www.thalesesecurity.com

데이터유출방지를위한

암호화구축성공사례

2018. 10. 25

탈레스이시큐리티 구병춘부장

2 www.thalesesecurity.com

Agenda

▌한국암호화동향

- 2018 한국암호화동향보고서

- 2018 탈레스데이터위협보고서

▌ Thales e-Security

▌개인정보보호발전방안

- 효과적인데이터보안향상방안

- 암호화구축사례

3 www.thalesesecurity.com

Agenda

▌한국암호화동향

- 2018 한국암호화동향보고서

- 2018 탈레스데이터위협보고서

▌ Thales e-Security

▌개인정보보호발전방안

- 효과적인데이터보안향상방안

- 암호화구축사례

4 www.thalesesecurity.com

2018 한국암호화동향보고서

12개국 5,200명의 IT 직원을대상으로설문조사한국, 미국, 영국, 일본, 독일, 프랑스, 러시아, 인도, 멕시코, 브라질, 호주, 아라비아

▌국내보안담당자 317명을대상으로조사

This presentation contains the findings of a survey completed by over 5,200

IT and IT security practitioners in the following 12 countries: Arabia, Australia,

Brazil, France, Germany, India, Japan, Korea, Mexico, the Russian

Federation, the United Kingdom, and the United States.

The research examines how the use of encryption has evolved over the

past 13 years, and the impact of it on the security posture of organizations in

the face of today’s most pressing data protection challenges.

5 www.thalesesecurity.com

2018 한국암호화동향보고서

▌암호화적용의꾸준한증가

Steady rise over 13 years

Motivation is multi-pronged

Data proliferation brings

new challenges

Siloed approach causes pain

43% of organizations now have a

consistent, enterprise-wide

encryption strategy

67%Germany

56%USA

45%Japan

45%UK

6 www.thalesesecurity.com

2018 한국암호화동향보고서

▌산업별현황

Steady increase across all sectors

Heavily regulated industries lead

the way

Heightened sensitivity for

personal information

IP protection and safety are

also factors

7 www.thalesesecurity.com

2018 한국암호화동향보고서

▌민감데이터에대한위협

8 www.thalesesecurity.com

2018 한국암호화동향보고서

▌암호화의동인

9 www.thalesesecurity.com

2018 한국암호화동향보고서

▌암호화적용시필요로하는기능의중요성

10 www.thalesesecurity.com

2018 한국암호화동향보고서

▌암호화적용을어렵게하는도전과제

11 www.thalesesecurity.com

2018 한국암호화동향보고서

▌클라우드도입의증가 - 멀티클라우드

12 www.thalesesecurity.com

2018 한국암호화동향보고서

▌멀티클라우드환경에서의통제

13 www.thalesesecurity.com

2018 한국암호화동향보고서

▌키관리의문제 –여전히어려운클라우드환경에서의키관리

14 www.thalesesecurity.com

2018 한국암호화동향보고서

▌키관리를위한 HSM 의효용성

15 www.thalesesecurity.com

2018 탈레스데이터위협보고서

95%는민감데이터에디지털트랜스포메이션기술사용

(클라우드, 빅데이터, IoT, 컨테이너, 블록체인, 모바일 결제)

99%빅 데이터

사용

95%IoT 구현

93%모바일 결제사용 중 또는사용 예정

100%보편화된

클라우드사용

92%블록체인

프로젝트 구현또는 구현 중

▌현재진행중인디지털트랜스포메이션

▌높은수준의도입율로복잡성가중

16 www.thalesesecurity.com

2018 탈레스데이터위협보고서

▌멀티클라우드사용 - 추가적인리스크

▌클라우드컴퓨팅과관련된 3대우려사항

66%2개 이상의

IaaS 환경 사용

71%2개 이상의

PaaS 환경 사용

68%10개 이상의

SaaS 애플리케이션사용

공유되는 인프라의 취약성

클라우드 공급업체에서 발생하는 침해

여러 클라우드 공급업체에 걸친 다수의 암호화 키 관리

56%

53%

53%

17 www.thalesesecurity.com

Agenda

▌한국암호화동향

- 2018 한국암호화동향보고서

- 2018 탈레스데이터위협보고서

▌ Thales e-Security

▌개인정보보호발전방안

- 효과적인데이터보안향상방안

- 암호화구축사례

18 www.thalesesecurity.com

탈레스이시큐리티 –데이터보호분야의글로벌리더

19 www.thalesesecurity.com

탈레스이시큐리티 –데이터보호분야의글로벌리더

Best-in-class : Hardware + Software

20 www.thalesesecurity.com

Agenda

▌한국암호화동향

- 2018 한국암호화동향보고서

- 2018 탈레스데이터위협보고서

▌ Thales e-Security

▌개인정보보호발전방안

- 효과적인데이터보안향상방안

- 암호화구축사례

21 www.thalesesecurity.com

효과적인데이터보안향상방안

▌데이터암호화

저장되는 모든 파일, 데이터베이스 암호화 및 애플리케이션 암호화

▌액세스관리

인가된 사용자에게만 액세스 및 복호화를 허용하는 강력한 액세스 관리

▌강력한키보호및관리

전용 장비를 통한 강력한 암호화 키 보호 및 업계를 선도하는 우수한 키 관리 절차

22 www.thalesesecurity.com

암호화방식및구조 –보메트릭

▌ 개인정보컬럼유형변경: 없음

▌ DB 크기증가없음

▌ 응용프로그램변경없음

▌ 고성능

▌ 비정형데이터암호화가능

암/복호화접근통제

Database

스토리지

데이터베이스

응용프로그램

사용자

File Systems Raw device

파일 유형 제한 없음

특정 권한관리자 계정

SAroot

*$^!@#)(-|”_}?$%5rifju7:>>

허용된 사용자및 프로세스

user 홍길동870629-1234567

23 www.thalesesecurity.com

Vormetric Transparent Encryption 정책설정예시

▌ 조건: Resource, User, Process, Time

▌ 동작: 모든유형의 IO

▌ 제어: 키적용 (암호화 / 복호화), 허용, 차단, 감사

# Resource User Process Action Effects

*.log log_daemon log_process * Permit, Apply Key

*.log root admin_tools read Permit, Audit

* * * * Deny, Audit

1

2

3

1

2

3

로그를 저장하는 특정 유저 및 프로세스만 암호화된 파일에 대해 읽기/쓰기 허용

관리자는 암호화 로그 파일에 대해 백업 등 관리 기능만 수행 가능

기타 모든 접근에 대해 통제 및 감사 로그 생성

24 www.thalesesecurity.com

Vormetric Transparent Encryption 암호화기술

▌ 특허기술 – MetaClear

파일 이름, 생성일, 변경일 등 메타데이터는 변경하지 않고 파일의 내용만을 암호화 (파일의 속성을 유지)

암호화 시 데이터 크기 변화 없음

▌ 암호화알고리즘

안전성이 확인 된 국내외 표준 암호화 알고리즘 3DES, AES 128/256, ARIA 128/256 지원

▌ 표준및인증

국가사이버안전센터암호모듈 검증필 (KCMVP)

NIST에서 주관하는 FIPS 140-2

GS 인증

SAP HANA 인증

Name: J SmithCredit Card #:6011579389213

Bal: $5,145,789Social Sec No:514-73-8970

Name: Jsmith.doc

Created: 6/4/99

Modified: 8/15/02

파일 데이터

파일 시스템메타데이터

dfjdNk%(Amg8nGmwlNskd 9fSk9ineoo2n*&*^

xIu2Ks0BKsjdNac0&6mKcoSqCio9M*sdopF

Name: Jsmith.doc

Created: 6/4/99

Modified: 8/15/02

블록 쓰기

블록 읽기

평문 암호화

25 www.thalesesecurity.com

CCKM – CipherTrust Cloud Key Manager

▌멀티클라우드환경에서중앙집중화된암호키관리

▌As a service 또는기존전산실환경에구축

▌가시성향상및규제충족을위한로깅및리포팅

26 www.thalesesecurity.com

CCKM –멀티클라우드환경에서중앙집중화된암호키관리

▌멀티클라우드환경지원

IaaS: Amazon Web Services, Microsoft Azure, China and Germany Azure National Clouds

SaaS: Microsoft Office 365, Salesforce.com

▌클라우드사업자환경과연계된사용성

All Tenant Secrets All Keys

27 www.thalesesecurity.com

CCKM – As a service 또는기존전산실환경에구축

▌ As a Service

Subscribe

Configure

Go!

▌ Secure Key Storage

FIPS 140-2 Level 1

▌ Your Deployment

Subscribe

Deploy

- Private Cloud All virtual appliances for cloud deployment

FIPS 140-2 Level 1 Secure Key Storage

- On Premises CipherTrust Cloud Key Manager virtual appliance

Up to FIPS 140-2 Level 3 secure key storage

Configure

Go!

As a

Service

FIPS 140-2 L1

Secure Key Storage

On Premises

FIPS 140-2 L3

Secure Key Storage

Private

Cloud

FIPS 140-2 L1

Secure Key Storage

28 www.thalesesecurity.com

CCKM –가시성향상및규제충족을위한로깅및리포팅

▌활동사항에대한로깅

▌기본제공보고서

29 www.thalesesecurity.com

암호화구축사례 : 로그파일

▌ 구축및관리

암호화: WAS 서버, 웹 서버, 저장 시 또는 통합 로그 서버 저장 시 암호화

통합로그서버에서암호화시 WAS 서버, 웹서버에서평문

복호화: 조회 권한 사용자/애플리케이션에 대해 복호화

암호화 설정: 업무 요건에 따라 다르지만 1 ~ 2일 내 완료

초기 암호화: 서버 및 스토리지 구성에 따라 다름. 테스트 필요

▌ 업무영향

기존 애플리케이션 수정 및 구성 변경 필요 없음

▌ 구축사례

OO카드

OOOO생명

OO연합회평문

*$^!@#)(-|”_}?$%-:>>

991225-1111111

복호화통합 로그서버

로그 조회

*$^!@#)(-|”_}?$%-:>>

복호화

평문

암호화

암호문

보메트릭 Plug-In 방식 API 방식

30 www.thalesesecurity.com

암호화구축사례 : 팩스파일 (1/2)

31 www.thalesesecurity.com

암호화구축사례 : 팩스파일 (2/2)

32 www.thalesesecurity.com

암호화구축사례 : 호주 OO은행 (빅데이터, 클라우드)

▌ Background and Business Challenge

One of the top Bank in Australia

▌ Requirements

PCI compliance and Internal Audit.

Bigdata Deployment on Hadoop

Data protection on Cloud/Azure.

▌ Solution

Single Vormetric solution to protect both structured and unstructured data

VTE deployment on DB and file server.

VTS for application tokenization

UDF for Hadoop/Hive

CCKM for Azure and O365

▌ Encryption Journey

Started with VTE and VTS

Moved on to deploy UDF for Hadoop protect their data lakes on Hadoop.

33 www.thalesesecurity.com

감사합니다

FOR MORE INFO, VISIT

www.thalesesecurity.co.kr