S54543

끊이지 않는 ‘개인정보 유출’ 사고…대책 마련은?

끊이지 않는 ‘개인정보 유출’ 사고…대책 마련은?

최근 국내 한 대형 여행사에서 45만여 개의 개인정보가 유출된 사건이 있었습니다. 정보를 탈취한 해커가 6억 원에 해당하는 비트코인을 내놓으라고 협박한 것으로 알려졌습니다. 또 한 대형 화장품 온라인 쇼핑몰도 해킹으로 개인정보가 유출된 것으로 파악돼 관계 기관에서 과실 여부를 조사하기도 했습니다.

불과 얼마 전 랜섬웨어 사태도 있었고, 수년간 대형 개인정보 유출 사건이 빈번하게 일어났기 때문에 대비도 철저히 되고 있을 것 같지만 왜 이런 사건들이 계속해서 터져 나오고 있을까요. 펜타시큐리티가 SBS CNBC에 출연하여 개인정보 유출 사고에 대한 해법은 없는지 고민해 보는 시간을 가졌습니다. 자세한 내용은 아래의 동영상을 참고하시기 바랍니다.

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000880191]

profile

[펜타 뉴스레터 10월호] 아니? 뽐뿌가 SQL 인젝션에 무너졌다고?



아니? 뽐뿌가 SQL 인젝션에 무너졌다고?
지난 9월 11일 발생한 ‘뽐뿌’ 웹사이트 침해사고의 원인은 SQL 인젝션을 통한 개인정보 탈취 사건인 것으로 밝혀졌습니다. 196만명 가량의 회원 정보를 유출시킨 SQL 인젝션의 배경과 그에 맞는 대응 방법, 그리고 근본적인 해결책이 될 수 있는 웹보안 구축 방법도 함께 알아 봅시다.
보고서
9월 웹 취약점 트렌드 분석 보고서 Update
웹 취약점을 이용한 새로운 공격들은 끊임없이 생겨나고 있습니다. 펜타시큐리티 보안성 평가팀의 전문적인 지식과 이해를 바탕으로 분석하여 가장 최신의 웹 취약점 트렌드를 한 눈에 파악하고 이에 적절히 대응할 수 있도록 Exploit-DB의 웹 취약점 관련 항목을 분류, 분석한 웹 취약점 분석 보고서 내용을 확인해 봅니다.
제품소개
펜타시큐리티, 논액티브X 방식 인증서 보안 솔루션 출시
펜타시큐리티는 논액티브X 방식의 공인인증서 보안 솔루션 ‘디아모 포 PKI(D’Amo for PKI)’를 출시했습니다. 각종 공공 기관 및 정부 부처에서 액티브 X 없는 공인인증서 기술의 활용을 추진하고 HTML5로 웹 표준 확산 계획을 밝힌 가운데, 다양한 환경에서 편리하게 사용 가능한 디아모 포 PKI의 기능을 알아봅시다.
칼럼
탑재와 순응, 장사꾼들의 뻔뻔한 말장난
기업에 정보보안 솔루션 제품을 도입하기 위해선 점검해야 할 사항이 많습니다. 특히 국가 및 공공기관의 전산 시스템 구축 시 ‘전자정부법’에 의거해 ‘보안적합성’ 검증을 통과해야만 합니다. 하지만 이러한 제도의 허점을 이용하는 외산 데이타베이스 솔루션들이 문제가 되고 있습니다. 이러한 문제 상황과 원인에 대해 알아봅시다.
채용
펜타시큐리티 경력직 채용 공고!
생각이 젊고 아직 이루고 싶은 것이 많다면 펜타시큐리티로 오세요!
IT보안 잘 몰라도 괜찮습니다. 펜타시큐리티만큼 IT보안을 잘 배울 수 있는 곳도 드뭅니다. 에너지 넘치는 직원들과 어우러져 일 한번 제대로 해 보고 싶으신 분들을 찾습니다. 상식을 깨고, 도전을 즐기며, 함께하는 열정을 고취시킬 줄 아는 분을 기다리고 있습니다. 많은 지원 바랍니다.
본 뉴스레터는 펜타시큐리티시스템(주) 에서 주최, 참여하는 컨퍼런스, 전시회, 온라인이벤트, 자사 홈페이지 문의 등을 통해 수집된 이메일에 발송되는 보안 동향 및 기업홍보 안내메일입니다. 만약 뉴스레터의 수신을 원하지 않으시면 수신거부 를 해주시기 바랍니다.

 

profile

[스페셜리포트]DB암호화 솔루션의 선두주자 `디아모’

현대사회에서 개인정보를 안전하게 보호하기 위한 암호화 조치는 선택이 아닌 필수로 규정하고 있는 상황이다. 자칫 개인정보의 관리감독을 허술하게 했을 경우 개인정보 분실·도난·유출·변조·훼손 등의 피해가 발생할 수 있다.

2013년 8월 개인정보보호법이 시행되면서 암호화 시장을 둘러싸고 보안업계가 치열한 경쟁을 벌이고 있다. 각종 암호화 솔루션들이 선보이고 있는 가운데, 올해로 출시된지 10년이 된 ‘디아모’는 보안시장에서 인정받은 국내 대표적인 DB 암호화 솔루션이다.

펜타시큐리티의 DB암호화 대표제품인 디아모는 2100여곳의 고객사를 확보하고 있으며, 노하우와 기술력을 바탕으로 고객 환경에 최적화된 암호화 방식을 제공한다.

개인정보보호법 개정안에 따르면 기업은 주민번호를 수집한 경우 의무적으로 암호화를 적용해야 한다. 가장 핵심적인 DB암호화 기술을 전용 키 방식으로 제공하고 있는 솔루션은 디아모가 유일하다. 디아모는 접근제어, 감사기록 등을 통해 통합적인 보안 기능을 제공하고 있다. 오랜 경험을 거름삼아 오라클, MS-SQL, DB2 뿐 아니라, Altibase, Tibero 등 국내외 모든 DBMS에 최적화된 암호화 방식을 제공하고 있다.

펜타시큐리티는 여기에 만족하지 않고 꾸준한 R&D 투자를 통해 디아모만의 기술을 새롭게 발전시키고 있다. 암호화 기술과 관련해 국내외에서 획득한 특허는 14종(인덱스 칼럼 암호화, 순서유지 암호화, 특성유지 암호화, 데이터베이스 엔진레벨 암호화 등)에 달한다. 현재 8건의 특허도 새로 출원해 놓고 있다. .

펜타시큐리티는 자체적인 보안 솔루션을 판매할 뿐 아니라, 애플리케이션 시장도 공략하고 있다. ERP, POS, u-Health, 도서관리, 병원 등 개인정보 보안을 필요로 하는 곳이 대상이다. 또 일본을 포함한 아시아태평양 지역의 금융, 통신, 서비스, 교육, 제조 등의 고객사로부터 호평을 받아 해외진출 사업도 활발히 진행하고 있다.

 

[[기사 원문 보기 – www.etoday.co.kr/ 2014. 04. 15]]

데이터 암호화는 D’Amo!

데이터를 왜 훔쳐요? 쓰지도 팔지도 못하는데?
-데이터 암호화는 D’Amo!-

 

암호화를 통해 재화적 가치가 있는 데이터를 알아볼 수 없는 이진수 덩어리로 바꿈으로써 공격의 목적을 파괴합니다. 시스템의 보호에 집중하는 여타 보안 도구들에 비교해 암호화는 근본적이고 원천적인 방법입니다.

펜타시큐리티는 암호화 전문 기업으로서 특허기반의 기술력을 바탕으로 완벽한 암호화는 물론 안전한 키관리, 접근제어까지 데이터를 보호합니다.

 

암호화란?

 

암호화는 가치가 있는 데이터를 수학적 과정을 통해 의미 없는 문자의 나열로 바꾸어내는 것을 뜻합니다. 암호화는 데이터 보안의 가장 근본적이면서도 필수적인 방법입니다.

 

 

2014년 2월, 개인정보보호법의 개정으로 이제 암호화는 선택이 아닌 의무사항 입니다. 하지만, 안전한 암호화를 적용하기 위해서는 IT 시스템 분석부터 보안 관리 정책 수립, 키 관리, 접근제어, 감사 로그 관리 등 수많은 고려사항들이 있습니다.

 

D`Amo는 국내외 1,800여 고객에게 도입한 노하우와 검증된 보안성으로 고객에게 가장 적합하고 안전한 암호화를 제공합니다.

 

데이터베이스 암호화

 

데이터베이스를 완벽하게 암호화 하기 위해서는 암호화, 키 관리, 접근 제어와 감사 세가지 요소가 모두 빠짐없이 고루 갖춰져야만 합니다.

 

 

 

IT 시스템 계층별 적용 가능 D’Amo 컴포넌트

 

 

1990년대부터 API, PLUG-IN, Hybrid, In-place 등 다양한 암호화 방식 컨셉을 주도한 D’Amo는 국내외 상용되고 있는 모든 DBMS의 암호화를 완벽하게 지원함은 물론, 비즈니스 솔루션, 금융인프라, 차량간 통신 보안 등 암호화가 필요한 모든 곳에 활용될 수 있는 Data Encryption Platform(데이터 암호화 플랫폼)입니다.

 

D`Amo란?

 

D`Amo는 2004년에 개발되어 10년간 약 1,800여 고객환경을 지원한 시장점유율 1위의 데이터암호화 솔루션입니다.
다양한 고객의 IT 시스템 환경에 적합한 컴퍼넌트로 제공하며 국내 최고수준의 암호화 성능을 보유하고 있습니다.

 

 

어플리케이션 레벨 암호화

 

D`Amo 어플리케이션 레벨 암호화 솔루션으로 펜타시큐리티는 D’Amo BA-SAP, D’Amo BA-SCP, D’Amo DA, D’Amo EA를 제공합니다.
고객이 사용하고 있는 비즈니스 어플리케이션과 호환되도록 주로 API방식으로 제공되며 다양한 DBMS 및 OS환경에 적용이 가능합니다.

 

 

시스템 레벨 암호화

 

D`Amo 시스템 레벨 암호화 솔루션으로 펜타시큐리티는 D’Amo DP, D’Amo DE, D’Amo SP, D’Amo VL를 제공합니다.
DBMS의 엔진레벨이나, OS레벨, 등 시스템레벨에서 암복호화 기능을 수행하며 설치 및 사용이 간편하며 뛰어난 성능을 제공합니다.

 

 

네트워크 레벨 암호화

 

D`Amo 네트워크 레벨 암호화 솔루션으로 펜타시큐리티는 ISSAC-Web을 제공합니다.
웹 서비스 환경에서 송,수신 데이터를 암복호화하여 안전하게 보호하며, 정확한 사용자 인증을 통해 서비스의 신뢰성을 높혀줍니다.

 

 

키 매니지먼트 D`Amo SG-KMS

 

D`Amo SG-KMS는 중요한 고객 데이터의 안전한 보호를 위하여 국내 및 국제표준에 의거하여 암호화 키를 안전하게 관리, 보호하는
제품으로 키 관리 전용 Appliance 장비나 Virtual환경으로 제공됩니다.

D`Amo SG-KMS는 국정원 DB암호제품 보안요구사항 만족제품(CC인증 획득)으로 고객에게 최상의 보안성과 성능을 제공합니다.

 

 

 

D`Amo 관련 상세 문의

메일 문의 : sdsol@pentasecurity.com / 전화 문의 : 02-2125-6760

 

 

profile

개인정보보호 솔루션시장 `활짝` (디지탈타임즈 2013. 06. 13)

개인정보보호 솔루션시장 `활짝`

올해 DB 보안ㆍ 컨설팅 등 시장 규모 2000억대 성장
신규 진출업체 큰폭 증가…일부 저가공세 부작용도 

 

개인정보보호법이 지난해 하반기 발효되면서 개인정보보호 솔루션 시장이 가파른 성장세를 보이고 있는 것으로 나타났다.

13일 보안업계에 따르면 개인정보보호법이 통과되면서 개인정보보호에 대한 수요가 증가해 개인정보보보호 솔루션은 물론 취급 업체도 증가했다. 실제로 개인정보보호법의 영향으로 데이터베이스(DB)보안, DB암호화 제품은 2011년 대비 2012년에 각각 25.2%와 92.3%의 성장을 기록했다.

펜타시큐리티시스템 관계자는 “2012년은 개인정보보호법 발효 이후 유예기간을 거친 규제 원년이었기 때문에 공공기관을 필두로 수많은 민간 기업체의 DB암호화 솔루션 도입이 이뤄졌다”며 “시장규모도 약 두 배 정도 성장했다”고 설명했다.

특히 올해는 PC 보안은 2배 이상 성장한 300억원의 시장규모를 형성할 것으로 보이고 DB보안과 컨설팅까지 합치면 2000억원을 상회할 것이라는 업계 전망도 나오고 있다.

가장 크게 수혜를 본 DB암호화 제품군 이외에도 개인용 PC와 웹에서의 개인정보 노출 방지 제품과 메일 필터링 솔루션 등도 개인정보보호법의 영향을 받아 큰 폭의 성장을 기록했다. 대표적인 업체는 지란지교소프트로 이 회사는 이 제품군에서 2012년 상반기 매출이 약 5배 정도 증가한 것으로 알려졌다.

이처럼 개인정보보호 시장이 확대되자 기존 업체뿐만이 아니라 새롭게 시장에 진출하는 업체도 증가했다. DB보안군은 물론 PCㆍ웹 보호 제품의 경우 2011년 말까지는 5∼6곳의 업체가 제품을 출시했지만 지난해에는 제품을 출시하는 업체가 20여군데 이상으로 늘었다. 외산업체도 한국에 지사를 세우는 등 시장 확대에 열을 올리고 있다. 이에 기존 업체들은 GS인증, 관련 레퍼런스 확보 등으로 차별화와 경쟁우위를 강조하고 있는 추세다.

그러나 시장에 진입한 업체 일부는 저가전략으로 시장에 뛰어들어 경쟁 심화와 부작용을 낳을 우려도 커지고 있다.

한 업계 관계자는 “정부가 법으로 규정해 꼭 설치를 해야한다는 점을 노려 유사한 제품에 DB암호화나 개인정보유출방지라는 이름을 붙인 제품들도 등장해 품질 저하 우려가 있다”며 “솔루션은 납품되고 끝나는 것이 아니라 유지보수가 지속적으로 이뤄져야 하는데 저가 제품은 안정성은 물론 제품의 중복 설치 우려가 커 지출 비용이 증가할 수 있다는 단점도 있다”고 말했다.

한편, 올해는 1차 개인정보보안으로 얘기되는 DB보안 이외에도 통합로그보안 등의 진화한 개인정보보호 제품도 매출 상승세를 타고 있다. 이에 이너버스, 이글루시큐리티 등의 업체도 이 시장을 대비해 제품 성능을 향상시키거나 출시한다는 계획이다.

 

[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/contents.html?article_no=2013061402010860787002]

 

profile

“DB 암호화로 인한 성능저하 두려워 말라” (데이터넷 2012월 11월 13일)

“DB 암호화로 인한 성능저하 두려워 말라”

개인정보보호 해법 ‘DB 암호화’ … 성능저하 문제 해소

 

개인정보보호법 제정 의의가 가장 분명하게 드러난 조항은 개인정보의 암호화를 명시한 제24조 3항 ‘(개인정보의) 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 해야 한다’이다. 처벌규정을 정한 제73조에서는 ‘(암호화 조치를)위반해 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자’에게 2년 이하의 징역 또는 1000만원 이하의 벌금을 부과한다고 명시했다.

DB 암호화는 시스템 성능에 영향을 미치기 때문에 도입률이 매우 낮다. DB 접근제어 솔루션 업체들은 암호화 도입시 성능이 20% 가까이 느려진다고 주장하며, 데이터가 유출되지 않도록 다른 방식을 사용하는 것이 더 현명하다고 강조해왔다. 법으로 ‘암호화’가 명시된 이상 암호화를 미룰 수 없게 되자 암호화 솔루션 도입이 활발해졌다. 특히 금융권의 경우 벌금이 부담스럽다기보다, 개인정보 유출사고시 이미지 하락으로 인한 피해를 막기 위해 암호화를 적극 검토하고 있다.

법 제정 이후 암호화 시장이 크게 성장한 것은 사실이지만, 아직 우려의 목소리가 사라진 것은 아니다. 암호화의 효용성 논란도 여전하고, 시스템 성능 저하 문제를 어떻게 해결할 것이냐 하는 문제가 해결된 것이 아니기 때문이다.

 

미적대는 제1 금융권 “경쟁사가 먼저 하면…” 


DB 암호화는 단지 주민등록번호를 암호화하는 것으로 끝나는 것이 아니다. 비즈니스나 업무 특성에 따라 암호화 해야 할 데이터가 다르다. 금융업은 개인 식별번호와 금융거래 정보, 비밀번호 정보 등이 암호화 대상일 것이다. 의료기관은 의료보험 정보와 진료정보를 보호해야 할 것이고, 쇼핑몰이라면 개인식별정보와 함께 결제정보가 중요한 정보일 것이다.

암호화된 데이터를 이용해 업무를 처리하거나 분석을 실시하려고 한다면, 별도로 복호화하는 과정이 필요할 것이고, 외부 협력사와 함께 일을 한다면 해당 회사가 복호화 키를 갖고 있어야 한다. 암호화 기술이 성숙되지 못했던 시기에는 암호화된 데이터를 복호화 키와 함께 전송해 암호화를 할 필요가 없도록 만드는 일도 비일비재했다.

데이터 암호화 도입 시기가 2개월여 밖에 남지 않은 시점이 되자 암호화가 가장 시급한 금융권은 정부의 가이드라인이 구체적이지 않다고 비판한다. 금융 업종과 IT 시스템의 특성상 암호화는 시간이 많이 걸리고, 투자예산도 부담스러울 정도로 높다. 업무 시스템에 직접 영향을 미치기 때문에 시스템 성능저하는 물론이고 임직원과 고객의 불만이 높아지게 된다는 주장이다.

현재 금융권에서 암호화를 진행하고 있는 곳은 대부분 보험사와 같이 속도에 민감하지 않은 곳이며, 제1금융권과 증권사는 검토중이라는 답변만을 내놓는다. 벌금을 내게 되더라도, 다른 경쟁사가 암호화를 도입해서 어떻게 사용하는지 살펴본 후 조치를 취하겠다며 눈치를 보고 있는 상황이다.

서봉균 소프트포럼 이사는 “금융권에서 암호화에 난색을 표하는 것은 성능 영향의 이유가 제일 크다. 배치업무 만으로도 정상 업무시간 외에 시스템 리소스를 사용하는 것이 어려운 상황인데, 암호화까지 추가시키면 차세대 시스템에 버금가는 예산을 투입해야 할 수도 있다”고 말했다.

 

DB 품질 좋으면 암호화 효과 높아


암호화로 인한 시스템 성능저하 문제를 해결하기 위해 DB보안업체들은 자체 개발한 특수한 암호화 알고리즘을 강조하며, 기술 성숙도가 높아져서 시스템 성능 저하를 최소화할 수 있다고 주장한다. 높은 수준의 암호화 알고리즘 외에 데이터 품질이 높고 튜닝이 잘 된 DB라면 암호화로 인한 시스템 성능 저하를 크게 줄일 수 있다.

김덕수 펜타시큐리티 CTO는 “예를 들어 5000만건의 개인정보 중 ‘광주에 살고, 자영업을 하는 40세 남자 홍길동’이라는 사람을 찾을 때, 5000만명 전체 국민에 대한 데이터를 암호화해 불러오는 것 보다 ‘광주, 자영업, 40세, 남자, 홍길동’이라는 키워드에 해당하는 데이터만 불러와 훨씬 더 빠른 결과를 얻을 수 있다”며 “똑똑하게 암호화 시스템을 운영하면 성능 문제를 걱정할 필요가 없다”고 말했다.

최영호 케이사인 DB보안사업부 팀장은 “DBMS에 대한 높은 이해가 있다면, DB 암호화 시스템도 스마트하게 운영할 수 있다”며 “운영시스템에서 암호화 기술 만으로 해결할 수 없는 부분이 있지만, 시스템 자체를 스마트하게 만들면 암호화의 한계를 극복할 수 있다”고 말했다.

 

빅데이터 암호화 방법 찾아야


DBMS를 잘 알면 DB 암호화 시스템을 구축·운영하는데 도움이 되는 것이 사실이다. 그러나 암호화는 DBMS와 기술 기반이 다르며, 암호화 기술은 어떤 데이터에도 적용할 수 있어야 하기 때문에 DBMS를 잘 아는 것과 DB 암호화 시스템을 제대로 구축·운영하는 것은 다르다.

김덕수 펜타시큐리티 CTO는 “비즈니스 요건에 따라 암호화를 수행하는 위치나 데이터의 특성이 달라지기 때문에, 시스템과 비즈니스 전반에 대한 이해가 높아야 하고, 여러 환경에서 동일한 수준의 보안 환경을 구축할 수 있어야 한다”며 “펜타시큐리티는 DB 보안 제품 뿐 아니라 웹방화벽 솔루션도 국내에서 높은 점유율을 갖고 있어 데이터를 보다 안전하게 보호할 수 있도록 돕는다”고 말했다.

김 이사는 “펜타시큐리티는 DB 보안 솔루션 뿐 아니라 지능형 웹방화벽 ‘와플(WAPPLES)’도 개발·공급하고 있어 개인정보보호법에서 규정한 네트워크 접근통제 등에 대응할 수 있다”고 덧붙였다.

최근 IT의 최대 화두인 빅데이터 환경에서 암호화는 어떻게 해결해야 할까? 앞서 예로 든 것 처럼 DB의 튜닝이 잘 돼 있으면 필요한 정보만 불러올 수 있지만, 대부분 기업이 가진 DB는 수십년간 축적돼 온 것으로, 데이터 품질 수준이 낮은 편이라고 할 수 있으며, 비정형 데이터는 튜닝가 같이 데이터 품질을 높이는 기술이 거의 없는 형편이다.

신시웨이는 암호화된 데이터를 포함하는 ‘SELECT SQL’ 이라는 독창적인 아키텍처를 통해 암호화 속도를 높이며, 대량의 데이터를 암·복호화 할 수 있는 기능을 선보인다. 이 회사는 한국데이터베이스 진흥원 주관의 DB보안인증(DQC-S) 수행 서비스를 제공하고 있다. 신시웨이 DB 암호화 솔루션 ‘페트라 사이퍼(Petra Cipher)’는 흥국생명, 태광, 교통관리공단, 군인공제회 등 다양한 민간 및 공공 기관에 공급됐으며, DB 접근제어 솔루션 ‘페트라(Petra)는 BC카드, 한투증권, 미래에셋증권, 현대증권, 국세청, 우정사업정보센터, 심사평가원 등에 공급됐다.

한때 DB 암호화 기업들이 플러그인(Plug-IN) 방식과 API 방식을 두고 어떤 것이 더 기술우위를 차지하는지 논쟁을 벌였지만, 현재 대부분의 솔루션이 두 방법을 다 지원하는 하이브리드 방식을 취하고 있다. 보통 해킹 위험과 취약성의 위협 등 보안 강화가 필요한 업무, 높은 성능이 요구되고 트랜잭션이 많은 업무는 API 방식으로 구현되며, 소스 일부 사항의 변경이 불가하고 업무의 편리성이 필요한 경우 플러그인 방식으로 구현되며, 두 방식이 혼용될 수 있다.

API 방식은 성능과 보안성이 강하지만, 애플리케이션이 암·복호화 호출을 위해 기존의 소스를 수정해야 한다. 이니텍의 DB 암호화 솔루션 ‘세이프DB’는 ‘필터API’라는 기술을 적용해 API의 보안과 사용 편리성을 한차원 더 높인다. 이 기술은 API 방식에서 DB 커넥션 드라이버 설정만으로 소스 수정이 필요없다.

하드웨어 암호화 기술로 성능문제 해결 아무리 기술이 발달해도 암호화의 성능 문제는 해결할 수 없다. 데이터가 흘러가는 어떤 한 지점에 DMZ를 두고 모든 데이터는 이 공간을 거쳐서 암호화 혹은 복호화돼야 하기 때문에 암호화 하지 않은 트랜잭션보다 느릴 수밖에 없다. 이러한 문제를 원천적으로 해결할 수 있는 암호화 솔루션으로, 하드웨어에서 암호화를 실시하는 ‘보메트릭’이 소개된다.

보메트릭의 가장 큰 장점은 애플리케이션이나 시스템이 수정 없이 적용할 수 있다는 것이다. DB, 애플리케이션, 스토리지 네트워크를 재구성하지 않아도 돼 몇 주 만에 시스템 구축을 완료할 수 있다. 보메트릭은 10월 말 한국지사를 설립, 국내 시장 공략에 나섰다.

하드웨어 암호화 솔루션으로 세이프넷의 ‘데이터시큐어(DataSecure)’가 국내에서 먼저 자리를 잡았다. 이 제품은 데이터 암호화와 함께 접근 제어 기능을 통합한 플랫폼을 제공하며, 데이터베이스, 애플리케이션, 메인프레임 환경 및 개별 파일들에 모두 적용할 수 있다.

데이터시큐어는 중앙집중화된 키 관리기능과 보안정책 관리 등의 필수 기능들을 제공해 관리를 간소화하고, 보안을 극대화한다. 이 제품은 범용 서버가 아니라 암호화 전용 하드웨어에 암호화 키를 저장해 보안성을 한층 강화했으며, DB서버가 아니라 하드웨어에서 직접 암호화와 해독 연산을 처리하기 때문에 DB 서버 성능에 영향을 주지 않으며, 암호화 대상 데이터가 늘어나도 라이선스를 추가해야 하는 부담이 적다.

 

암호화 외의 방식으로 개인정보 유출방지


개인정보보호법의 암호화 규정인 제23호 3항은 ‘암호화 등 안전성 확보에 필요한 조치’라고 규정돼 있다. 즉 개인정보는 모두 다 암호화 기술로 보호해야 하는 것은 아니라는 뜻이다. 암호화 외에 다른 방식으로도 데이터 유출을 방지할 수 있으면 된다.

DB 보안 솔루션 벤더들은 그 대표적인 방법으로 접근제어를 든다. 권한없는 사용자의 DB 접근을 막고, DB에 불법 침입이 일어나지 않도록 하며, DB에서 이상행위를 감시하는 DB 접근제어는 데이터가 유출됐을 때 상황에서도 데이터를 안전하게 보호해야 한다는 요구에는 부족하지만, 데이터의 유출을 막을 수 있다는 점에서 주목을 받고 있다. 최근에는 DB 접근제어와 DB 암호화를 연동시키는 추세다.

데이터 마스킹 기법도 암호화 없이 데이터 유출을 방지할 수 있는 기술로 꼽힌다. DB 암호화 제품 중 일부에는 마스킹 기법을 옵션으로 제공하고 있으며, 데이터 통합 전문기업 인포매티카는 이스라엘 기업을 인수하고 ‘데이터 마스킹’ 솔루션을 적극 드라이브 하고 있다.

데이터 마스킹은 개인정보 등 중요한 정보를 다른 글자나 문자로 치환해 보여주는 등의 방법을 사용하며, DBA 등 데이터를 갖고 일하는 조직원들이 개인정보를 알지 못하게 해 개인정보 유출을 방지한다. 마스킹 기법은 유출된 데이터는 보호하지 못하지만, 데이터에 접근할 수 있는 권한이 있는 직원들의 데이터 유출을 방지하며 DB나 애플리케이션에 대한 수정·변경이 필요 없다.

접근제어나 암호화 기법은 둘 다 유출된 데이터를 보호할 수 없기 때문에 완벽한 DB 보안 솔루션이라고 하기는 어렵지만, DB 암호화 솔루션과 함께 사용되면 암호화의 성능과 비용문제, 시스템·애플리케이션이 구성변경·수정 문제 등을 해결할 수 있다.

암호화는 개인정보보호법과 관련된 이슈 중 가장 뜨거운 이슈인 것은 분명하지만, 암호화만으로 개인정보보호가 가능한 것은 아니라는 점을 반드시 기억해야 한다. 암호화 솔루션을 구입하는 것으로 개인정보보호를 위한 노력을 완료했다고 생각하는 것은 위험하다.

 

[기사 원문 보기 – 데이터넷 http://www.datanet.co.kr/news/articleView.html?idxno=63616]

profile

의료 SW업계, 개인정보보호 시장공략 ‘고삐'(머니투데이 2012. 10. 18)

의료 SW업계, 개인정보보호 시장공략 ‘고삐’

개인정보보호법 따른 병원들 속속 대응 채비…비트, 인피니트 등 보안제품 연계판매

 

SW(소프트웨어) 업계가 의료 개인정보보호 시장 공략에 박차를 가하고 있다.

지난해 9월 30일 개인정보보호법이 전면 시행됐으나 업계 준비 등의 이유로 뒀던 유예기간이 올해 연말로 끝난다. 그동안 의료기관들은 의료법과 개인정보보호법이 일부 중첩되는 등 법령 적용범위와 해석이 불분명해 법 이행을 사실상 미뤄왔다. 그러나 지난달 행정안전부와 보건복지부가 공동으로 ‘의료기관 개인정보보호 가이드라인’을 발간함에 따라 관련 솔루션 도입이 가속화 될 것으로 전망되고 있다.

이 가이드라인에 따르면, 진료정보는 의료법에 따라 동의없이 수집할 수 있지만, 법규에 명시된 경우를 제외하고는 이 정보를 제3자에게 제공하거나 열람할 수 없다. 진료 정보의 보유기간도 최소 10년이며, 진료에 필요한 정보에 경우에 한해 연장할 수 있다. 특히 고객들의 주민등록번호는 암호화하고 접근통제 등 안전한 관리를 위한 조치를 취해야한다.

국내 병원들은 방대한 개인 의료 정보를 취급하고 있는 반면, 보안투자는 턱없이 소홀하다는 지적을 꾸준히 받아왔다. 의료정보 보호 의무화를 다룬 개인정보보호법의 유예기간 종료에 맞춰 적잖은 시장이 열릴 것이라는 전망도 이 때문이다. 이와 관련, 기존 의료 SW업계도 보안업계와의 제휴를 통해 활발한 영업을 펼치고 있다.

비트컴퓨터는 지난해 펜타시큐리티, 소프트포럼 등 정보보호 기업들과 잇따라 양해각서(MOU)를 교환하고 관련 암호화 솔루션을 준비해왔다. 이 회사가 주력하는 솔루션은 기존 비트컴퓨터 의료정보 솔루션에 보안기능이 탑재된 통합 제품으로, 보안기능 부분만 별도 도입하는 것도 가능하다는 설명이다.

현재 비트컴퓨터는 다수의 병원급 및 의원급 의료기관에 해당 솔루션 테스트를 마치고, 보안 솔루션 구축을 진행하고 있다. 또 신규고객을 대상으로 한 마케팅도 병행하고 있다.

인피니트헬스케어도 펜타시큐리티, 이글로벌시스템과 손잡고 이들 보안솔루션을 인피니트헬스케어 제품과 연계 판매하는데 주력할 계획이다. 현재 인피니트헬스케어는 10여개 대학병원에 솔루션을 제안한 상태다.

업계 관계자는 “대형병원, 공공병원 등은 높은 수준으로 보안시스템을 갖춘 경우가 있지만, 규모가 작을수록 취약한 상태”며 “특히 의원급 의료기관이나 소형병원의 경우 지속적인 홍보와 안내에도 불구하고 관심과 예산, 정보부족 등으로 도입에 미온적인 경우들이 있는 만큼 적극적으로 홍보해 나갈 계획”이라고 밝혔다.

 

[기사 원문 보기 – 머니투데이 http://news.mt.co.kr/mtview.php?no=2012101714585410788&outlink=1&ref=%3A%2F%2F]

 

profile

강원랜드, DB암호화로 이용객 프라이버시 지킨다! (보안뉴스 2012. 09. 20)

강원랜드, DB암호화로 이용객 프라이버시 지킨다!

국내 카지노 업계중 한발 앞서 DB암호화 등 개인정보보호 강화 

 

국내 카지노 중 유일하게 내국인 이용이 가능한 강원랜드 카지노는 하루에도 수천여 명에서 많게는 만여 명이 넘는 사람들이 이용하고 있다.

 


이렇듯 수많은 사람들이 이용하는 데다가 카지노라는 특수성으로 인해 강원랜드는 이용객들의 프라이버시 보호가 가장 중요한 과제였으며, 개인정보보호법에 명시되어 있는 DB암호화 역시 우선적으로 추진해야 하는 상황이었다.

고윤철 강원랜드 정보시스템팀 팀장은 “카지노 입장객의 주민번호, 여권번호(외국인), 회원카드의 패스워드, 고객 신분증 이미지, 내부적으로는 내·외부인 휴대폰 번호 등의 개인정보를 수집·보관하고 있다”며, “최근 잇따른 해킹사건과 대규모 개인정보 유출사건에서 보듯이 외부 해킹 등의 보안위협에 대비하고 개인정보보호법 준수를 위해 DB암호화가 서둘러 진행되어야 한다는 의견이 제기됐다”고 설명했다.

이로 인해 강원랜드는 지난 4월부터 DB암호화 프로젝트를 추진했으며, 개인정보보호법을 철저히 준수하기 위해 카지노 이용객들의 개인정보보호체계를 대폭 강화했다. 국내 카지노 업계에서 개인정보에 대한 DB 암호화는 강원랜드가 처음으로 현재 다른 카지노 업계에서 이를 벤치마킹하고 있다.

강원랜드의 DB암호화 솔루션 구축작업은 올해 4월부터 7월까지 진행됐으며, 시스템 안정화를 거쳐 지난 8월부터 본격적으로 운영하고 있다. 총 예산은 약 6억원 가량이라는 게 고 팀장의 설명이다.

그 결과 강원랜드는 카지노 시스템과 사내 업무 시스템에 모두 암호화를 적용했다. 구축 시 가장 우려한 부분은 역시 시스템의 오류 등에 따른 리스크였다. 카지노의 하루 매출은 약 30억원 가량인데, 단 몇 분만 시스템이 멈춰도 큰 손실을 야기할 수 있다는 것.  하지만 구축에 투입된 엔지니어들의 뛰어난 실력과 풍부한 노하우로 인해 큰 문제없이 구축이 진행됐다고 강원랜드 측은 평가했다. 특히, DB암호화 솔루션 도입 시 나타나는 성능저하 현상에 대해서도 타 사이트의 사례들을 세밀히 조사해 발생할 수 있는 문제점을 미리 파악해 대처했기 때문에 별다른 문제가 없었다는 얘기다.

또한, 그는 “DB암호화를 구축하고 운영한 지 약 2개월 가량 지난 지금 가장 큰 효과는 개인정보보호 등 보안이 한층 강화되었다는 점이고, 여기에 DB암호화를 했는지 안했는지조차 모를 정도로 DB 시스템이 성능 저하 없이 운영하고 있다는 점”이라고 강조했다.
더욱이 정보시스템팀에서 DB 운영자 및 개발자 등 DB관련 업무담당자에 대해서 총 6번의 반복교육을 통해 DB암호화 시스템이 효과적으로 정착될 수 있도록 노력을 기울인 결과 지금은 안정적으로 운영되고 있다는 게 고 팀장의 설명이다.

강원랜드는 현재 시행되고 있는 매체제어 및 휴대저장장치, 웹 메일 등에 대한 통제에 더해 추가적으로 직원 업무용 PC에 저장되어 있는 개인정보를 보호할 수 있는 유출방지 솔루션 등을 도입해 보안을 한층 강화해 나간다는 계획이다.

한편, 이번 강원랜드가 도입한 DB암호화 솔루션은 펜타시큐리티시스템의 D’Amo이며 프로젝트 수행업체는 협력 업체인 아이티센시스템즈와 밸류부스터가 진행했다.

 

[기사 원문 보기 – 보안뉴스 http://www.boannews.com/media/view.asp?idx=32892&kind=1]

 

profile

[기고] 토큰화 기술에 대한 보안성 고려②

아래의 기사는 펜타시큐리티시스템() 심상규 신기술개발팀장의 토큰화 기술에 대한  기고를 바탕으로 보안뉴스에 2012. 05. 31 보도된 내용입니다.

 

안전한 토큰 생성과 의사 난수 사용법

 

[보안뉴스=심상규 펜타시큐리티 신기술개발팀장] 토큰화 기술(Tokenization)은 금융 거래 정보를 보호하기 위해 2005년에 제안되었으며 최근에는 개인정보보호를 위한 DB암호화 기술로 많은 주목을 받고 있다. 토큰화 기술 자체는 이론상으로 안전한 기술이지만, 토큰화 기술의 핵심인 토큰 생성 방법을 실제로 구현하는 데에 있어서 많은 보안문제가 야기될 수 있다.

 

이번에는 지난 기고에 이어서 안전한 토큰 생성법인 속성유지 암호화 방법에 대해서 나누어 살펴보고자 한다.

 

안전한 토큰 생성법

◇암호학적으로 안전한 난수 생성기를 사용하는 방법

 

가장 안전한 토큰 생성 방법은 암호학적으로 안전한 난수 생성기(SRNG; Secure Random Number Generator)를 이용하는 방법이다. SRNG는 암호화 키 등과 같은 사용자의 의도된 입력값을 입력으로 하지 않으며, 주변 환경으로부터 독립하여 난수를 생성한다.

 

기사 전문 보기

[기고] 토큰화 기술에 대한 보안성 고려① 보기

profile

개인정보보호 주요이슈 따라잡기 (2)DB 암호화 (보안뉴스 2012.04.25)

개인정보보호 주요이슈 따라잡기 ②DB암호화

DB암호화, 개인정보보호에 있어 가장 필요한 솔루션으로 부각 
개인정보보호법과 보안인식 제고로 올해 500억원 규모 성장 예측 

 
지난해 연이어 발생한 해킹과 정보유출사건, 개인정보보호법의 시행에 힘입어 DB암호화는 DB 접근제어와 함께 매우 중요한 보안 솔루션으로 주목받고 있고, 관련 시장도 크게 성장하고 있다.

특히, 지난해 대규모 개인정보 유출사고와 개인정보보호법 시행으로 인한 컴플라이언스 이슈로 인해 DB암호화의 중요성이 더욱 부각되고 있다.

이에 대해 케이사인 김학남 과장은 “지난해 네이트, 넥슨 등의 정보유출 사고 이후 주민등록번호, 신용카드번호, 계좌번호, 휴대폰번호 등 고객의 개인정보 DB를 암호화해서 개인정보 유출문제를 원천적으로 차단하려는 대기업 수요가 몰리면서 지난해부터 DB 암호화 솔루션의 수요가 크게 증가하고 있다”고 밝혔다.

그는 “전체적으로 DB암호화 수요가 증가하고 있지만 특히, 공공 분야에서 법 준수 차원에서의 수요가 증가하고 있고, 민수시장은 제조업과 통신, 금융권에서 DB암호화에 관심을 보이고 도입이 늘어 올해 1분기에 전년 동기대비 2배 가량 매출이 증가했다”고 밝혔다.

또한, 펜타시큐리티 이충우 이사는 “올해 1분기 DB암호화 솔루션 매출은 지난해와 비교해 110%의 매출증가를 기록했다”면서 “공공시장과 민수시장 골고루 매출이 증가했는데, 민수시장 가운데서는 제조업이 많이 증가했다. 지난해까지 검토만 하다가 올해 본격적으로 도입이 이어지고 있어 DB암호화 솔루션 시장은 지난해보다 성장할 것으로 전망한다”고 밝혔다.

이글로벌시스템의 조돈섭 이사 역시 “지난해 DB암호화 솔루션은 공공보다는 민간기업에서 많이 도입했고, 주로 제조업과 캐피탈사에서 많이 구축했다”면서 “올해에는 중앙부처 등 공공기관과 제1금융권에서도 도입을 확대하고 있다”고 설명했다.

또한, 그는 “지난해와 가장 크게 달라진 점은 금융권에서도 DB암호화를 도입하기 시작했다는 점”이라며, “지금까지 도입을 주저했던 금융권이 정부에서 2조원 이상의 금융회사에서 임원급 CSO임명을 의무화하는 등 보안에 대해 강력한 드라이브를 걸면서 최근 보안 강화에 적극 나서고 있다”고 설명했다.

그러나 DB암호화 솔루션을 효과적으로 도입해 활용하기 위해서는 자사의 IT 환경과 DBMS 솔루션에 적합한 성능과 유지보수 및 서비스, 그리고 가격 등을 잘 고려해서 선택해야 한다. 우선 DB암호화의 3가지 구성방식을 이해하고, 자사의 환경에 맞춰 DB암호화 솔루션을 선택하는 것이 무엇보다 중요하다. 각 업체의 솔루션별로 차별화된 특징이 있기 때문이다.

 

▲ DB암호화 구성방식

구성방식

특징

Plug-in 방식

-암호모듈을 DBMS에 플러그인 하여 사용하는 방식

-DB암호 적용시 응용프로그램 성능을 최소화 할 수 있으나 DBMS의 부하로  인해 성능이 저하될 수 있음.

API 방식

-응용프로그램에 암호 API를 제공하여 프로그램에 적용하는 방식

-DBMS에 영향을 주지 않아 성능이 우수한 반면 응용프로그램의 OS 종류, 개발 툴 종류 별로 암호모듈 API를 제공해 응용프로그램 소스의 제어문 변경으로 인한 수정과 접근통제가 어려움.

Secure Proxy 방식

-독립된 프로세스로 구동하여 응용프로그램과 DBMS 중간에 위치하여 암호화 하는 방식

-Plug-in 방식과 API 방식의 단점 보완

 

특히, DB가 암호화되면 모든 데이터가 저장될 때마다 혹은 데이터를 읽을 때마다 암복호화 작업이 진행되기 때문에 부하가 많이 걸린다. 이로 인해 DB암호화에서 가장 중요한 것은 이러한 부하가 얼마나 발생하는지, 또는 감소시킬수 있는 방안이 마련되어 있는지도 중요한 포인트가 될 수 있다.

 

▲주요 DB암호화 솔루션

업체명

(가나다순)

솔루션명

주요 특징 및 장점

소프트포럼

제큐어DB

-고성능과 보안성 그리고 편리성을 모두 갖춘 제품으로 API방식과  Plug-in 방식 모두 지원

-다양한 API 지원 통한 고가용성 및 고성능, DW 및 임베디드 환경 등 다양한 환경에서의 구축 가능

-최적의 마이그레이션 툴(Migration Tool) 제공

신시웨이

페트라 사이퍼

-제품의 아키텍처를 개선하고 암·복호화 호출 코드에 대한 세밀한 재구성을 통해 장점 극대화

-자사 제품인 접근제어 솔루션 ‘페트라(Petra V3.1)’와 완벽하게 연동 가능해 접근제어와 암호화 한꺼번에 구성 가능

세이프넷

데이터시큐어

-하드웨어 일체형 DB 보안 솔루션으로 암호화 처리·로깅·감사·보안 정책 관리 등을 1대의 물리적인 장비에 집중화

-필드·컬럼·파일 레벨의 암호화가 가능하며, 초당 10만 건 이상의 암호화 처리 속도를 제공하는 등 탁월한 암호화 처리 성능 제공

-더 강력한 성능이 필요할 경우 장비를 추가로 설치하고 로드밸런싱을 통해 처리 속도를 향상시킬 수 있음

이글로벌

큐브원

-풍부한 DB 적용성과 빠른 성능으로 대용량 DB에서 요구하는 암호화 성능 및 적용성 이슈 해결

-1대의 보안관리자용 매니저 콘솔에서 다수의 DB서버 또는 AP서버를 통합 관리하며 모든 작업이 GUI를 통해 자동으로 처리돼 DB를 잘 모르는 보안관리자가 운영하기에 적합

-고객정보, ERP(HRM) 정보, 도면, 동영상, 스캔한 문서 등 다양한 분야의 암호화에 적용할 수 있음

이니텍SafeDB-최적화된 암복호화 성능 제공
-키 관리 매커니즘 강력한 보안 제공
-다양한 업무 환경에 따른 지원방식(API-Native/Filter, Plug-in-View/SQL API) 제공
-DB연계 웹 어플리케이션(WAS)의 데이터 보안 강화 지원

케이사인

시큐어DB

-기존 암호화 방식과 함께 자체 개발한 암호화 기술을 적용, DB 성능 저하 문제 해결

-핵심은 SAP용 DB암호화에 적용한 개인정보 식별자(PIN) 기술을 활용한 ‘하이브리드 핀(Hybrid PIN)’으로 이를 통해 원본 개인정보를 PIN으로 대체해 보관하고 대체된 식별자는 별도의 PIN 서버 내에 안전하게 보관·관리

-개인정보를 선택해 암호화할 수 있어 다양한 데이터 타입을 암호화 할 수 있음

-다양한 암호 알고리즘을 제공하고 관리콘솔로 암·복호화를 수행할 수 있어 사용자 편의성 향상

펜타시큐리티

디아모

-어떤 환경에서도 쉽고 빠르게 데이터를 암호화 할 수 있으며 접근제 어와 감사를 동시에 제공하는 통합기능으로 높은 보안성이 특징

-가장 강력한 데이터 암호화와 엄격한 권한 관리가 가능한 플러그 인 (Plug-in) 방식의 디아모, 응용 프로그램에서 직접 암호화가 가능한 API 방식의 디아모 SCP, 암호화된 DB의 성능향상을 가져오는 하이브리드(Hybrid) 방식의 디아모 SG 등 3가지 방법을 각각 또는 결합해 구성할 수 있도록 지원

DB암호화 분야는 지난해와 비교해서 이를 도입하는 사용처가 점차 다양해지고, 이로 인해 대용량 시장으로 변화하고 있다. 이를 반영하듯 DB암호화 분야는 지난해 350억원 규모에서 올해는 대폭 성장한 500억원 정도의 시장규모를 형성할 것으로 예측된다.

 

[기사 원문 보기 – 보안뉴스 http://www.boannews.com/media/view.asp?idx=30984&kind=0]