, 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 답변드립니다. 



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 354,144
  • 오늘 : 0
  • 어제 : 87
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.