개인정보보호법 위반, 과태료 처분 사례와 법률 이행 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.12.08 13:56 / 카테고리 : nCipher HSM (Thales-HSM )


개인정보보호법 위반 사례와 법률 이행 방법

최근, 행정자치부에서는 인천국제공항공사 등 7곳이 고객들의 개인정보를 암호화하지 않거나 동의 없이 유출하는 등의 개인정보보호법 위반사례를 적발하고 총 1억 1,150만원의 넘는 과태료를 부과하고 이를 공시하였습니다. 이번에 개인정보보호법 위반으로 적발된 기업과 기관은 아래와 같습니다.


개인정보보호법 위반 기업 및 기관 리스트

- 인천국제공항공사

- 의료법인 혜원의료재단

- 남여주레져개발(주)

- 구로성심병원

- 의료법인성화의료재단 대한병원

- 의료법인양진의료재단 평택성모병원

- 가천대의대부석 동인천길병원



가장 큰 규모로 적발된 기업은 바로 가장 많은 사람이 이용하는 인천국제공항공사로, 탑승객의 여권번호를 필수적으로 암호화해야 하나, 암호화 하지 않은 채 보관하고 통합여객흐름관리시스템에 대한 접속기록을 제대로 관리하지 않은 등의 적발사항이 총 5건이 있어 2400만원의 과태료를 부과받았습니다.





그 외에도 다른 기관 및 기업에서는 해킹에 의해서 27만명의 개인정보가 유출되었으나 통지하지 않은 경우, 중요 의료정보에 대한 암호화 미비, 개인정보 파기 원칙 미준수, 개인정보 마케팅 동의 미준수, 비밀번호 저장과 전송시에 암호화 조치 미비 등이 적발 사례입니다. 



개인정보 보호법 위반 사례, 암호화 조치 미준수가 가장 많아

특히, 이중에서 가장 많은 케이스는 데이터 암호화 조치 미준수에 관련된 위반사례가 제일 많았으며, 컴플라이언스 준수도 중요하지만, 개인정보가 데이터로 저장되는 기업과 기관의 경우에는 암호화는 선택이 아니라 반드시 해야하는 필수 조치라고 볼 수 있습니다. (정형데이터 및 비정형데이터 전부 해당)



"주민등록번호. 2016년 / 2017년까지 필수적으로 암호화를 이행해야 합니다."


주민등록번호보관 규모가 100만명 미만인 경우에는 2016년도 말까지, 100만명 이상인 경우에는 2017년 말까지 암호화 조치를 완료하여야 합니다.  안전한 암호화 알고리즘으로 암호화 하는 것도 중요하지만 복호화를 할 수 있는 중요한 열쇠인 암호 키에 대한 보관도 매우 중요합니다. 


그리고, 최근 의료기관이나 금융권 등에서는 개인정보, 계약서, 생체정보 등을 스캔하여 이미지로 저장하거나, 동영상으로 기록하거나 로그데이터로 보관하는 경우도 많기에 해당 비정형데이터도 안전하게 암호화하여야 합니다. 




결론적으로, 안전한 암호화를 위해서는 정형데이터와 비정형데이터를 안전하게 암호화할 수 있는 하드웨어 방식의 암호화솔루션을 도입하면서, 해킹으로부터 암호 키를 안전하게 보관할 수 있는 물리적인 저장소도 확보해야 합니다. 




정형데이터 및 비정형데이터 암호화 솔루션, 보메트릭

보메트릭 암호화 솔루션은 정형데이터 뿐만 아니라 이미지, 로그파일, 동영상, 음성파일, 문서파일 등과 같은 비정형데이터까지 안전하게 암할 수 있는 종합 암호화 솔루션입니다. 또한, 암호화 시에 오버로드가 매우 적어 암호화 이전과 암호화 시에 서버의 성능저하가 거의 없는 제품입니다.

커널 레벨의 파일 단위 암호화를 수행하며, 정책 기반 접근 통제를 수행할 수 있습니다. 도입 시에 어플리케이션 수정이 전혀 없이 암호화 솔루션을 도입할 수 있기 때문에 도입기간도 짧고 도입시에 생기는 여러 복잡한 문제들도 해결할 수 있습니다. 



OS상에서 파일 입출력시에 데이터 암복호화를 수행하는 특성을 지니고 있기 때문에 신규 생성되는 파일에 대해서 자동으로 암호화가 진행되고, 응용프로그램의 변경 없이도 이미지 파일이 저장되는 디렉터리와 폴더 단위로 암호화 설정이 가능합니다. 


암호화 시에 성능저하가 거의 없는 제품으로 아래의 성능테스트 그래프를 보시면 암호화 전(푸른색)과 암호화 후 (붉은색)의 차이가 거의 없는 것을 알 수 있습니다.






안전한 암호화 키 저장소, Thales HSM

암호화 키를 안전하게 보관하는 것은 매우 중요합니다. 그 어떤 안전한 암호화 알고리즘도 암호 키가 유출되는 순간 쉽게 복호화가 되기 때문에 암호화 조치 자체가 무의미해 질 수 있습니다. 안전한 암호화 솔루션으로 파일을 암호화 했다고 안전한 암호화 조치를 한 것이 아닙니다.


진정한 암호화의 완성은 바로 암호 키에 대한 완벽한 보안조치에 있습니다. 암호 키를 가장 안전하게 보관하는 방법은 데이터와 물리적으로 완전히 다른 별도의 공간에 저장하고 관리하는 것입니다. 어떠한 소프트웨어 방식도 물리적인 방법보다 안전할 수 없습니다. 



암호화 키를 물리적인 별도의 저장소를 생성하여 저장하고 관리하는 모든 암호화 키 프로세스를 수행할 수 있는 장비가 바로 HSM(하드웨어 암호화 모듈)입니다. 아이마켓코리아에서 유통하는 Thales HSM은 GPHSM 분야에서 전세계의 70%의 점유율을 차지하고 있는 Thales 사의 제품으로 우수한 레퍼런스와 안정성을 보장합니다.



제품군으로는 PCIe 인터페이스로 고성능과 공간효율성이 우수한 서버 내장형 모델과 간편한 설치와 개별모듈을 지원하는 네트워크접속형 모델이 있습니다. 유통되는 거의 모든 서버에 호환이 가능하며 FIPS 140-2 인증을 받았으며, 국내 CC 인증에도 대응하는 우수한 모델입니다.



보메트릭 암호화 솔루션과 Thales HSM 제품 도입 및 견적 문의는 아래의 아이마켓코리아 보안담당자에게 연락주시면 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

야후, 사상 최대 5억명 규모 개인정보 유출사고 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.09.23 14:17 / 카테고리 : nCipher HSM (Thales-HSM )



글로벌 인터넷 포털 업체인 야후(Yahoo)에서 지난 2014년에 해킹 공격을 당해서 전 세계적으로 최대 규모인 5억명의 개인정보가 유출되는 초유의 개인정보 유출사고가 발생하여 수사당국에 조사에 나섰습니다. 이번 해킹 사고는 단일 유출 규모로는 역대 최대 규모 입니다. 


야후는 전세계적으로 사용하는 서비스이고 역사가 오래된 업체인 만큼 5억이라는 큰 규모의 유출사고가 되었으며 유출된 개인정보는 이름, 이메일 주소, 전화번호, 생년월일, 패스워드, 본인인증을 위한 질문 등으로 알려졌습니다. 




Peace라는 닉네임을 사용하는 해커가 저지른 사건으로 알려졌으며, 더 충격적인 사실은 링크드인(Linkedin), 마이스페이스(Myspace) 등의 해외 유명 SNS 까지 해킹한 사실이 있다는 점 입니다. 



해킹된 내역에서 비밀번호와 본인인증을 위한 질문 등의 다른 웹사이트에서도 보안을 위한 필수적인 내용이 유출된 만큼 피해가 클 것으로 예상됩니다. 그리고, 이미 2억명의 계정정보가 온라인 암거래 시장에 매물로 나와서 판매중인 것으로 알려지고 있습니다. 



개인정보 암호화 조치는 선택이 아닌 필수

잇다른 글로벌 IT 기업들도 연쇄적으로 해킹을 당하면서 더 이상 고객의 정보는 지켜지기 어려워지고 있기 때문에, 현재 가장 안전한 보안 방법은 개인정보를 상시 안전하게 암호화하여 유출되어도 열람할 수 없도록 하는 것이 중요합니다. 


특히, 국내에서는 이미 주민등록번호를 수집하여 DB에 저장한 경우가 많습니다. 앞으로 국가기관 등의 특별한 경우가 아니면 주민등록번호는 수집이 금지되며, 기존에 수집한 주민등록번호는 개인정보보호법 시행령 개정으로 인해서 필수적으로 암호화 조치를 하여야 합니다. 



만약, 이를 이행하지 않았을 시에는 과태료와 행정처분이 내려지게 됩니다.  아래에서 개인정보보호법 시행령 개정안을 참고해주시기 바랍니다.


개인정보보호법 개정 - 주민등록번호 암호화 (2016년 1월 1일 시행)

1. 개인정보보호법 제 21조의 2항 (주민등록번호 암호화 적용 대상 등)

제 1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.

1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2017년 1월 1일

2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2018년 1월 1일



암호화 이후에는 암호화 키 관리가 가장 중요

암호화 조치 이후에는 암호화 키 관리를 안전하게 하는 것이 중요합니다. AES-256 같은 가장 강력한 상용화 알고리즘을 사용한 암호화데이터라고 하더라도 안전하지 않습니다. 이를 암호화한 키를 탈취당하게 되면 고가의 장비와 강력한 알고리즘으로 암호화한 주민등록번호 등의 민감한 데이터들이 쉽게 복호화 되게 됩니다. 


암호화 키를 안전하게 저장하고, 생성하고, 관리하게 하는 전용장비로 하드웨어 암호화 모듈(HSM)이 있습니다. HSM을 도입하면, 강력한 암호화와 이 암호화 키를 복호화 할 수 있는 열쇠인 암호화 키 까지 안전하게 관리할 수 있는 이중 잠금을 실현할 수 있습니다. 


HSM은 보안장비이고 한번 도입 후에는 바꾸기 어려운 장비인 만큼, 신뢰성 있는 회사의 제품을 사용하는 것이 좋습니다. 글로벌 기업인 Thales의 HSM은 전세계 GPHSM 시장의 70%를 점유하고 있는 신뢰성 있는 기업으로써 글로벌 대기업들이 Thales의 HSM 제품을 많이 도입하여 사용하고 있습니다.



Thales HSM 제품 군은 글로벌 보안 표준에 맞는 FIPS 140-2 및 CC EAL 4+ 인증을 받은 제품으로 뛰어난 안정성이 보증되었으며, Windows 서버와 Oracle 서버에도 우수하게 대응합니다. 




종류로는 네트워크 상에서 접속이 가능한 네트워크 접속형과 서버 내부에 장착이 가능한 PCIe 슬롯 내장형 모델이 있습니다. 



특히, PCIe 슬롯 내장 모델은 특유의 빠른 전송속도와 안정성을 자랑하고 공간을 가장 적게 차지하게 때문에 기존 DB서버 1대 + 키 관리 서버 1대에 드는 비용과 공간적인 소모를 크게 줄일 수 있습니다.


아이마켓코리아에서는 내장형 모델(Thales HSM nShield F3)을 DB 암호화키 보관 전용으로 사용 시에는 해당 장비를 1개월 무료로 대여하는 행사를 진행하고 있습니다. 



추가로, 자체적으로 보유한 강력한 제품 소싱 인프라를 통해서 모든 메이저 서버 벤더사의 제품과 Thales e-Security의 고성능 HSM을 프로모션 특가로 판매하고 있습니다.




아이마켓코리아는 국내 최고의 MRO 기업으로써, 코스피 상장기업으로 2015년 기준으로 연간 매출액이 3조 1439억에 달하는 우수한 기업입니다. (네이버 증권 출처)




Thales e-Security HSM (내장형, 네트워크 접속형)에 대한 도입 문의 및 상담신청은 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

SSL/TLS의 안정성과 보안성을 확보하는 방법, HSM(Hardware Security Module)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.04 18:34 / 카테고리 : nCipher HSM (Thales-HSM )



SSL 프로토콜을 사용하는 이유과 위험성

SSL (Secure Sockets Layer)은 정확하게는 TLS (Transport Layer Security)라고하지만, 이것은 신중하게 처리 할 데이터를 인터넷상에서 통신 할 경우에 보호하는 기본 방법입니다. Secure Socket Layer 프로토콜은 공용 키와 강력한 암호화를 통해서 클라이언트와 서버간의 통신시 세션을 안전하게 보호할 수 있습니다. 



SSL은 암호화 키와 관련된 협상을 할 수 있을 뿐만 아니라 상위 응용프로그램이 정보를 서버와 교환하기 전에 서버의 진위를 확인해 줄 수 있기 때문에 기존에 온라인 결제서비스에서만 한정적으로 사용하던 SSL은 현재 많은 개인정보를 다루는 곳에서 필수적으로 해야합니다.


반면에 단점도 존재합니다. 일반 통신 방법보다 안전한 만큼 SSL 세션처리를 위해서 암호화화 복호화를 하게 되면 웹 서버의 성능저하가 일어나고 리소스가 많이 필요하게 될 수 있으며, 웹서버 인증서가 탈취되거나 복제가 될 수 있는 보안적인 문제점도 있습니다.




그렇게 때문에, SSL 세션에 참여하려면 자격을 증명하는 디지털 인증서가 반드시 필요하게 됩니다. SSL에서는 CA(Certificate Authority)에서 발행을 하고 사용자의 신원을 확인하는 역할을 합니다. 


[SSL / TLS 핸드쉐이크 프로토콜]


클라이언트와 서버 통신 간에는 메시지 인증 코드(Hash based Message Authentication Code)를 사용하여 메시지를 교환하며, 메시지의 무결성과 신뢰성을 확인하는 방법으로 사용하게 됩니다. 만약에 이 HMAC 값이 일치하지 않는 경우에는 처음부터 다시 검증을 시작하게 됩니다. 이 일련의 과정을 SSL 핸드쉐이크라고 합니다. 


하지만, SSL에서 사설 키를 탈취당하거나 SSL 사설 키 복사본을 사용하면, SSL 사설 키 복사본을 이용하여 신뢰할 수 있는 서버로 위장하여 SSL 핸드쉐이크를 처리할 수 있게 됩니다. 그렇게 되면, 클라이언트가 원래 접속하려는 사이트가 아니라 가짜사이트로 접속경로를 변경시킬 수 있습니다.


일반적인 대부분의 SSL 인증 키는 암호화된 형태로 클라이언트 컴퓨터 하드디스크에 저장됩니다. 그렇기 때문에 이를 탈취하거나 무단 복제가 가능합니다. 


 

SSL : (Secure Socket Layer) 도입시 위험성

1. SSL 키에 액세스 한 공격자는 비밀 정보를 도용하거나 진짜 사이트로 위장하는 것으로, 피해를 줍니다.

2. 소프트웨어에 저장된 SSL 키는 내부 공격에 취약 할 수 있습니다.

3. SSL 암호화 / 복호화 과정은 많은 자원을 소모하기 때문에 서버 및 대량 데이터를 처리하는 응용 프로그램의 성능을 저하시킬 수 있습니다.

4. SSL 기반 작업은 웹 서버 및 비즈니스 응용 프로그램에만 한정되는 것은 아닙니다. SSL 연결은 네트워크 어플라이언스 트래픽 검사 용 게이트웨이나 방화벽 및 기타 성능 모니터링 장치에서 종료되는 경우가 많아지고 있습니다. 이러한 모든 경우에도 키는 일관된 형태로 보호해야 합니다.




SSL 인증 키를 안전하게 관리하는 방법 : HSM의 도입

HSM은 하드웨어보안모듈(Hardware Security Module)로 불리우는 하드웨어 장비로, SSL 인증 키를 안전하게 보호할 수 있는 기능을 가지고 있는 전용 하드웨어 장비입니다. 가장 큰 특징은 HSM 장비 안에서 SSL 인증 키를 생성하고 사용하고, 저장 및 관리 까지 가능하게 할 수 있다는 점으로 보안 안정성이 크게 향상됩니다. 


키 관련 정보가 애플리케이션에서 물리적, 논리적으로 완전히 분리시키기 때문에 네트워크를 통한 공격이 불가능합니다. 


안정성이 높은 HSM을 고르기 위해서는 공인된 검증이 필요합니다. HSM 제품의 안정성을 평가하는 표준 인증으로는 미국국립표준기술연구소에서 인증하는 FIPS 140-2 (Federal Information Processing Standard) 와 CC(Common Criteria) 인증이 있습니다.



        



FIPS 140-2와 CC인증은 HSM 제품을 고를때 반드시 고려해야 할 부분입니다.




Thales e-Security nShield HSM 솔루션

Thales e-Security HSM 솔루션과 고성능 SSL 암호화를 도입하면, 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로 하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현의 가치를 높입니다.


SSL : Thales nShield HSM

마스터 SSL 암호화 키를 보호하여 SSL 프로세스의 무결성을 보장합니다. 표준 API 및 일반 웹 플랫폼 및 SSL 도구와 이미 검증된 통합을 통해 개발자와 IT 보안 담당자는 SSL 개인 키 보호 및 관리를 nShield HSM의 보안 경계 내에서 수행 할 에서 높은 수준의 보증을 제공 할 수 있습니다.

 최적화 된 HSM 장치에서 프로세스를 실행하여 SSL 세션 설정 및 연결에 걸리는 시간을 단축합니다. 상대적 통신 데이터 량이 많아 성능이 중시되는 응용 프로그램은 HSM이 제공하는 암호화 가속 기능을 사용하여 SSL 세션 핸드 쉐이킹을 실행하여 응용 프로그램의 효율성을 크게 향상시킬 수 있습니다.

 nShield HSM에서 제공되는 SSL 처리를 사용하면 웹 서버나 호스트가 더 인터넷 연결을 더 빨리 처리 할 수 있게 되고, 그에 따라 전반적인 능력을 향상시키고, 하드웨어 비용을 최소화 할 수 있습니다.

 SSL 연결의 보안을 확보합니다. 최대한의 보호를 필요로하는 애플리케이션의 경우 설계자는 nShield HSM의 CodeSafe SSL 기능의 장점을 살리고, SSL 소프트웨어 스택 전체에 해당하는 응용 프로그램 논리를 HSM의 보안 경계 내에 넣을 수 있습니다 .

 SSL 기능을 통합 상용 장치 및 장비의 안전의 수준을 올립니다. SSL 종단은 게이트웨이, 방화벽, 네트워크 스위치,로드 밸런서 등 다양한 유형의 장치에서 발생하기 때문에 제품 공급 업체는 이 장치와 HSM을 통합하여 높은 보증을 제공하는 고성능 FIPS 인증을 받은 SSL에 대한 대응 기능을 생성 할 수 있습니다.






Thales nShield HSM은 FIPS 140-2 Level 3 및 공통평가 기준인 CC EAL4+를 사용하여 SSL의 암호화 및 복호화 프로세스의 무결성을 보장하며, 암호화 오프로드를 통해 고 가용성 및 서버 성능의 향상을 실현 가능합니다. 



안전한 SSL 구현을 위한 HSM인 Thales e-Security nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL, TLS, HSM, FIPS 140-2, CC인증, CC EAL4+, SSL 암호키, PKI, 공개키 암호화, CA, 디지털 인증서, 웹인증서, https, 웹서버 인증서, 아이마켓코리아, Thales hsm, hsm, Thales, Thlaes HSM, nshield, ncipher, Secure Socket Layer, SSL 핸드쉐이크


Trackbacks 0 / Comments 0

개인정보보호, 생체인식정보 암호화의 중요성

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.03 14:35 / 카테고리 : nCipher HSM (Thales-HSM )




평생가는 데이터, 생체인식 정보의 중요성

카드3사 개인정보 유출사고, 각종 포털사이트 유출 사고등 고객의 개인정보 유출사고가 끊이지 않고 있습니다. 정부에서는 관공서, 정부기관을 제외한 일반 사기업에서는 인터넷으로 수집한 주민등록번호를 연말까지 파기하도록 하였으며, 이를 어길 경우에는 최대 3천만원의 과태료가 부과됩니다





주민등록번호에 대한 문제는 해결이 되었지만, 가장 중요한 것은 생체인식정보 데이터입니다. 생체인식정보로는 지문, 혈액형, DNA, 홍채인식 정보, 혈액정보, 진료 기록 등 한번 유출되는 절대 바꿀수 없는 치명적인 개인 정보입니다. 


최근에는 많은 디바이스나 보안솔루션, 결제 솔루션 등이 지문과 같은 생체인식정보를 활용하는 경우가 많아 생체인식정보에 대한 중요성이 더욱더 높아지고 있습니다.






생체정보 활용도 증가는 편의성에 기인하고 있습니다. 본인확인 및 인증을 위해 별도 정보를 요구하지 않아도 이용자 신원과 동일성을 확인할 수 있기 때문에 매우 유용한 기술입니다. 최근 생체정보 활용은 핀테크(Fin-Tech) 산업 발전, 비대면 실명인증 도입 등으로 확산되고 있습니다.


생체정보는 개인정보의 개념적 범주로 볼때, 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 등 개인정보 보호법제의 적용을 받는 개인정보입니다.





생체인식 정보 사고사례

금융보안원은 지난 3월 16일에 '바이오정보 사고사례 및 대응방안 조사' 보고서를 보면 바이오 정보를 위조하거나 해킹 등으로 정보를 유출한 보안 사고가 이미 국내외에서 많이 발생했다는 보고를 내놓았습니다. 





국내 사고사례를 보면, 지난해 2월 경북지역에서 소방공무원들이 실리콘으로 위조지문을 만든 뒤에 근태관리용 지문인식단말기에 인식시켜 초과근무수당을 챙기다가 적발되어 경찰에 입건된 사건이 있었습니다.



국외로는 CCC라는 독일의 해커단체 사건이 있습니다. 블라디미르 푸틴 러시아 대통령의 고해상도 사진을 출력하여 홍채를 복제하는 데 성공하여 이를 인터넷에 공개하는 사건이 발생하였습니다. 이를 해결 하기 위해서는 다중인증 기술과 정보를 정확하게 식별하는 기술도 필요하지만, 가장 중요한 것은 생체정보를 안전하게 암호화하여 개인식별정보와 분리하여 보관하여야 합니다.


생체정보는 일반 개인정보 중에서도 절대 바꿀 수 없는 절대적인 중요정보이고, 핀테크 등의 기술 확산으로 지문인식, 홍채 인식 등의 생체인식 정보로 인증을 하는 경우가 많아 이를 암호화하여 분리 보관하는 암호화 기술이 절대적으로 필요합니다.



생체정보 암호화는 하드웨어방식으로 암호화해야....

생체정보는 반드시 안전한 암호화 솔루션을 통해서 안전하게 관리되어야 합니다. 이에 가장 적합한 암호화 방법은 하드웨어 암호화 방식(HSM)입니다. 하드웨어 암호화 방식의 이점은 여러가지가 있지만, 데이터의 암호화 뿐만 아니라 데이터의 암복호화를 관리하는 암호화 키까지 안전하게 관리할 수 있습니다.




암호화는 안전한 금고를 만드는 행위에 가깝습니다. 하지만 금고에는 반드시 열쇠가 있습니다. 이 열쇠의 관리가 소홀하다면 안전한 금고에 있는 물건 들은 안전하지 않다고 볼 수 있습니다.


해킹 공격시 해커들이 공격하려는 우선 순위는 바로 암호화 키 저장소입니다. 이에 대한 대비가 가장 중요하다고 볼 수 있습니다. 하드웨어 암호화 모듈(HSM)은 암호화된 데이터와 암호화 키를 물리적으로 분리하고 암호화 키가 유출되지 않도록 하는 기능에 특화되어 있습니다. 




이러한 HSM에도 안전성을 평가하는 기준이 있습니다. 바로 미국 국립표준기술연구소에서 발급하는 FIPS 140-2 인증이 있습니다. HSM을 고를 때는 반드시 FIPS 140-2 인증을 받은 제품을 써야합니다.



Thales HSM 소개

Thales HSM은 높은 수준의 데이터 보안 솔루션을 제공하고 있으며, 공개 키 기반 구조(PKI), 신원관리, 데이터베이스, 웹패브릭, DNS 보안확장, 그리고 코드 서명까지 보호할 수 있습니다. Thales HSM은 소프트웨어 기반의 보안 솔루션 만으로 해결이 어려운 보안문제를 해결할 수 있는 최적의 방법입니다. 




Thales HSM은 미국 국립표준연구소에서 제정한 FIPS 140-2 인증을 획득한 제품입니다.

또한, PCI DSS 3.0을 만족하기 위한 요건을 갖추고 있습니다.



중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘을 제공합니다.


역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하는 견고한 관리자 정책을 통해서 엄격한 직무 분리 및 이중 통제를 확립할 수 있습니다.


하드웨어 보안 범주에서 보안에 민김한 사용자 정의 애플리케이션 코드를 안전하게 실행 할 수 있습니다.


※ Thales HSM 제품군은 접속형 (Thales nShield Connect) / 내장형 (Thales nShield Solo) 가 있습니다.


자세한 정보는 여기(클릭)에서 확인 가능합니다.





지원하는 알고리즘

 구분

 세부 내용

 비대칭 공개키 알고리즘

 RSA (1024, 2048, 4096)

 Diffie-Hellman

 DSA

 El-Gamal

 KCDSA

 ECDSA

 ECDH

 대칭키 알고리즘

 AES

 ARIA

 Camellia

 CAST

 DES

 RIPEMD 160 HMAC

 SEED

 Triple DES

 Hash/Message digest 

 SHA-1, SHA-2 (224, 256, 384, 512 bits)

 Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현



하드웨어암호화 모듈인 Thales HSM 제품에 대한 제품 문의 및 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 최대한 빠르게 답변드립니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8365
Mobile : +82-10-2016-8185
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



하드웨어 암호화 모듈, 생체인식, 생체정보, 바이오정보, 암호화,  HSM, 하드웨어암호화 모듈, Thales, Thales HSM, 하드웨어 암호화 장비, nShield, nCipher, 공개키 알고리즘, 개인정보보호법, 정보통신망법, 암호화솔루션, 서버암호화, 리눅스 암호화, DB암호화

Trackbacks 0 / Comments 0

행정자치부, 개인정보 관리 부실업체 명단 공개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.02.04 20:02 / 카테고리 : nCipher HSM (Thales-HSM )



행정자치부, 개인정보 관리 부실업체 명단 공개

행정자치부에서는 2015년 8월에 개인정보 관리 부실업체 명단 공개 시행 이후로 개인정보보호법 위반이 확인된 업체 중에서 10만명 이상의 개인정보 유출 사고를 낸 5개 업체를 공개했습니다. 


이들 업체는 주로 개인정보보호법 시행 전인 2012년 이전에 개인정보유출사고를 낸 업체가 주로 포함되어 있으며, 행정자치부의 조사 결과 이들 업체는 회원 개인정보에 대한 암호화 및 접근권한 제한 등의 조치가 미흡한 것이 확인되어서 과태료가 부과되었습니다. 



[개인정보보호법 위반 업체 명단]

 업체

 위반 내용

 유출 규모

 과태료

 AK플라자 (애경유지공업)

 개인정보 유출통지 위반, 개인정보 유출 신고 위반

 19만9890명

 1500만원

 해태제과식품

 개인정보 안전성 확보조치 위반

 52만6584명

 900만원

 파인리조트

 개인정보 안전성 확보조치 위반

 19만1850명

 900만원

 더베이직하우스

 개인정보 안전성 확보조치 위반

 21만8798명

 600만원

 한국교원단체총연합회

 개인정보 안전성 확보조치 위반

 28만6318명

 300만원


개인정보보호법 위반업체 명단 공표제도는 2014년 카드 3사 개인정보 유출사고 이후로 도입된 제도로써 유출사고가 일으킨 업체 중에서 과태료가 1,000만원 이상 부과되었거나 그 유출규모가 10만명 이상 이면 명단을 공개하는 것을 원칙으로 하고 있습니다. 


먼저, 해태는 가장 규모가 큰 약 53만명이 유출되었으며 이름, 주민등록번호, 주소, 아이디, 비밀번호 등이 유출되었습니다. 또한, 한국교원단체총연합회는 28만여명의 개인정보가 유출되었으며, 베이직 하우스는 22만여명 개인정보 유출, 파인리조트는 19만명여명의 개인정보가 유출되었습니다. 




AK플라자의 경우에는 유출규모에 비해서 과태료가 가장 많은 1,500만원이 부과되었는데 그 이유는 유출된 개인정보를 모두 회수하였지만, 개인정보유출사고가 일어났다는 사실을 하지 않았고 지체하였기에 과태료 액수가 커졌습니다. (개인정보보호법 제 34조 1항 및 제 34조 3항을 위반)




오는 2월, 개인정보 관리 실태 점검 예정

행정자치부에서는 오는 2월에 산업물류분야 개인정보 관리실태 전반을 점검한다고 밝혔습니다. 주요 점검 분야는 국민의 개인정보를 다양으로 보유하고 있는 산업군을 대상으로 하며, 대형마트, 백화점, 항공사 등 국민의 생활과 밀접한 산업군이 많습니다.


이번에는 업체의 관리부실로 인해서 발생한 개인정보유출사고와 가능성이 있는 것들을 집중적으로 체크합니다. 개인정보 보유규모, 개인정보 처리항목, 온라인 점검결과 위반사항 등을 종합적으로 고려하여 대상 업체를 선정할 계획입니다. 


점검에 대처하기 위해서는 개인정보에 대한 안전한 관리, 컴플라이언스, 개인정보보호법에 의거하여 개인정보 활용 고시 내용, 교육 및 관리 여부, 개인정보 보관 및 파기, 그리고 가장 중요한 부분인 개인정보시스템의 안전조치 여부가 있습니다. 




특히, 개인정보시스템의 안전조치여부도 점검하고 있기 때문에 개인정보 데이터베이스에 대한 안전한 DB암호화 및 접근제어, 암호화 키 관리 등의 기술적인 조치도 중요한 점검 포인트가 될 전망입니다. 



기술적인 보안 조치를 위한 솔루션, HSM

기술적인 조치를 하는 가장 안전한 방법은 바로 DB암호화를 하고 이를 복호화할 수 있는 권한을 그룹별로 지정하여 안전하게 관리를 하는 것이 중요합니다. 그리고 복호화할 수 있는 키도 안전하게 관리가 되어야 비로서 안전하게 DB암호화가 되었다고 할 수 있습니다. 


위의 조건을 모두 만족하는 암호화 솔루션으로 대부분의 기업들은 DB암호화 솔루션으로 하드웨어암호화모듈을 사용하고 있습니다. 하드웨어암호화 모듈(HSM)은 DB암호화시 서버에서 발생하는 연산 작업을 대신 일정량 수행하여 서버의 부하를 경감시키고, 각 계정마다 권한을 달리하여 데이터에 접근할 수 있는 권한을 제어합니다. 




그리고 가장 중요한 부분은 바로 암호화 키 관리입니다. AES-256등의 강력한 암호화 알고리즘도 이를 해독할 수 있는 복호화 키가 탈취 당한다면, 아무리 강력한 암호화 알고리즘도 무용지물이 되는 셈입니다. 





Thales는 방산전사시스템에서 많은 경험을 보유하고 있는 업체로 프랑스에 본사를 두고 있습니다. Thales e-security는 Thales 그룹의 자회사로 보안시스템을 전문적으로 다루고 있으며, Thales e-seucurity의 HSM은 전세계 GPHSM 분야에서 점유율 1위를 차지하고 있습니다. 


아이마켓코리아는 Thales e-security의 국내 총판으로 연매출 2조 5천억원의 강력한 MRO인프라와 IT솔루션사업부의 전문적인 기술력을 바탕으로 HSM을 전문적으로 공급하고 있습니다. 


주력으로 판매하는 제품은 DB암호화/암호화 키 관리 장비인 nShield HSM Connect(접속형), Solo(서버 내장형)와 카드, 지불결제보안에 최적화된 Payshield 9000 제품이 있습니다. 




[Thales nShield Connect]

네트워크 접속형 하드웨어암호화 모듈

일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호/생성/관리 전용 장비

※ 온라인 카탈로그 : http://sns4u.net/imk/download/nShield_Connect.pdf




[Thales nShield Solo]

서버 내장형 하드웨어암호화 모듈

강력한 암호화 키 보호/생성/관리가 가능하며, nShield Connect, nShield Edge 등의 모델과 호환됩니다.

※ 온라인 카탈로그 : http://sns4u.net/imk/download/nShield_Solo.pdf




[Thales Payshield 9000]

신용.직불카드 발급 및 거래에 필요한 암호화 기능을 제공하는 지불결제 전용 하드웨어암호화 모듈

PCI DSS 3.0 표준을 준수하는 하드웨어 암호화모듈로써 FIPS 140-2 Level 3 인증 획득

※ 온라인 카탈로그 : http://sns4u.net/imk/download/payShield.pdf



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Thales nShield Solo 확장 기능 소개 (DB암호화 솔루션)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.01.28 13:31 / 카테고리 : nCipher HSM (Thales-HSM )



Thales nShield SOLO 제품은 독립형 서버나 어플라이언스와 연동되는 PCI 또는 PCIe 카드로써 디바이스에 내장되어 다양한 기능적 요구를 충족할 수 있도록 타원곡선암호 모델을 포함한 다양한 기능을 내장하고 있습니다. 자세한 스펙은 아래를 참조해주시기 바랍니다.



1. 폼펙터 - PCI 및 PCIe 인터페이스 카드로 제공됩니다.

2. 인증 - 제품별로 FIPS 140-2 Level 2, FIPS 140-2 Level 3 인증을 받았습니다.

3. 제품군 - 성능에 따라 500, 2000, 4000, 6000의 4종류의 제품군이 있습니다. 

    ※ 수치 산정 : 1024 비트 RSA 서명의 경우 초당 트랜잭션 수를 나타냅니다.

    ※ PCIe 6000+ 모델은 고성능의 타원곡선 암호화에 최적화 되어 있는 모델입니다.



Thales e-security의 고성능 내장형 HSM nshield Solo에는 다양한 추가 기능들이 있습니다. HSM에 새로운 기능을 추가하여 더 강력한 보안과 고효율의 성능을 이끌어 낼 수 있습니다.


Thales nshield Solo HSM의 다양한 확장 기능은 아래와 같습니다.


 CipherTools 개발자 도구 키트

 CodeSafe

 타원 곡선 암호화 기능

 데이터베이스 보안 옵션 팩

 타임 스탬프 옵션 팩

 nShield 용 PlayShield 카드 소지자 인증

 원격 실행

 KCDSA 활성화



CipherTools 개발자 도구 키트

CipherTools 개발자 도구키트를 사용하면 개발자는 HSM을 사용자 정의 응용 프로그램에 통합 할 때 nShield HSM 제품군이 제공하는 앞선 기능들을 충분히 활용할 수 있습니다. 이 개발자 도구키트는 자습서 및 참조 문서 류, 다양한 고급 언어로 작성된 예제 프로그램 및 비즈니스 응용 프로그램과의 통합을 위한 기능 확장 추가 라이브러리가 포함되어 있습니다. 이 추가적인 라이브러리는 표준 애플리케이션 프로그램 인터페이스 (API)에 의해 실현 가능한 범위를 넘어설 수 있도록 해줍니다.



CodeSafe (코드세이프)

CodeSafe을 사용하면 응용 프로그램 개발자는 nShield HSM의 보안 영역에 로드되는 프로그램을 작성하여 표준 서버 플랫폼에서 볼 수 있는 내부 관계자에 의한 공격, 악성 코드, 트로이 목마 등의 위협에서 해당 프로그램을 보호 할 수 있습니다. CodeSafe는 "샌드박스"라는 응용 프로그램을 제공합니다. 샌드박스는 코드의 무결성을 검증하고 위변조 방지가 확보된 방법으로 실행을 허용하기 때문에 신뢰할 수 없는 영역에 배치된 애플리케이션에 적용하기에 이상적 입니다. 


안전한 실행 능력은 보안을 강화하고 개인 키와 비휘발성 사용자 메모리, 하드웨어에 의해 보호되는 시간 정보와 같은 보안이 중요한 자원의 사용에 대해 세분화 된 접근 제어를 제공합니다. CodeSafe의 사례를 들어보면, 디지털 미터, 인증 에이전트, 타임 스탬프 엔진, 감사 로거, 디지털 서명 에이전트, 사용자 정의 암호화 프로세스 등이 있습니다. CodeSafe는 nShield Edge를 제외하고 FIPS 140-2 레벨 3 인증을 받은 모든 nShield HSM에서 사용할 수 있습니다.


 CodeSafe 활성화

 활성화 CodeSafe을 사용하는 경우 CodeSafe 프로그램을 실행하는 HSM 1대 마다

 1개의 CodeSafe 활성화 라이센스가 필요합니다.

 CodeSafe SSL 활성화

 SSL 활성화는 CodeSafe 옵션 기능으로 HSM에서 SSL 세션을 안전하게 종료 할 수

 있도록 합니다. 신중하게 취급해야 텍스트 데이터가 호스트에 텍스트로 노출되는

 표준 SSL 호스트 기반의 종단과 달리 CodeSafe SSL은 개인 계좌번호 (PAN) 및

 패스워드와 같은 신중하게 취급해야 데이터를 end-to-end 암호화를 통해 완벽히

 보호 할 수 있습니다.



타원 곡선 암호 (Elliptic Curve Cryptography : ECC) 활성화

nShield HSM은 표준 기능 세트의 일부로, AES, DSA 및 RSA를 포함하는 여러 가지 암호화 알고리즘을 제공합니다. 타원 곡선 암호 (ECC)를 사용하는 경우는 ECC 활성화 라이센스를 구입할 수 있습니다. 이 활성화 라이센스는 모든 nShield Solo 모델과 Connect 모델의 ECC 작업을 활성화합니다. ECC의 높은 처리 능력을 필요로 할 경우, 지금 소개 드리는 두 가지 nShield 모델을 사용할 수 있습니다. nShield Solo PCIe 6000+ 및 nShield Connect 6000+ 가 그것이며 이들의 ECC 성능은 하드웨어에 의해 최적화되었고, ECC 활성화 라이센스가 번들로 포함되어 있습니다.



데이터베이스 보안 옵션 팩

대부분의 경우 데이터베이스에는 가장 신중하게 처리 되야 할 데이터가 저장되어 있습니다. 따라서 주요 데이터베이스 공급 업체들은 자사의 데이터베이스 서버 제품 내에 네이티브 암호화 기능을 구현하고 있습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft 확장 키 관리 (Extensible Key Management : EKM) API를 추가적으로 지원합니다. 이 옵션 팩은 투명한 데이터 암호화 기능(Transparent Data Encryption : TDE)을 이용하여 Microsoft SQL Server 2008 시스템에있는 중요한 데이터 보호에 사용되는 키에 대한 보호를 강화할 수 있으며 여러 데이터베이스 및 시스템에 분산되어있는 키를 관리하고 키 관리 및 데이터베이스 관리 역할을 분리합니다. Oracle 11g TDE 사용자는 이 옵션 팩 없이 이러한 기능을 충분히 활용할 수 있습니다. 




타임 스탬프 옵션 팩

보안 타임 스탬프는 특정 시간에 특정 데이터가 있었다는 것을 증명하고, 그 시점에서 데이터가 조작되지 않았는지 검수할 수 있는 기능입니다. 이것은 디지털 아카이브, PKI, 코드 서명, 공증 서비스, 특허 출원, 추첨, 복권이나 게임과 같은 애플리케이션에 매우 중요합니다. 탈레스의 Time Stamp Server는 즉시 사용할 수 있는 타임 스탬프 솔루션을 필요로 하는 기관을 대상으로 하는 솔루션입니다. OEM 솔루션을 찾고 있거나 별도의 다른 HSM 기능과 결합하여 사용하고 싶다면 타임 스탬프 옵션 팩을 통해 nShield Solo 500에 표준 타임 스탬프 기능을 사용할 수 있습니다. 타임 스탬프 옵션 팩은 FIPS 140-2 레벨 3 인증을 받은 nShield Solo HSM에만 적용됩니다 (FIPS 140-2 레벨 2 인증을 받은 nShield Solo HSM에는 사용할 수 없습니다). 사용자 정의 응용 프로그램에 타임 스탬프 기능을 추가 할 경우, 타임 스탬프 개발자 용 소프트웨어가 유용합니다.


 타임 스탬프 개발자 도구 키트

 타임 스탬프 개발자 도구 키트는 사용하기 쉬운 API로써 Time Stamp 

 Server 또는 타임 스탬프 옵션 팩이 적용된 nShield HSM 이 설치된 서버에

 서 사용되어 타임 스탬프를 응용 프로그램에서 요청하거나 확인 할 수

 있습니다. 타임 스탬프 사용은 FIPS 140-2 레벨 3 인증을받은 nShield

 Solo HSM으로 제한됩니다 (FIPS 140-2 레벨 2 인증을 받은 nShield Solo

 HSM에는 사용할 수 없습니다.)





nShield용 PayShield 카드 소지자 인증

신용 카드 및 온라인 뱅킹과 관련된 부정 행위를 방지하기 위해 많은 금융 기관이 실제 카드 제시를 수반하지 않는 거래에 대한 추가적인 보안 대책을 구현하고 있습니다. nShield 용 payShield 카드 소지자 인증은 온라인 뱅킹 트랜잭션을 위한 Chip & PIN (CAP) 인증, 3-D Secure, "Verified by Visa", "MasterCard SecureCode" 등 다양한 수단을 통해 카드 소지자 인증을 가능하게 함으로써 다른 탈레스 지불결제 제품을 보완합니다. 이 옵션은 ActivIdentity, Arcot, Bell ID 및 Gemalto를 포함한 카드 소지자 인증 솔루션과 통합 할 수 있습니다. nShield 용 payShield 카드 소지자 인증을 사용할 수 HSM은 FIPS 140-2 레벨 3 인증을 받은 nShield Solo 로 제한합니다. (FIPS 140-2 레벨 2 인증을 받은 nShield Solo HSM에는 사용할 수 없습니다)

 키 로딩 장치

 일부 기관은 중요한 데이터를 파트너 또는 다른 벤더 시스템 사이에서 안전하게 교환하기

 위해 키 구성 요소를 가져 오는 방법을 취하고 있습니다. nShield 키 로딩 장치는 전용 

 보안 PIN 패드의 사용을 통해 nShield HSM 대칭 암호화 키 조각을 로드하는 것을 

 허용합니다. Key Loading Device 사용시는 nShield 용 payShield 카드 소지자 인증 기능을

 사용해야 합니다.



원격 실행

HSM은 일반적으로 물리적으로 안전한 완전 자동 데이터 센터에서 실행되지만, 많은 경우 이러한 데이터 센터는 중복 구성되어 있습니다. 따라서 운영 시 항상 물리적으로 HSM에 직접 접속 하는 것은 비현실적인 것으로 간주되는 것이 보통입니다. 원격 실행 기능은 사용자가 워크 스테이션에서 직접 원격지에 있는 HSM에 보안 카드를 안전하게 제공 할 수 있도록 함으로써 시간을 절약하고 출장 비용을 줄일 수 있습니다.


KCDSA 활성화

국가 안보의 관계가 강한 정부와 기업의 민감한 분야에서는 가장 신중하게 처리 할 정보를 보호하기 위해 자체 개발 한 국내용 암호화 알고리즘을 선호하는 경우가 있습니다. 이러한 보안 문제가 있으면 보안 HSM 플랫폼에서 이러한 알고리즘을 실행하는 것이 안성맞춤입니다. KCDSA 활성화는 한국의 정부 기관이 nShield HSM에서 KCDSA (Korean Certificate-based Digital Signature Algorithm)을 사용하는 것을 허용합니다. 보호 된 HSM 플랫폼에서 그 나라 고유의 알고리즘을 구현하려는 경우에는 Thales의 CodeSafe 기술의 사용을 권장합니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

HSM 장비를 고르는 필수 기준, FIPS 인증 알아보기

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.01.15 10:41 / 카테고리 : nCipher HSM (Thales-HSM )


HSM 장비를 선택하는 키 포인트는?

개인정보보보법과 정보통신망법개정으로 주민등록번호, 개인의료정보 데이터 등을 보관하는 기업의 고민은 많아지고 있습니다. 특히 예전과 달리 인터넷을 사용하는 국민들의 보안 의식이 높아지고, 큰 업체의 연이은 보안사고로 인해서 이제 개인정보보호는 선택이 아니라 개인정보를 취급하는 기업, 기관이라면 반드시 해야하는 필수 요소가 되었습니다.

DB보안을 위해서 가장 중요한 것은 기술적 조치입니다. 이러한 기술적 조치를 하기 위해서 많은 기업들이 선택하는 것은 바로 DB를 암호화 시키는 것입니다. 또한, 암호화시 서버의 부담을 경감하고 권한 분리와 암호화 키 관리를 위해서 DB암호화를 하는 많은 기업들은 HSM을 도입하고 있습니다. 많은 기업들이 DB암호화를 AES256등의 상용화 알고리즘으로 하기 때문에 보안성이 강력하다고 말하지만, 이를 증명할 수 있는 방법이 없어서 불안한 것은 사실입니다. 


보안 장비의 특성상, 신뢰성 있는 보안 장비를 선택해야 합니다. HSM 선택시에 중요하게 보아야할 포인트를 알려 드리겠습니다. 


Key Point!

1. FIPS 140-2 인증 여부

2. 모든 암호화 대상의 암호화 키를 안전하게 저장하고 관리할 수 있는 장치

3. 접근제어와 권한분리의 기능의 여부


여기에 추가로 서버의 부하를 경감하거나 암호화 성능의 향상등의 부가적인 요소가 붙습니다.





위 포인트 중에서 가장 확실한 방법으로는 바로 FIPS 인증여부를 확인하는 것입니다. HSM 솔루션 소개에서 반드시 FIPS 140-2 인증을 받은 HSM을 사용하는 것이 안전합니다. 




FIPS 140-2는 암호화 및 보안요건에 관한 규정으로 미국 연방정부에서 인증하는 정보처리의 표준규격입니다. FIPS를 제정한 곳은 미국국립기술연구소로써 140-2는 미국국립기술연구소에서 '이 제품은 강력한 보안 기술이 적용되어 있음'을 뜻합니다. 

※ 미국국립연구소 : National Institute of Standard and Technology : NIST


그리고 FIPS 140-2에도 보안 등급이 있습니다. 미국국립연구소의 FIPS 140-2 등급은 총 4단계로써 등급에 대한 자세한 설명은 아래와 같습니다.


 레벨

 설명

 Level 1

기본적인 보안 요구사항에 대한 평가를 받은 제품, 데이터 암호화 표준인 DES와 3중 암호화인 3DES, AES(Advanced Encryption Standard)를 포함하는 NIST 표준 암호화 알고리즘이 적절하게 구축되어 있음을 의미한다.

 Level 2

물리적인 장비 해체 방지 등에 대한 대책, 장비에 어떠한 이상 징후라도 포착되면 이를 교정할 수 있도록 해준다는 것을 의미한다.

 Level 3

암호화 모듈로서, 물리적인 공격에 노출될 경우 저장된 키를 삭제하도록 한다. 또한, 인증된 엑세스를 요구해야 한다.

 Level 4

수퍼쿨링(supercooling)과 같은 물리적인 액세스 제어를 통과하려는 시도에 대한 공격으로부터의 보호 기능을 제공한다.


위의 내용을 숙지하셨으면, 이제 HSM 제품을 선택하는데 있어서 FIPS 140-2 인증을 받았는지 여부를 찾아보아야 합니다. 미국국립연구소 NIST에서는 웹사이트를 통해 인증을 받은 업체와 제품을 공개하고 있습니다.  아래의 페이지에서 140-1 과 140-2 인증을 받은 업체를 찾아볼 수 있습니다. 


※ 140-2 인증 제품 찾기 : http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm








Thales nShield HSM의 장점


[Thales nCipher HSM]


운용상의 장점

1. 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

2. 규제 (예: PCI DSS) 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

3. 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

4. OEM 기기를 위한 보안 강화 및 암호연산 기속기능 제공


보안상의 장점

1. 중요 애플리케이션의 보안 강화를 위해 위변조 방지, 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

2. 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하는 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중 통제를 확립

3. 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행



※ 보호 가능한 보안시스템 : 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹 패브릭(Web Fabric), DNS 보안확장(DNSSEC), 코드 서명 등


Thales HSM에 대한 더 많은 정보는 아래의 링크를 누르면 확인하실 수 있습니다.

※ http://it.imarketkorea.com/hsm.php



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,366
  • 오늘 : 21
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.