10. SPHINX V2.0 기능

Download Report

Transcript 10. SPHINX V2.0 기능 

개인정보보호를 위한 DB 암호화 솔루션
V2.0 제품 소개서
Contents
1. Why SPHINX V2.0?
10. SPHINX V2.0 기능
2. 한국전자인증 소개
11. SPHINX V2.0 제공 방식
3. KT 적용 사례
12. SPHINX V2.0 구성
4. SPHINX V2.0 한 눈에 보기
13. SPHINX V2.0 성능
5. 개인정보보호 동향
14. 적용 고객사 (KT)
6. 개인정보보호 대응방안
15. 적용 고객사
7. DB암호화 개요
16. 기술사양
8. SPHINX V2.0 개요
17. 기술 지원 방안
9. SPHINX V2.0 특징
1. Why SPHINX V2.0?
 SPHINX는 신뢰, 안정, 성장의 표본 기업 한국전자인증이 개발한
제품입니다.
• 한국전자인증은 1999년 설립 하여 2010년 KOSDAQ 상장, 국내 유일의 Global
공인인증 기관입니다.
• 한국전자인증은 2006년 부터 현재까지 년 평균 25%의 지속적 성장을 해온 성
공적인 기업입니다.
• 한국전자인증은 과거 15년 간 PKI 기반의 인증 보안 회사로서 국내외에 대표적
인 암호화 기술의 전문 회사입니다.
 SPHINX는 2012년 KT의 전사 DB암호화 제품으로 채택되어 1,000
대 이상의 다양한 응용서버에서 대용량 DB 암호화 업무를 성공적
으로 수행한 검증된 제품입니다.
 SPHINX는 국정원 암호화 검증 필을 한 한국전자인증의 Crypto
Module USCrypto V1.1 을 채택하였습니다.
2. 한국전자인증 소개
 한국전자인증은 :
• 암호 및 인증 전문기술자를 보유
한 부설 융합기술연구소 운영
 미국 Silicon Valley에 Cosmotown
(보안)과 AIBrain (Smart AI and
Robot)을 설립하여 Global 기업
으로 도약의 발판을 마련함.
• 공인인증과 Global인증 센터를
운영하고 있는 최고의 보안을 자
랑하는 Data Center 보유
• 일일 2,000여 콜을 소화하는 Call
Center 운영
• 암호화 Crypto 및 각종 PKI 기반
솔루션 개발 및 공급
<AIBrain 에서 제작한 Robot ‘타이키’>
3.
적용사례
SPHINX는 KT BIT 초대형 프로젝트에 전사 DB암호화 솔루션으로 적용되어 안정적으로 사용 중인 검증된 솔루션 입니다.
1,000 여개 Server 에서
데이터 암호화 및 연동용으로 적용
BI/DW
CMS
BSS
OSS
ERP
4. SPHINX V2.0 한 눈에 보기
항 목
SPHINX란?
암호화 모듈
국정원 인증 획득
DB 암호화 방식
설 명
국정원 암호화 인증 필을 한 암호화 모듈로 개발한 최적화 된 성능과 최적화와 기능을 제공하는
칼럼 단위의 DB 암호화 솔루션
 암호모듈 명칭 USCryptoLib V1.1
 개발기업 ㈜한국전자인증
 검증번호 CM-82-2018.11
API 방식
장 점
API 방식의
장단점
암호화 방식
Migration 도구
Key 관리 도구
 대용량 DB에서 암호화 고성능 보장
 Application에서 암/복호화 수행, DBMS의 성능에 지
장을 주지 않음
 타 방식 비교 DB 보안성이 강함
 DB제품에 관계 없이 암호화 기능 제공 가능
 기존 DB 구조 변경 필요 없음
단 점
 응용 Program 소스 수정 필요
 DB 컬럼 단위 개인정보 암호화
 다양한 대칭키 암호 알고리즘 지원: ARIA, AES, SHA-256 등
 DB Table 변경 없이 암/복호화
 관리도구 마법사를 통한 초기 컬럼별 암/복호화 수행
 빠른 암호화 속도를 이용한 대용량 데이터 암호화
 쉽고 편리하게 조작이 가능하도록 도구 설계
 국제 표준에 근거한 알고리즘/Key 사용
 Secure Key Store 방식으로 안전하게 키를 보관
 Passphrase 를 통한 키 암호화 저장, 백업(export) / 복구 기능 제공
5. 개인정보보호 동향
기업의 막대한 경제적 피해를 줄이고, 다양한 경로로 유출될 수 있는 민감한
개인정보를 보호하기 위한 법제도 의무화로 기술적, 관리적 기반 마련
개인정보보호법 시행(2011.9.30)으로 350만개 기업,병원,공공기관이 대상
개인정보
보호법
정보통신망법
(개인정보
보호조치)
PCIDSS
신용정보이용…
금융기관…
의료정보
보호법
다양한 사고방지를 위한 법률 및 규제를 준용하는 보안솔루션 적용 의무화 및 강제 규정
’2008 .
하나로 텔레콤 고객정보 무단 사용
’2008 .
GS칼텍스 고객정보 유출
’2009 .
Auction 해킹사고
’2009 .
LG텔레콤 고객정보 유출
’2011 .
농협, 현대카드 고객정보 유출
…
대상
벌칙
손해배상
개인정보를 취급
하는 모든 사업자
(350만 기업)
최고 10년이상 징역 또
는 1억이하 벌금(법인 양
벌규정으로 대표구속)
집단분쟁조정 단체
소송 후 과태료처분
(최대 5천만원이상)
6. 개인정보보호 대응방안
DB 암호화
 다양한 법,규제 및 기술을 준용하는 DB 암호화 솔루션 필요
 DB 암호화를 통한 효율적인 기업정보, 개인정보 유출 방지
 국정원 DB 암호화 가이드라인 준용
보안 요구의 변화
기 존 해커에 의한 개인이익과 무관한 네트워크
공격 등이 많음
공격이 광범위인 서비스무력화 등 운영환경
해킹으로 해커의 명성을 얻는 공격이 목적
최 근 인터넷을 통한 비즈니스가 활성화되며 데이터의
가치 증대
금전적인 이익을 위한 주요 데이터 공격이 목적
데이터를 저장하는 DBMS 가 주공격대상
국정원 DB암호화 가이드라인
 암호대상 DB에 대한 정확한 암호화 검증을 요구
 DB암호화 솔루션에 적용된 암호화 알고리즘은 반드시
검증된 알고리즘으로 적용해야 함
 암호화(주민번호 뒷번호 6자리 등) 적용시는 암호화, 부
분암호화 등은 적용 환경에 따라 적용하나 검증된 암호
화 알고리즘만을 사용하여 적용
 가이드라인 미 준용 시 해당 솔루션의 기 인증/등록된
국정원 인증 취하
 암호 알고리즘 안정성 미 검증 시 관공서 납품 등 금지
7. DB 암호화 개요
 DB 암호화는 데이타베이스에 주요정보 저장 시 암호화 키와 암호화 알고리즘을 이용하여
대상 데이터를 암호화하여 저장하고,
 필요 시 복호화 하여 활용하게 해 다양한 경로의 DB를 통한 개인정보 유출을 원천적으로 차단해주는
 개인정보보호의 우선적용 대상이자 최종의 보안 솔루션입니다.
Database
암호화대상
개인정보
주민등록번호
810102-1481566
381212-2482717
720505-1421721
저장시
암호화
순서
고객명
주민등록번호
0001
김철수
ssgf1023asbnasbm
0002
박영희
381212-123nj,mns
0003
이수근
Asdn,as12masmas
주민등록번호
활용시
복호화
암호화대상 개인정보 : 주민등록번호, 패스워드, 신용카드 등 금융정보, 의료정보…
최신 암호화 알고리즘, 안전한 키 관리를 통한 암호화, 복호화
810102-1481566
381212-2482717
720505-1421721
8. SPHINX V2.0 개요
SPHINX는 개인정보보호법을 준수하기 위한 비용 대비 고성능의 DB 컬럼 암호화 솔루션입니다.
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
암호화
데이터
9. SPHINX V2.0 특징
SPHINX 는 최적화 된 성능과 다양한 환경을 지원하는 DB 컬럼 암호화 솔루션입니다.
안전성
• 국정원 암호 검증필
암호 모듈 탑재
• 국내/외 표준 암호
알고리즘 지원
• Index 암호화
관리 용이성
구축 효율성
• 간단한 설치 과정
• Migration 도구 제공
성능 최적화
• 별도 Daemon 없음
• 빠른 암/복호화 속도
다양한 환경 지원
• Java / JSP
• C / C++
• ASP, ASP.net, C#
• Key 관리 도구 제공
• Key Backup /
Recovery 기능 제공
9. SPHINX V2.0 특징
SPHINX 는 한국전자인증에서 개발한 국정원 암호 검증필 암호 모듈(USCrypto) 을 적용 하였습니다.
10. SPHINX V2.0 기능
SPHINX 는 주민등록번호 등 데이터베이스의 주요 정보를 컬럼 단위 별로 대칭키 기반 암/복호화 하는 기능을 제공합니다.
전체암호화
부분암호화
암호화 할 대칭키 암호화
알고리즘 및 암호 Key 생성
대칭키 기반 암호화
(Index Rebuild 를 통한 Index 암호화)
10. SPHINX V2.0 기능
SPHINX 는 DB 내 사용자 패스워드 정보를 컬럼 단위 별로 일방향 암호화(Hash) 하는 기능을 제공합니다.
Hash 데이터
일방향 암호화 (Hash) 할
암호화 알고리즘
일방향 암호화 (Hash)
서비스 가입자의 패스워드 정보는 반드시 복호화 되지 않는 일방향 암호화를 해야 합니다.
10. SPHINX V2.0 기능
SPHINX 는 암호화 된 데이터에 대하여, 원문 메시지가 변조 되지 않았다는 무결성을 검사할 수 있는 기능을 제공합니다.
Index Col.
Enc_Jumin Col.
HMAC Col.
1
GDGDGEWRT%3454@$#
RE3E543FTR
2
HDRWE%#$%YEW@%$
TG5GDG543
3
H@#%$#TDHDSHWEY55
5GDG543JGURE
.
.
.
.
.
.
.
.
.
암호화 된 컬럼
원문 HMAC 컬럼
복호화 후 HMAC 검증
※ 해당 기능은 개인정보보호법을 준수하기 위한 필수 사항은 아니며, 고객사의 정책에 따른 선택 사항입니다.
10. SPHINX V2.0 기능
SPHINX 는 대칭키 암호화에 사용되는 Key 를 안전하게 보관하며, Key 관리 및 암호화 알고리즘을 관리 하는 기능을 제공합니다.
SPHINX
Key 관리 도구
라이선스 관리
간편한 알고리즘 선택
• 대칭키 암호화 알고리즘
• 해쉬 알고리즘
대칭키 생성 & 관리
• 대칭키 생성 / 삭제
• Multi Key 지원
• Key Backup & Recovery
• 라이선스 정보 추출
• 라이선스 적용 및 관리
10. SPHINX V2.0 기능
SPHINX 는 기존 데이터를 간편하게 마이그레이션 할 수 있는 마이그레이션 도구를 제공합니다.
마이그레이션 도구
• Console 기반 마이그레
이션 관리자 제공
• DBMS 접속 정보 입력
• 암호화 대상 컬럼 선택
• 암호화 알고리즘 선택
암호화 대상 테이블의 컬럼
에 저장된 데이터에 대한
암호화 진행
기존 데이터에 대한 암호화를 위해, 별도의 작업이 필요없음
11. SPHINX V2.0 제공 방식
SPHINX 는 고객사의 서버 환경에 알맞는 API Type 을 제공합니다.
API Type
@#$fsgfd%Ct$#3
Application
Server
DB Server
• Application Server 에서 메시지 암호화 하여 DB Server 로 전송 하는 방식
• 대용량 데이터에 대하여 암호화 이전 속도 대비 속도 저하가 거의 없음.
• Application Server 에서 데이터가 암호화 및 복호화 되기 때문에 DB Server 간 전송구간 안전.
• SPHINX 가 설치되지 않은 곳에서는 암호화 데이터를 복호화 할 수 없음
• 데이터 탈취 위험에 대해서도, 복호화가 불가능하기 때문에 안전함.
• Application Server 측 소스 수정이 필요함.
12. SPHINX V2.0 구성
SPHINX 는 암복호화 모듈, Key 관리 도구, DB Migration 도구 로 구성되어 있습니다.
SPHINX Key 관리 도구
키 관리 모듈
라이선스
관리 모듈
SPHINX DB Migration 도구
알고리즘
관리 모듈
Migration
Agent
SPHINX Core
대칭키
암호 모듈
Hash
암호 모듈
MAC
암호 모듈
SPHINX 암/복호화 API Library
JSP 모듈
ASP 모듈
C 모듈
13. SPHINX V2.0 성능
암호화 이전 DBMS 기준으로, SPHINX 를 적용하였을 경우, 최소한의 성능 저하를 보장합니다.
암호화 이전
0.02278 초
암호화 이후
0.02283 초
• DBMS : Oracle 10g
• Hardware & OS : Intel Core i7 – 2600 cpu @ 3.4GHz / RAM 8G / Windows 7
• Test 데이터 : 500만 건
• API Type 에 대한 테스트 결과 수치임
• 상기 수치는 단순 참고용이며 환경에 따라 달라질 수 있음.
14. 적용 고객사 (KT)
SPHINX 는 암호화에 사용되는 대칭키에 대하여, 키 관리 도구에서 제공 하는 백업 및 복구와 같은 대칭키 관리 기능을
제공하여 BIT 상호간 데이터 연동을 가능하게 합니다.
KT BIT
Server 1
KT BIT
Server 2
관리자PC
대칭키 내보내기
대칭키 가져오기
대칭키 생성
마스터키를 통한
이중 암호화 관리
대칭키 내보내기
KT BIT Server 1번과 2번 상호간 데이터에 대해
별도의 절차 없이 암호화 및 복호화 가능
14. 적용 고객사 (KT)
SPHINX 는 KT DW 측에 설치 및 기술지원을 통해 대용량DB 에 대한 지원이 가능함을 입증하였습니다.
지원 가능한 최대 대용량 DB
DBMS 가 지원하는 용량에 기준함
트랜잭션 규모
월 평균 약 800 만건 (KT DW 기준)
14. 적용 고객사 (KT)
KT BIT 시스템 내 SPHINX 의 적용 및 커스터마이징을 위한 API 및 키 관리 도구 내 포함된 기능을 제공하였습니다.
적용 사례 – KT DW
*
*
*
*
*
API
키 관리
도구
*
*
*
*
*
대칭키 암/복호화 함수
대칭키 알고리즘 변경 함수
Hash 함수
Hash 알고리즘 변경 함수
HMAC 함수
대칭키 알고리즘 변경 기능
Hash 알고리즘 변경 기능
대칭키 생성/삭제 기능
Default 대칭키 설정 기능
SPHINX Log 경로 설정 기능
AP Server
(인포매티카)
DB Server
(TeraData)
* 인포매티카 인터페이스 연계 가능한 암/복호화
함수 및 Hash 함수 적용 지원 (C, Java API)
* 키 관리 도구를 이용한 대칭키/Hash 알고리즘
customizing 지원
15. 적용 고객사
다양한 고객사에서 DB 암호화를 위하여, SPHINX 를 선택하셨습니다.
업체명
시스템/서비스 명
DBMS
비고
KT (본사)
BIT 시스템, non-BIT 시스템
PostgreSQL, Oracle
700 여대 서버 적용
KT (서판교)
DW (DataWare House)
TeraData
인포매티카 연계
KT (분당)
BSS
Oracle
KT (본사)
BIT ERP
Oracle
법제처
통합입법지원시스템
Oracle
한국컨텐츠진흥원
콘텐츠 공제조합 정보시스템
Oracle
한국발전교육원
LMS, 전자결재,도서관 관리, 자격증, 메
신저 시스템
Oracle
MSSQL
MySQL
사이버빌
원격평생교육 시스템
MSSQL
아이엔티랩
중소기업기술혁신협회(이노비즈)
MSSQL
한국도서관협회
도서관 관리 시스템
Oracle
중부대학교
LMS 시스템
Oracle
휴브랜드
LMS 시스템
MSSQL
(2013.11 기준)
16. 기술사양
SPHINX 에 대한 전반적인 기술사양 은 다음과 같습니다.
제품명
SPHINX
주요 기능
• DB 컬럼 암호화 기능 제공 (일방향/양방향)
• DB 암호화 키에 대한 관리 기능 제공
• DB 암호화 마이그레이션 기능 제공
국정원 암호 검증 필 암호 모듈 탑재
DBMS 에 최적화된 알고리즘
간단한 설치 과정
키 관리 도구 및 마이그레이션 도구 제공
특장점
•
•
•
•
Spec.
• 대칭키 알고리즘 : SEED, AES, ARIA
• 일방향 암호화(Hash) 알고리즘 : SHA-1, SHA-256, SHA-384, SHA-512, MD5
• HMAC 알고리즘: HMAC-SHA1
성능
지원 OS
• 암호화 이전 쿼리 대비, 암호화 대상 데이터에 대한 쿼리 후 복호화 속도 차이
-> 약 0.0002 초 (Oracle 10g, API 방식, 500만건 데이터 기준)
(* 상기 수치는 내부 테스트 결과이며, 환경에 따라 달라질 수 있음.)
• 마이그레이션 평균 속도
-> 약 1분 (Oracle 10g, API 방식, 10만건 데이터 기준)
•
•
•
•
Windows Server
Oracle Solaris OS
IBM AIX
HP-UX
(* 기타 OS 에 대해서도 협의 후 제공 가능)
지원
개발환경
• API Type : COM, C, Java(JSP/Servelt) 지원
17. 기술 지원 방안
SPHINX 제품에 대하여 최선의 기술 지원을 약속 드립니다.
설치단계
• 고객사 미팅을
통해, 고객사 DB
에 적합한 Type
선택
• 고객사 측에
SPHINX 솔루션
설치
개발단계
운영단계
• 개발자 가이드
제공
• 운영자 가이드
제공
• 고객사 개발
진행 중 문의
사항에 대한
유선/원격 지원
• 운영 중 발생
하는 오류에
대한 유선/원격
지원
• DB Migration
진행