[펜타시큐리티] EVS31 부스 사진

펜타시큐리티, 전기차 분야 세계 최대 심포지움 ‘EVS 31’ 참가

펜타시큐리티, 전기차 분야 세계 최대 심포지움 ‘EVS 31’ 참가

 

보안전문기업 ‘펜타시큐리티시스템’이 9월 30일~10월 3일 일본 고베에서 개최된 ‘EVS 31’ 행사에 참가해 자동차보안 솔루션 ‘AutoCrypt(아우토크립트)’를 소개하고 혼다, 덴소 등 관련 기업과 향후 기술교류를 논의했다.

 

[펜타시큐리티] EVS31 부스 사진

<‘EVS 31’ 펜타시큐리티 부스 사진>

 

최근 미국, 일본, 중국 등 세계 자동차산업 주요국가들은 미래경쟁력 강화, 대기환경 개선 및 온실가스 감축 등을 목적으로 전기차 산업 육성 정책을 적극적으로 추진하고 안전을 위한 보안 규제를 강화하고 있다. ‘EVS 31’은 그러한 최신 전기차 기술 동향이 집결되는 전기차 분야 세계 최대 심포지움이다.

 

펜타시큐리티의 ‘AutoCrypt’는 △전기차 충전 보안 시스템 ‘AutoCrypt V2G’, △외부 공격을 탐지하는 차량용 방화벽 ‘AutoCrypt AFW’, △차량과 외부 인프라의 안전한 통신을 보장하는 ‘AutoCrypt V2X’, △차량용 PKI 인증 시스템 ‘AutoCrypt PKI’, △차량용 키 관리 시스템 ‘AutoCrypt KMS’ 등으로 구성된 자동차보안 토탈 솔루션이다. 펜타시큐리티는 ‘EVS 31’ 행사장에서 한국 C-ITS 사업에 적용된 ‘AutoCrypt V2X’가 탑재된 OBU 단말기와 ‘AutoCrypt AFW’ 시스템 등을 전시하고 실물을 통해 기술을 시연했다.

 

펜타시큐리티는 지난 9월 덴마크 코펜하겐에서 개최된 실시간 교통정보 수집·관리 ITS 분야 세계 최대 규모 행사인 ‘ITS World Congress 2018’에 참가해 ‘AutoCrypt’를 소개한 바 있다. 그리고 10월 17일, 일본 정부와 함께 NEC, 히타치, 미쓰비시 등 19개 기업이 공동 설립한 전장반도체 제조사 ‘르네사스(RENESAS)’가 주최하는 ‘R-Car 컨소시엄’에 참여한다.

 

펜타시큐리티 신사업본부장 김덕수 전무는 “오늘날 자동차는 수많은 소프트웨어가 탑재되고 외부 다양한 기기와 연결되어 끊임없이 데이터를 주고받는 거대한 IoT 기기임에도 보안은 전반적으로 미비하다”고 말하고, “펜타시큐리티는 20여 년 축적한 보안 기술과 노하우를 바탕으로 안전한 스마트카 그리고 IoT 시대를 열어 가기 위해 자동차 산업계와의 기술교류를 지속하며 최신 동향을 솔루션에 반영하는 등 제품 포트폴리오를 강화하고 있다”고 말했다.

top botnets 2017

펜타시큐리티, ‘체인ID’에 암호화 키 관리 솔루션 공급

펜타시큐리티, ‘체인ID’에 암호화 키 관리 솔루션 공급

금융업계 공동 블록체인 인증 서비스 ‘체인ID’에 ‘D’Amo KMS’ 공급

 

IoT∙클라우드∙엔터프라이즈 보안전문기업 펜타시큐리티시스템㈜ (사장 이석우, www.pentasecurity.co.kr, 이하 ‘펜타시큐리티’)는 블록체인 기반 공동인증 서비스 ‘체인ID (Chain ID)’에 자사의 암호화 키 관리 시스템 ‘D’Amo KMS(디아모 케이엠에스)’를 공급했다고 밝혔다.

‘체인ID’는 11개 증권사 등 자본시장 주요 금융기관들이 공동으로 설립한 블록체인 컨소시엄에서 선보이고 세계 최초로 상용화한 블록체인 기반의 공동 인증체계 서비스다. 비용이 높고 사용이 불편한 기존의 중앙집중관리 방식과 달리 거래 참가자 모두 정보를 공유하는 P2P 분산형 네트워크 장부인 블록체인을 기반으로 서비스되기 때문에, 단 한 번의 인증절차만으로 속한 모든 금융기관에서 온라인 주식거래 및 자금이체 등 금융거래가 가능한 편리하고 안전한 방식이다. 그러한 블록체인 시스템에 있어 가장 중요한 보안요소인 암호화 키 관리를 펜타시큐리티의 ‘D’Amo KMS’가 담당하게 된 것이다.

블록체인 기반 시스템에서 ‘키 관리’는 가장 핵심적인 필수보안요소다. 블록체인 시스템은 암호화 키 쌍을 보유하고 해당 키 쌍은 노드와 노드 사이를 연결하는 데이터 전송 구간을 암호화할 때 그리고 전자서명을 통한 노드 간 인증 시에 사용된다. 따라서 블록체인 시스템의 키가 노출되면 데이터 전송 중에 사용자의 개인정보나 금융정보 등 중요한 데이터가 유출되거나 위·변조의 위험성이 높기 때문에 키는 별도의 안전한 키 관리 시스템에 보관하고 관리해야 한다.

펜타시큐리티의 ‘D’Amo KMS’는 암∙복호화 시 사용되는 키를 생성 및 관리하는 시스템으로, 키의 전반적 라이프사이클 전체를 관장하는 암호화 키 관리 솔루션이다. CC인증 EAL3+ 보증등급 등을 통해 증명되는 높은 보안성을 자랑하는 ‘D’Amo KMS’는 블록체인에서 지원하는 ECC (Elliptic Curve Cryptography, 타원곡선 암호) 알고리즘을 포함해 각종 국제표준을 준수하는 모든 암호화 키에 대한 종합적 관리가 가능하다. 또한 키 전송 시 발생할 수 있는 보안 위협을 방지하기 위해 전송구간 암호화를 진행함으로써 보다 안전한 키 관리가 가능하다.

펜타시큐리티 기획실장 김덕수 전무는 “금융거래 서비스 단순화 및 효율성 강화 측면에서 볼 때 금융시장에서의 블록체인 시스템의 역할은 앞으로 급진적으로 커질 것”으로 분석하고, “금융업계뿐 아니라 여러 산업분야에서 블록체인의 활용도가 높아지고 있기 때문에, 블록체인 보안의 가장 핵심적 역할을 담당하는 암호화 키 관리 시스템에 대한 시장요구 또한 한층 더 확대될 것”이라 전망했다.

 

 

profile

펜타시큐리티, SAP 전용 암호화 솔루션 ‘디아모 for SAP‘

<개인정보보호법 2주년 특집> 펜타시큐리티, SAP 전용 암호화 솔루션디아모 for SAP‘

 

아주경제 장윤정 기자= 펜타시큐리티는 2003년 국내 최초 DB암호화 솔루션디아모를 제품화해 시장 보급에 성공한 기업이다. 이 회사는 2012년 공공기관 조달 판매량 기준 46%로 국내 DB보안 시장점유율1위를 유지하고 있다.

 

데이터 암호화 및 웹 보안 전문기업 펜타시큐리티시스템에서 제공하는디아모(D’Amo) for SAP‘는 세계 시장 점유율1위의 ERP 제품인 SAP와 국내 1위 데이터 암호화 제품인 디아모가 만난 SAP 전용 암호화 솔루션이다.

 

디아모 for SAPSAP 환경에서 일반DB암호화 수준의 보안성을 유지하는형태보존암호화(FPE: Format Preserving Encryption)’기술을 적용했다. FPE는 기존 데이터의 속성을 유지하기 위해 같은 속성을 지닌 임의의 값으로 치환 또는 변환하는 것이 아닌대칭키 암호 알고리즘을 이용한 순수 암호화 기술이다. 특히 디아모for SAP는 전용 키관리서버(KMS:Key Management System)와 독일 SAP 본사인증 통신구간암호화 기능을 함께 제공한다.

 


 

남경문 펜타시큐리티 기획실 팀장은디아모 for SAP 16년 간 암호화를 연구해 온 펜타시큐리티 보안기술연구소의기술력과 2000여 누적 레퍼런스를 통해 누적한 노하우가 집약된 제품이라며디아모 for SAP FPE암호화와하드웨어 타입 전용 키 관리 서버를 통한 안전한 키 관리 그리고 공인된 통신암호화 기술을 통해 까다로운 SAP 환경에서도완벽한 보안을 실현 가능케 한다고 설명했다.

 

펜타시큐리티는 최근 중소형 병원·의원 시장 공략에 적극나서고 있다. 펜타시큐리티는 지난 3월 의료정보솔루션(OCS•EMR) 전문기업인 중외정보기술과 전략적 제휴를 체결했다. 이번제휴를 통해 펜타시큐리티는 자사의 DB 암호화 통합 보안솔루션인 디아모 for SAP를 중외정보기술 종합의료정보솔루션 ‘CI OCS/EMR’와결합해 공급한다.

 

중외정보기술이 개발한 ‘CI SFE’는 모바일 기반 고객·영업관리 시스템으로서 병원과 제약회사 등에 제공하고 있다. 양사는시장 요구사항을 반영한 제품 설계의료정보 솔루션에 특화된 제품공동 개발제품 영업과 기술지원 체계 등 세부 협력 방안 구축공동마케팅 및 홍보전략 수립에 합의했다.

 

펜타시큐리티의 DB암호화 제품인 디아모 for SAP는 현재 분당서울대병원, 서울시립의료원과 일동제약 등에구축이 완료된 상태다.

<<기사 전문 보기>>

profile

제1금융권 DB 암호화 시작“기술 경쟁은 지금부터”

제 1 금융권 DB 암호화 시작 “기술 경쟁은 지금부터”

성능저하 우려 해소…암호화 핵심 기술로 ‘키관리’주목

 

지난해 개인정보보호법 특수를 제대로 누린 정보보안 산업은 DB암호화다. 개인정보를 취급하는 기업은 지난해 말 까지 암호화 혹은 이에 준하는 보호정책을 마련해야 했으며, 이를 지키지 않고 개인정보 유출사고를 일으키면 2년 이하의 징역 또는 1000만원 이하의 벌금이 부과된다.

개인정보보호법 준수를 위해 많은 기업과 기관들이 일제히 DB 암호화 솔루션을 도입해 이 시장은 지난해 전년대비 92.3% 성장이라는 놀라운 성과를 걷어들였다. 특히 몇 곳의 DB 암호화 솔루션 기업은 가격경쟁력을 앞세워 많은 고객을 확보하면서 순식간에 선두그룹에 진입하기도 했다.

그러나 DB 암호화 시장이 지속적으로 높은 성장을 이룰 것으로 예상하기는 어렵다. 올해 초 까지만해도 지난해 말 DB 암호화 유예기간이 끝난 만큼, DB 암호화 시장은 더이상 성장 하지 못할 것이라는 전망이 지배적이었다. 한국인터넷진흥원(KISA)이 지난해 발표한 ‘2012년 국내 지식정보보안 산업 실태조사’에 따르면 올해 DB암호화 시장은 지난해보다 20억원 가량 줄어든 404억원에 그치고, 향후에도 거의 성장 없이 현 상태를 지속할 것으로 예상됐다.

하지만 3·20 사고를 비롯해 지능형 타깃 공격이 성행하면서 DB암호화 시장의 성장속도가 둔화되지 않고 있다. 물론 지난해와 같은 급성장은 아니지만, 전년대비 20~30% 가량 성장할 수 있을 것으로 예상된다. 성장동인은 제1금융권이다.

조돈섭 이글로벌시스템 마케팅 담당이사는 “산업은행이 제1금융권 중 최초로 DB 암호화를 시작했다. 국내 최대 금융그룹도 DB암호화 사업을 시작한 것으로 알려진다”며 “진짜 중요한 DB 암호화 사업은 올해부터 시작이다”고 말했다.

 

증권사 암호화 도입하며 성능저하 우려 해소 


금융권의 DB 암호화에 주목하는 것은 다른 산업군에서 진행하는 사업에 비해 상대적으로 규모가 크기 때문이다. 또한 대규모 금융정보와 개인정보를 보유하고 있는 금융권의 암호화 사업을 수주하면 대표적인 레퍼런스로 소개할 수 있기 때문에 영업이 더욱 탄력을 받을 수 있다.

이은배 이니텍 보안개발2본부장은 “현재 금융권 암호화는 70~80% 가량 이뤄진 것으로 보고 있다. 그러나 가장 중요한 업무에 대한 암호화는 도입되지 않았으며, 제1금융권은 이제 검토단계에 있는 것으로 본다”며 “올해부터 금융권에서 대규모 암호화 사업이 시작될 것으로 예상되며, 암호화 시장은 곧 성숙 단계로 접어들 것으로 본다”고 밝혔다.

조돈섭 이글로벌 이사는 “현재 금융권 다수에서 암호화를 도입했다고 하지만, 어떤 업무에 도입했는지 잘 살펴봐야 한다. 많은 경우 실시간 데이터 처리가 중요한 업무가 아니라 그룹웨어나 인사시스템 등 내부업무용으로 적용됐으며, 규모도 작은 편”이라며 “올해 시작되는 금융권의 DB 암호화는 실제 고객 데이터에 대한 암호화이므로 암호화 솔루션들의 기술경쟁이 본격화 될 것”이라고 말했다.

금융권 암호화 사업은 생명보험사에서 가장 먼저 시작됐다. 생보사는 성능에 민감하지 않은 대신 대규모 데이터 암호화 지원이 중요했다. 대용량 데이터에 대한 암호화 사업은 유통기업 등 대규모 고객 데이터를 보유하고 있는 산업군에서 암호화를 도입·운영하고 있는 사례가 많기 때문에 생보사의 암호화 사업은 문제 없이 진행됐다.

지난해 하반기부터는 증권사가 주식거래시스템에 암호화를 적용하면서 금융권 암호화 시장이 탄력을 받기 시작했다. 증권사는 시스템 속도에 따라 수익률이 크게 달라지기 때문에 고가의 초저지연(Ultra-low Latency) 네트워크 장비를 도입하는 등 빠른 속도를 보장하기 위한 노력을 기울이고 있다. 이러한 시스템에는 보안 시스템으로 인한 성능저하나 장애를 우려해 보안 시스템을 거의 적용하지 않았다.

남경문 펜타시큐리티 제품기획2팀장은 “속도에 가장 민감한 증권사가 DB암호화 시스템을 구축했다는 것은 암호화로 인한 성능저하 우려가 사라졌다는 뜻”이라며 “생보사와 증권사 DB 암호화 사업을 통해 대용량 데이터와 빠른 속도를 지원하는 환경에서도 적용될 수 있다는 사실이 충분히 입증된 만큼 제1금융권에서 암호화를 꺼릴 이유가 없어졌다”고 말했다.

금융권 암호화 사업에 관심이 집중되고 있지만, 실제로 시장의 규모를 확장시키지는 못할 것이라는 부정적인 전망도 있다. 개인정보보호법 시행으로 금융권에서도 암호화 솔루션을 도입했지만, 일부 솔루션 구입만 완료한 후 구축을 하지 않는 경우도 있다. 컴플라이언스 때문에 급하게 저가의 제품을 구입했지만, DB 변경이나 업무 애플리케이션에 문제를 일으킬 것을 우려해 구축을 꺼리고 있다는 것이다.

일각의 우려에도 불구하고 DB 암호화 시장은 올해도 큰 폭의 성장을 이룰 것으로 예상된다. 개인정보보호법 뿐만 아니라 지능형 타깃 공격이 성행하면서 입을 수 있는 고객정보 유출사고를 방지하고, 내부/외부 감사를 위해 DB 암호화를 필수적으로 도입하고 있기 때문이다.

 

“해커가 가장 먼저 노리는 것은 암호화 키” 


엔터프라이즈와 금융권 전반으로 DB 암호화가 확산되면서 ‘키관리’가 뜨거운 감자로 떠올랐다. 암호화된 데이터는 키가 있어야 복호화 할 수 있는데, 초기 암호화 솔루션은 암호화 데이터와 키를 함께 두어 치명적인 보안홀을 만들었다. 이는 돈을 금고에 잘 넣어두고 그 옆에 열쇠를 두는 것과 마찬가지로, 공격자는 암호화 데이터와 키를 함께 빼내 데이터 암호화를 무용지물로 만들어버린다.

박종필 세이프넷코리아 이사는 “데이터를 노리는 해커들이 가장 먼저 노리는 것이 암호화 키이다. 이들은 무슨 수를 써서라도 데이터와 함께 키를 가져가려고 하고 있는데, 많은 기업들은 데이터만 암호화 한 채 키를 제대로 관리하지 않아 데이터 유출사고가 발생했을 때 모든 데이터가 고스란히 해커의 손에 들어가게 된다”고 말했다.

우리나라에서 키관리는 그동안 중요하지 않게 여겨졌다. 국내 암호화 업체의 한 임원은 “고객들은 DB 암호화도 겨우 구축했는데, 키관리까지 도입할 것을 제안할 수 없었다”고 털어놓았다.

그러나 지능형 타깃공격이 성행하면서 암호화 키 관리의 중요성이 서서히 받아들여지기 시작했다. 대규모 개인정보 유출사고는 암호화 되지 않은 고객정보가 빠져나간 것이지만, 일부 잘 알려지지 않은 사고 중에서는 암호화된 데이터가 빠져나간 사례도 있기 때문이다.

지난해 말 한국 지사를 세우면서 시장에 본격 진출한 보메트릭이 키관리의 중요성을 역설하면서 공격적인 영업전략을 추진하고 있어 키관리에 대한 관심과 이해가 높아지고 있다. 보메트릭은 OS에서 암호화를 하며, 강력한 키관리 솔루션을 공급해 암호화 콘텐츠를 안전하게 보호한다.

이문형 보메트릭코리아 지사장은 “가트너에 의하면 암호화 프로젝트에 착수하려는 기업은 암호화가 비즈니스 프로세스와 시스템, 애플리케이션에 미치는 영향을 최소화 해야 한다. 키관리 체계를 갖추지 않으면 감사 기능을 수행할 수 없으며, 키 또는 비밀번호 분실 시 데이터 복구 능력이 현저히 떨어지므로 암호화와 함께 중앙 집중화된 키관리를 병행해야 한다”고 강조했다.

키관리의 개념은 단순하다. 정해진 인증 절차를 거친 사용자는 자신의 권한 내에서 DB 업무를 하는데 있어 전혀 지장을 받지 않으며, 사용자가 알지 못하는 순간 동안 데이터는 암·복호화된다. 권한을 갖지 않은 사용자가 접근하면 데이터가 복호화 되지 않으며, 모니터링 시스템에 경고가 내려진다.

표준화된 암호화 알고리즘을 따른다고 해서 같은 기술력을 가진 암호화 솔루션으로 볼 수 없는 것 처럼, 키관리 역시 권한없는 사용자가 데이터를 읽는 것을 차단한다 해서 같은 기술력을 가졌다고 볼 수 없다.

키관리 서버는 DB 서버와 분리된 네트워크에 독립적으로 구성돼 있어야 하며, 강력한 인증 시스템을 이용해 권한있는 사용자만이 DB를 복호화 할 수 있도록 해야 한다. 시스템 성능에 영향을 미쳐서는 안되며, 업무 생산성을 저해해서도 안된다. 키관리 시스템 역시 강력한 암호화를 적용해 키가 빠져나갔을 때 풀리지 않도록 해야 하며, 권한없는 사용자가 강제로 키를 풀 때는 스스로 파괴시켜 키를 안전하게 보호해야 한다.

 

HSM, 암호화·시큐어코딩·샵메일 등 활용도 다양 


키관리는 암호화 시스템을 구축할 때 반드시 포함돼야 하는 기본 사항이지만, 반드시 암호화와 동일한 솔루션을 택해야 할 필요는 없다. 해외에서는 오라클이나 MS SQL의 암호화 솔루션과 세이프넷이나 보메트릭의 키관리 솔루션을 구축하는 경우도 많다.

박종필 세이프넷코리아 이사는 “국내 암호화 솔루션 기업들은 자사 솔루션에 암호화를 기본 구성이나 옵션으로 제공하지만, 암호화와 키관리가 반드시 같은 솔루션 내에 합쳐져 있어야 하는 것이 아니다. 해외에서는 암호화와 키관리를 이종 솔루션으로 구성하는 사례가 많다”며 “키관리는 암호화와 구분해서 생각하는 것이 좋다”고 말했다.

시큐어코딩은 애플리케이션 개발 과정 중 핵심 부분을 암호화하는데, 일반적으로 코딩 상에 키를 포함시켜 놓는다. 개발 코드에 키가 함께 있으면 암호화의 효과가 없으며, 시큐어코딩 개념에도 위배된다. 애플리케이션 취약점 공격이 성행하면서 시큐어코딩을 적용하는 사례가 늘어나고 있으며, 공공사업의 시큐어코딩 의무화가 시작된 만큼 이 시장에서도 새로운 기회가 있을 것으로 기대한다.

샵메일도 HSM의 새로운 시장으로 꼽힌다. 보안이 강화된 샵메일은 구성도 상에 HSM을 사용하도록 하고 있으므로 HSM 업계의 관심이 쏠리고 있다. 기존의 HSM 시장인 카드업계, 금융권, 제조기업 역시 전략 시장이며, CCTV 영상정보, 출입통제 시스템의 생체인식 정보 등 매우 민감한 개인정보에 대한 암호화와 키관리 요구도 크게 늘어날 전망이다.

 

[기사 원문 보기 – 데이터넷 http://www.datanet.co.kr/news/articleView.html?idxno=67429]