© 2013 IBM Corporation

에스컴 용환일 대리

© 2014 IBM Corporation

2

목 차

프로젝트 수행 내용

프로젝트 시 고려사항

회사 소개

© 2014 IBM Corporation

3

1.1 구축 사이트 > 프로젝트 추진 배경

SAP 암호화 = API, Plug-In

API, Plug-In = SAP App 수정 필요

SAP App 수정 = SAP no-guarantee

© 2014 IBM Corporation

4

1.1 구축 사이트 > 프로젝트 추진 배경

Guardium Data Encryption

Guardium Data Activity Monitor

© 2014 IBM Corporation

5

1.1 구축 사이트 > A사 환경정보

A사 (제조)사이트 명

AIX 6.1 (LPAR) Active-Passive / ORACLE 10gR2 / SAP ECC6.0시스템 환경

약 900GB / 4.5TB데이터 사이즈

구축일정

일정

업무

1 Month

1W 2W 3W 4W

환경 분석

설치 및 테스트

구축 및 안정화

© 2014 IBM Corporation

6

1.2 수행 절차

안정화암호화적용

적용방안수립

현행시스템환경조사

요구사항파악

DO

SEE

PLAN

© 2014 IBM Corporation

7

1.3 요구사항 파악

부서 요구사항

� Application 및 DBMS의 수정이 없어야 한다.

� 암호화 오버헤드로 인한 비즈니스 영향이 최소화 되어야 한다.

IT

부서

� 암호화 된 데이터에 대해 계정 및 프로세스 별로 접근제어를 수행해야 한다.

� 암호화 파일에 대한 엑세스 행위를 로그로 남겨야 한다.

� 대상 시스템들에 대한 중앙집중관리가 가능해야 한다.

� local access 접근제어를 수행할 수 있어야 한다.

� 접근 기록 및 실시간 모니터링을 수행해야 한다. (보관기간 최소 1년)

� DB 계정별 권한 관리를 수행할 수 있어야 한다.

보안

부서

� 암호화로 인한 추가 리소스가 최소화 되어야 한다.

� 안정적으로 시스템이 운영될 수 있는 검증된 솔루션 이어야 한다.

운영

부서

© 2014 IBM Corporation

8

1.4 현행 시스템 환경조사 > 환경조사 절차

환경조사실시환경조사

결과 분석

각 업무담당자인터뷰/실사

암호화대상

검토

© 2014 IBM Corporation

9

1.4 현행 시스템 환경조사 > 개인정보 기준

기준 개인정보

개인정보보호법� 주민등록번호, 여권번호, 운전면허 번호, 외국인등록번호, 비밀번호,

바이오정보

정보통신망법 � 주민등록번호, 신용카드 번호, 계좌번호

A사

개인정보 분류 기준

� 주민등록번호, 여권번호, 운전면허 번호, 외국인등록번호

� 성명, 주소, 전화번호

신용정보보호법 � 본인 인증정보, 개인신용정보

그 외 � 성명, 주소, 전화번호, 기타

전자금융거래법 � 전자금융거래, 비밀번호, 거래로그(DMZ 저장 시)

© 2014 IBM Corporation

10

1.4 현행 시스템 환경조사 > 암호화 대상 조사

서버정보

i OS 종류 및 버전

i 클러스터 정보

i 장비 리소스 상태

“개인정보 분류 기준”

DB 정보

i 암호화 대상 테이블 및 인덱스

i DB 바이너리 경로

i 백업방식

APP정보

i 암호화 대상 LOG/SAM 파일

i 어플리케이션 바이너리 경로

i 사용 공통/개인 계정

© 2014 IBM Corporation

11

1.4 현행 시스템 환경조사 > 테이블 식별

DBMS SAP

CHK_ITEM1 ZFB0020T

CR_TB_CST ZTRG301T

CR_TB_KFB_OP ZFB0107T

BK_QNA_SEQ ZFB0030T

BK_FNQ_SEQ ZFI0103T

BK_ISSUE_SEQ ZFC0302T

BC_QNA_SEQ ZTRG305T

BC_FNQ_SEQ ZTRB0404T

BC_ISSUE_SEQ ZTIB0030T

…

테이블 이름 DB 모니터링 수행

CLIENT

DBMS

AGENT

Guardium ActivityMonitor

REPORT

© 2014 IBM Corporation

12

1.5 암호화 적용 > 구축 방법

DBFILE3

ENC TABLESPACE

DBFILE1 DBFILE2

Table Table

Index Index

Table Table

Index Table

DATA TABLESPACE

ORACLE DBMSORACLE DBMS

© 2014 IBM Corporation

13

1.5 암호화 적용 > 성능

분류 프로그램 건수 암호화 전(초) 암호화-1차(초) 암호화-2차(초)

대용량배치

A일괄생성 421,884 4,975 4,720 -5% 4,787 -4%

B일괄생성 421,708 15,780 12,237 -29% 12,358 -28%

중용량배치

A집계 - 10 11 9% 9 -11%

B집계 - 120 135 11% 115 -4%

� 암호화 전/후 속도는 시스템 운영에 차질이 없는 정도로 판단됨.� DB전체보다 개인정보 table만 부분 암호화 하는 것이 타당하다 사료됨.

� AIX 6.1 / Oracle 10gR2 / SAP EEC6.0

© 2014 IBM Corporation

14

1.5 암호화 적용 > reorg

DBFILE3

ENC TABLESPACE

DBFILE1 DBFILE2

DATA TABLESPACE

ORACLE DBMSORACLE DBMS

© 2014 IBM Corporation

15

1.6 요구사항 충족 여부

부서 요구사항 여부

� Application 및 DBMS의 수정이 없어야 한다.

� 암호화 오버헤드로 인한 비즈니스 영향이 최소화 되어야 한다.

IT

부서

� 암호화 된 데이터에 대해 계정 및 프로세스 별로 접근제어를 수행해야

한다.

� 암호화 데이터에 대한 엑세스 행위를 로그로 남겨야 한다.

� 대상 시스템들에 대한 중앙집중관리가 가능해야 한다.

� local access 접근제어를 수행할 수 있어야 한다.

� 접근 기록 및 실시간 모니터링을 수행해야 한다. (보관기간 최소 1년)

� DB 계정 별 권한 관리를 수행할 수 있어야 한다.

보안

부서

� 암호화로 인한 추가 리소스가 최소화 되어야 한다.

� 안정적으로 시스템이 운영될 수 있는 검증된 솔루션 이어야 한다.

운영

부서

Guardium DE Guardium DAM

N/A

N/A

N/A

N/A

N/A

© 2014 IBM Corporation

16

1.7 창출 기대 효과

개인정보가개인정보가 포함된포함된 DB DB 데이터데이터 및및

BACKUP BACKUP 파일에파일에 대한대한 암호화암호화

DBMSTABLESPACE

(File & Volume)

개인정보

보호법 준수

고객정보의

기술/관리적

보안조치

주요데이터

유출피해

최소화

암호화 대상 목적 기대효과

BACKUP

(DB Backup)

고객정보 암호화로 개인정보 보호법

(제정: 2011.03.29, 시행: 2011.09.30)

Compliance 충족

고객정보가 포함된 DB의 기술/관리적

보호 조치 강화를 통한 개인정보

안전성 확보

암호화 적용을 통해 유출 피해 최소화

및 법적 대응력 강화

© 2014 IBM Corporation

17

2.1 프로젝트 시 고려 사항

명확한범위산정

기술지원체계수립

암호화테스트

© 2014 IBM Corporation

18

Migration 예상 시간 도출

암호화로 인한 업무 영향 도출

솔루션 호환성 검증

2.2 암호화 테스트

“가능한 운영시스템과

동일한 환경”

암호화 테스트

© 2014 IBM Corporation

19

2.3 명확한 범위 산정

• 인프라 자원 현황 분석 및

확보

인프라 팀

• 명확한 암호화 기준 수립

정보보안 팀

• 체계적인 프로젝트관리

• 암호화 솔루션의 명확한

이해 전달

프로젝트 팀

• 암호화 기준에 따른

정확한 환경 조사

업무 팀

© 2014 IBM Corporation

20

2.4 기술지원 체계 수립

• 운영환경에 설치된 솔루션에

대한 신속한 해결 지원

HW/SW 벤더

• 업무 프로세스 이해 및 공유

• 운영 이슈에 대한 대응

운영팀• 암호화 솔루션에 대한

이해 및 공유

• 솔루션 이슈에 대한 대응

프로젝트팀

© 2014 IBM Corporation

21

에스컴

최 대 영

2003년 09월 04일

TEL : 031-704-7557

네트워크 보안 / 데이터 암호화 / DB접근제어

성남시 분당구 황새울로 311번길 14 리더스빌딩 8층

매그나칩 통합보안 및 SSL VPN공급

제6회 민/군 정보보호 워크샵 협찬

금호그룹 암호화 시스템 구축

남서울대 통합보안시스템 구축

한국IBM Optim T2 파트너 계약

크루셜텍 통합 보안시스템 구축

한국개인신용 전체 보안시스템 구축

차세대 대학망을 위한 네트워크 컨설

팅 (보안부분)

MBC newsNPS망 보안시스템 구축

Vormetric 한국 총판 계약

Juniper Elite Partner사 선정

KTFT 통합보안시스템 구축

한국항공대학교 통합보안시스템 구축

대검찰청 네트워크 보안 시스템 구축

LG U+ 네트웍 보안시스템 구축

KTFT 네트웍 보안시스템 구축

경향신문사 보안시스템 구축

하나SK카드 암호화 시스템 구축

롯데카드 암호화 시스템 구축

에스컴㈜ 설립/정보통신사업자 등록

전국 대학 IT관리자 협의회 세미나

Guardium 한국 총판 계약

FireWall

Network

Encryption

• 보안 인프라 컨설팅 및 컴퓨팅 자원의 용량기획

• Network 고가용성 구현

• DBMS/File 암호화 및 데이터 보안 구축

ITO

• Server/Network/DBMS 등 유지보수

• On-Site Support, TAC, RMA

• 전산센터 이전, 시스템 성능 컨설팅 및 이행

ITIL/

ITSM

• IT Governance/ITIL/ITSM 컨설팅 및 구현

고려제강 암호화 시스템 구축

롯데멤버스 암호화 시스템 구축

동부생명 암호화 시스템 구축

3.1 회사 소개

© 2014 IBM Corporation

22