개인정보보호를위한암호화 솔루션구축방안 - DBGuide.net · 2010-03-30 · Database Connector 사용자 • 데이타베이스커넥터 • Oracle 8i, 9i, 10g, 11g

개인정보 보호를 위한 암호화

솔루션 구축 방안2009

11

개인정보 보호를 위한 암호화 솔루션 구축 방안

© Copyright UNIPOINT Corporation 2009

Contents

개인정보 보호를 위한 암호화 솔루션 구축방안개인정보개인정보 보호를보호를 위한위한 암호화암호화 솔루션솔루션 구축방안구축방안

1 Compliance

2 고민?

3. 암호화 솔루션 구축에 따른 기술적 이슈

4. 제조사 소개

5. 암호화 솔루션 구성방식

6. Why DataSecure?

7. Reference

22



1. Compliance – 정보통신망 이용촉진 및 정보보호에 관한 법률

제15조 (개인정보의 보호조치) 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각

호의 보안조치를 하여야 한다.

2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장

정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 일부개정안(09. 1. 28)

적용 대상 – 정보통신 서비스 제공자(대통령령, 09. 1. 28시행)

온라인자동차 보험사

(교보, 하이카, 교원나라 등)

온라인 쇼핑몰(G마켓, 옥션 등)

기타(통신판매업자)

엔시소프트, 넥슨, 한게임,

엠게임, 넷마블 등

NHN, 야후, 네이트, 다음 등

적용 기준

정보통신망을 이용하여 제공하는 서비스

전자상거래 및 통신판매를 정보통신망을 이용하여 제공하는

서비스

게임물과 사행성게임물을 정보통신망을 이용하여 제공하는

서비스

인터넷주소ㆍ정보 등의 검색과 전자우편ㆍ커뮤니티 등을 제

공하는 서비스

설명

그 밖의 정보통신 서비스

전자상거래 서비스

게임서비스

포털 서비스

구분

33




적용 대상 – 준용 사업자(행정안전부령, 09. 7. 1시행)

백화점, 쇼핑센터, 체인 사업자유통산업발전법 제2조제3호, 제5호대형마트ㆍ백화점 또는 쇼핑센터, 체인사업을 운영하는 자

호텔 사업자관광진흥법 제3조제1항제2호나목휴양 콘도미니엄업을 경영하는 자

CGV, 메가박스, 롯데씨네마 등영화 및 비디오물의 진흥에 관한 법률

제36조제1항영화상영관 설치ㆍ경영자

교보문고, 영풍문고, 반디앤루리스 등출판문화산업 진흥법 제2조제9호출판문화산업의 종사자 중 서점을 운영하는 자

S-Oil, SK에너지, GS칼텍스 등석유 및 석유대체연료 사업법 시행령

제9조제1항제1호석유정제시설을 모두 갖춘 자

병원 등 의료기관

중공업자

건설업자

대상

의료법 제3조 제1항

건설기계관리법

제2조제3호부터 제6호

주택법 제2조 제5호

관련근거

의료기관을 개설하여 의료업을 하는 자

건설기계대여업ㆍ건설기계정비업ㆍ건설기계매매업 및 건설

기계폐기업을 하는 자

주택건설사업자

사업자

44




처벌 규정

법인, 법인대표, 대리인,

사용인, 직원 등등이 모두

동시에 형법적인 벌금형

제75조(양벌규정)

① 법인의 대표자, 대리인, 사용인, 그 밖의 종업원이 그 법인의 업무에 관하여 제71조부터 제73조까

지 또는 제74조제1항의 위반행위를 하면 그 행위자를 벌할 뿐만 아니라 그 법인에도 해당 조문의 벌금

형을 과(科)한다.

② 개인의 대리인, 사용인, 그 밖의 종업원이 그 개인의 업무에 관하여 제71조부터 제73조까지 또는

제74조제1항의 위반행위를 하면 그 행위자를 벌할 뿐만 아니라 그 개인에게도 해당 조문의 벌금형을

과한다.

양벌규정

2년 이하의 징역 또는

1천만원 이하의 벌금

(형사적 처벌)

1억원 이하의 과징금

3천만원 이하의 과태료

처벌 내용

제73조(벌칙)

1. 제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기

술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손한 자

제64조의3(과징금의 부과 등)

6. 제28조제1항제2호부터 제5호까지의 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ누

출ㆍ변조 또는 훼손한 경우

제76조 (과태료)

제28조제1항제1호 및 제6호(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적ㆍ관리적

조치를 하지 아니한 자

법적 근거

벌칙

과징금

과태료

구분

55



1. Compliance – 공공기관 개인정보보호수준 진단 계획(행안부)

66



2. 고민 ?

각종 규제를 대응할 수있는 방법은?

DATABASE 암호화 솔루션구축에 대한 기술적 이슈?

77



3. 암호화 솔루션 구축에 따른 기술적 이슈

Con

stra

int 검

색속

도

기타

Resource

기술적

이슈

인덱스 지원(조건검색, 일치검색 등)

Application 변경 최소화

암·복호화 성능

DBMS환경 변경 최소화

Application변경 최소화

무결성 보장

DB서버 내 Resource

OS및 DBMS 의존도 최소화

Migration

안정성

보안성

유연성 및 확장성

88



4. 제조사 소개 > SafeNet and Global Organization I. 개요

AMERICASAMERICASBaltimore (HQ)Baltimore (HQ)

New York RaleighNew York RaleighOttawaOttawa

San JoseSan JoseTorranceTorrance

IrvineIrvinePhoenixPhoenix

Sao PaoloSao PaoloMexico CityMexico City

EMEAEMEALondonLondonParisParis

MunichMunichHelsinkiHelsinkiVughtVught

AmsterdamAmsterdam

APACAPACHong KongHong Kong

BeijingBeijingYokohamaYokohama

SeoulSeoulSingaporeSingaporeNew DelhiNew Delhi

SydneySydney

22 World Wide Locations Serving 125 Countries

미국 연방정부의 암호화 솔루션 전담 기업

미국 연방정부 기밀정보 관련 애플리케이션 전담 경험을 일반 기업의 보안솔루션으로 확대

암호화 솔루션의 글로벌 리더

주요 글로벌 IT 기업 대상으로 솔루션 공급(전세계 시장 점유율 1위)

99



5. 암호화 솔루션 구성방식 III. 기술 부문

암·복호화 대상이 DBMS

DB서버 내에서 암·복호화


Legacy 시스템 적용

DataSecure /

D’Amo / QubeOne

등

DB연동

S/W방식

Application 연동

Application 연동

DB연동

암·복호화 대상이 Application서버

Application 서버 내에서 암·복호화

Application의 코드 수정 필요

신규 시스템 적용

DataSecure /

소프트포럼, 이니텍 등

암·복호화 대상이 Application서버

별도의 장비에서 암·복호화

Application의 코드 수정 필요

Renewal등 Application 코스 수정 시

DataSecure

암·복호화 대상이 DBMS

별도의 장비에서 암·복호화


Legacy 또는 신규 시스템 적용

DataSecure

H/W방식

주요 특징적용제품구성도구분

Switch

Application

감시대상DB

Switch

사용자

감시대상DB

Switch

사용자

감시대상DB

감시대상DBApplication

1010



5. 암호화 솔루션 구성방식 > H/W 방식 (DB연동 방식)

ApplicationServer

DB2DBMS

ORACLEDBMS

TeradataDBMS

MS-SQLDBMS

WASServer

SafeNet DataSecure Clustering

Database Connector

사용자

• 데이타베이스 커넥터

• Oracle 8i, 9i, 10g, 11g

• IBM DB2 version 8, 9

• MSSQL Server 2000, 2005, 2008

• Teradata

• Informix

• Sybase

암·복호화요청

암·복호화실행

III. 기술 부문

1111



5. 암호화 솔루션 구성방식 > H/W방식(Application 연동)

ApplicationServer

DB2DBMS

ORACLEDBMS

TeradataDBMS

MS-SQLDBMS

WASServer

SafeNet DataSecure Clustering

Application Connector

사용자

암·복호화요청

암·복호화실행`

• 어플리케이션 커넥터

• Microsoft .NET, CAPI

• JCE (Java)

• PKCS#11 (C/C++)

• Ingrian ICAPI (C/C++)

• z/OS (Cobol, Assembler,

etc.)

• XML

III. 기술 부문

1212



5. 암호화 솔루션 구성방식 > 제품 구성요소 >> DataSecure Appliance 장비 유형

구분EdgeSecure DataSecure

i10 i116 i426 i430

암호화 성능 초당 2,5000eps 초당 11,000eps 초당 100,000eps 좌동

장비 외형 11.6” x 10.3” x 2.5” 1U, 렉마운트형 2U, 렉마운트형 1U, 렉마운트형

특징

1. 지점 및 매장이 많은 기업용 –

Distributed Model, 각 지역의

데이터를 암호화하는 가장 작은 모델

2. 상 위 모 델 의 DataSecure 와

연동되어 작동

1. DataSecure 제 품 중

기본 사양 모델

2. 상위모델과 보안성과 기능은

동일, 소 용량용 모델

1. DataSecure 상위모델

2. FIPS 140 Level-2와 CC

EAL2 인증을 획득

1. DataSecure 최 상 위

모델, 최고의

성능

2. FIFS 140 Level-2,

CC는 진행중

기타 단일 파워 및 디스크 단일 파워 및 디스크 듀얼 파워 및 디스크 좌동

지원 Algorithms 3DES, DES, AES, RSA (signatures and encryption), RC4, SHA-1, HMACSHA-1

지원 Database IBM DB2, Microsoft SQL Server, Oracle, Teradata

지원 Web/APP BEA, IBM, IIS, Oracle, Apache, Sun ONE, JBoss, SAP, PeopleSoft, and more

III. 기술 부문

1313



6. Why DataSecure ?

Resource

의존도

확장성 관리편의성

보안성준비단계

Peak Time시, 암복호화에 따른 감시대상 서버의 CPU /

MEM / DISK 등의 Resource 사용률이 낮아야 함.

감시대상 서버의 OS 및 DBMS 패치 및 업그레이

드에 따른 암호화 솔루션에 변경이 없어야 함

다양한 상용 DBMS 지원이 가능하여야 함

메인프레임 / AS400 등 다양한 업무시스템 환경에서 최적의

암호화 구성을 지원하는 솔루션이 필요

Key에 대한 위·변조 및 유출에 대한 위험성 배제

다수의 감시대상 서버 관리포인트 최소화

: Key 및 보안정책 관리 등

분산처리 환경 지원

준비단계

1414



6. Why DataSecure ?

준비단계

Resource

데이터 암·복호화를 별도의 장비에서 처리 감시대상 서버의 Resource를 최소 활용

68%30%6,00023%

42%

암호화 후 CPU 사용률

(S/W 방식)

20%

암호화 후 CPU 사용률

(H/W 방식)비고

4,000

암호화 세션

15%

평균 CPU 사용률

확장성

DB 연동 방식 ORACLE / MSSQL / DB2 / Teradata / Informix / Sybase

이기종 DBMS간 데이터 이관, 복제 시 별도의 복호화 과정 없이 작업 가능

Application 연동 방식 모든 DBMS

기타 메인프레임 / AS400 / File System

1515



6. Why DataSecure ?

준비단계

의존도 / 보안성

데이터 암·복호화를 별도의 장비에서 처리

암호화 후 생성된 Key관리는 별도의 장비에서 보관(FIPS Level 2 인증)

관리 편의성

암호화 대상이 되는 서버 추가 시 해당 서버에 Provider 만 설치하면 확장 가능

1대의 Appliance 장비에서 다수의 감시대상 서버 관리 가능

- 하나의 Appliance장비에서 암호화 및 정책 적용 가능, 암호화 Key 관리

1616



6. Why DataSecure ?

구축 단계

MigrationMigration • 초기 암호화 대상이 되는 대량의 데이터에 대한 Migration이 가능하여야 함• 초기 암호화 대상이 되는 대량의 데이터에 대한 Migration이 가능하여야 함

Why DataSecure ?

암호화 대상이 되는 대량의 DATA를 Migration하기 위해 별도의 툴(Trnasfer Utility) 제공

1717



6. Why DataSecure ?

구축 단계

OLTPOLTP• OLTP 환경에서 암호화된 데이터 접근에 대한 대량의 Transaction 암·복호화 처리 능력• OLTP 환경에서 암호화된 데이터 접근에 대한 대량의 Transaction 암·복호화 처리 능력

Why DataSecure ?

100,000 EPS(Encryption Per Second) 처리가 가능한 고성능 암·복호화 처리

감시대상 서버 내 암·복호화 처리로 EPS처리 능력 제한

S/W 방식 비고

100,000 EPS

DataSecure

EPS(초당 암호화 처리 능력)

구분

1818



6. Why DataSecure ?

구축 단계

검색속도 /

Constraint

검색속도 /

Constraint

• 암호화된 데이터에 대한 검색 속도 향상

• JOIN / PK / FK 등의 다양한 Constraint에 대한 무결성 보장

• Batch 작업에 대한 처리속도 향상

• 암호화된 데이터에 대한 검색 속도 향상

• JOIN / PK / FK 등의 다양한 Constraint에 대한 무결성 보장

• Batch 작업에 대한 처리속도 향상

Why DataSecure ?

솔루션 컨설팅 보안의식

SQL 쿼리 최적화

Batch 작업 수정

암호화된 데이터에 검색 제한

2015년 까지 주민번호 대체

(국가정책)

1919



6. Why DataSecure ?

운영 단계

안정성안정성 • 암호화 솔루션 장애 시 서비스의 연속성 보장• 암호화 솔루션 장애 시 서비스의 연속성 보장

Why DataSecure ?

Clustering안정성

- S/W(Agent) 장애에 대한 위험성 회피

- 별도의 S/W 불필요

- H/W Clusteing 구성을 통하여 Fail Over기능구현

- N개의 장비로 구성 가능

2020



6. Why DataSecure ?

운영 단계

기타기타• 운영과 권한의 분리

• 보안 적합성 기준(국가·공공기관)

• 운영과 권한의 분리


Why DataSecure ?

권한분리

- 암호화 솔루션 구축 후 보안담당자는 Key관리를 통하여 암호화

데이터에 대한 권한 부여 및 삭제

- 권한 관리를 통해 DBMS운영에 대한 책임과 데이터 보안에 대한

책임을 명확하게 구분

2121



6. Why DataSecure ?

운영 단계

Why DataSecure ?

보안 적합성 검증(09. 6. 1 변경)

- 암호화 솔루션 도입 후 보안적합성 검증 의뢰(도입 고객사)

- 보안적합성 검증 요건 : CC인증 / 국가용 암호 제품

- 암호화 솔루션 중 유일하게 CC인증을 획득한 솔루션

기타기타• 운영과 권한의 분리


• 운영과 권한의 분리


2222



7. Reference

미국 연방 정부(일부)

국가안보국 해군 상무부 공군 재무부 국무부 국방부 국가정찰국

국내사례

해외사례(Fortune500대 기업 중약 100개Reference)

고객의 성공적인 사업을 위해

최선을 다하겠습니다.

감사합니다.

서울시 마포구 상암동 1605번지 누리꿈스퀘어 비즈니스타워 22층

(T)02-6676-5500 / (F)02-6203-5599

www.unipoint.co.kr

고객의 발전을 최고의 가치로 여기는 기업

고객의 마음을 듣고자 항상 깨어 있는 기업

e-비즈니스 기반 기술 분야 및 최고의 솔루션/서비스 제공 기업

최상의 고객 만족도를 유지 및 관리

미들웨어 솔루션 전문 선두 기업

고객의고객의 발전을발전을 최고의최고의 가치로가치로 여기는여기는 기업기업

고객의고객의 마음을마음을 듣고자듣고자 항상항상 깨어깨어 있는있는 기업기업

ee--비즈니스비즈니스 기반기반 기술기술 분야분야 및및 최고의최고의 솔루션솔루션//서비스서비스 제공제공 기업기업

최상의최상의 고객고객 만족도를만족도를 유지유지 및및 관리관리

미들웨어미들웨어 솔루션솔루션 전문전문 선두선두 기업기업

Documents

개인정보보호를위한암호화 솔루션구축방안 - DBGuide.net · 2010-03-30 · Database Connector 사용자 • 데이타베이스커넥터 • Oracle 8i, 9i, 10g, 11g