[KISA/과기정통부] 암호알고리즘 및 키길이 이용 안내서

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 19:47 / 카테고리 : nCipher HSM (Thales-HSM )



정보보호제품 및 시스템에 암호 알고리즘을 탑재하고 적용하는 경우에는 알고리즘의 종류나 키의 길이들은 해당 시스템의 안전성 수준을 만족할 수 있도록 선택해야 합니다. 이를 위해서 미국, 일본, 유럽 등에서는 암호알고리즘 및 키 길이에 대한 가이드라인을 제시하고 있습니다.


국내에서도 이에 맞춰서, 과학기술정보통신부 및 한국인터넷진흥원(KISA)는 암호알고리즘 및 키 길이 이용안내서를 제작하여 배부하고 있습니다. 해당 가이드라인(안내서)에는 국산 알고리즘 및 외산 알고리즘을 모두 포함하여 보안강도에 따라 선택가능한 암호 알고리즘의 종류와 키 길이, 유효기간을 안내하고 있습니다. 



기업의 보안 담당자 및 정보보호책임자는 이를 숙지하시고, 암호 키를 안전하게 보호할 수 있는 전용 장비인 HSM에 대한 정보도 알아가시기 바랍니다.



아래의 표는 KISA에서 공개한 권고알고리즘으로 미국, 일본, 유럽과, 국내에 알고리즘입니다. 참고해주시기 바랍니다.


 분류

 NIST (미국) 

 CRYPYREC (일본)

 ECRYPT (유럽)

 국내

 대칭키 암호 알고리즘

 AES

 3TDEA

  AES

  Camellia

 AES

 Camellia

 SEED

 HIGHT

 ARIA

 LEA

 해시 함수

 SHA-224

 SHA-256

 SHA-384

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 SHA-256

 SHA-384

 SHA-512

 SHA-256

 SHA-384

 SHA-512

 SHA-512/256

 SHA3-384

 SHA3-512

 SHA3-shake128

 SHA3-shake256

 Whirlpool-512

 BLAKE-256

 BLAKE-384

 BLAKE-512

 SHA-224

 SHA-256

 SHA-384

 SHA-512

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 LSH-224

 LSH-256

 LSH-512

 LSH-512-224

 LSH-512-256

 공개키 암호 알고리즘

 키 공유용

 DH

 ECDH

 MQV

 ECMQV

 DH

 ECDH

 ECIES-KEM

 PSEC-KEM

 RSA-KEM

 DH

 ECDH

 암/복호화 용

 RSA

 RSA-OAEP

 RSA-OAEP

 RSAES

 공개키 암호 알고리즘

 전자 서명용

 RSA

 DSA

 ECDSA

 RSA-PSS

 RSASSA-PKCS1 (v1.5)

 DSA

 ECDSA

 RSA-PSS

 ISO-9796-2RSA-DS2

 PV Signatures

 Schnorr

 ECSchnorr

 KDSA

 ECKDSA

 XMSS

 RSA-PSS

 KCDSA

 ECDSA

 EC-KCDSA

※ 해당 표에서는 국내외 암호 연구기관에서 발간하는 보고서에서 다루어지는 대표적인 암호 알고리즘을 언급하였습니다.


  • 국내 : 국내 암호 알고리즘은 검증대상보호함수(IT보안인증사무국) 국내 표준들을 기반으로 구성하며, 그외의 암호 알고리즘을 사용할 경우에는, 국외 권고안을 참고하길 권장합니다.

  • 3TDEA : 세개의 키가 다른 TDEA (Triple Data Encryption Algorithm)

  • SHA-3 shake128/256 : 가변적 출력 값을 가지며, 안전성이 최대 128/256bit인 SHA-3 일종

  • KDSA/ECKDSA : ISO/IEC 14888-3 표준에 있는 KCDSA, EC-KCDSA를 KDSA, ECKDSA로 표기



암호 알고리즘 및 키 길이 선택 기준

암호 알고리즘 및 키길의 선택 시에 암호 알고리즘의 안전성 유지기간과 보안강도별 암호 알고리즘 키 길이 비교표, 암호키의 사용 유효기간을 기반으로 암호 알고리즘 및 키 길이를 선택하도록 권장합니다. 


1. 보안강도별 암호 알고리즘 비교

 보안강도

 대칭키 암호 알고리즘

 (보안강도)

 해시함수 

 (보안강도)

 공개키 암호 알고리즘 

 암호 알고리즘 안전성 유지기간

(년도)

 인수분해

 (비트)

 이산대수 

 타원곡선암호

 (비트) 

 공개키 

 (비트)

 개인키

 (비트)

112비트

 112

112

2048 

2048 

224 

224 

2011년에서

2030년까지 

128비트

128 

128 

3072 

3072 

256 

256 

 2030년 이후

192비트

192

192

7680

7680 

384 

384 

256비트

 256

 256 

15360 

15360 

512 

512 



2. 암호키 사용 유효기간

암호 알고리즘 키 사용 유효기간이란 암호키를 사용할 수 있는 기간을 말합니다. 즉, 암호 알고리즘에 사용되는 키의 사용 유효기간은 송신자가 암호키를 사용하는 기간(예, 암호화 과정)과 수신자가 받은 메시지와 관련된 암호키를 사용하는 (예, 복호화 과정) 기간을 포함합니다. 아래의 표에서는 NIST의 키 관리 권고안을 기반으로 암호키의 사용 유효기간을 제시합니다. 


 키 종류

 사용 유효기간

 송신자 사용기간

 수신자 사용기간

 대칭키 암호 알고리즘

 비밀키

 최대 2년

 최대 5년

 공개키 암호 알고리즘

 암호화 공개키

 최대 2년

 

 복호화 공개키

 최대 2년

 

 검증용 공개키

 최대 2년

 

 서명용 공개키

 최대 2년

 

[암호키 사용 유효기간 (NIST 권고안)]




3. 암호 알고리즘 및 키 길이 이용 안내서 활용 예

▣ 주민등록번호 및 계좌정보 등 금융정보를 저장하는 경우

금융정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있습니다. 


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도 (비트) 확인

   -> 보안강도 : 112비트 이상

2. 주민등록번호 및 계좌정보 암호화에 필요한 안전한 암호 알고리즘이란 데이터 암복호화가 가능한 양방향 암호 알고리즘인 대칭키 암호알고리즘이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> AES, SEED, HIGHT, LEA 등이 존재

   -> 국내 암호 알고리즘을 고려한다면 SEED, HIGHT, ARIA, LEA 선택 가능

3. 암호키 사용 유효기간 표를 참조하여 사용 유효기간을 설정 (NIST 권고)

   -> 송신자용 암/복호화 비밀키 : 최대 2년

   -> 수신자용 암/복호화 비밀키 : 최대 5년


  • 주민등록번호 및 계좌정보 등 금융정보 암호화를 위해서는 보안강도 112비트 이상을 제공하는 대칭키 알고리즘들 중, 국내 암호 알고리즘을 사용한다면 SEED, HIGHT, ARIA, LEA 암호 알고리즘 등 선택하여 적용
  • 비밀키 유효기간은 송신자용 최대 2년, 수신자용 최대 5년으로 설정하기를 권장




▣ 비밀번호를 저장하는 경우

비밀번호 정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있다.


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도(비트) 확인

   -> 보안강도 : 112비트 이상

2. 비밀번호 정보 암호화에 필요한 일방향 암호 알고리즘은 단순해시/전자서명용 해시함수이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> SHA-224, SHA-256, SHA-384, SHA-512 등이 존재하며, 이중에서 선택 가능




KISA와 과학기술정보통신부에서 권고하는 암호알고리즘 및 키길이 기준을 충족하기 위해서는 이에 맞는 암호 알고리즘 보안 솔루션을 사용해야 합니다. 


암호키 관리 솔루션으로는 nCipher HSM이 있으며, 데이터를 안전하게 암호화 하기 위한 강력한 비트의 암호화 솔루션에는 Thales Vormetric의 Data Security 제품군이 있습니다. 


[nCipher nShield Connect XC]


  • nCipher HSM은 암호키를 생성하고 저장하는 역할을 하는 암호화 전용 장비

  • 인증, 서명, 암호화 등 다양한 분야에서 암호 키를 관리하는 역할을 담당

  • 하드웨어 기반의 암호화 연산을 수행 (키 생성, 전자서명, 키저장 및 백업)

  • 물리적으로 완벽하게 독립된 공간에 암호화 키를 저장하기 때문에 해킹에도 안전

  • FIPS 140-2 Level 3 및 CC EAL 4+ 등의 인증을 받은 안전한 HSM.





[Vormetric Data Security]


  • Vormetric Transparent Encryption은 커널 레벨 파일 단위의 암호화 방식을 지원 (운영체제 암호화 방식)

  • 강력한 상용 알고리즘인 3DES, AES 128/256, ARIA 128/256 지원

  • 국가사이버안전센터 암호모듈 검증필 모듈 탑재

  • 대부분의 상용 운영체제 지원 (AIX, HP-UX, Solaris, Windows, Red Hat, SLES, Ubuntu, Cloud)

  • 비정형데이터, 로그 파일 이미지 파일 등의 파일 암호화 지원 (다수의 구축 사례 확보)

  • 구축 및 유지 보수를 위한 특수한 인력 불필요. 3~5일 정도의 시간에 구축 가능

  • 보안 솔루션 구축 후, DBMS 혹은 Application의 환경변화가 발생하지 않음




nCipher nShield HSM 문의
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090





Vormetric 암호화 솔루션 문의
(주) 아이마켓코리아

윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.11.19 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.





(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

2017 개인정보 암호화 조치 안내서 (개정판) - DB 암호화 / 개인정보보호법

작성자 : DSSa / 날짜 : 2018.04.18 15:15 / 카테고리 : 보메트릭 암호화 솔루션





 

개인정보보호법 암호화 관련 근거

  • 개인정보 보호법 제 24조 (고유식별정보의 처리 제한) 및 동법 시행령 제 21조 (고유식별정보의 안전성 확보 조치)

  • 개인정보 보호법 제 24조의 2(주민등록번호 처리의 제한) 및 동법 시행령 제21조의 2(주민등록번호 암호화 적용 대상 등)

  • 개인정보 보호법 제 29조 (안전조치의무) 및 동법 시행령 제 30조 (개인정보의 안전성 확보 조치)

  • 개인정보의 안전성 확보조치 기준 (행정자치부 고시 제2016-35호)


개인정보보호법 암호화 적용 대상

  • 개인정보보호법에 따라 암호화하여야 하는 개인정보인 고유식별정보 (주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보를 저장/전송하는 개인정보처리자를 대상으로 한다.






개인정보 보호법

→ 제 23조 (민감정보의 처리 제한)

② 개인정보처리자가 제 1항 각호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조 (고유식별정보의 처리 제한)

③ 개인정보처리자가 제 1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


 제 24조의 2 (주민등록번호 처리의 제한)

② 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


 제 29조 (안전조치의무) 

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 한다.




개인정보 보호법 시행령

→ 제 21조 (고유식별정보의 안전성 확보 조치)

법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 "법 제29조는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다


→ 제21조의2(주민등록번호 암호화 적용 대상 등)

① 법 제24조의2제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다.


② 제 1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호화 같다.

1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2017년 1월 1일

2. 1000만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자 : 2018년 1월 1일


③ 행정자치부장관은 기술적/경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다.


→ 제30조(개인정보의 안전성 확조 조치)

① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야한다.

3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치


③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다.



개인정보의 안전성 확보조치 기준 (행정자치부 고시)

개인정보의 안전성 확보조치 기준(행정자치부 고시)에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부 기준을 제시하고 있다.

  • "고유식별정보"는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 여기에 해당한다.

  • "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

  • "바이오정보"란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.



개인정보를 처리하고 관리하는 개인정보처리시스템은 DB에 저장된 개인정보를 암호화하여 저장함으로써 개인정보, 유출, 위변조, 훼손 등을 방지해야 합니다. 


개인정보처리시스템 암호화 방식마다 성능에 미치는 영향이 다르므로 구축 환경에 따라 암호화 방식의 특성, 장단점 및 제약사항 등을 고려하여 DB암호화 방식을 선택해야 합니다. 아래 표를 개인정보처리시스템 암호화 방식 선택시 고려해야 할 사항입니다.


분류 

고려사항 

일반적 고려 사항

구현 용이성, 구축 비용, 기술지원 및 유지보수 여부 

암호화 성능 및 안전성 

공공기관의 경우, 국가정보원 인증 도는 검증 여부 

기술적 고려 사항

암/복호화 위치(어플리케이션 서버, DB 서버, 파일 서버 등) 

색인검색 기능 유무, 배차처리 가능 여부 



성능이 매우 중요한 요소가 되는 환경에서 DB서버 암호화 방식을 고려하는 경우에는 반드시 벤치마킹 테스트 등을 수행하여 최적의 솔루션을 선택하는 것이 바람직합니다.


공공기관에서는 국가정보원이 안전성을 확인한 암호모듈 또는 제품을 적용해야 합니다.


현재 운영 중이거나 향후 개발 예정인 개인정보처리시스템의 목적 및 환경에 맞게 쉽게 구현이 가능한 암호화 방식을 선택해야 합니다. 응용프로그램 및 DB 스키마 수정 등을 최소화하고 개발 환경에 맞게 성능을 최대화 할 수 있도록 해야 합니다.


DB 암호화의 안전성을 확보하기 위해서는 안전한 암호키의 관리가 필요합니다. 암호화된 개인정보가 유출되더라도 복호화 할 수 없도록 암호키에 대한 추가적인 보안과 제한된 관리자만 허용하도록 하는 기술을 적용해야 합니다.


위에 소개해드린 개인정보 암호화 조치 안내서의 내용과 같이, 개인정보보호법을 준수하기 위해서는 만족해야 하는 요건들이 많습니다. 암호화 솔루션의 경우에는 한번 도입하게 되면 바꾸기가 쉽지 않습니다. 요건을 하나하나 꼼꼼하게 따져서 첫 도입시에 가장 적합하고 우수한 솔루션을 도입해야 합니다.


최근에는 생체정보, 로그정보, 음성정보 등 개인정보는 다양한 형태로 저장되고 있습니다. 기존과 같이 데이터베이스 안에 저장되는 형태가 아닌, 별도의 파일로 존재하는 경우도 많습니다. 


이런 형태의 데이터를 비정형데이터라고 합니다. 비정형데이터는 더 많은 데이터용량을 차지하기 때문에 암호화 시에는 더 많은 리소스를 소모하게 됩니다. 고성능 암호화 솔루션은 이러한 리소스 소모를 절감시켜줍니다. 



[탈레스 보메트릭 암호화 솔루션은 암호화 후에도 성능의 하락폭이 적습니다.]



아이마켓코리아에서 유통하는 탈레스 보메트릭 암호화 솔루션은 위의 조건을 만족하면서 비정형데이터까지 적은 리소스로 안전하게 암호화하기 때문에 기업/기관 암호화 환경 구축시에 우수한 성능을 자랑하고 있습니다. 자세한 내용은 아래의 링크를 참조해주시기 바랍니다.



보메트릭 암호화 솔루션 소개 

http://itblog.imarketkorea.com/229

http://itblog.imarketkorea.com/228

http://itblog.imarketkorea.com/238

http://itblog.imarketkorea.com/230


보메트릭 암호화 솔루션 및 기타 보안 솔루션 제품 견적 문의는 아래 IT 솔루션 영업팀 담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

개인정보보호법 대비, 안전한 암호화 솔루션 보메트릭

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.04.05 22:28 / 카테고리 : 보메트릭 암호화 솔루션



 개인정보보호법 대비, 안전한 암호화 솔루션 보메트릭 






개인정보보호법에 따르면 개인정보인 신분증(주민등록증, 운전면허증), 여권번호, 외국인등록번호,비밀번호, 바이오정보 등을 저장/전송하는 취급자는 이를 암호화하여 저장함으로써 개인정보 유출, 위·변조, 훼손 등을 방지해야 합니다.




[ 개인정보 보호법 ]


• 제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.


• 제24조(고유식별정보의 처리 제한)

③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.


• 제24조의2(주민등록번호 처리의 제한)

② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.


• 제29조(안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.







개인정보보호법은 날로 강화되고 있는 것뿐만 아니라, 소비자의 신뢰도 등 기업 이미지에도 지대한 영향력을 끼치기 때문에 정말 중요한데요!


개인정보보호법 상 암호화 적용 기준은 아래와 같습니다.


[ 암호화 적용 기준 요약표 ]

구분

암호화 기준

정보통신망,
보조저장매체를
통한 송신 시

비밀번호, 바이오정보,

고유식별정보

암호화 송신

개인정보처리
시스템에 저장 시

비밀번호

일방향 암호화 송신

바이오정보

암호화 저장






 주민등록번호

암호화 저장

※ 2017.12.31.까지 암호화 저장: 100만명 이상 정보주체

※ 2016.12.31.까지 암호화 저장: 100만명 미만 정보주체

인터넷 구간,

인터넷 구간과 내부망의 중간지점 (DMZ)

암호화 저장

 내부망에 저장

암호화 저장 또는 다음 항목에 따라 암호화 적용여부·적용범위를 정하여 시행

① 개인정보 영향평가 대상이 되는 공공기관의 경우, 그 개인정보 영향평가의 결과

② 암호화 미적용시 위험도 분석에 따른 결과

업무용 컴퓨터,
모바일 기기에
저장시

 비밀번호, 바이오정보,

고유식별정보

 암호화 저장(비밀번호는 일방향 암호화 저장)

※ 비밀번호는 일방향 암호화 저장

- 내부망에 주민등록번호를 저장하는 경우, 「개인정보 보호법」제24조의2, 동법 시행령 제21조의2에 따라 「개인정보의 안전성 확보조치 기준」 제7조 제4항 (“개인정보 영향평가”나 “암호화 미적용시 위험도 분석”)과 관계없이 암호화 하여야 한다. 이 경우에는 다음의 기간 이전까지 암호화 적용을 완료하여야 한다.
※ 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일
※ 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일



개인정보처리시스템의 DB를 암호화할 수 있는 방식은 다음 표와 같이 구분할 수 있습니다.


[ 모듈/위치별 암호화 방식 ]

암호화
방식

암·복호화

모듈 위치

암·복호화

요청 위치

설명

응용 프로그램

자체 암호화

어플리케이션

서버

 응용 프로그램

 - 암ㆍ복호화 모듈이 API 라이브러리 형태로 각 어플리케이션 서버에 설치되고, 응용프로그램에서 해당 암ㆍ복호화 모듈을 호출하는 방식

- DB 서버에 영향을 주지 않아 DB 서버의 성능 저하가 적은 편이지만 구축시 응용프로그램 전체 또는 일부 수정 필요

- 기존 API 방식과 유사

DB 서버

암호화

DB 서버

응용 프로그램

 - 암ㆍ복호화 모듈이 DB 서버에 설치되고 DB 서버에서 암ㆍ복호화 모듈을 호출하는 방식

- 구축 시 응용프로그램의 수정을 최소화 할 수 있으나 DB 서버에 부하가 발생하며 DB 스키마의 추가 필요

- 기존 Plug-In 방식과 유사

DBMS

자체

암호화

DB 서버

DB 서버

 - DB 서버의 DBMS 커널이 자체적으로 암ㆍ복호화 기능을 수행하는 방식

- 구축 시 응용프로그램 수정이 거의 없으나, DBMS에서 DB 스키마의 지정 필요

- 기존 커널 방식(TDE)과 유사

DBMS

암호화

기능 호출

DB 서버

 응용 프로그램

 - 응용프로그램에서 DB 서버의DBMS 커널이 제공하는 암ㆍ복호화 API를 호출하는 방식

- 구축 시 암ㆍ복호화 API를 사용하는 응용프로그램의 수정이 필요

- 기존 커널 방식(DBMS 함수 호출)과 유사

운영체제

암호화

파일 서버

운영체제

(OS)

 - OS에서 발생하는 물리적인 입출력(I/O)을 이용한 암ㆍ복호화 방식으로 DBMS의 데이터파일 암호화

- DB 서버의 성능 저하가 상대적으로 적으나 OS, DBMS, 저장장치와의 호환성 검토 필요

- 기존 DB 파일암호화 방식과 유사



이러한 개인정보처리시스템은 암호화 방식마다 성능에 미치는 영향이 다릅니다. 때문에 구축 환경에 따라 암호화 방식의 특성, 장단점 및 제약사항 등을 고려하는 하여 두 가지 이상의 방식을 혼합하여 구현하기도 합니다. 문제는 이로 인해 많은 비용이 발생하고, 관리가 쉽지 않다는 것입니다.



그래서 아이마켓코리아는 개인정보보호법 대비 솔루션으로 보메트릭 (Vormetric)을 소개합니다.



[ 보메트릭 데이터 시큐리티 보호 플랫폼 ]



[ 보메트릭 데이터 시큐리티 데이터 보안 구축 과정]



보메트릭은 다양한 환경을 지원하며 편의성과 보안 안전성 모두 뛰어난 솔루션입니다. API방식 암호화와 토큰 방식의 조합을 통해 개별 솔루션의 한계점을 극복하고 있으며, 이를 단일 관리자 화면으로 통합하여 관리할 수 있어 매우 편리합니다.



[ 플랫폼 주요 제품 및 제안 솔루션 구성 요소 ]



 

보메트릭 데이터 보안 구축 전략


두 방식의 조합을 통해 단순 API 방식 적용에 비해 구축의 편의성 및 보안성 증가


■ API 방식 암호화: Vormetric Application Encryption 적용

- 에이전트(암호모듈)을 WAS 등 Application 서버에 설치하고 소스코드 수정을 통해 암호화 구축

- 저장 데이터(data-at-rest) 뿐만 아니라 WAS <-> DBMS 구간 데이터(data-at-transition)에 대한 추가적인 보호

- 제품과 통합된 장비(DSM - Vormetric Data Security Manager) 에 의한 안전한 암호 키 관리


■ 토큰 방식 데이터 보호: Vormetric Tokenization with Dynamic Data Masking 적용

- Vormetric Token Server를 통해 토큰(대체값) 생성 및 조회 수행, 일정 부분의 어플리케이션 수정 필요

- 토큰화가 적용된 개인정보DB는 더 이상 암호화 대상이 아님 (농협 등 주민번호에 대해 대체값 적용)

- AD/LDAP 등 계정관리시스템과 연동하여 사용자 권한에 따른 실시간 데이터 마스킹 적용


[ API방식 암호화와 토큰 방식의 조합 ]




이중 API 방식의 암호화 솔루션 보메트릭 어플리케이션 인크립션(Vormetric Application Encryption)응용프로그램 레벨의 컬럼 암호화로 키 관리를 안전하게 할 수 있습니다. 특히, 전용 장비로 암호화 키 관리를 하기 때문에 암호 키 유출을 차단하며, 인증서 및 비밀번호에 의한 암호모듈 접근도 통제할 수 있습니다.






보메트릭 어플리케이션 인크립션 그 외 특징


■ FPE(Format Preserving Encryption) 지원

- 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

- 미국 NIST 의 암호화 표준 규격 중 FFX 3 모드 적용

- 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불 필요


■ 파일 암호화 기능 향상

- VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

- 두 제품 간의 호환성 증가로 보다 유연한 적용 가능




토큰 방식 데이터 보호 솔루션 보메트릭 토큰화 및 다이내믹 데이터 마스킹(Vormetric Tokenization with Dynamic Data Masking)토큰 서버와의 통신에 의해서만 토큰화 및 원본 데이터 조회가 가능하며 AD/LDAP 연동으로 계정 기반의 접근을 통제할 수 있습니다. 비인가 프로그램에 대한 통제가 미흡한 다른 솔루션에 비해 뛰어난 보안성을 자랑합니다.





보메트릭 토큰화 및 다이내믹 데이터 마스킹 동작 방식은 다음과 같습니다.






 

보메트릭 토큰화 및 다이내믹 데이터 마스킹 기타 특징


■ Vault-less 토큰 지원

- 토큰 값과 암호화가 적용된 원본 데이터를 위한 저장소(Token Vault) 불필요

- 기존 제품 대비 성능 대폭 향상

- 토큰을 생성하는 토큰 서버의 확장성 향상 (이론적으로 무제한)


■ 데이터 마이그레이션 기능 제공

- 기존 사용 중인 데이터에 대한 자체적인 일괄 토큰화 기능






보메트릭 데이터 시큐리티 플랫폼의 더욱 강력한 보안성으로 점점 고도화되는 유출 및 해킹과 개인정보보호법에 대응하시기 바랍니다. 관련하여 자세한 문의는 아래 아이마켓코리아 담당자에게 주시면 친절하게 안내해 드리겠습니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

애플 판매처 프리스비(Frisbee)의 고객 개인정보 유출 사례로 보는 예방법

작성자 : DSSa / 날짜 : 2017.11.29 15:42 / 카테고리 : nCipher HSM (Thales-HSM )


애플 체험형 리셀러 및 스토어로 알려진 프리스비 스토어가 개인정보 유출이 되는 사건이 발생했습니다. 애플 프리미엄 리셀러 중 하나인 프리스비는 국내에서 가장 유명한 애플 스토어로 알려져 있어 많은 고객이 이용 중이여서 파장이 일고 있습니다. 



이런 프리스비가 보유하고 있던 개인정보가 유출된 사실이 드러났습니다. 이와 관련하여 프리스비는 개인정보 침해 관련 사고 공지를 게시하여 소식을 알렸습니다. 문제는 이 부분이 아니라 개인정보가 유출된 사실 조차 프리스비 측에서는 모르고 있었다는 사실입니다. 


처음 이걸 알게 되었을 때는 이미 수사기관이 개인정보가 유출된 정황을 알아내어 통보한 이후에 알게되었습니다. 해당 사실을 인지하고 나서는 홈페이지에 보안 조치를 하였으나, 대처가 늦었다는 지적을 받고 있습니다. 


유출된 정보는 아래와 같습니다.

회원 아이디, 암호화된 비밀번호, 이메일, 휴대전화번호, 비밀번호 (암호화처리)




프리스비는 정보가 유출된 사실 외에는 추가 피해가 없으나 혹시나 있을지 모르는 피해 방지를 위해서  비밀번호를 변경할 것을 당부했습니다.  하지만 의도적으로 개인정보 유출사실을 고객들이 모르는 장소에 고지하여 알 수 없게 한점은 빈축을 사고 있습니다. 


해당 업체의 사례와 같이 개인정보 유출사고에는 2가지의 중요한 사항이 있습니다. 먼저, 이상징후를 탐지하여 이상조짐이 보였을때 즉각 조치하여 사고를 미연에 방지하는 일과, 고객의 데이터를 안전하게 암호화 시키고 암호화 한 암호 키를 안전하게 보호하고 관리하는 일입니다.


위의 2가지 보안 책이 대비되어 있으면 프리스비와 같은 개인정보 유출사고는 나지 않았을 것입니다. 개인정보 유출사고를 대비하기 위한 사이버 보안 대비 방법을 소개해드립니다.


1. 머신러닝 기반 사이버 면역 시스템 다크트레이스(Darktrace)

사람이 일일히 네트워크 상황과 내부 시스템을 체크하고 이상 징후를 탐지하여 조치하는 시기는 지났습니다. 관리자는 7일 24시간 감시할 수 없으며, 즉각적인 대처를 보장하기도 어렵습니다. 또한, 사람이기에 일어날 수 있는 실수와 조직원들에 의한 보안 사고도 막을 수 없습니다.



다크트레이스는 기업 시스템과 인프라의 정상 상태를 학습하고 모니터링하여 7일 24시간 정상 상태로 유지되는지 체크하고 비정상상태가 되었을 시에 가장 최적화된 방법으로 즉각 조치하여 보안 사고를 미연에 방지 할 수 있습니다. 



또한, 다크트레이스의 위협 시각화 도구는 기존에 알고 있던 보안 지식만 있으면 누구든 상태를 한눈에 볼 수 있으며, 위협과 정상 상태를 파악 할 수 있습니다. 이를 통해 관리자와 보안 책임자는 현재 시스템의 상태를 쉽게 파악하고 대처할 수 있습니다.



그리고, 기존의 시그니처 기반의 보안 솔루션에서 탐지하지 못하였던 신종 랜섬웨어나 변종 악성코드와 같이 기존 안티바이러스 제품 들이 절대 찾아낼 수 없는 위협까지 탐지하여 방어할 수 있습니다.



2. 데이터 암호화 및 암호 키 관리 솔루션 "탈레스 HSM"

만약 다크트레이스와 같은 보안 솔루션이 없어 해커가 데이터베이스에 있는 고객의 민감한 개인정보를 탈취하였을 때 가장 중요한 것은 해커가 탈취한 고객 데이터가 안전하게 암호화가 되어 있는가?와 복호화 할 수 없을 정도로 강력한가? 입니다.

탈레스 HSM은 위 2가지에 대한 질문에 대해서 YES라고 답할 수 있는 보안 솔루션입니다. 탈레스 HSM은 강력한 암호화 성능으로 서버의 부담을 경감시킬 수 있을 뿐만 아니라, 고객의 개인정보를 암호화하여 해커가 데이터를 탈취하더라도 무용지물로 만들어 버릴 수 있습니다.


탈레스 HSM의 또 하나의 강력한 기능은 암호화 키 관리입니다. 암호 키는 강력한 금고의 문을 여는 열쇠입니다. 고객의 암호화된 데이터를 강력한 금고가 암호화로 막고 있다고 하여도 암호 키를 가지고 있다면 사실상 금고안에 있는 고객의 데이터는 쉽게 꺼낼 수 있습니다.



탈레스 HSM의 암호 키 관리 기능은 암호 키 생성 부터 폐기까지 모든 과정을 관리하며, 암호키는 고객의 데이터베이스 서버와 물리적으로 다른 공간에 저장되기 때문에 만약 서버의 데이터베이스가 해커의 손에 떨어지더라도 안전하게 암호화가 되어 있다면 탈레스 HSM에 물리적으로 별도 저장된 암호 키를 손에 넣을 수 없기에 암호화된 고객의 데이터를 복호화 할 수 없어 안전한 상태가 됩니다. 


복호화를 할 수 없는 고객의 개인정보는 가치가 없어진 데이터가 되어 해커는 아무것도 손에 넣을 수가 없게 됩니다. 또한, 탈레스 HSM은 FIPS 140-2 Level 3 인증을 받아 그 안정성을 인정 받았습니다.




위에서 설명한 내용처럼 아이마켓코리아 탈레스 HSM과 다크트레이스를 통해서 사이버 보안 공격에 위협에 대응하고 데이터 유출시에도 안전한 대비책을 마련하여 안전한 고객 서비스 운영이 되시길 바랍니다. 


아이마켓코리아의 다트트레이스 솔루션과 탈레스 HSM의 도입에 대한 문의는 아래의 아이마켓코리아 보안 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

핀테크 보안, 카카오뱅크가 선택한 탈레스 HSM

작성자 : DSSa / 날짜 : 2017.08.29 16:17 / 카테고리 : nCipher HSM (Thales-HSM )

최근 인터넷에서 돌풍이 불고 있는 카카오 뱅크는 편리한 카카오톡을 앞세운 모바일 중심 기반의 금융업무, 1금융권의 이점, 쉽고 빠른 대출 및 마이너스 통장 개설, 카카오프렌즈 캐릭터를 앞세운 마케팅 등으로 인해서 단숨에 300만 구좌를 달성하였습니다.



카카오뱅크 이전에 케이뱅크가 본격적인 핀테크의 시작을 알렸지만 이번테 카카오뱅크 출범으로 인해서 국민들에게 핀테크가 더 체감되었다고 할 수 있습니다. 카카오뱅크와 같은 인터넷 전문은행은 실물보다는 온라인으로 금융 거래가 이루어지는 만큼 기존의 시중 은행보다 더 강력한 보안 방책이 필요합니다.


인터넷전문은행은 기존 은행처럼 창구 방식이 아닌 비대면 거래를 기반으로 하고 있습니다. 모바일과 인터넷 등의 비대면 채널이 확대되면서 사용자에 대한 인증은 중요한 보안 이슈입니다.  그렇기 때문에 지금 이 디바이스를 통해서 접속한 사용자가 진짜 사용자인지 여부를 파악해야 합니다. 


탈레스에 따르면, 케이뱅크와 카카오뱅크는 탈레스 e-시큐리티의 하드웨어 보안 모듈(HSM)을 통해서 네트워크 보호 및 로그 암호화, 사용자 진위여부를 파악하고 있습니다. 암호화 솔루션을 통해서 결제정보와 네트워크 구간에서 발생되는 데이터와 정보를 암호화 하는 방식으로 이루어지고 있습니다.



여기서 가장 중요한 부분은 바로 인증 절차에 대한 검증과 보안입니다. 탈레스 HSM을 이용하게 되면 키 관리 기능과 암호화 기능을 통해서 더욱 안정적인 보안 환경을 구축할 수 있습니다. 


HSM은 암호화 및 디지털 서명, 키 생성과 보호 등의 기능을 수행하기 위한 보안 플랫폼을 제공하여 코드서명과 디지털 키를 사용하는 다른 애플리케이션들을 포함하는 광범위한 애플리케이션을 온프레미스, 가상화 클라우드 환경에서 지원하고 있습니다.


또한, 탈레스 HSM은 은행, 보험 등 금융회사들의 고객, 데이터를 안전하게 보호하며 정부 및 산업 규제 및 표준들을 충족하고 보안 감사를 용이하게 합니다. 그리고, 보안사고로 인한 데이터 유출을 막아주는 방패의 역할도 수행하고 있습니다.



탈레스는 카카오뱅크에서는 탈레스 HSM으로 진짜 사용자인지 확인하는 신뢰성 확보를 위해서 보안 신뢰를 줄 수 있는 HSM을 공급하였으며, 케이뱅크에서는 키관리 솔루션을 제공하였습니다. 



이렇듯, 탈레스는 국내 핀테크 보안시장을 공략하기 위해 적극적으로 데이터 암호화, 접근통제, 네트워크 보안, 내부 사용자 유출 방지 등 다양한 핀테크 보안영역을 준비하고 있습니다.



탈레스 HSM 소개

탈레스 HSM은 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 그 중 nShield Solo는 서버 내장현 하드웨어 보안 모듈(HSM)입니다. nShield Solo 제품군은 최적화된 타원곡선 암호학 모델이 포함되어 강력한 암호화 모듈 카드로써, 암호화 및 디지털 서명용 중요 키를 안전하게 보관하고 관리합니다.



탈레스 HSM Solo 타입내장형 PCI-e 슬롯에 장착하는 모델로써

안정적인 성능과 속도, 공간활용성이 장점인 HSM 장비


nShield Solo는 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹패브릭(Web fabric), DNS 보안 확장(DNSSEC), 그리고 코드 서명을 포함하는 중요 보안 시스템을 보호합니다. 


nShield Solo는 소프트웨어 기반의 보안 솔루션 만으로는 부족한 서버기반 시스템에게 적절한 수준의 물리적, 논리적 통제를 확립시키는 가장 경제적인 방법입니다. 보안에 대해 계속적으로 개편되고 있는 법규 요구사항과 일반적인 표준들에 앞서서, nShield HSM의 사용은 기존의 데이터센터, 가상화 환경과 클라우드 기반 서비스들에 있어서 명확한 보안 대책을 제공합니다.

운용상 장점

  • 고유의 Security World 구조는 기존의 데이터 센터 및 가상화 환경과 클라우드 환경에서 암호연산 가속능력과 뛰어난 유연성 및 가용성, 확장성을 경제적으로 제공

  • 규제 준수 비용과 매일같이 이루어지는 백업 및 원격관리를 포함하는 키 관리 업무의 비용 감소

  • 간소화된 HSM 구축과 효율적인 키 공급을 통해 높은 비즈니스 연속성 실현을 보장

  • OEM 기기를 위한 보안강화 및 암호연산 가속기능 제공


보안상 장점

  • 중요 애플리케이션의 보안 강화를 위해 위변조 방지 하드웨어를 통한 공인된 암호학적 키 보호 매커니즘 제공

  • 역할 기반의 멀티팩터 인증과 유연성 있는 정족수 기반의 인가 기능을 포함하여 견고한 관리자 정책을 통해 엄격한 직무 분리 및 이중통제를 확립

  • 하드웨어 보안 범주에서 보안에 민감한 사용자 정의 애플리케이션 코드를 안전하게 실행



탈레스 HSM은 NIST(미국표준기술연구소)에서 FIPS 140-2 Level 2와 Level 3 인증을 받은 제품으로 신뢰성이 높습니다. 또한, 마이크로소프트 애플리케이션 파트너 골드 등급과 오라클 파트너로 인증된 업체입니다.






탈레스 HSM 제품에 관련하여 제품 스펙 및 도입, 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 답변드립니다. 



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

탈레스, 카카오뱅크와 케이뱅크에 보안 솔루션 HSM과 KMS 공급

작성자 : DSSa / 날짜 : 2017.08.11 10:33 / 카테고리 : nCipher HSM (Thales-HSM )



탈레스 그룹의 사이버보안 전문 사업부인 탈레스 이시큐리티에서 탈레스 HSM과 KMS를 국내 1금융권 인터넷뱅킹 기업 케이뱅크와 카카오뱅크에 공급하였습니다. 국내에서 가장 큰 인터넷 전문 핀테크은행에 탈레스 HSM를 공급하므로써 핀테크 분야에서 탈레스 HSM의 입지가 더 커질 것으로 보입니다.




“케이뱅크와 카카오뱅크같은 인터넷전문은행은 지점이 없어 사용자 본인확인과 인증을 비대면으로 처리하며, 더욱 안정적인 IT 시스템 운영과 보안을 운영하는 것이 중요하다”

- 탈레스 이시큐리티 영업이사 김기태



케이뱅크에서는 탈레스 KMS를 적용하였고 이는 디지털 키를 이용하는 위치에서 안전하게 생성하고 저장할 뿐만 아니라 관리 및 제어하는데 사용됩니다. 


또한, 카카오뱅크에서는 탈레스 HSM이 적용되었습니다. HSM은 키를 안전하게 생성하고 저장하는 하드웨어 전용장치로 (Hardware Security Module)로 불리고 있습니다. 난수 기반의 키 생성 기능과 암호화 연산을 가속화하는 기능 그리고 구간 암호화 기능을 지원하는 암호화 전용 장비입니다.


탈레스의 nShield HSM은 안전한 암호화 과정과 키 생성 및 보호, 암호화 등을 위한 견고한 위변조 방지 환경을 제공합니다. FIPS 140-2 인증을 받은 3가지의 폼팩터로 제공되는 nShield HSM은 다양한 도입 시나리오를 지원합니다.


탈레스 HSM의 특장점

  • 암호화 및 디지털 서명 기능

  • 디지털, 암호화 키 생성 및 보호 기능과 플랫폼 지원

  • 코드서명 및 디지털 키를 사용하는 어플리케이션을 온프레미스, 가상화, 클라우드 환경에서 지원


공개 키 기반 구조

nShield HSM은 루트 및 인증 기관(CA)키를 생성 및 보호하여, 다양한 사례에 대한 PKI 지원을 제공합니다.


코드서명

nShield HSM은 애플리케이션 코드에 서명하여, 소프트웨어를 안전하고 위변조되지 않고 유지시킬 수 있도록 합니다.


디지털 인증

nShield HSM은 IoT 애플리케이션 및 기타 네트워크 도입을 위해 이용되는 전용 전자 기기에 대한 승인과 인증에 필요한 디지털 인증서를 생성합니다.




[Thales Solo HSM nShield F3 모델]


탈레스 SOLO HSM은 각 개별서버와 어플라이언스에서 호스트되는 애플리케이션에 암호화 키 서비스를 제공하는 PCI-Express 기반의 하드웨어 보안 모듈로써, 네트워크 연결형 대비하여 뛰어난 처리속도와 공간활용성을 갖추었습니다.


탈레스 SOLO HSM은 FIPS 140-2 인증과 CC인증을 받았으며, 탈레스는 오라클과 MSSQL의 인증을 받았기에 주요 데이터베이스 서버와 호환성이 매우 뛰어난 강점을 가지고 있습니다.


[탈레스 HSM은 NIST의 FIPS 140-2 인증을 받았습니다]



[탈레스 HSM은 CC EAL4+ 등급을 부여 받았습니다]


[탈레스는 오라클의 인증파트너이며, 마이크로소프트의 골드파트너 자격을 갖추었습니다]



탈레스 SOLO HSM을 통해서 DB암호화 키 관리, ISMS인증 키 관리, KMS 관리의 효율성과 보안성을 극대화시키기 바랍니다. 탈레스 이시큐리티 공식 파트너사인 아이마켓코리아에서는 탈레스 SOLO HSM (F3-10) 모델에 대해서 한정수량 프로모션을 진행하고 있습니다.


또한, 카카오뱅크, 케이뱅크와 같이 비트코인이나 핀테크, 블록체인 등 디지털 서명 및 키관리 용도로 HSM을 도입하실 생각이시면 전화번호 (02-3708-8254)로 연락주시면 탈레스 HSM 데모를 사용할 수 있도록 연락 드리겠습니다.


탈레스 HSM 제품 도입 문의 전화

02-3708-8254



그리고 HSM 뿐만 아니라, 탈레스는 NH농협은행과 공동으로 비욘드플랫폼을 개발하였으며, 비욘드플랫폼은 탈레스 보메트릭 암호화 솔루션으로 시스템 내 정형데이터화 비정형데이터를 암호화 하였습니다. 해당 작업의 결과로 데이터베이스 암호화 요건을 충족하고 보안성 심의를 통과할 수 있었습니다. 




현재 전세계적으로 POS 거래의 80%가 탈레스 기술로 보호되고 있고 20대 은행 가운데서 19곳이 탈레스 기술을 사용하고 있습니다. 이를 바탕으로 아이마켓코리아와 같은 한국 파트너사와 협력하여 사업을 성장시키고 있습니다.


신뢰성 최고 등급의 HSM인 탈레스 HSM으로 안전한 암호 키 관리 환경을 구축하시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/03   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

방문자 통계

  • 전체 : 327,827
  • 오늘 : 11
  • 어제 : 272
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 김규일 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.