개인정보 유출 및 그에 따른 책임 확대 개인 정보 데이터 유출사례 점점 증가 데이터 유출에 따른 기업의 책임 확대 옥션 : 1081만명의 고객 정보 유출 (2008년) GS 칼텍스 : 1100만 여명의 고객 정보 유출 (2008년) 대형 쇼핑몰, 리조트 업체등 총 25개 기업 : 2000만건 개인정보 유출 (2010년) Sony : 7500만명 이상의 개인정보 유출 (2011년) SK 컴즈 : 3500만명 이상의 개인정보 유출 (2011년) 데이터 유출에 따른 기업의 책임 확대 인터넷 중고차 거래 업체 & 네비게이션 판매 업체 첫 형사 처벌 (2010.03.17) 사이버범죄수사대 관계자는 "이번 건은 기술적 보호 조치 의무 불이행으로 고객정보를 유출한 업체를 최초로 입건한 사례"라며 "개인정보의 기술적·관리적 보호조치의 기준은 권고가 아니라 법률에 의해 반드시 준수해야 하는 의무사항"이라고 강조 – 전자신문 2010.03.17 올해 개인정보 보호법이 공포됨에 따라 개인정보 보호 조치 적용대상 증가 예정 (2011.09.30 시행)
DB 암호화에 대한 법규제 DB 암호화에 대한 법규제 사례 개인정보 침해사건의 증가에 따라, 개인정보 보호를 위한 법안들 역시 강화되어 왔습니다. 개인정보보호를 위한 법규정 내용 정보통신망 이용촉진 및 정보보호에 관한 법률 정보통신 사업자를 대상으로 하는 정보통신망법의 경우 개정되어 개인정보(주민등록번호, 신용카드번호 및 계좌번호)에 대한 암호화가 의무화 (2008.06.13) 보호조치를 위반한 경우, 최고3000만원의 과태료, 보호조치를 하지 않아서 이용자의 개인정보를 분실도난유출변경한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금 개정된 정보통신망법 위반으로 인터넷 중고차 거래 업체 & 네비게이션 판매 업체 첫 형사 처벌 (2010.03.22) 개인정보보호법 개인정보를 취급하는 모든 사업자들에 대해 개인정보(주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호)의 암호화를 의무화하도록 개정 (2011.03.20) 개별법으로 다루지 못했던 사각지대(공공 및 민간을 모두 포함하는 오프라인 사업자 및 각종단체)까지 개인정보보호 의무를 부여 2011.09.30부터 시행 기타 법률들 그 외 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 교육기본법, 의료법 등에서 각 분야별 개인정보 보호를 위한 조치 의무화
DB 암호화의 필요성 (1/2) DB 데이터의 근본적인 보호 방법 Data 유출 경로와 공격 기법을 하나씩 차단해 나가는 것은 OS, 네트워크, Application, 계정관리, 인증 및 권한관리 등 모든 영역에 걸쳐서 많은 투자와 관리가 필요합니다. 철저한 보안 관리에도 단 하나의 허점을 통해서 정보유출 사고는 발생 가능 정보유출 사고가 발생했을 때 기업의 정보를 지켜줄 수 있는 유일한 방안은 주요 정보에 대한 암호화 관리 웹 서버를 경유한 DBMS 공격 (Ex. SQL Injection) 시스템 관리자/운영자의 정보 유출 OS 또는 네트워크 취약점을 이용한 시스템 공격 업무개발자/외주개발자의 정보 유출 Physical data carrier 또는 백업 데이터를 통한 중요 정보 유출 DBMS 취약점을 이용한 공격 - Full 기능을 갖춘 DLP 시스템은 취약한 모든 경로에 대한 모니터링이 가능하지만, 매우 비싸고 사용하기가 어려우며, 복잡한 경로의 경우 때때로 안전하지 않은 상태로 놓여있기도 한다. (Global Data Leakage Report, 2009, infowatch) Database는 이제 기업의 가장 중요한 자산입니다. 어떠한 방식의 데이터 유출에도 데이터를 안전하게 보관할 수 있는 유일한 방법은 중요 데이터를 암호화하는 방법입니다.
DB 암호화의 필요성 (2/2) 사내 PC 감염을 통한 개인정보 유출 방지 SK 컴즈 해킹 사례를 통해 알 수 있듯이, SQL Injection등 외부를 통한 직접적인 해킹을 방지하였다고 하더라도, 내부의 PC 감염을 통해 데이터 유출이 일어날 수 있습니다. 이러한 내부로부터의 유출로부터 데이터를 근본적으로 안전하게 지키는 방법은 보안관리자 와 DB관리자의 철저한 권한 분리 및 데이터 암호화 입니다. 외부로부터의 해킹 방어 내부 DB 관리자 PC 감염을 통한 중요 정보 유출
검증받은 암호화 알고리즘의 중요성 SK 컴즈에서 사용한 암호화 방식 SK 컴즈는 취약성이 발견되어 사용하지 말도록 권고된 MD5 알고리즘을 사용 안전한 데이터 보안을 위해서는 국내외적으로 인정받은 표준 암호화 알고리즘을 사용하는 것이 필수 입니다. 출처 : SBS
DB 암호화의 종류 DB 암호화는 크게 API, Plug-In, In-Place세가지 방식으로 분류됩니다. API Application에서 데이터 암복호화 수행 적용 가능 DB 제한 없음 암복호화에 따른 DB 부화 전혀 없음 암호화 대상 데이터와 관련된 쿼리 수정 필요 Plug-In DBMS에 Plug-In 형식으로 암복호화 모듈 설치 Application으로 부터 독립되어 쿼리 수정 최소화 암호화 컬럼에 대한 인덱스 지원 암호화, 접근제어, 감사 통합 보안 기능 제공 In-Place DB 엔진 안에 암복호화 기능 포함 빠른 암호화 성능 제공 Application으로부터 완벽한 독립성 제공 접근제어, 감사 기능을 지원하기 위해서는 별도 패키지 사용 필요 (D’Amo는 기본 지원) Database Application Select Insert Encryption Agent Database Encryption Engine Database Engine API Plug-In TDE
통합 DB 보안 솔루션, D’Amo D’Amo는 국내 암호화 시장에서 80% 이상의 점유율을 차지하고 있는 No.1 데이터 암호화 솔루션으로 2004년 출시 이후 7년간 시장 선두 자리를 지켜왔습니다. SEED, ARIA, AES, TDES 등 국내외적으로 인정받은 표준 암호화 알고리즘을 사용 국내 600여 고객 보유 및 다년간의 고객 지원을 통한 숙련된 기술 지원팀 보유 Plug-In, In-Place, API, Hybrid 방식을 모두 지원하는 통합 데이터베이스 보안 솔루션 D’Amo Plug-In 및 In-Place 방식의 DB 암호화 제품 제품군 D’Amo for Oracle : Oracle용 Plug-In 암호화 D’Amo for MS SQL Server : SQL Server용 Plug-In 암호화 D’Amo for DB2 : DB2용 Plug-In 암호화 D’Amo for Tibero : Tibero용 Plug-In 암호화 D’Amo for ALTIBASE : ALTIBASE용 In-Place 암호화 D’Amo Analyzer : 자동 DB 사전 분석 서비스 제공 D’Amo SCP API 방식의 DB 암호화 제품 제품군 D’Amo SCP Agent : Application Server에서 암복호화를 수행하는 API 암호화 제품 D’Amo for SAP SAP용 DB 암호화 제품 제품군 D’Amo SAP Agent : D’Amo KeyManager와 함께 SAP Solution 환경에서의 데이터 암호화 수행 Accessories D’Amo KeyManager : 키관리 및 로그 수집, 암복호화 서비스 제공 D’Amo 제품군