본문 바로가기

탈레스

HSM를 활용한 DB암호화 키 관리 방안 DB 암호화 키 관리의 필요성DB암호화용 키 관리는 이제 선택이 아닌 필수가 되었습니다. 첫째로 암호화 만으로는 개인정보의 안전성을 보장하지 못합니다. 그 이유는 암호화된 정보의 안전성은 암호 알고리즘과 키 관리가 결정적인 역할을 담당하기 때문입니다. 그리고, 정보보호관리체계(ISMS) 인증제도 및 PCI 데이터 보안표준 등에서는 이미 암호 키 관리에 대한 요구조건을 따로 명시하였습니다. 금융보안연구원이나 KISA에서는 DB암호화시 암호키 관리에 대한 가이드를 안내하고 있습니다. 암호 키를 안전하게 저장하기 위해서 몇몇 기능 요건들이 보장되어야 합니다. 기능요건 설명 비고 가용성 ◈ 암호 키는 유효기간 동안 항상 사용 가능해야 한다. 이중화 무결성 물리적 매커니즘 ◈ 저장된 암호 키에 대한 접근을 제한할.. 더보기
ISMS 2.0 인증 및 보안관리를 위한 암호화 키 관리 대책 최근 ISMS 2.0 (정보보안관리체계)에 인증 문의가 많이 오고 있습니다. ISMS에서 특히 암호 통제 부분에 있는 암호키 관리 분야에 대한 문의가 많은데요. 암호 통제 부분을 준수하기 위한 체크리스트와 ISMS 대응 방안을 알려드리겠습니다. ISMS 인증, 암호화 키 관리는 필수정보보안관리체계는 총 13개 분야 중에서 암호 통제 부분에서는 복호화에 필요한 암호키 관리에 대한 내용이 주를 이룹니다. 암호 사용데 대한 암호키를 안전하게 관리하는 부분과 이를 지키기 위한 정책들에 대한 내용으로 설명할 수 있습니다. [자료출처 : KISA 참조] 1. 암호 정책 수립암호 통제 분야의 첫번째 사항은 암호 정책 수립에 관련된 사항입니다. 암호화시 필요한 정책과 이를 충실하게 이행 하였는지를 점검하는 부분이 많으.. 더보기
야후, 사상 최대 5억명 규모 개인정보 유출사고 발생 글로벌 인터넷 포털 업체인 야후(Yahoo)에서 지난 2014년에 해킹 공격을 당해서 전 세계적으로 최대 규모인 5억명의 개인정보가 유출되는 초유의 개인정보 유출사고가 발생하여 수사당국에 조사에 나섰습니다. 이번 해킹 사고는 단일 유출 규모로는 역대 최대 규모 입니다. 야후는 전세계적으로 사용하는 서비스이고 역사가 오래된 업체인 만큼 5억이라는 큰 규모의 유출사고가 되었으며 유출된 개인정보는 이름, 이메일 주소, 전화번호, 생년월일, 패스워드, 본인인증을 위한 질문 등으로 알려졌습니다. Peace라는 닉네임을 사용하는 해커가 저지른 사건으로 알려졌으며, 더 충격적인 사실은 링크드인(Linkedin), 마이스페이스(Myspace) 등의 해외 유명 SNS 까지 해킹한 사실이 있다는 점 입니다. 해킹된 내역에.. 더보기
보안 솔루션 도입 고려요소 1순위는? 'CC인증', 'DB암호화' 보안 솔루션을 도입하기 위해서 가장 먼저 고려해야 하는 것은?개인정보 유출사고와 기업 서버 해킹 등 점점 보안위협은 늘어가고 고도화 되고 있습니다. 이에 따라서 보안 업체들도 다양한 보안 솔루션을 내놓고 있습니다. 갈수록 보안 솔루션을 도입해야 하는 종류는 늘어만 가기 때문에 보안 담당자 들은 많은 보안 솔루션 중에서 가장 최적화된 솔루션을 찾아야 합니다. 다른 기업의 보안 담당자들은 어떤 기준으로 DB암호화 솔루션을 도입 할까요? 국내 보안전문 언론인 보안뉴스(http://www.boannews.com)에서 보안 담당자 2,298명을 대상으로 정보보호 솔루션 도입시 최우선 고려사항을 진행하였는데, 가장 큰 기준 1순위는 바로 'CC인증'을 받았는지 여부였습니다. CC인증은 국제 CC 인증과 국내 CC .. 더보기
개인정보보호법 개정안 (2016년도) 자세히 알아보기 개인정보보호법 개정안 자세히 알아보기개인정보보호법은 올해 1번이 이미 개정되었고 이후에도 여러번 개정이 됩니다. 그 중에서 DB보안 부분만 추려서 자세히 알아보도록 하겠습니다. 민감정보의 안전성 확보조치 의무화 (2016.09.30, 시행)『개인정보 보호법』제23조(민감정보의 처리 제한)② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. 기존에는 민감정보는 바이오(생체)정보만 암호화 하는 것으로 되어 있었지만 2016년도 9월에는 민감한 정보는 예외 없이 모두 암호화 해야합니다. 2016년 7월 개정으로 인해서 먼저 징벌적 손해배상제도가 도입됩니다. 자세한 내용은.. 더보기
DB서버 전용 HSM, Thales nShield F3-10 고성능 암호화와 암호 키 관리까지, HSM개인정보보호법 시행령 개정안에 따라서 많은 기업과 관공서가 암호화를 위한 각종 보안장비를 많이 도입하고 있습니다. 특히, 데이터베이스 서버에 대한 보안을 위한 암호화 장비와 암호화 키 관리 솔루션에 대한 필요성이 가장 높습니다. 고성능의 암호화 처리 성능과 암호화 키 관리까지 물리적으로 분리하여 안전하게 보관, 관리 할 수 있는 암호화 장비로는 HSM이 있습니다. HSM 이란?HSM(Hardware Security Module)은 암호화 키를 생성하고 저장하는 역할을 하는 암호화 전용 장비로써, 인증/서명/암호화 등 다양한 분야에서 암호 키가 활용되면서 암호 키에 대한 생성, 교환, 백업, 보관, 키 라이프 사이클 관리 등의 기능을 안전하고 편리하게 관리하는 장비.. 더보기
행정자치부, 개인정보 관리 부실업체 명단 공개 행정자치부, 개인정보 관리 부실업체 명단 공개행정자치부에서는 2015년 8월에 개인정보 관리 부실업체 명단 공개 시행 이후로 개인정보보호법 위반이 확인된 업체 중에서 10만명 이상의 개인정보 유출 사고를 낸 5개 업체를 공개했습니다. 이들 업체는 주로 개인정보보호법 시행 전인 2012년 이전에 개인정보유출사고를 낸 업체가 주로 포함되어 있으며, 행정자치부의 조사 결과 이들 업체는 회원 개인정보에 대한 암호화 및 접근권한 제한 등의 조치가 미흡한 것이 확인되어서 과태료가 부과되었습니다. [개인정보보호법 위반 업체 명단] 업체 위반 내용 유출 규모 과태료 AK플라자 (애경유지공업) 개인정보 유출통지 위반, 개인정보 유출 신고 위반 19만9890명 1500만원 해태제과식품 개인정보 안전성 확보조치 위반 52만.. 더보기