[다크트레이스, 보메트릭] 도요타 APT 공격, 310만 개인정보 유출 사고 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.08 08:00 / 카테고리 : 보메트릭 암호화 솔루션


세계적인 자동차 회사인 도요타의 고객 개인정보 310만명의 개인정보가 유출되는 사고가 발생하였습니다.  도요타의 계열사인 (Toyota Motor Corporation, TMC)에 소속된 회사들의 개인정보가 유출된 것으로 보입니다. 


사건은 3월 21일 발생하였으며, 유출된 개인정보는 이름, 주소, 생년월일, 직업 등이 유출되었습니다. 다행히 지불 정보나 카드 정보를 노출되지 않았다고 전해졌습니다. 도요타 측에서는 서버에 불법적인 접근을 확인하였으나 데이터가 도난 당한 내용은 없다고 발표했습니다.

하지만, 5주 전에 호주에서도 데이터 유출사고가 있었고, 3월 19일에는 베트남에 있는 도요타 사업부에서도 개인정보 유출 사고를 겪은 바가 있습니다. 보안 전문가들은 APT 공격으로 영향을 받은 것이며, 공격 그룹은 베트남 내에 있다고 알려저 있습니다. 


해당 그룹의 이름은 APT32로, 자동차 산업을 주로 공격하는 단체로 알려져 있습니다. 


최근에 한동안 잠잠했던 개인정보 유출사고가 다시 일어나고 있습니다. APT 공격으로 시작해서 데이터 유출이라는 방식으로 많이 진행되기에 엔드포인트에 대한 방어와 데이터 암호화가 동시에 이루어져야 합니다. 


아이마켓코리아에서는 다변화하는 악성코드 및 APT 공격 등에 대응하기 위한 머신러닝 기반 탐지 / 대응이 가능한 엔터프라이즈 보안 솔루션인 다크트레이스정형데이터 뿐만 아니라 비정형데이터도 적은 리소스로 안전하게 암호화가 가능한 보메트릭 암호화 솔루션이 있습니다. 


2가지 솔루션을 병행하면 데이터 유출, 침해사고를 막을 수 있습니다. 




1. 다크트레이스(Darktrace) - Enterprise Immune System


다크트레이스는 실시간 사이버 위협 탐지 및 차단이 가능한 보안 솔루션입니다. Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.



실시간 위협 탐지 및 자율 대응

머신 러닝 및 AI

규칙이나 사용자 인증 없음


머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다.


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.


Enterprise Immune System: Version 3 from Darktrace on Vimeo.


Darktrace Enterprise는 Darktrace의 대표적인 AI 사이버 보안 솔루션입니다. 실시간 위협 탐지, 네트워크 시각화 및 고급 조사 기능을 단일 통합 시스템에 결합해 쉽고 빠르게 설치할 수 있습니다.


Darktrace Enterprise는 독보적인 머신 러닝 및 AI 알고리즘을 통해, 원시 네트워크 트래픽을 수동적으로 분석하여 조직 내 모든 사용자, 디바이스 및 서브넷의 다양한 '정상' 상태를 파악합니다. 


어떤 활동이 '악성'인지 아닌지를 미리 안다고 간주할 필요 없이 Darktrace Enterprise는 독립적인 학습을 통해 중대한 비정상 행위를 탐지하고, 알아채기 힘든 내부자 위협과 조용히 느리게 진행되는 공격, 그리고 랜섬웨어와 같은 자동화된 바이러스에 이르기까지 새롭게 등장하는 위협을 조직에 알립니다.



Darktrace Enterprise는 설치 시간이 매우 짧으며, 초기 배포에 걸리는 시간은 보통 최대 1시간입니다. 설치가 끝나면 즉시 Darktrace 기술이 학습을 시작해 몇 시간에서 며칠 내에 결과를 도출합니다. 시스템이 자가 학습을 통해 새로운 환경과 사용자 행위 또는 비즈니스 트렌드에 맞춰 적응하므로 수동 구성이나 조정이 필요 없습니다.


Darktrace는 사이버 보안을 위한 인공지능 분야에서 세계적 우위를 점하고 있어, 새로운 위협과 비정상적인 사이버 사고 탐지에 가장 효과적이고 검증된 솔루션을 제공하고 있습니다. Darktrace Enterprise는 위협이 나타날 때마다 이를 실시간으로 탐지해 신속히 차단하고 해결합니다.


다크트레이스의 주요 이점

1. 자가 학습

2. 새로운 정보에 맞춰서 지속적으로 조정

3. 피해 발생 전에 위협 탐지

4. 실시간 및 회귀적 위협 분석

5. 직접 설치형(on-premise) 네트워크, 가상화된 환경, 클라우드 및 SaaS 전반에서 동작

6. 한 시간 내에 설치


다크트레이스는 250개 이상의 수학적 위협 모델링 구성으로 높은 탐지율을 보입니다.



탐지 분류위협 모델 수탐지 위협 분류
Anomalous Connection171GB Outbound,Active RDP Tunnel,Active SSH Tunnel 외 16 개
Anomalous File12Incoming RAR File,Masqueraded File Transfer,Outgoing RAR File 외 8개
Anomalous Server Activity15Data Transfer - DC to Client,DC External Activity,Domain Controller DynDNS SSL or HTTP 외 6개
Attack2Attack and Recon Tools,Exploit Kit,GoNext redirection
Compliance42Bitcoin Activity,External SNMP,External Windows Communications 외 18개
Compromise26Beaconing to Rare Destination,Connection to Sinkhole,CryptoLocker 외 7개
Device17Address Scan,External DNS Domain Pointing at Local IP,New User 외 9개
Experimental66Excessive HTTP Errors,Heartbleed SSL Success,International Domain Name 외 9개
System16Christmas Tree Attack,CMS Detection, DNS Server Change 외 12개
Unusual Activity14Unusual Activity,Unusual Activity from New Device,Unusual External Activity,Unusual External Connections
User7Bruteforcing,Kerberos Bruteforce, Multiple New Credentials on Device 외 4개







2. 보메트릭 암호화 솔루션 - 비정형데이터 암호화




오늘날 민감 데이터 및 규제데이터는 어느 곳에나 존재할 수 있습니다. 일부 암호화 옵션을 사용하면 특정 종류의 데이터베이스는 보호할 수도 있습니다. 그러나, 데이터베이스에서 민감 데이터를 포함하는 스프레드시트를 추출해야 하는 경우에는 어떻게 하시겠습니까?



IT 부서는 강력한 보안기능을 위해, 위치에 상관없이 민감 데이터를 보호하는 중앙화된 암호화 플랫폼을 필요로 합니다. 이것이 바로 수 많은 기업들이 Vormetric Transparent Encryption을 사용하는 이유입니다.



Vormetric Transparent Encryption은 기업이 비정형 파일을 온프레미스, 클라우드 등 위치에 상관 없이 d암호화 할 수 있도록 지원합니다. 본 솔루션을 통해 스프레드시트, 문서, 프레젠테이션, 이미지 등에 포함된 민감 데이터를 보호할 수 있습니다. 본 제품은 다른 암호화 제품들과는 달리, 보안팀이 애플리케이션, 인프라 또는 비즈니스 절차를 변경하지 않고 파일 레벨에서 암호화를 구현할 수 있도록 지원합니다.


▣ 일관적이고 세부적인 통제

Vormetric Transparent Encryption의 파일 레벨 암호화 솔루션은 암호키가 적용된 시점에서 끝나지 않습니다. 감사로그 분석을 통해 세부적인 정책을 적용하여 사용자나 프로세스의 무단 액세스를 방지합니다. 정책은 각 사용자, 프로세스, 파일 유형, 시간 및 기타 파라미터 별로 적용될 수 있습니다. 이런 기능을 통해 보안팀은 지속적인 데이터 보안과 보안제어를 할 수 있습니다.


▣ 광범위한 환경 지원

Vormetric Transparent Encryption은 파일 시스템과 스토리지를 지원하며, Microsoft Windows, Linux, Oracle Solaris, IBM AIX, HP-UX 등 광범위한 운영 체제를 지원합니다. 또한 IBM DB2, Oracle, Microsoft SQL Server, MySQL, NoSQL, Sybase 등의 데이터베이스에서 민감 데이터를 보호할 수 있습니다.


▣ 관리자와 민감데이터 분리

Vormetric Transparent Encryption은 관리자와 데이터 소유자 간의 강력한 권한 분기 기능을 제공합니다. 본 솔루션은 메타데이터를 그대로 유지하여 파일을 암호화합니다. 이런 방식으로 IT 관리자들은 (하이퍼바이저, 클라우드, 스토리지 및 서버관리자 등) 자신들이 관리하는 시스템에 상주하는 민감 데이터에 액세스하지 않고도 시스템 관리 작업을 수행할 수 있습니다.



보통, 보메트릭 솔루션을 통해 암호화 데이터 보안 시스템을 구축할 때에는 2가지 조합을 사용합니다. (API 방식 및 토큰화) 보메트릭 암호화 솔루션은 2가지 방식의 조합을 통해서 단순 API 방식 적용 방식에 비해서 구축의 편의성 및 보안성을 증가시킬 수 있습니다. 



▣ API 방식 암호화: Vormetric Application Encryption 적용

  • 에이전트(암호모듈)을 WAS 등 Application 서버에 설치하고 소스코드 수정을 통해 암호화 구축

  • 저장 데이터 (data-at-rest) 뿐만 아니라 WAS <-> DBMS 구간 데이터(data-at-transition)에 대한 보호

  • 제품과 통합된 장비(DSM - Vormetric Data Security Manager) 에 의한 안전한 암호 키 관리


▣ 토큰 방식 데이터 보호: Vormetric Tokenization with Dynamic Data Masking 적용

  • Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요
  • 토큰화가 적용된 개인정보DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체값 적용)
  • AD/LDAP 등 계정관리시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용





(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 2019년 세계보안엑스포(SECON) 개인정보보호 주요 이슈

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:49 / 카테고리 : 보메트릭 암호화 솔루션


2019년 세계보안엑스포 (SECON)이 3월 8일 일산 킨텍스 그랜드볼룸에서 개최되었습니다. 행정안전부가 주최하고 미디어닷이 주관하는 행사로써 공공기관 CPO를 대상으로 진행되었습니다. 


주로 개인정보보보호정책과 개인정보 주요 이슈를 주제로 강연이 시작되었으며, 이에 대한 사고 유출사례 및 법 개정 내용도 많이 나왔습니다. 



최근의 개인정보 유출 사례는 해킹과 더불어서 접근통제가 미비하거나, 데이터에 대한 암호화 처리 미비, 공개된 장소에 개인정보 공개, 담당자 실수로 인한 개인정보의 유출 등의 기본적인 내용에 대한 것들이 많았습니다. 


또한, 해킹은 유출 사고 원인의 63%를 차지하였으며, 접근 통제 및 암호화 등의 기술적인 조치가 취해지지 않은 경우가 대부분이기 때문에 개인정보가 유출되는 경우가 많았습니다. 휴먼 에러로 인해서 주민등록번호, 생체정보, 여권 정보 등의 민감한 데이터가 대량으로 유출되는 경우도 많았습니다. 


대부분의 담당자가 숙지하고 있는 내용이긴 하지만 아래의 사항들이 잘 지켜지지 않고 있습니다. 

▲ 개인정보 접근권한 관리  접근 통제  개인정보 암호화  접속 기록의 보관   보안 시스템 점검 등


그리고, 행정안전부는 현재의 개인정보보호법으로는 개인정보의 개념이 모호하고, 개인정보 감독기구 및 관련 법령이 분산되는 단점을 보완하고자 개인정보보호법의 개정을 추진하고 있다고 밝혔습니다.

개인정보보호법 개정안에서는 특정 인원을 식별할 수 있는 개인정보(이름, 주민등록번호, 영상, 생체정보 등)과 해당 정보만으로는 특정 개인을 알아볼 수 없지만, 다른 정보와 결합하여 신원 확인이 가능한 가명정보, 그리고 특정 개인사용자를 파악할 수 없는 익명정보까지 포함하게 됩니다. 


이렇듯 최근의 개인정보의 범위가 기존의 개인정보, 가명정보, 익명정보 등으로 더욱 더 확대됨에 따라서 개인정보 암호화에 대한 필요성은 더 높아졌습니다. 개인정보보호를 위해서 가장 기본적인 보안 조치이자 가장 강력한 암호화에 대한 필요성이 높아지고 있습니다.


이전 보다 더 범위가 넓어졌을 뿐더러, 동영상, 로그파일, 이미지, 음성 등의 비정형데이터로 이루어진 개인정보가 많아져서 기업의 입장에서는 서버의 부하, 리소스 점유 등으로 인해 암호화 자체가 큰 부담이 될 수 있습니다. 


그렇기 때문에, 기존 정형데이터와 비정형데이터까지 완벽하게 커버할 수 있는 암호화 솔루션이 반드시 필요합니다. 


아이마켓코리아에서 공급하는 암호화 보안 솔루션인 보메트릭 암호화 솔루션은 기존의 정형데이터 뿐만 아니라 비정형데이터를 적은 리소스 점유로 안전하게 암호화 할 수 있는 보안 솔루션입니다. 



보메트릭 암호화 솔루션인 Vormetric Transparent Encryption은 기존의 API 방식에 개인정보 토큰 값을 적용하여 단순 API 방식 암호화 보다 구축은 더 편리하고 보안성을 증가하였습니다. 또한, 전용 키 관리 장비를 통해서 암호 키의 유출을 방지할 수 있으며, 인증서와 비밀번호를 통한 안전한 암호화 모듈 접근 통제가 가능합니다. 



일반적인 암호화 솔루션은 암호화 이후에 파일의 크기가 증가하는 단점이 있지만, Vormetric Transparent Encryption은 기존의 방식과는 다르게 동일한 파일 크기로 암호화가 가능하며, 지속적인 수정도 필요가 없기 때문에 관리면에서도 우수합니다. 




그리고, 암호화 솔루션 도입시에 어플리케이션 수정 및 데이터베이스의 변화가 없이 도입이 가능한 장점을 가지고 있습니다. 암호화 뿐만 아니라 키 관리, 접근 통제, 권한 및 역할 관리, 감사 등을 지원하여 암호화 보안에 필요한 모든 유틸리티를 갖추고 있습니다. 


Voremtric Transparent Encryption 제품의 특장점 소개


투명성

  • 애플리케이션 변경이 불필요

  • 다양한 형태의 파일에 적용

강력한 보안

  • 우수한 성능, 여러 환경 및 BMT에서 최상의 성능 확인

  • 관리자(root) 접근 통제

손쉬운 구축

  • 암호화 영역에 데이터를 복사하면 구축 완료

  • 구축기간 최소화 (3 ~ 5일 가능)

효과적인 플랫폼

  • 다수 서버에 대한 중앙집중 관리

  • 고성능 실시간 암호화


■  고성능

특정 작업이 요구하는 스토리지 블록에 대해서만 암호화 및 복호화를 수행하기 때문에 아주 작은 오버헤드만으로 동작하는 것이 가능합니다. 디스크 I/O 동작이 보호된 데이터에서 실행될 때에만 암호화 및 해독 작업을 수행하므로, 암호화를 작동시켜도 트랜잭션적인 영향을 피할 수 있습니다.


■  최소의 성능 부하

본 제품은 암호화 후에도 성능 부하를 최소로 유지합니다. 실제로 울산대학교병원은 구축 후 성능 오버헤드를 1~2% 미만으로 유지하여 시스템에 무리 없이 업무를 원활히 수행할 수 있던 사례가 있습니다.


■  투명한 구축

파일 시스템 논리 볼륨 계층 위에 추가되는 형태의 보메트릭 암호화 솔루션은 데이터베이스, 애플리케이션, 파일 및 스토리지 네트워크를 재구성할 필요가 없이 현재 상태에서 투명한 보안을 제공합니다.


■  중앙집중화된 키 및 정책 관리

보메트릭은 폭넓은 IT환경에 걸쳐 쉽게 확장할 수 있는 안전하고 중앙집중화된 키 관리 시스템을 제공합니다. 이는 암호화 데이터가 운영되는 장비와 별도로 운영되는 키 관리 어플라이언스인 데이터 파이어월을 통해 모든 엔터프라이즈 시스템에 단일 방식의 대폭 간소화되고 정밀한 제어와 감사 기능을 가진 별도의 키 관리 시스템을 제공합니다.



FPE (Format Preserving Encryption) 지원

  • 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

  • 미국 NIST의 암호화 표준 규격 중 FFX3 모드 적용

  • 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불필요


파일 암호화 기능 향상

  • VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

  • 두 제품 간의 호환성 증가로 보다 유연한 적용 가능



또한, 보메트릭 암호화 솔루션은 Data Masking 기법의 암호화도 가능하며, 토큰화 암호화 솔루션(Vormetric Tokenization)을 사용하여 안전하게 마스킹 할수 있습니다. 자사 커널 방식의 암호화와 타 플러그인 방식, API 방식과의 비교는 아래를 참조해주시기 바랍니다. 




 구분

Vormetric Tokenization

Vormetric 커널 암호화

Plug-In 방식

API 방식

 적용방식

응용프로그램에서 토큰 서버를 호출하여 토큰(대체값)을 생성하도록 소스 코드 수정

암호화 모듈이 운영체제 커널안에 로딩되어 파일에 대해 암복호화 수행

DBMS 엔진 내부에 암호화 모듈이  탑재되어 DB 내부에서 암복호화

응용프로그램에서 암호화 라이브러리를 호출하도록 소소 코드 수정

 운영환경

제약 없음

(대상 서버에 설치되는 모듈 없음. 단, 토큰 서버를 위해 x86 기반의 가상화 환경 필요)

대부분의 상용 운영체제

(AIX, HP-UX, Solaris, Windows,     Red Hat, SLES, Ubuntu, 클라우드)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 지원환경

RESTful 표준을 지원하는 개발 언어 (C, Java 등 대부분의 개발언어에서 지원)

Oracle, DB2, MS-SQL, Sybase, Informix, MySQL, PostgreSQL, Cache Hadoop, MongoDB 등 제한 없음

Oracle, MS-SQL, DB2 등 특정 DBMS

C 언어, Java 언어 등의 환경

 데이터 사이즈

원본 데이터와 동일한 사이즈의 토큰 생성

암호화 전후 파일 사이즈 동일

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 구축기간

2~4개월

(토큰화 전후 데이터 사이즈가 동일하여 API 방식 암호화 대비 수정 방식이 단순함)

3~5일

1개월 ~ 3개월

3~6개월

구축비용

유지보수

·  응용프로그램 수정을 위한 인력 소요 (초급이상)

·  토큰이 적용된 DB에는 민감정보가 사라짐에 따라 보안 관리에 용이

구축 및 유지 보수를 위한 특수한 인력 불필요

·  SQL 튜닝 인력비 (고급 이상) 소요

·  유지보수 중에도 지속적인 튜닝 필요

·  응용프로그램 수정 (중급 이상) 소요

·  유지보수 중에도 지속적 수정 필요



마지막으로, Vormetric Data Security Manager를 통해서 자사 제품과 통합된 암호 키 및 정책 관리가 가능합니다. 

  • 중앙집중형 단일 인터페이스를 통한 암호키와 정책 관리

  • 소프트웨어 / 하드웨어 일체형 어플라이언스 또는 가상 머신 형태

  • 가용성 확보를 위한 이중화 구성 지원

  • 1만대 이상의 서버 환경에서 입증된 관리 기능

  • 웹과 CLI 기반의 콘솔 및 자동화를 위한 API 지원

  • 미국 연방 정부의 FIPS 140-2 Level 3 인증 확보



보메트릭 암호화 솔루션을 통한 데이터 보안 구축 절차는 아래와 같습니다.

구축 준비 및 사전 분석

구현 및 검증

운영 이행

안정화

· 프로젝트 수행 TFT 구성

· 업무/어플리케이션 분석

· 영향도 분석

· 데이터 보호 정책 수립

· 테스트 환경 구축

· 암호화 적용

· 테스트를 통한 검증

· 개선 사항 도출 및 대응

· 이행 계획 수립

· 계획 작성

· 운영 서버 적용

· 이행 작업 수행

· 모니터링

· 인수인계




개인정보 암호화, 개인정보보호법 대비를 위한 비정형데이터 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 대한민국 개인정보 보호법(PIPA) 준수, 암호화 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.27 08:00 / 카테고리 : 보메트릭 암호화 솔루션



대한민국 개인정보보호법 (PIPA) 준수, 탈레스 보메트릭 암호화 솔루션

세계에서 가장 엄격한 데이터 보호제도 중 하나인 대한민국의 개인정보보호법은 IT 및 통신 네트워크(IT네트워크법), 신용정보 사용에 관한 법률 (신용 정보의 사용 및 보안법)에 의해 지원을 받습니다.


Thales eSecurity Vormetric은 다음과 같은 기능을 제공하여 기업의 규제준수를 지원합니다.

  • 데이터 암호화 및 액세스 제어

  • 보안 인텔리전스

  • 애플리케이션 암호화




법률 개요

1. 침해 공지

개인정보보호법은 방송통신위원회(KCC) 등 관할 당국과 데이터 주체에 데이터 침해 사실 공지 의무 등 공공 및 민간 분야의 기업에게 다양한 의무를 부과합니다.


2. 데이터 보안

개인정보보호법은 개인정보가 분실, 도난, 유출, 변조 또는 손상되는 것을 방지하기 위해 “기술적 행정적 및 물리적 조치를 취하는 것을 정보관리자에게 의무화” 시켰습니다.


3. 공식 정책 성명

조직들은 그러한 보안 조치들에 대한 공식적인 성명을 마련해야 합니다.


4. 내부개인정보보안 담당자

(규모나 업종에 상관 없이) 조직들은 데이터 처리 활동을 감독하는 내부 개인정보보안 담당자를 지정해야 합니다. 내부 개인정보보안 담당자는 침해가 발생하는 경우 책임을 지며, 형사법에 따라 수사를 받을 수 있습니다.


5. 주민등록번호를 위한 암호화

개인정보보호법의 24(3) 조항은 고유한 식별 정보의 관리에 대한 제약사항을 명시하며 정보 관리자들이 손실, 도난, 유출, 변조 또는 손상을 방지하기 위해서 암호화 등의 "필요한 조치"를 취할 것을 요구합니다. 마찬가지로 25(6) 및 29 조항은 개인 정보가 손실, 도난, 변조 또는 손상되지 않도록 "필요한 조치"가 취해질 것을 요구합니다.


6. 엄격한 시행

한국은 데이터 보호 법률 시행에 많은 경험을 보유하고 있습니다. 개인정보보호법의 9장에는 데이터 보안 침해가 벌금형 및 금고형(최대 5천만원의 벌금과 최대 5년의 금고형)으로 처벌될 수 있음을 명시하고 있습니다.





대한민국 개인정보 보호법 (암호화 관련 내용)

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.





대한민국 개인정보 보호법 준수를 위한 암호화 솔루션


1. Vormetric Data Security Platform

Thales eSecurity의 Vormetric Data Security Platform은 기업이 PIPA에 명시되어 있는 엄격한 제제에 대한 포괄적인 보호를 제공하고 암호화 규제를 충족할 수 있는 핵심적인 역량을 제공합니다. 데이터센터, 클라우드 및 빅데이터 구현 시스템 전반에서 사용될 수 있는 이 플랫폼은, PIPA로 인한 다수의 데이터 보호 도전과제에 맞설 수 있도록 지원하는 단일하고 경제적인 솔루션 및 인프라를 제공합니다.


2. Vormetric Transparent Encryption

Thales eSecurity의 Vormetric Transparent Encryption을 통해 기업은 암호화를 사용해 파일 시스템과 볼륨 내에 데이터를 저장하고, 업무를 위해 데이터에 접근할 필요가 있는 프로그램과 계정에만 액세스를 허용할 수 있습니다. 권한을 부여 받은 계정에서만 데이터가 복호화되며, 시스템 관리자와 다른 권한 있는 사용자들은 아무런 문제 없이 각자의 업무를 수행할 수 있습니다. 


권한이 없는 경우 암호화된 데이터를 볼 수 없습니다. 이는 제한된 일부 계정과 프로그램만이 데이터에 액세스할 수 있기 때문에, 조직이 내부자 위협과 해커들에 의한 외부 공격에 노출되는 것을 획기적으로 감소시킵니다.


3. Vormetric Security Intelligence

Thales eSecurity의 Vormetric Security Intelligence는 감사 로그 데이터를 제공하여 기업이 보호되는 정보에 액세스하려는 계정(권한에 상관 없이)을 신속하게 파악할 수 있도록 지원합니다. 또한, 보안 정보 및 이벤트 관리(SIEM) 시스템과 통합되어, 위협이 될 수 있는 권한 있는 사용자의 비정상적인 액세스 패턴을 파악할 수 있도록 지원합니다.


4. Vormetric Application Encryption

Thales eSecurity의 Vormetric Application Encryption은 기업이 표준 프로그래밍 라이브러리와 애플리케이션 인터페이스 세트를 사용하여 기업 애플리케이션에 암호화를 직접 구축하고, 데이터 보호를 웹과 기타 맞춤형 애플리케이션에 직접 확장할 수 있도록 지원합니다.










개인정보 암호화의 핵심! Vormetric Transparent Encryption 소개





보메트릭 트랜스페어런트 인크립션은 저장 데이터에 대한 암호화, 사용자 접근 권한 통제 및 보안 인텔리전스 로그 수집 기능을 제공합니다. 이 솔루션으로 물리적, 가상, 빅데이터, 도커 및 클라우드 환경에 존재하는 정형 데이터베이스와 비정형 파일을 보안을 유지할 수 있습니다.




이 솔루션의 투명한 암호화 방식은 애플리케이션, 인프라 또는 업무 절차를 변경하지 않고 암호화를 구현할 수 있도록 해줍니다. 


암호화 키를 적용하기만 하는 다른 솔루션과 달리, 보메트릭 트랜스페어런트 인크립션은 사용자와 프로세스의 무단 접근을 방지하는 정책을 적용하고 관련 액세스 로그를 지속적으로 수집합니다. 이러한 기능을 통해 데이터에 대한 지속적인 보호 및 통제를 보장할 수 있습니다.





모든 환경에서 확장 가능한 암호화 지원

보메트릭 트랜스페어런트 인크립션은 서버의 파일 시스템 수준 또는 볼륨 수준에서 실행되는 에이전트입니다. 이 에이전트는 광범위한 Windows, Linux 및 Unix 플랫폼에서 사용이 가능합니다. 또한, 도입된 스토리지 기술에 상관 없이, 물리적, 가상, 클라우드, 도커 및 빅데이터 환경에서 사용될 수 있습니다. 관리자들은 보메트릭 데이터 시큐리티 매니저(DSM)를 통해 모든 정책과 키 관리 작업을 수행할 수있습니다.


이 솔루션의 에이전트 기반 아키텍처는 암호화를 서버 상에서 수행할 수 있도록 해줍니다. 이 때문에, 네트워크의 고정 노드를 통해 모든 정보를 라우팅하는 프록시 기반 레거시 솔루션의 골칫거리라 할 수 있는 병목 현상이 제거됩니다. 


Intel AES-NI, IBM Power8, Oracle SPARC 등의 현대적인 CPU에 내장된 암호화 하드웨어 모듈을 활용함으로써 성능과 확장성은 한층 더 향상됩니다.


강력하며 세부적인 사용자 접근 통제

에이전트는 지능형 지속 위협(APT) 공격과 관리자들의 실수로부터 데이터를 보호하는 세부적인 최소 권한 사용자 접근 정책을 시행합니다.


정책들은 사용자, 프로세스, 파일 유형, 시간 등을 기준으로 적용될 수 있습니다. 시행 옵션은 매우 세부적이어서, 사용자가 평문 상태의 데이터에 접근할 수 있는지 여부뿐만 아니라 어떤 파일 시스템 명령어가 가능한지도 제어할 수 있습니다.


 주요 혜택 

 주요 기능

  • 다양한 플랫폼과 환경으로 암호화 확장 가능
  • 손쉬운 구현 : 애플리케이션 수정 불필요
  • 시스템 관리자 권한을 가진 내부자의 오용에 대한
  • 강력한 방어 구축








  • 업계에서 가장 광범위한 플랫폼 지원 : Windows, Linux, Unix 운영 체제
  • 고성능 암호화
  • 강력한 암호화 및 Suite B 프로토콜 지원
  • 사용자, 애플리케이션 및 프로세스의 모든 허용, 차단 및
  • 제한된 접근 시도 로그 기록
  • 역할 기반의 접근 정책으로 누가, 무엇을, 어디서, 언제, 어떻게접근할지 통제 가능
  • 시스템 관리자가 데이터를 복호화 하지 않고 작업을 수행할 수 있도록 지원
  • 도커 컨테이너 지원 및 무중단 데이터 변환 기능을 제공하는확장 기능 제공



대한민국 개인정보보호법(PIPA) 준수를 위한 비식별화 조치 - 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 개인정보비식별화, 개인정보보호법 전략 (가명화, 익명화)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.18 08:00 / 카테고리 : 보메트릭 암호화 솔루션



전세계적으로 개인정보 비식별화 움직임 활발

유럽연합의 개인정보보호법(GDPR)을 시작으로 개인정보주체자의 권리 보장을 위한 본격적인 규제가 진행되고 있습니다. 개인정보를 활용하기 위해서는 가명화 및 익명화 등의 장치가 잘 이루어져하 합니다.  이런 개인정보의 가명화 및 익명화 조치가 바로 비식별화 조치입니다. 


유럽 개인정보보호법 (GDPR)은 개인정보보호에 대한 권리를 보호하고, EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 제정됐습니다. GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 해 95년 지침보다 정보주체의 권리를 확대 · 강화한 것이 특징입니다. 


GDPR Compliance : It’s Time To Protect Your Users Data (출처 : hackernoon.com)



위의 내용만 보면, 개인정보 규제에 대해서만 강력하고 활용에 대한 보장은 없는 것처럼 보이지만, 절차 및 컴플라이언스만 준수한다면 일정수준의 범위안에서는 개인정보의 활용을 보장하는 법안이기도 합니다. 


GDPR의 정보보호조치는 가명화 및 익명화로 구분되는데, 가명처리는 말그대로 데이터에 가명처리를 하여 벌도로 보관하는 방식입니다. 일반적으로 말하는 데이터 암호화로 데이터 전체를 비식별화 하는 방식입니다. 


또한, 익명화가 있습니다. 익명화는 개인정보에 익명처리 기술을 통해서 일정 부분만 비식별화 처리하는 방식입니다. 대표적으로 데이터 마스킹(Data Masking)이 있습니다. 예를 들면 데이터의 생년월일 또는 이름, 주민등록번호만 숨기고 저장하는 것을 생각하면 됩니다. 


컴플라이언스 측면에서 보면 대한민국에서는 개인정보보호법, 유럽에서는 GDPR이 제정되어 있으며, 미국에서는 표준기술연구소(NIST)에서 개인정보 활용을 위한 표준을 제정 중에 있습니다. 


비식별 조치 및 사후 관리 절차(출처: 금융보안원)



대한민국 개인정보보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




유럽의 GDPR(개인정보보호법)은 개인정보 가명화를 강조

김기태 탈레스 이시큐리티 한국지사장에 따르면, GDPR에서는 개인정보가 저장될때 가명화 처리되어 저장되는 기술이 매우 중요합니다.


데이터마스킹(Data Masking) 기술에 가명화 요건까지 충족하기 위한 기준은 아래와 같습니다.

  1. 마스킹으로 변환되는 값이 유일할 것 

  2. 마스킹된 값으로부터 원본을 유츄할 수 없어야 할 것 

  3. 시스템상 원본이 존재하지 않기 때문에 서비스 고가용성을 갖출 것

  4. 애플리케이션 내부에서도 복원되지 않는 동적 마스킹 기술이 적용


비식별 조치 방법 예시 (출처: 금융보안원)



재식별 판별을 위한 4가지 기준 (출처: 금융보안원)

개인정보 비식별 조치 가이드라인에서는 비식별 조치 방법에 대해 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 여러 가지 기법을 단독 또는 복합적으로 활용하라고 명시하고 있습니다.



탈레스 이시큐리티의 보메트릭 솔루션은 EU GDPR에 대해서 토큰화 기술을 사용해 가명처리 기법을 구현하였습니다. 




탈레스 이시큐리티의 ‘보메트릭 토큰화’는 형태 보존 토큰화 기술을 사용해 데이터베이스 내의 민감한 필드를 형태 변경 없이 보호할 수 있게 지원합니다. ‘보메트릭 토큰화’를 사용하면 운영계 시스템 내 개인정보를 비롯한 모든 민감한 정보를 가명화함으로써 GDPR 뿐만 아니라 HIPAA, PCI-DSS 등 전세계의 모든 컴플라이언스를 준수할 수 있습니다.



‘보메트릭 토큰화’는 애플리케이션에 정책 기반의 동적 데이터 마스킹을 빠르고 쉽게 추가할 수 있도록 만들어 주며, 동적 데이터 마스킹은 역할과 템플릿 기반으로 구현되므로 다양한 마스킹 요구 사항을 쉽게 반영할 수 있습니다. 결과적으로, 비용과 복잡성을 감소시키고 성능을 향상시킬 수 있으며, 글로벌 규모와 고가용성을 보다 쉽게 확보할 수 있습니다. 




보메트릭 토큰화에 대한 자세한 정보 : https://itblog.imarketkorea.com/464



GDPR에서 요구하는 가명 처리는 소스 데이터의 포맷을 유지하며 데이터를 인식이 불가능한 형태로 만드는 것입니다. 그러나 저장하고자 하는 데이터 유형이 텍스트 파일, PDF, MP3 등의 형식인 비정형 데이터의 경우, 가명화는 개인정보보호를 위한 적절한 솔루션이 되지 못합니다. 이 경우에는 파일 시스템 레벨의 암호화가 더 적절합니다.







특히, 대한민국에서는 개인정보보호법을 통해서 강력하게 규제하고 있으므로 상황에 따라 가명화, 익명화를 선택하여 암호화하는 전략이 반드시 필요합니다.


각종 컴플라이언스 규제를 준수하기 위한 비식별화(암호화) 기술을 제공하는, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스] 보메트릭 솔루션, 기업 비정형데이터를 효과적으로 암호화

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.01.31 07:30 / 카테고리 : 보메트릭 암호화 솔루션



금융감독원은 2016년에, 주민등록번호 암호화 대상인 금융권 회사들에게 비정형파일(이미지, 로그, 음성, 문서 파일 등)에 대한 암호화를 권고하였습니다. 그리고, 2017년 1월부터 100만명 이하의 개인정보를 보유한 기업을 대상으로는 개인정보를 반드시 암호화 해야하는 개인정보보호법 개정안 이슈가 있었습니다. 


KISA에서 고지한 개인정보의 암호화 조치 안내서 자세히 보기 (클릭)


개인정보 암호화 의무 (개인정보보호법 개정안)


내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라 「개인정보의 안전성 확보조치 기준」 제7조 제4항(“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다. 


※ 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일

※ 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일



최근에는 기존의 정형데이터 형식보다는 다양한 형식의 비정형데이터의 저장이 많아지고 있고 비정형데이터에 민감한 정보가 저장되고 있습니다. 여기에 포함되어 있는 개인정보가 유출될 경우에는 기업과 개인이 모두 피해를 볼 수 있는 큰 사고가 될 수 있습니다. 


하지만, 비정형데이터 환경을 구축하기 위해서는 시스템 증설 비용, 호환성, 시스템 부하(오버로드), 별도의 애플리케이션 설치로 드는 막대한 비용 등 기업에게 감당할 수 없는 부분이 많아 현실적으로 힘듭니다. 


그렇기 때문에 저비용, 고효율, 호환성이 좋은 암호화 솔루션을 선택하는 것이 매우 중요합니다. 또한, 보안 신뢰성도 높아야합니다. 솔루션의 성능과 회사의 신뢰성을 모두 고려하여 선택/도입하여야 합니다.






1. 신뢰성 있는 전문 보안 회사 선택

Thales e-Security 는 40년 이상 전세계의 많은 기업들에게 암호화 솔루션 및 보안 컨설팅을 제공해온 기업으로 신뢰성이 무엇보다 요구되는 방위산업 분야에서 오랜 경력을 자랑하는 Thales Group에 속했습니다. Vormetric은 Thales Group의 자회사 입니다. 



탈레스 이시큐리티의 보안 제품은 국내 대부분의 생명보험사, 손해보험사를 포함한 400여 곳의 고객사와 월마트, GM, GE, 버라이존, JP모건, Bank of America, 보잉 등 외국계 기업에서 이미 많이 사용하고 있는 신뢰성 높은 회사입니다.


탈레스 이시큐리티는 클라우드 파트너 프로그램, ASAP 테크놀로지 파트너 프로그램, OEM파트너 프로그램 및 채널 파트너 프로그램을 운영하며 고객이 어떤 상황에 처해있든 관계없이 쉽고 빠르게 데이터를 보호할 수 있도록 지원하고 있습니다.


특히, 2018년 10월 멀티클라우드에서 암호화 키를 관리할 수 있는 CipherCloud Key Manager (CCKM)가 출시됨에 따라 온프레미스, 퍼블릭 클라우드 등 다양한 환경에 민감한 데이터를 저장하고 있는 고객들의 보안이 한층 강화될 것으로 보고 있습니다.




2. 입증된 성능의 보안 장비 선택

Thales e-security의 Vormetric Data Security 솔루션은 이미 많은 기업들이 채택하여 사용하고 있는 비정형데이터 암호화 솔루션입니다. 무엇보다 저비용 고효율, 편리한 도입이 강점입니다. 


커널레벨의 파일단위 암호화 기능을 지원하므로 오라클, SQL 서버, DB2와 같은 대부분의 데이터베이스는 물론 로그파일, 이미지, 영상, 음향 등의 비정형데이터까지도 암호화할 수 있다는 특징을 가지고 있습니다. 그리고, 커널레벨 암호화의 장점인 어플리케이션 수정이 필요없다는 특징도 갖고 있어 암호화를 위한 추가 개발 및 추가 시간이 필요없다는 장점도 있습니다.


또한, 블럭단위 암호화를 수행하기 때문에 데이터 암호화를 위한 소요시간이 짧고 암호화 이후 파일사이즈가 변하지 않을 뿐 아니라 시스템 부하가 타사 제품 대비 매우 낮은 것이 특징입니다. 





Vormetric 암호화 솔루션 소개



Vormetric Data Security Platform

보메트릭 데이터 시큐리티 플랫폼은 데이터베이스, 클라우드 및 빅데이터 환경 등 여러 인프라 환경에 존재하는 정형 및 비정형의 대용량 데이터를 효과적으로 보호하는 다양한 솔루션을 하나의 플랫폼 형태로 제공하여 통합된 솔루션으로 호환성과 관리의 용이성을 둘 다 잡은 데이터 보안 솔루션입니다.


성능 저하나 암호 키 관리에 대한 복잡성 없이 모든 유형의 파일, 데이터베이스 및 애플리케이션을 보호할 뿐 아니라 구축 및 관리가 용이합니다. 리눅스, 유닉스, 윈도우 등 주요 운영체제를 모두 지원하며, 정형 데이터뿐 아니라 비정형 데이터를 효과적으로 보호합니다.




Vormetric Data Security Manager

보메트릭 각 솔루션의 보안 정책과 암호키를 중앙 집중적으로 관리할 수 있는 기능을 제공하는 Vormetric Data Security Manager는 보메트릭 암호화 플랫폼의 핵심이라고 말할 수 있습니다. 


실제 운영 환경에서 1만 대 이상의 암호화 대상 서버 관리 능력이 입증되었으며 자동화와 기존 관리 환경과의 연동을 위해 레스트풀 API(RESTful API)와 툴킷(Toolkit)을 제공합니다.


보안 인증으로는 FIPS 140-2 Level 1, FIPS 140-2 Level 2, FIPS 140-2 Level 3,Common Criteria (ESM PP PM V2.1) 인증을 받았습니다.


또한, 가상화 환경과 클라우드 환경, 가상 어플라이언스, 아마존의 AWS AMI 형태도 제공하고 있기 때문에 활용성이 매우 뛰어납니다.





Vormetric Transparent Encryption (VTE)

저장 데이터에 대한 실시간 암호화, 사용자 접근 권한 통제 및 보안 인텔리전스 로그 수집 기능을 제공하는 솔루션입니다. 


물리적, 가상, 빅데이터, 도커 및 클라우드 환경에 존재하는 정형 데이터베이스와 비정형 파일에 대한 실시간 암호화를 유지할 수 있으며 투명한 암호화 방식으로 애플리케이션, 인프라 또는 업무 절차를 변경하지 않고 암호화를 구현할 수 있도록 지원합니다. 


사용자와 프로세스의 무단 접근을 방지하는 정책을 적용하고 관련 액세스 로그를 지속적으로 수집함으로써 데이터에 대한 지속적인 보호 및 통제를 보장할 수 있습니다.




Vormetric Tokenization and Dynamic Data Masking

DB토큰화 및 동적 디스플레이 보안을 제공하기 떄문에 데이터센터, 빅데이터, 컨테이너, 클라우드 환경 등 데이터의 위치에 구애받지 않고 민감한 자산 보안과 비식별화를 효율적으로 달성할 수 있도록 지원합니다. 


Vormetric Tokenization and Dynamic Data Masking을 사용하면, 동적 데이터 마스킹이 포함된 이 솔루션은 각종 보안 정책과 PCI DSS 등의 컴플라이언스를 준수할 수 있습니다.





Vormetric Application Encryption

데이터베이스의 특정 컬럼이나 파일, 빅데이터 노드 및 PaaS 클라우드 환경을 암호화할 수 있습니다. 여기에는 기존의 기업 애플리케이션과의 암호화 통합을 간소화시키는 라이브러리가 포함되어 있기에 도입하기에 매우 용이합니다. 


이 라이브러리는 암호화 및 키 관리 작업에 사용될 수 있는 일련의 문서화된 표준기반 API를 제공하며, 자체적인 암호화 및 키 관리 솔루션을 개발하고 구현하는데 드는 시간, 복잡성 및 위험을 제거해주는 장점이 있습니다. 


Vormetric Application Encryption에는 암호화 전후 사이즈와 형태가 동일하게 하는 FPE(Format Preserving Encryption)라는 신기능이 탑재되어 통상 암호화를 위한 별도의 IT인프라를 증설할 필요가 없기에 시간적, 비용적인 부분에서 기업에 효과적인 솔루션입니다. 






비정형데이터 암호화 및 데이터 통합 보안환경 구성에 최적화된, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[탈레스 보메트릭] 빅데이터, 비정형데이터에 가장 적합한 암호화 방법은?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.31 17:15 / 카테고리 : 보메트릭 암호화 솔루션



많은 기업들이 빅데이터를 활용하고 있으며, 서버 및 내부 저장소에도 많은 빅데이터를 저장하고 활용하고 있습니다. 이미 이 중요성을 파악하고 있는 기업들은 안전한 빅데이터 활용을 위해서 어플라이언스를 마련하고 있습니다. 


빅데이터의 80% 이상은 비정형데이터로 이루어져있습니다. 기존의 정형데이터를 암호화 하고 보호하는 방법으로는 빅데이터와 같은 비정형데이터를 효율적이고 안전하게 암호화하기도 쉽지 않을 뿐더러 다양한 포맷으로 이루어진 빅데이터를 보호할 수 없습니다. 




복잡하고 다양한 비정형데이터 암호화는 빅데이터(비정형데이터) 전용 암호화 솔루션을 사용해야 합니다. 그리고, 비정형데이터 암호화 솔루션이 어떤 방식으로 암호화 하는 지도 잘 살펴보아야 합니다. 


지난, 2018년 5월에 유럽에서 시행된 개인정보보호규정(GDPR: General Data Protection Regulation)에 따르면 심각한 위반을 저질렀을 경우에는 약 2천만 유로화(한화로 약 250억원 이상) 또는 전세계 매출에서 4%가 벌금으로 부과되기에 절대적으로 지켜야 됩니다. 



이미, 국외에서는 시행 중인 강력한 정보보호 법안으로 유럽에 진출한 국내 기업 또는 글로벌 기업들은 이를 준수하기 위해 다양한 보안 솔루션을 도입하고 있습니다. 


 

ISO WD 20889 

ENISA Guideline 

 NISTTR

 UKAN Guideline

 NIST 800-188 

 비식별 용어

 De-identification 

Anonyumization 

 De-identification

 Anonyumization 

  De-identification

 데이터 모델

Data Flow

scenario 

Data Value

chain 

Data Flow

Model 

Data LifeCycle

Models 

 데이터 공유 모델

 X

 비식별 처리 

수준의 개념

 X

O 

 비식별 처리 

기술 분류

 O

 비식별 처리 

절차 및 방법

 X

 비식별 처리 

결과 평가 방법

 X

 비식별 처리 

SW 기능요구사항

 X

 X

O

[국가별 빅데이터 활용을 위한 규정 비교 (출처 : 금융보안원)]



GDPR은 개인정보보호에 대한 권리를 보호하고, 유럽 내에서의 개인정보의 자유로운 이동을 보장하는 목적으로 제정되었습니다. 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 개인정보 이동 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 하여 95년 지침보다 정보주체의 권리를 더 강화하고 확대한 것이 특징입니다. 이를 통해서 기업의 정보보호 책임이 더 명확해졌습니다. 


[개인정보보호법 관련 현황 (출처 : 아시아경제신문)]


일본 또한, 빅데이터의 활용을 위해서 개인정보 보호법을 마련하고 있습니다. 일본 개인정보보호법의 특징은 가명정보와 익명정보를 따로 구분하지 않고 [익명가명정보]라는 하나의 개념을 정의하고 있습니다. 


GDPR에서는 익명정보의 경우에는 개인정보보호법의 적용을 받지 않지만, 일본 개인정보보호법에서는 익명의 가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회가 정한 기준에 따라서 개인정보를 가공하고 정보 유출 방지를 위한 보안조치를 하여야 합니다. 


또한, 미국에서도 미국국립표준기술연구소(NIST: National Institute of Standards and Technology) 기관을 통하여 [개인 식별 정보의 비식별 처리 가이드]가 마련되어 있습니다. 여기에서는, 모든 데이터 비식별화 기술에는 재식별 위험성이 존재하고 이를 방지해야 한다는 기본 전제가 정의되어 있습니다. 


국내에서도 빅데이터 활용을 위한 개인정보보호 법안들이 제정되거나 개정되고 있습니다. 2015년도에 개정된 개인정보보호법에서는 기존의 데이터베이스에 저장되어 있는 정형데이터 뿐만 아니라 이미지, 음성, 영상, 로그 데이터, 빅데이터, 문서 등의 다양한 데이터로 구성되어 있는 개인정보를 모두 안전하게 암호화하고 보호해야 한다고 지침이 변경되었습니다.



대한민국 개인정보보호법 개정안 (2015년 개정)


◈ 제 21조의 2 : 암호화 적용 대상

데이터베이스 뿐만 아니라 저장되는 모든 개인정보 암호화 필요

- 개인정보 처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의제2제2항에 따라 암호화 조치를 하여야 한다.

- DBMS 뿐만 아니라 로그, 이미지, 녹취 등 비정형으로 저장되는 주민등록번호도 암호화 필수


◈ 제24조의2제2항 : 암호화 적용 시기

보유 주민등록번호 수에 따라 적용 시기 적용

- 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 (3금융권 및 캐피탈 등)

- 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 (대부분의 금융사)


개인정보보호법 전체 보기 (클릭)


빅데이터의 활용 및 보호에 대한 관심이 높아지면서 규정도 변화하고 있고 관련 암호화 솔루션에 대한 수요도 늘어나고 있습니다. 개인정보 등 데이터를 보관할 때는 암호화 및 암호키 관리, 접근 제어들의 강력한 보호 조치를 취해야 합니다. 정보유출 방지 및 컴플라이언스 준수를 위해 암호화 장비를 많이 도입하고 있는 추세 입니다. 


특히, 비정형데이터 암호화 솔루션들이 많이 출시되고 있습니다. 다양한 암호화 방법이 있지만 가장 우수한 암호화 방법은 OS 커널 방식입니다. 암호화 솔루션은 크게 3가지로 분류되고 있습니다. API 방식 및 OS 커널 방식 그리고 에이전트 방식이 있습니다. 


1. 에이전트는 소스코드 수정이 불필요하지만 서버내에 설치되기에 시스템 리소스 저하가 있습니다. 

2. API 방식은 애플리케이션 내에서 암호화를 진행하기 때문에 도입시에 구축기간과 작업소요가 많습니다. 하지만 비정형데이터를 보호하기 위해서는 형식별로 소스코드 수정이 필요하기에 복잡합니다.

3. OS 커널 방식OS 커널 레벨에서 암호화를 수행하기에 데이터 종류 모두를 지원하면서, 애플리케이션의 소스코드를 변경할 필요가 없어 효율적인 방식입니다. 


이러한, 이유로 OS 커널 방식의 암호화를 비정형데이터에서 많이 선호되고 있습니다. 비정형데이터의 특징은 음성파일, 이미지파일, 문서 파일 등 파일크기가 정형보다 크다는 점입니다. 큰 파일에 암호화를 적용할 경우에는 더 크기가 커지게 되므로 시스템에 부담을 주게 됩니다. OS 커널 레벨의 암호화는 데이터 크기도 유지하면서 암호화 시간 및 구축 시간도 많이 단축되어 비용과 시간을 절감할 수 있습니다.



 

커널레벨 OS 암호화를 지원하는 비정형데이터 암호화 솔루션 - 탈레스 이시큐리티 보메트릭 

Thales e-Security의 Vormetric Transparent Encrytion (탈레스이시큐리티, 보메트릭 트랜스페어런트 인크립션) 보안 솔루션은 비정형데이터에 최적화된 암호화 솔루션입니다. OS 커널 레벨의 암호화를 지원하기에 기업에 도입하면, 비용과 시간을 절감할 수 있습니다. 오버로드 성능저하나 키 관리의 복잡성을 최대한 줄이고 모든 유형의 파일과 데이터베이스(DB) 및 애플리케이션 레벨을 보호합니다. 




뿐만 아니라 구축 및 관리가 용이한 단일솔루션으로 도입이 용이합니다. 기업에서 요구하는 다양한 운영체제를 지원합니다. (윈도우, 리눅스, 유닉스, 솔라리스, IBM AIX, HP-UX 등) 그리고 다양한 DBMS(DB2, 오라클, MySQL, MSSQL, NoSQL, MongoDB, Sybase 등)를 지원하면서 비정형데이터 뿐만 아니라 기존의 정형데이터도 완벽한 암호화가 가능합니다. 


[DBMS 암호화 사례]

- 탈레스 보메트릭을 이용한 DBMS, Oracle TDE 암호화 안내 (링크)

- 탈레스 보메트릭을 이용한 DBMS, MongoDB 암호화 안내 (링크)


비정형파일들을 온사이트, 클라우드 등 파일 위치에 상관없이 암호화 할 수 있다는 점도 장점으로 뽑히고 있습니다. 기업에서 사용하는 각종 문서 파일을 암호화 하여 저장할 수 있을 뿐만 아니라, 애플리케이션, 인프라 또는 비즈니스 절차도 변경하지 않아도 되기에 리소스가 절감 됩니다. 


[탈레스 보메트릭의 암호화 솔루션 개념도]


또한, 강력한 접근제어 정책을 적용하기 때문에 무단으로 접근하는 사고를 예방할 수 있으며, 액세스 하는 사용자를 지속적으로 감시하고 로깅합니다. 


[Vormetric Tokenization with Dynamic Data Masking -  권한에 따른 정책 기반 실시간 마스킹]


관리자와 데이터 소유자 간의 책임을 분리하는 설정도 가능하도록 설계되어 있으며, 이러한 방식으로 서버관리자 등 직원들은 시스템에 상주하는 민감한 데이터에 접근하지 않고 시스템 관리 및 유지보수 작업을 진행할 수 있기에 관리에 용이성이 좋아집니다. 



OS 커널 암호화 방식으로 비용 절감 뿐만 아니라 안정적으로 다양한 파일포맷을 지원하는 비정형데이터 전용 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

미항공우주기지국 NASA, 개인정보 데이터 유출 사건 발생

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.12.24 07:30 / 카테고리 : nCipher HSM (Thales-HSM )



최고 보안 수준을 자랑하는 미항공우주기지국(NASA)도 해킹에 있어서 안전지대가 아니였습니다. 지난 2016년 해킹을 당한 이후로 정보보안 강화를 철저히 했던 터라 이번 해킹 사건은 더 충격적으로 다가 오고 있습니다.  이전 2016년도에는 NASA 직원 수천명의 기록과 비행기록 등의 정보가 한 해킹그룹에 의해서 공개되었습니다. 




이번 주에 또 벌어진 해킹 사건은 에이전시의 서버들 중 하나가 해킹되어 다시 현직원과 이전에 근무하던 직원의 개인정보가 유출되었을 가능성이 있습니다. 


침해 사실을 발견 후에는 NASA는 서버를 확보 후에 연방 사이버 보안 파트너들과 잠재적으로 데이터 유출 사실을 조사하겠다고 밝혔습니다. 하지만, 서버 2대가 해킹 당했다는 가능성이 제기 되는 만큼, 피해규모가 클 것으로 예상되고 있습니다. 


유출된 데이터는 2006년 7월 ~ 2018년도 사이에 입/퇴사 및 부서이동을 한 직원들의 세부적인 개인정보가 담겨있을 것으로 예상되고 있습니다. 



무엇보다 충격적인 사실은, 2년 동안 3,000번에 가까운 보안사고를 겪은 적이 있으며, 대부분 멀웨어 감염 또는 비승인된 접근 관련된 보안 사고 내용으로 밝혀졌습니다. NASA에 저장되어 있는 개인정보를 비롯한 민감한 정형데이터들은 언제든지 해커가 탈취해서 평문이건 암호화가 되어 있건 해독할 수 있다는 것입니다. 


세계 최고의 보안을 자랑하는 NASA의 데이터 서버도 해킹을 통해서 개인정보가 유출되는 만큼, 정보보안에서 최후의 보루라고 일컬어 지는 데이터 암호화에 대한 관심이 높아지고 있습니다. 


많은 기업들이 데이터 암호화에 대한 중요성을 알고, 강력한 알고리즘으로 암호화를 하였지만, 가장 중요한 암호 키에 대한 보안에 대해서는 신경 쓰지 않는 경우가 많습니다. 



강력한 상용화 알고리즘인 AES-128도 결국에는 암호 키가 유출되면 쉽게 복호화 될 수 있기 때문입니다. 이를 원천적으로 차단하는 가장 안전한 방법은 데이터와 암호키가 저장되는 저장소를 물리적으로 분리하는 것입니다. 




이러한 역할을 해주는 하드웨어 보안 장비가 Hardware Security Module, HSM : 하드웨어 암호화 모듈 입니다.  보안 장비는 신뢰성이 가장 중요한 요소라고 볼 수 있습니다. 그래서 제조 업체가 장비 도입의 중요 기준이 되고 있습니다. 



Thales Group은 Thales e-Secuirty 라는 보안 계열사를 운영하고 있으며, 전 세계 GPHSM의 약 70% 이상을 점유하고 있는 글로벌 그룹사 입니다. 


Thales는 매년 68,000여명의 직원이 근무하고 있으며 전 세계의 50여 국가에 자회사를 보유하고 있습니다.  40년 이상 동안 방위 산업 분야에서 높은 신뢰성을 쌓아온 글로벌 기업입니다. 


 Thales 의 약속

 Thales 고객


  • France, UK, Norway, USA, 대한민국, 일본, 호주, 홍콩 등 
  • APAC 기술지원 센터(홍콩) 
  • 40년 이상의 풍부한 경험과 실적
  • 21 NATO 회원국
  • 20 개의 대형 은행 중 19개의 은행 전세계 3,000 개 이상의 금융기관
  • Global 70% 이상의 시장점유율(PHSM)
  • Global 40% 이상의 시장점유율(GPHSM)
  • Global 40% 이상의 시장점유율(네트워크 구간 암호화 장비)


Thales HSM은 서버 내장형(nShield Solo)과 네트워크 연결형(nShield Connect) 으로 나뉘고 있으며, 서버 내장형은 PCIe 슬롯에 내장되어 빠른 엑세스 속도와 효율적인 공간 활용이 가능하게 합니다. 네트워크 연결형은 네트워크 연결로 서버에 연결되며 연결이 분리와 결합이 간편하고 이동이 쉬운 특성이 있습니다. 




HSM 적용시 예상 시스템 구성도


데이터베이스 정보보호를 위한 조치 


고객의 요구사항

  • 중요한 로그인 및 고객 정보 등에 대한 안전한 보호 요구

  • 내부 개발자 및 운영자 또는 안성코드와 같은 의도적인 공격에 대한 보호


탈레스의 제안

  • 암호화 및 복호화는 HSM 내부에서 실행

  • SSL 세션은 HSM 내부에서 처리

  • 인증 로직과 같은 중요 로직을 HSM 내부에서 처리

  • 암호화 키는 HSM 내부에서 저장하고 관리



PKI 환경에서 HSM 시스템 적용 예시 : Thales HSM





탈레스는 Oracle Certified Partner 및 MicroSoft Gold Partner 인증을 받은 신뢰성 있는 업체입니다. 



또한, FIPS 140-2 Level 2, 3 인증과 CC 인증을 받았기에 공신력있는 보안성을 자랑합니다. 




강력한 암호화는 개인정보 유출사고의 최후의 보루이고, 암호 키는 그 보루를 지키는 핵심입니다. 

암호 키를 관리하는 것이 안전한 암호화의 최종단계라는 점을 잘 알아야 합니다.



아이마켓코리아 탈레스 HSM 제품을 선택하셔서 개인정보 유출 시에도 암호 키의 보호와 완벽한 데이터 보안 환경을 구축하기 바랍니다.  탈레스 HSM 제품에 대한 문의는 아래의 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



나사, 미항공우주기지국, 해킹, NASA Hacked, 해커, 개인정보유출, 개인정보보호법, 개인정보보안, 데이터보안, 암호 키 관리, 컴플라이언스, hsm, 아이마켓코리아, 하드웨어암호화모듈, 암복호화, 암호키, 해킹, 개인정보, 개인정보호법, 개인정보보안, 암호화키, 유출사고, 탈레스, thales, hsm, fips 140-2, ssl, aes128


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 380,325
  • 오늘 : 155
  • 어제 : 343
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.