Next Generation Security Solution Provider

Download Report

Transcript Next Generation Security Solution Provider 

HSM(Hardware Security Module)기반의
통합암호화키 관리시스템 – KeyGuard
소개자료
2011. 10.
㈜엑스비젼씨큐리티시스템
목차
I.
회사 소개
II.
암호화키 개요
III. KeyGuard 소개
IV. Q & A
Next Generation Security Solution Provider
Page  2
I. 회사 소개
Next Generation Security Solution Provider
Page  3
1. 회사 소개
I. 회사 소개
회사 소개
Next Generation Security Solution Provider
우리가 살아가고 있는 현재는 IT환경의 변화와 함께 보안환경 역시 급속하게 변화하고 있습니다.
기술 환경의 변화가 보안 위협의 양상과 방안을 변화시키고 있으며, 보안의 우선순위 역시 바뀌고 있습니다.
하지만 변화를 이끄는 것은 비단 기술의 변화만이 아닙니다. 비즈니스 환경의 변화 역시 기업 보안 환경을 변화의
소용돌이 속으로 몰아넣고 있습니다. 이처럼 급변하는 사업환경 속에서 보안분야에 대한 위협은 점점 증대되어가는
있는 게 현실입니다.
이렇게 지속적으로 확대되는 보안위협 속에서 가장 중요한 부분은 관리라고 할 수 있습니다.
그 중에서도 가장 기본이 되면서 중요한 암호화Key에 대한 관리는 필수라고 할 수 있습니다.
㈜엑스비젼씨큐리티시스템이 자체 개발하여 고객사에 공급하고 있는 KeyGuard(키가드-암호화Key통합관리시스템)는
응용프로그램 및 보안시스템 등의 운용에 필요한 암호화Key를 가지고 수행되어지는 다양한 업무에서 발생하는 키관리
현황에 대한 다양한 문제점들을 해결한 제품으로, 암호화Key를 가지고 업무를 수행하는 모든 고객들에게는 필수적인
관리시스템으로 자리매김하고 있습니다.
㈜엑스비젼시큐리티시스템은 SafeNet HSM의 한국 총판이며, HSM 전문업체로서
안전한 암호화Key의 Life-Cycle 관리 및 HSM분야에서 선두기업으로 발전해 나가고 있습니다.
복잡하고 관리하기 어려운 암호화Key Life-Cycle을 국내 암호화Key관리솔루션전문업체인 ㈜엑스비젼씨큐리시스템의
키가드로 안전하고 효율적으로 관리하시기 바랍니다.
Next Generation Security Solution Provider
Page  4
1. 회사 소개
I. 회사 소개
현황 / 조직
회 사 명
㈜엑스비젼씨큐리티시스템
대 표 자
이 삼 열
사업분야
보안기기 보안솔루션
주
소
서울특별시 서초구 방배동 921-23
연 락 처
T.02-3471-8829 / F.02-3471-9829
회사설립
2005년 02월
자 본 금
1억
임 직 원
10명
조
직
대표이사
전략기획실
2011.05 금융보안연구원 OTP인증센터 HSM공급
2010.05 부국증권 IC카드 키 관리 HSM 공급/개발
2010.03 하이투자증권 IC카드키 관리 HSM 공급/개발
주요연혁
2009.12 한국정보인증 암호화고도화 시스템 HSM 공급
2009.11 하나카드 IC카드 발급인증시스템 HSM 공급
2005.12 SafeNet HSM 부문 한국총판 계약 체결
2005.02 엑스비젼 설립
Next Generation Security Solution Provider
Page  5
HSM사업부
경영지원부
솔루션사업부
1. 회사 소개
I. 회사 소개
주요 고객
금융
국민은행, 농협중앙회, 기업은행, 금융결제원, 대우증권, 하이투자증권, 부국증권, 삼성카드, 하나카드
공공
지식경제부, 국가기록원, 외교통상부, 도로공사, 교육학술정보원, 정보통신산업진흥원, 한국정보보호진흥원
공전소
삼성SDS, 한전KDN, 스타뱅크, 한국정보인증, 한국전자인증, 더존
교육
충북대학교
기업
삼성전자, 하이플러스카드, 페이게이트, LG CNS, KTNET
Next Generation Security Solution Provider
Page  6
II. 암호화키 개요
Next Generation Security Solution Provider
Page  7
1. 암호화의 정의
II. 암호화키 개요
암호화의 정의
암호화(Cryptography)란 중요한 정보를 안전하게 저장, 전송하거나
사용자의 신원을 증명하고 검증하기 위해 사용하는 고도의 수학적 연산이다.
보내는 사람은 원문 데이터를 암호화 키로 암호화(Encryption) 시켜 보내고
받는 사람은 복호화(Decryption)하여 원문데이터를 얻는다.
원문
원문
To
Jane
…
To
Jane
…
암호문
암호화
@&$*2
23
…
암호화 키
X
암호문
복호화
@&$*2
23
…
암호화 키를 가진 사람만 암호문을 풀어 원문을 볼 수 있다
(전송도중 노출 위협 대비)
Next Generation Security Solution Provider
Page  8
암호화 키
2. 암호화 도입배경
II. 암호화키 개요
암호화 도입배경
전산시스템의
발전
업무시스템의
온라인화
인터넷
서비스의
확장
인터넷의
발전과
네트워크
인프라의
확장
사용자
정보 유출
보안 침해
사고발생
기밀 정보
데이터 보호의
필요성 대두
암호화 시스템
정보보호 시스템
도입, 구축
기밀정보 유출방지
위. 변조 방지
본인확인 부인방지
해킹 방지
Internet
사용자
중요 정보
기밀 정보
데이터 암호화 저장
Next Generation Security Solution Provider
데이터 암호화 전송
Page  9
인증/서명/검증 암호화도 확장
3. 암호화 적용분야
II. 암호화키 개요
암호화키 적용분야
 암호화키의 다양한 적용
– PKI 기반 암호화(전자서명, 서명검증, SSO, 암.복호화…)
– 통신 구간 트랜젝션 암호화(SSL, TLS..)
– 데이터베이스 암호화
– 카드 발급, 지불, 인증 암호화
– Web Service, XML 암호화(B2C, B2B, B2G, G4C…)
사용자
DB
웹서버
(웹서비스)
APP서버
Next Generation Security Solution Provider
Page  10
3. 암호화 적용분야 - 계속
II. 암호화키 개요
암호화키 적용분야
인터넷뱅킹/보험/증권
ATM
본인인증/전자서명/서명검증/암호화 통신
인증/암호화 통신
신용/교통카드
발급/인증/암호화 통신
전자문서/전자민원
서명/인증/암호화 통신
SSO/권한관리
본인인증/암호화 통신
데이터베이스
데이터 암호화/인증
전자여권/출입통제
지불결제/거래
기기인증
본인인증
본인인증/데이터 암호화
기기인증/암호화 통신
Next Generation Security Solution Provider
Page  11
지속적인 암호화
대상업무의 확대
암호화는
업무시스템의
기반 인프라
I. 암호화 Key 통합관리 필요성
4. 암호화 Key Life-Cycle
암호화키 Life-Cycle
폐기
생성
말소
등록
인증
취소/
삭제
암호화 Key Life-Cycle
보관
분배
파생
설치
저장
* 정보보호학회지 제14권 제2호 참조
Page  12
5. 암호화키 관리의 취약성
II. 암호화키 개요
암호화키 관리의 취약성
 암호화 키는 암호화 보안시스템의 핵심 – 시스템의 안정성과 직결됨.
 암호화 키(private key, secret key)를 서버 파일시스템에 보관, 어플리케이션에 하드코딩
- 유출에 취약, 공격자의 목표가 됨.
 암호화 키의 인적, 소프트웨어적 키 관리 - 보안관리자 이외 사용자의 접근 가능성, 일반적
공격에 취약 - 암호화 보안 시스템의 붕괴 요인이 됨.
 클라이언트-서버, 서버-서버 간 기밀데이터를 평문으로 전송, 공격에 취약
 SSL 기반 암호화 통신 채널을 통한 데이터 암호화 전송 필요
 처리되는 기밀 데이터가 평문 데이터로 일반서버의 메모리에 노출됨.
Next Generation Security Solution Provider
Page  13
5. 암호화키 관리의 취약성 - 계속
II. 암호화키 개요
암호화키 관리의 취약성
암호화키 관리 대상 증가
소프트웨어적으로 생성, 저장, 사용, 관리
암호화키의 상태 정보 확인 불가
인적 오프라인 키 배포, 관리
일반관리자에 의한 암호화키 관리
암호화 키
관리취약성
수기로 암호화 키를 저장, 배포
내.외부자의 악의적 공격, 유출 위협
암호화키 관리프로세스 부재
위협에 대한 감지, 추적/감사 불가
암호화 키의 실시간 관리 부재
Next Generation Security Solution Provider
Page  14
6. 통합암호화키 관리시스템 요구사항
II. 암호화키 개요
통합암호화키 관리시스템 요구사항
 하드웨어적 암호화 키 관리시스템
- 보안인증을 받은 안전한 HSM을 통해 암호화 키를 보호할 수 있는 시스템
- HSM에서 안전하게 키를 생성하고 저장, 사용, 관리(암호화키 Life-Cycle 관리)
- 내.외부로부터의 공격에 능동적 대응
- 암호화 키 유출 가능성 제거
 안전한 배포, 분배가 가능한 키 관리시스템
- 오프라인 및 인적 키 배포에서 발생하는 분실, 유출 등의 취약성 배제
- 암호화 키의 노출 없이 안전하고 신속하게 배포
 암호화키 관리 감사기록이 명확한 시스템
- 모든 암호화키 관리 정보의 기록 및 추적/감사
- 실시간 암호화 키의 상태확인 및 모니터링
- 암호화키 접근자에 대한 인증강화
Next Generation Security Solution Provider
Page  15
III. KeyGuard 소개
Next Generation Security Solution Provider
Page  16
1. KeyGuard 소개
III. KeyGuard 소개
KeyGuard 소개
KeyGuard는 기존 HSM(Hardware Security Module)을 기반으로 구성된
암호화Key 관리시스템을 보완하여, HSM 단독 도입구축 시 제기된 구성 및 비용에 대한 문제를
개선하고 발전시켜, 안전하고 효율적인 암호화키 통합관리체계를 구축하는 솔루션입니다.
개선사항
- 업무Application 등 기존시스템의 수정을 최소화하여 구축기간
단축
- 암호화Key의 관리 / 배포 / 감사업무의 자동화를 통한 업무효율성 확보
- 기존 H/W 중심의 HSM만으로 암호화Key 통합관리시스템 구축 시 대비 비용 절감
- 암호화Key에 대한 모니터링 및 감사 기록 리포팅 등을 제공
- 전사적 / 체계적으로 보안 관리 업무 수준을 향상
Next Generation Security Solution Provider
Page  17
2. 기존 HSM으로만 구축한 암호화 Key 통합 사례
MCI 서버
인터넷뱅킹 RA 서버
인터넷뱅킹 웹서버
인터넷뱅킹
HSM 전용 네트워크
III. KeyGuard 소개

Client License
2 HSM partition
Luna SA
L2 Switch
Luna SA
L4
PKI 방화벽
보안인프라
전용 HSM
L4
어플리케이션
전용 HSM
Luna SA
L4
L2 Switch
Luna SA
L2
20 HSM partition
HSM 전용 네트워크
인증서 발급서버
권한인증서 발급서버
인증서 검증서버
보안카드 발급서버
Page  18
통합권한 관리서버
3. 암호화Key 통합시스템 구축 비교
III. KeyGuard 소개
KeyGuard vs. HSM 단독 구축 비교
구 분
KeyGuard
(Unified Cryptographic Key Management System)
HSM 단독
암호화Key 통합 시스템(기존)
구축기간
1개월 이내 설치/Package 사용
( customizing 은 별도협의)
12개월 이상 장기
업무 Application 수정
최소화
모든 Application 수정 필요
(HSM 연동)
암호화Key 배포/관리
일부 Key 분산 운영 관리 가능
- 통합/분산 Processing
암호화Key 통합 Processing
구축비용
저가
고가
(keyGuard 대비 3배 이상 소요)
유지보수 편의성
운영 S/W 제공으로 관리 편의성 제공
(GUI 환경)
모니터링/감사 기능
통제/감사기록 제공
Next Generation Security Solution Provider
운영 S/W 제공 없음
( 최소의 CGI 기능 만 제공)
기능 없음
Page  19
4. KeyGuard 특징
III. KeyGuard 소개
KeyGuard 특징
HSM 하드웨어 기반
안전한 키 생성, 저장, 배포, 관리
암호화 키는
HSM 기반으로 안전하게
생성, 저장, 배포, 관리
보안 통신을 통한 암호화 키 배포
보안성
공개키 암호화에 의한 상호 인증
USB 암호화 토큰으로 관리자 이중 인증
암호화 키는
인가된 관리자에 의해
안전하게 관리
키 관리 권한 분산 및 그룹인증 모델 적용
암호화 키는
보안 프로토콜에 의해
편리하고 안전하게 배포
웹기반 온라인 인증 및 관리 GUI
편의성
중앙집중적 원격 암호화 키 배포 및 관리
키 관리 자동화를 위한 스케쥴링 기능
실시간 온라인 관리, 모니터링
인터페이스가 제공
업무 별 키관리 및 접근권한 관리
효율성
암호화 키 이력관리 및 감사 기록 관리
실시간 온라인 배포, 감시, 관리
Next Generation Security Solution Provider
Page  20
암호화 키 관리에 대한
모든 감사 기록을 제공
5. KeyGuard 주요구성
III. KeyGuard 소개
KeyGuard 주요구성(H/W & S/W)
구 분
상세 기능
분류
HSM- 보안 업무 서버용 암호화 키의 생성,저장
H/W
KeyGuard 시스템 저장 및 운용
KeyGuard Manager
시스템 저장용 Management Server
Manager
KeyGuard 시스템 설치 및 운용
KeyGuard Agent
KeyGuard Client
암호화Key 배포 실행, Data 암호화
Client HSM 상태 확인
비고
S/W
H/W
Agent
S/W
USB 토큰 연동 및 관리자 인증Key 관리
S/W
인증 및 암호화 인터페이스
Client
KeyGuard 인증 Token
관리자 인증 Key 생성,저장
H/W
인증, 암호화 처리
Next Generation Security Solution Provider
Page  21
6. KeyGuard Manager Spec.
III. KeyGuard 소개
KeyGuard Manager Spec.
구 분
CPU
Memory
Ethernet
사 양
2.4GHz Dual Core CPU
4GB Memory
10/100/1000 * 4EA
HDD
300GB HDD
O/S
Embedded 전용 보안 O/S
Power
비고
Single Power
Next Generation Security Solution Provider
Log 수집
* Dual Power
Option
Page  22
7. KeyGuard 주요기능
III. KeyGuard 소개
KeyGuard 주요기능
기본정보
관리
접속관리(Log In, Log Out, P/W 등) , 보안정책 수립관리 등
Key Life-Cycle
관리
생성, 저장, 변경, 폐기, 복구 등 암호화 Key 통합 운영 관리
다중인증
(Key Ceremony)
암호화 Key 생성(N of M)을 위한 인증
감사기록
관리
Server
Agent
인증 Tool Kit(PC)
Next Generation Security Solution Provider
각종 감사 자료 Report, 암호화 Key 상태 모니터링
배포 Interface, HSM상태 Checking, 통신 관리
다중인증, USB 인증 토큰 관리 (암·복호화 Tool Kit)
Page  23
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 주요기능
메뉴별 기능
KeyGuard
키가드 설치 및
설치 정보 메뉴
키가드 정책설정 메뉴
키가드 관리
및 운영 메뉴
키가드 사용자 관리
및 Key 스케줄링 관리 메뉴
키가드 로그 관리 메뉴
Next Generation Security Solution Provider
Page  24
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 사용자 로그인
Next Generation Security Solution Provider
Page  25
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 시스템정보
Next Generation Security Solution Provider
Page  26
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 업무시스템 암호화키 관리
Next Generation Security Solution Provider
Page  27
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 시스템 로그
Next Generation Security Solution Provider
Page  28
7. KeyGuard 주요기능 - 계속
III. KeyGuard 소개
KeyGuard 사용자정보
Next Generation Security Solution Provider
Page  29
8. KeyGuard 구성도
III. KeyGuard 소개
KeyGuard 구성도
내부배포
외부배포
* 암호화 Key 내부 배포 지원
HSM(SA 모델 or 내장)
* 암호화 Key 외부 배포 지원(외부기관)
KeyGuard
Manager
Application
Server
Key Guard
Agent
외부사용자
PCMCIA
or USB
intranet
TCP/IP
...
KeyGuard
Agent
KeyGuard
Agent
KeyGuard
Agent
HSM(SA 모델 or 내장)
KeyGuard
Agent
TCP/IP
...
KeyGuard
Client
KeyGuard Manager
Server
KeyGuard
Client
HSM USB Token(M of N)
Page  30
HSM USB Token(M of N)
IV. Q & A
Next Generation Security Solution Provider
Page  31
감사합니다.
Next Generation Security Solution Provider
Page  32