Penta Security Systems, Inc. | 2013, March

Presentation on theme: "Penta Security Systems, Inc. | 2013, March"— Presentation transcript:

1 Penta Security Systems, Inc. | 2013, March
DB 보안 개요 Penta Security Systems, Inc. | 2013, March

2 Table Contents 개인정보 유출 및 그에 따른 책임 확대 DB 암호화에 대한 법규제 DB 암호화의 필요성
사내 PC 감염을 통한 개인정보 유출 방지 검증받은 암호화 알고리즘의 중요성 DB 암호화 종류 통합 DB 보안 솔루션, D’Amo DB 보안 개요

3 개인정보 유출 및 그에 따른 책임 확대 개인 정보 데이터 유출사례 점점 증가 데이터 유출에 따른 기업의 책임 확대
옥션 : 1081만명의 고객 정보 유출 (2008년) GS 칼텍스 : 1100만 여명의 고객 정보 유출 (2008년) 대형 쇼핑몰, 리조트 업체등 총 25개 기업 : 2000만건 개인정보 유출 (2010년) Sony : 7500만명 이상의 개인정보 유출 (2011년) SK 컴즈 : 3500만명 이상의 개인정보 유출 (2011년) 데이터 유출에 따른 기업의 책임 확대 인터넷 중고차 거래 업체 & 네비게이션 판매 업체 첫 형사 처벌 ( ) 사이버범죄수사대 관계자는 "이번 건은 기술적 보호 조치 의무 불이행으로 고객정보를 유출한 업체를 최초로 입건한 사례"라며 "개인정보의 기술적·관리적 보호조치의 기준은 권고가 아니라 법률에 의해 반드시 준수해야 하는 의무사항"이라고 강조 – 전자신문 올해 개인정보 보호법이 공포됨에 따라 개인정보 보호 조치 적용대상 증가 예정 ( 시행) DB 보안 개요

4 DB 암호화에 대한 법규제 DB 암호화에 대한 법규제 사례
개인정보 침해사건의 증가에 따라, 개인정보 보호를 위한 법안들 역시 강화되어 왔습니다. 개인정보보호를 위한 법규정 내용 정보통신망 이용촉진 및 정보보호에 관한 법률 정보통신 사업자를 대상으로 하는 정보통신망법의 경우 개정되어 개인정보(주민등록번호, 신용카드번호 및 계좌번호)에 대한 암호화가 의무화 ( ) 보호조치를 위반한 경우, 최고3000만원의 과태료, 보호조치를 하지 않아서 이용자의 개인정보를 분실도난유출변경한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금 개정된 정보통신망법 위반으로 인터넷 중고차 거래 업체 & 네비게이션 판매 업체 첫 형사 처벌 ( ) 개인정보보호법 개인정보를 취급하는 모든 사업자들에 대해 개인정보(주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호)의 암호화를 의무화하도록 개정 ( ) 개별법으로 다루지 못했던 사각지대(공공 및 민간을 모두 포함하는 오프라인 사업자 및 각종단체)까지 개인정보보호 의무를 부여 부터 시행 기타 법률들 그 외 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률, 교육기본법, 의료법 등에서 각 분야별 개인정보 보호를 위한 조치 의무화 DB 보안 개요

5 DB 암호화의 필요성 (1/2) DB 데이터의 근본적인 보호 방법
Data 유출 경로와 공격 기법을 하나씩 차단해 나가는 것은 OS, 네트워크, Application, 계정관리, 인증 및 권한관리 등 모든 영역에 걸쳐서 많은 투자와 관리가 필요합니다. 철저한 보안 관리에도 단 하나의 허점을 통해서 정보유출 사고는 발생 가능 정보유출 사고가 발생했을 때 기업의 정보를 지켜줄 수 있는 유일한 방안은 주요 정보에 대한 암호화 관리 웹 서버를 경유한 DBMS 공격 (Ex. SQL Injection) 시스템 관리자/운영자의 정보 유출 OS 또는 네트워크 취약점을 이용한 시스템 공격 업무개발자/외주개발자의 정보 유출 Physical data carrier 또는 백업 데이터를 통한 중요 정보 유출 DBMS 취약점을 이용한 공격 - Full 기능을 갖춘 DLP 시스템은 취약한 모든 경로에 대한 모니터링이 가능하지만, 매우 비싸고 사용하기가 어려우며, 복잡한 경로의 경우 때때로 안전하지 않은 상태로 놓여있기도 한다. (Global Data Leakage Report, 2009, infowatch) Database는 이제 기업의 가장 중요한 자산입니다. 어떠한 방식의 데이터 유출에도 데이터를 안전하게 보관할 수 있는 유일한 방법은 중요 데이터를 암호화하는 방법입니다. DB 보안 개요

6 DB 암호화의 필요성 (2/2) 사내 PC 감염을 통한 개인정보 유출 방지
SK 컴즈 해킹 사례를 통해 알 수 있듯이, SQL Injection등 외부를 통한 직접적인 해킹을 방지하였다고 하더라도, 내부의 PC 감염을 통해 데이터 유출이 일어날 수 있습니다. 이러한 내부로부터의 유출로부터 데이터를 근본적으로 안전하게 지키는 방법은 보안관리자 와 DB관리자의 철저한 권한 분리 및 데이터 암호화 입니다. 외부로부터의 해킹 방어 내부 DB 관리자 PC 감염을 통한 중요 정보 유출 DB 보안 개요

7 검증받은 암호화 알고리즘의 중요성 SK 컴즈에서 사용한 암호화 방식
SK 컴즈는 취약성이 발견되어 사용하지 말도록 권고된 MD5 알고리즘을 사용 안전한 데이터 보안을 위해서는 국내외적으로 인정받은 표준 암호화 알고리즘을 사용하는 것이 필수 입니다. 출처 : SBS DB 보안 개요

8 DB 암호화 종류 DB 암호화는 크게 세가지 방식으로 분류됩니다. DBMS Application DBMS Package
암호화 대상 데이터와 관련된 쿼리 수정 필요 DBMS Package DBMS 자체에 설치되는 형식으로 암복호화 모듈 설치 Application으로 부터 독립되어 쿼리 수정 최소화 암호화 컬럼에 대한 인덱스 지원 암호화, 접근제어, 감사 통합 보안 기능 제공 DBMS Engine DB Engine 안에 암복호화 기능 포함 빠른 암호화 성능 제공 Application으로부터 완벽한 독립성 제공 접근제어, 감사 기능을 지원하기 위해서는 별도 패키지 사용 필요 (D’Amo는 기본 지원) Database Application Select Insert Encryption Agent Database Encryption Engine Database Engine API Plug-In TDE DB 보안 개요

9 통합 DB 보안 솔루션, D’Amo D’Amo는 국내 시장점유율 1위의 통합DB보안 솔루션입니다 암호화 접근 제어 권한 분리
펜타시큐리시스템 감사 2011년 기준 K사 S사 보고서 기타 (출처 : 공공조달 판매량 기준) DB 보안 개요

10 통합 DB 보안 솔루션, D’Amo D’Amo는 고객의 시스템 아키텍쳐에 따라 성능, 보안성 등을 최적화하여 적용할 수 있도록 다양한 기술로 이루어진 Component를 보유하고 있습니다 DB 보안 개요 D'Amo SCP 소개자료

11 감사합니다. Penta Security Systems Inc.
Hanjin Shipping Bld. 20F, Seoul, Korea TEL: FAX: Penta Security Systems K.K. 東京都浜田区赤坂3-2-8アセンド赤坂3階 TEL: FAX: DB 보안 개요