1 / 36

DB 암호화 솔루션 소개 “ XecureDB ”( 제큐어디비 )

DB 암호화 솔루션 소개 “ XecureDB ”( 제큐어디비 ). DaouData Tel : 070-8707-3133 E-mail : sales@daoudata.co.kr. Ⅰ. 제안 개요. 1. 회사연혁 , 조직 및 일반 인원현황 2. 제안 시스템 특장점 3. 제안제품 공급실적 및 인증. Ⅰ. 제안개요. 가 . 제조사 ( 소프트포럼 ) 일반 및 회사연혁. 1. 회사연혁 , 조직 및 일반 인원현황. 2012. 04. CODEGATE2012 해킹방어대회 & 국제보안컨퍼런스 개최.

harsha
Download Presentation

DB 암호화 솔루션 소개 “ XecureDB ”( 제큐어디비 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DB암호화 솔루션 소개“XecureDB”(제큐어디비) DaouData Tel : 070-8707-3133 E-mail : sales@daoudata.co.kr

  2. Ⅰ. 제안 개요 1. 회사연혁, 조직 및 일반 인원현황 2. 제안 시스템 특장점 3. 제안제품 공급실적 및 인증

  3. Ⅰ. 제안개요 가. 제조사(소프트포럼)일반 및 회사연혁 1.회사연혁, 조직 및 일반 인원현황 2012 04. CODEGATE2012 해킹방어대회 & 국제보안컨퍼런스 개최 2005 11 국가정보원 암호검증제도 국내 최초 통과 10 HSBC, 도이치방크 등 해외 금융기관에 보안 솔루션 공급 08 XecureWeb, SafeIdentity 국정원 보안성 검증 필 획득 2011 08 SAP DB암호화 인증 추진 ( 8월 인증완료 예정) 07 숫자 데이터의 압축 암호화 방법 특허출원 (10-2011-0073499호) 12 데이타베이스 패턴 암호화에 따른 인덱스 검색 시스템 특허 획득 12 행정안전부 DB암호화 분리발주 수주 09 한글과 컴퓨터 인수 2010 2004 12 국방 공개키기반 인증체계(MPKI) 구축 사업권 획득 10 X-인터넷 시장진출 (컴스퀘어 제휴) 07 KT 컨소시엄 홈네트워크 시범서비스 참여 05 “국세청” 고객 정보 DB 암호시스템 공급 04 오라클 보안 파트너 등록 - ‘SafeSignOn’ 오라클 9iAS 연동 03 Adobe와 전략적 제휴 체결, 소프트포럼 전자서명 연동 2009 04 CODEGATE2009 해킹방어대회 & 국제보안컨퍼런스 개최 01 업계 최초 국가정보원 암호검증제도 재검증 2008 12 소프트포럼, 대한민국 신성장경영대상 최우수상 수상 12 “인터파크” 고객 정보 DB 암호시스템 공급 10 XecureDB V2.7 GS 인증 07 XecureHSM, KISA 보안토큰구현적합성 평가인증서 획득 07 통합계정관리솔루션 SafeIdentity IM 출시 05 XecureWeb, KISA 구현적합성 심의통과, 평가인증서 획득 04 CODEGATE2008 해킹방어대회 & 국제보안컨퍼런스 개최 03 XecureHSM 보안토큰 출시 02 XecureWeb 맥/리눅스 버전 개발 -행자부 G4C 공급 02 KB국민은행 복권시스템 DB암호화 솔루션 공급 01 XecureWeb GS인증 획득 01 국민은행 칩없는 인증서 기반 모바일 뱅킹 서비스구현 2003 07 MS 솔루션 파트너 선정 2002 11 Safeidentity SAP 인증 획득 2001 11 KOSDAQ 상장 (종목번호 제054920호) 08 Identrus™(아이덴트러스) 인증 획득 2000 11 통합인증솔루션 SafeIdentity 개발 11 국내 최초로 국정원 보안적합성 심사에서 USB키보드 취약점 보안 부문 포함하여 통과 (2007년 11월 6일) 06 HSM 인증솔루션 개발 05 국제피싱대응협의체 ‘안티피싱워킹그룹(APWG)’ 가입 04 ClientKeeper KeyPro GS (Good Software) 인증 획득 03 개인정보보호를 위한 온라인 PC 보안‘ClientKeeper Series’출시 04 소프트포럼㈜ 독립법인 설립 1999 2007 1998 08 소프트포럼 공개키 기반구조 XecurePKI 개발 08 국내 최초 Internet Banking System 발표 08 국내 최초 인증 기관 SFCA 1.0 개발 및 운영 07 국내 최초 128비트 암호 솔루션 SecurePlugIn 1.0 개발 1996 2006 11 ETRI와 공동으로 대전 통합 ID 관리시스템 구축 사업 10 지상파 DTV (MBC, SBS, KBS, EBS) 보안 인증체계 구축사업 선정 05 XecureDB 보안성 검증 필 획득 04 미국 현지법인 설립 02 차세대 하드웨어 보안 장비인 HSM 사업 진출 1995 10 미래산업㈜ 보안연구소 소프트포럼 설립

  4. 소프트포럼 DB보안 전문 조직 체계 Ⅰ. 제안개요 1.회사연혁, 조직 및 일반 인원현황 나. 제조사(소프트포럼) 조직 및 인원현황 소프트포럼㈜의 조직은 고객에게 진정한 가치를 제공하고 고객의 성공에 기여하기 위한 경영 파트너 정신이 담겨있으며, 본 사업에 필요한 필수요소 기술을 겸비한 조직이 운영되고 있습니다 총인원 : 130명 대표이사 SW사업본부 구축팀 영업부 SW연구개발실 전략사업부 30% 30% 16% 13% 10% DB보안 개발팀 PKI개발팀 디지털ID개발팀 기반기술팀 신사업TFT 금융영업부문 기업영업부문 공공영업부문 DB보안 구축 PKI 구축팀 SSO/EAM PC보안 구축 정책 분석팀 기획컨설팅팀 마케팅팀 보안분석팀 R&D C/S 영업 Staff 전략기획

  5. DB암호화 Plug-in방식 고객사 환경에 적합한 고객사 환경에 적합한 DB전문인력을 통한 명확한 DB분석 DB전문인력을 통한 명확한 DB분석 XecureDB암호화적용 XecureDB Hybrid 적용 Ⅰ. 제안개요 2.제안 시스템 특장점 가. 제안 시스템 특장점 소프트포럼㈜은 성공적인 시스템 구축을 위하여 DB암호화 구축 전문인력을 투입하여 제안 솔루션만의 ‘부분암호화, 압축암호화’ 특화기술, 고객사 환경에 맞는 다양한 API 및 Plug-In를 제공하며, 고객사 환경에 최적화된 암호화 방식으로 DB암호화 시스템 구축을 수행하겠습니다. 소프트포럼만의 특화기술DB암호화 전문 인력 동일 제품에서 고객사 환경에 적합한 Hybrid 방식 적용 XecureDB만의 특허기술 고객사 환경에 맞는 다양한 맞춤형 API, Plug-In 제공 DB암호화 DB암호화 적용 DB암호화 적용 API방식 다수 구축 경험을 보유한 DB암호화 전문 인력 DB DB DB튜닝전문가 부분암호화 압축암호화 DBA

  6. Ⅰ. 제안개요 가. 제안제품 공급실적 제안 제품인 XecureDB는 금융, 기업, 공공기관에 다수의 구축 레퍼런스를 보유하고 있습니다 3.제안제품 공급실적 및 인증 Plug-In 방식 Hybrid 방식 API 방식

  7. Ⅰ. 제안개요 3.제안제품 공급실적 및 인증 나. 제품 인증 및 보안 적합성 내용 XecureDB는 국가용 암호화 제품으로 등재되었으며 국정원의 국가용 암호 검증필 및 GS인증을 획득, 본 사업에서 요구하는 모든 표준을 준수합니다. 제품 인증 및 보안 적합성 • 국정원의 국가용 암호 검증필(CMVP) 획득 및 국가용 암호화 제품으로 등재 • GS(Good Software)인증 획득 • 국정원 IT 보안인증사무국의“DB암호제품 보안요구사항” 준수 • 국정원에서 제시한‘DB암호화 가이드라인’에 따라 검증된 암호화 알고리즘으로 인덱스 암호화를 수행 (특허보유 : 출원번호10-2010-0030741) • TIBERO 상호 연동 적합성 인증 • XecureDB for ERP - SAP 인증(SAP Integration Certification) • 압축암호화를 통한 암호화 후 컬럼사이즈 변경 없는 방식에 대한 특허 출원 DB암호제품 보안요구사항 IT보안인증사무국 2010. 4 • 국정원에서 제시한‘DB암호화 가이드라인’에 따라 검증된 암호화 알고리즘으로 인덱스 암호화를 수행 (특허출원 : 출원번호10-2010-0030741)

  8. Ⅱ. 기술 부문 1. 제품 개요 및 구성 2. 암/복호 기능 3. 설치 및 운영 4. 보안 및 감사 기능 5. UI 편의성 6. 서비스 안정성

  9. 운영개념 및 체계규격 연구 Ⅱ. 기술 부문 가. 제품 개요, 특장점, 구동방식 등 1) 제품 개요 XecureDB는 DB 암호화를 통한 기밀성을 유지, 안전한 키 관리, DB 접근제어를 제공하는 강력한 DB보안 솔루션입니다. 1.제품 개요 및 구성 XecureDB 제품 개요 제품명 제품개요 • API와 Plug-in방식을 혼용한 DB암호화 솔루션 • 국내 및 국제 표준 암호화 알고리즘 제공 • 다양한 환경/대용량 DB암호화 구축 경험 보유 • DB특화기술을 통한 마이그레이션 시간 단축 • GS인증, CMVP, 국가용 암호제품 등록 강화된 DB보안정책 적용 관리/적용의 용이성 제공 검증된 솔루션 국내최고의 기술력 보유 • DBA 및 DB튜닝 전문가인력을 통한 DB의 명확한 분석/적용 • 롯데백화점, 인터파크, 국세청 등의 대용량 DB암호화 경험보유 • POS, CRM등의 임베디드 및 DW 환경 등의 다양한 환경 적용 경험 • Index 암호화 및 검색 기능 제공 • 보안관리자, DBA, 사용자 등의 개별 보안정책 적용 • 안전한 DB 암호화 키관리를 통한 키유출 사전 방지 • DB에 연결되어 있는 객체들에 대한 접근제어 기능의 강화 • DB에 보안정책을 설정 시 전용 관리도구를 통하여 계층 및 트리 구조의 다양한 보안정책을 설정 • Migration시 전용 마이그레이션 도구를 통하여 신속하고 직관적인 확인 및 설정 환경을 제공 • 다양한 국내.외 암호화 알고리즘을 제공 • 국정원 암호검증제도(CMVP)를 통과한 암호화 모듈 탑재 • 국가용 암호 지정제품 등록 • GS인증 획득 XecureDB 적용을 통한 최적의 성능과 강력한 DB보안을 수행

  10. Ⅱ. 기술 부문 1.제품 개요 및 구성 가. 제품 개요, 특장점, 구동방식 등 2) 제품 구동방식 XecureDB는 업무시스템 사용량과 수정가능여부에 따라 API 방식 혹은 Plug-In 방식으로 적용하게 됩니다. 뿐만 아니라 하나의 암호화 테이블에 두가지 방식으로 동시 적용이 가능한 Hybrid방식으로 지원합니다. 제품 구동방식 • API 방식: 데이터 암호화 부하를 응용서버에서 가져가며 DB서버 부하를 최소화 함. 대규모 서비스에 적합 • Plug-In 방식: 데이터 암호화 적용을 위하여 응용단 수정이 불필요 함. DBMS 사용자 App Server DBMS App Server 암호화 요청 데이터 저장 DBMS XecureDB API XecureDB Plug-in 소스코딩 필요 소스코드 수정 없이 적용 암호화 요청 암호화 요청 XecureDB Manager Service Server Service Server (Deamon) 보안정책 관리도구 보안 정책 설정 키 관리 (생성, 저장) 암 ㆍ복호화 수행 Service Server 인터페이스 관리모듈 XecureDB Manager 인터페이스 Authentication API/UI

  11. 응용 서버 Ⅱ. 기술 부문 가. 제품 개요, 특장점, 구동방식 등 2) 제품 구동방식 (API 방식) Oracle, MS-SQL, DB2 등 DBMS가 대상인 일반 DB 암호화에는 소프트포럼의 고유 기술이 적용된 고성능의 XecureDB API 적용을 통하여 비즈니스에 최적화된 DB 암호화시스템을 구축하겠습니다. 1.제품 개요 및 구성 일반 DB 암호화 서비스흐름 – API 방식 데이터 암∙복호화 수행 DB 서버 쿼리 실행 1 DBMS XDB API OS Application 3 결과 전송 2 WAS OS • 암호화 대상 컬럼 사이즈 증가(단, 문자 데이터에 한함) • WAS/Middleware에 XDB API 모듈 탑재 • 응용프로그램에서 암복호화 함수 적용을 위한 프로그램 소스수정 필요 • 소스 수정의 편의성을 높이기 위한 소스 스캔 자동화 툴 지원 > 실시간으로 서비스롤 수행해야 하는 경우 > 서비스 부하가 높고, 응답속도에 민감한 경우 > 특정 시간에 조회 요청이 높은 경우 > 대용량 암복호화 서비스를 수행해야 하는 경우 ... dsStore.setAcntNo (tXdbHelper_N.Decrypt(rs.getString(“카드번호”))); //평문 데이터 가져올 경우 dsStore.setSelfItrd (rs.getString("SELF_ITRD));

  12. 응용 서버 Ⅱ. 기술 부문 1.제품 개요 및 구성 가. 제품 개요, 특장점, 구동방식 등 2) 제품 구동방식 (Plug-in 방식) 일반 DB 암호화에서 API 적용으로 인한 응용프로그램 수정이 어려울 경우 각 DBMS에 적합한 XecureDB Plug-in을 적용할 예정이며, 이는 고객사와 협의를 통해 결정 하겠습니다. 일반 DB 암호화 서비스흐름 – Plug-in 방식 데이터 암∙복호화 수행 DB서버 쿼리 실행 1 XDB Plug-in Application 2 WAS DBMS 3 결과 전송 OS OS • 응용프로그램내 Plug-in 함수 호출을 위한 DB쿼리 수정 필요 • DBMS에XecureDB Plug-in 모듈 적용 • 암호화 대상 컬럼 사이즈 증가(단, 문자 데이터에 한함) SELECT RESI_NO, ACNT_NO, CRYPTO_PATTERN7.DECRYPT(주민등록번호) AS SESI_SI__ENC, CRYPTO.DECRYPT(카드번호)AS ACNT_NO__ENC FROM TPFP01M WHERE ACNT_NO IS NOT NULL AND ROWNUM <= 3 > 서비스 응답속도가 민감하지 않은 경우 > 테이블 또는 컬럼 사용 빈도가 높지 않은 경우

  13. WAS Server #1 DB Server #1 Service Server #1 (Deamon) DB Server #1 WAS Server #1 Service Server #2 (Deamon) XecureDB Manager (관리자 PC) Ⅱ. 기술 부문 나. 제품 구성도(H/W, S/W 아키텍쳐) XecureDB는 API방식과 Plug-In방식을 모두 지원하는 솔루션으로서 고객사 환경에 맞추어 DB 암호화 방식(API, Plug-In, Hybrid)을 최적화된 구성으로 적용하겠습니다. 또한 Service Server를 이중화하여 가용성 확보 및 Manager를 통한 편의성을 제공하는 강력한 DB 보안 솔루션입니다. 1.제품 개요 및 구성 S/W 구성도 • 본 구성도는 고객사 시스템 변동에 따라 달라질 수 있으며, 현행 시스템에 대한 이해를 바탕으로최적화된 구성으로 적용하겠습니다. • XecureDB Service Server는 고객사 환경에 맞게 기 구축 WAS 환경에 별도의 H/W없이 구성하는 방안과 별도의 H/W에 구축하여 가용성을 확보하는 방안을 모두 지원합니다. Authentication API/UI 사용자 Service ServerInterface 관리자 WAS Clustering DB Clustering L4 Application Application Database Database 키 관리(생성,저장) 키 관리(생성,저장) XecureDB API XecureDB API XecureDBPlugin XecureDBPlugin 암∙복호화 암∙복호화 관리모듈 관리모듈 Manager Interface Manager Interface

  14. 최적의 성능 보장 CPU 변화량 DBMS WAS WAS 업무담당자 WAS 개발자 DBMS DBA Ⅱ. 기술 부문 나. 제품 구성도(H/W, S/W 아키텍쳐) 데이터 암호화 적용시 업무서비스 영향으로는 데이터 암/복호화에 따른 부하 및 속도문제가 있습니다. XecureDB는 서비스 영향을 최소화 하기 위하여, API 방식과 Plug-in 방식을 동시에 지원하는 Hybrid 방식을 제공함으로써 서비스 속도를 보장해 드립니다. 1.제품 개요 및 구성 데이터 암호화 적용시 업무 서비스 영향 API 방식 적용 Plug-in 방식 적용 XecureDB는 Hybrid(API + Plug-in) 데이터 암호화 방식 지원 약 3% 의 CPU 증가 XecureDB API XecureDB API XecureDB API 33% 33% 33% • 데이터 암/복호화 부하를 WAS단에서 나눠 가짐 • DBMS에는 전혀 부하가 없음 • 상대적으로 데이터 암/복호화 요청이 적은 작업자들이주로 사용하는 DB에 적합한 방식 • 데이터 암/복호화 부하는 DBMS에서발생함 • 대규모 서비스에 적합한 방식 XecureDB Plug-in 100%

  15. Ⅱ. 기술 부문 1.제품 개요 및 구성 다. 지원 가능 플랫폼(서버,OS, 상용 DB 등) 및 버전 XecureDB는 API방식과 Plug-in방식을 모두 지원하는 솔루션으로써 다양한 고객사의 다양한 환경에 맞게 API, Plug-In, Hybrid 방식으로 제공됩니다. API 방식 적용의 경우 C, C++, JAVA, ASP, ASP.NET(C#), PHP등 다양한 프로그램 언어를 위한 API가 준비되어 전기종의DBMS에 데이터 암복호화 적용을 지원하며, Plug-In방식의 경우 Oracle, MS-SQL, DB2, Tibero등을 지원하는 강력한 DB 암호화 솔루션 입니다. DB 암호화를 위한 다양한 플랫폼 지원

  16. Ⅱ. 기술 부문 가. 암호화 객체 단위 XecureDB는 DB 암호화 적용 시 암호화 대상을 컬럼단위로 암호화 합니다. 중요 컬럼을 대상으로 암호화 함으로써 불필요한 부하를 발생시키지 않으며 시스템의 가용성을 보장합니다. 또한, 각각의 컬럼별로 암/복호화 키를 다르게 설정이 가능하게 지원함으로써 보안성을 극대화한 제품입니다. 2.암/복호 기능 컬럼단위 암호화 Password Password char(6) char(12) 중요 컬럼에 대한 선택적 암호화 적용 1234 cdef god xetysd 관리자는 컬럼별 각기 다른 대칭키를 이용하여 암호화되도록 관리자 툴을 사용하여 지정 angel s1jfhtys StoredProcedureUpdate Clustered Index Master Key PARK JANG RYU FK PK Trigger Card Num EmpNum LastName FirstName CtryCode Jumin2 LastMod Char(13) integer longstring varchar(20) char(2) char(6) longstring 7910171 XXXXX 10001 KIM NAMIL KW 1234 \HR\SE 각각의 대칭키 7605072 XXXXXXX 10002 LEE YOUNGPYO DJ god \HR\SE 8401012 XXXXXXX 10003 CHA DORI SE angel \HR\CON 각각의 대칭키는 초기 생성 된 Master Key로 암호화 되어 저장

  17. 지원 알고리즘 관리자 콘솔에서의 알고리즘 선택 Ⅱ. 기술 부문 2.암/복호 기능 나. 지원 암호화 알고리즘 XecureDB는 국제 표준 알고리즘을 포함하여, SEED, TDES, AES, ARIA, SHA1 등 등 국정원 요구 표준 알고리즘을 모두 지원합니다. 지원 암호화 알고리즘 • 국정원의 국가용 암호 검증필(CMVP) 획득 및 국가용 암호화 제품으로 등재

  18. Ⅱ. 기술 부문 2.암/복호 기능 다. 자사만의 성능 향상 특허 기술 부분 암호화 적용으로 성능 및 서비스 부하 경감 압축 API를 사용하여암호화 길이 증가 방지 SYNC API를 사용하여 서비스 가용성 보장 Xecure DB는 자사 고유의 기술인 부분암호화를 적용한 안정적인 솔루션입니다. 특허로 등록된 부분 암호화 기술을 적용하여 암호화에 따른 부하 및 데이터 사이즈 증가를 최소화하여 안정적인 암/복호화를 수행합니다. Xecure DB는 정책서버가 모두 장애가 발생하는 경우에도 안정적으로 암/복호화를 수행하기 위하여 Sync API 및 Sync Plug-In을 지원합니다. 장애 발생 경우 로컬에 암호화되어 저장된 정책을 사용하여 안정적으로 암/복호화를 수행합니다. 소프트포럼㈜의 암호화 적용으로 인한 영향을 최소화 합니다. 특히, 필연적일 수 밖에 없는 컬럼의 사이즈 변경에 대해서도 압축 API, Matching API 등의 다양한 기술을 적용함으로써 기존 데이터 크기의 변경을 최소화합니다.

  19. Ⅱ. 기술 부문 2.암/복호 기능 다. 자사만의 성능 향상 특허 기술 부분 암호화 적용으로 성능 및 서비스 부하 경감 압축 API를 사용하여 암호화 길이 증가 방지 SYNC API를 사용하여 서비스 가용성 보장 부분 암호화 (자사 고유 특허 기술) 사용 • 부분 암호화 적용 예시 부분 암호화 특허 보유 XecureDB API / Pug-In 원래의 데이터 (평문) • API 방식 ( APP상에서 암호화 API를 사용하여 암/복호화) 암호화된 데이터 tXdbHelper_N.Decrypt(rs.getString(“CARDNUM”))

  20. Ⅱ. 기술 부문 다. 자사만의 성능 향상 특허 기술 2.암/복호 기능 압축 API를 사용하여 암호화 길이 증가 방지 부분 암호화 적용으로 성능 및 서비스 부하 경감 SYNC API를 사용하여서비스 가용성 보장 압축 API (암호화) 사용 • 압축 API 적용 예시 • 압축암호화 기술을 이용한 암호화 6Byte 길이의 숫자 스트링 암호화적용 전 숫자데이터 1. 데이터 압축 13 byte 13 byte XDB 2. 데이터 암호화 (OFB) 암호화적용 후 3. Base64 인코딩 6Byte 길이의 암호화문 • 암호화적용 전/후 길이가 똑같음

  21. Ⅱ. 기술 부문 2.암/복호 기능 다. 자사만의 성능 향상 특허 기술 SYNC API를 사용하여서비스 가용성 보장 부분 암호화 적용으로 성능 및 서비스 부하 경감 압축 API를 사용하여 암호화 길이 증가 방지 SYNC API 사용 (장애 대응방안) 보안관리자 장애 발생시 시스템 구성도 SYNC DB 암호화 특허 보유 웹응용 서버 업무A 업무B 업무C 업무N 통합 정책 관리 XDB Sync API XDB Sync API XDB Sync API XDB Sync API Xecure DB Sync API • 암호화된 로컬 정책사용 • 무중단 암호화 수행 정책 전파 Policy Server SYNC 데이터베이스 암호화 시스템 및 그 방법 (2012.5.11) 주기적인 정책 전파를 통한 DB암호화 솔루션 장애 시에도 무중단 서비스 제공 중앙 암호화서버를 거치지 않는 API 및 Plug-in 암호화 수행으로 네트워크 부하감소 개별 API 및 Plug-in에서 자체 암호화를 통한 데이터 암∙복호화 부하 분산 및 속도 향상 Xecure DB PlugIn(Sync) 장애 발생 장애 발생 정책 동기화 DB 서버 DBMS(Oracle) 서비스 서버 장애 발생시 영향도 없음 DBMS(MS-SQL) DBMS(DB2) XDB Sync Plugin XDB Sync Plugin XDB Sync Plugin 1 2 3

  22. Ⅱ. 기술 부문 다. 자사만의 성능 향상 특허 기술 (성능) 2.암/복호 기능 1 부분 암호화 적용 일반 암호화 vs 압축 암호화 속도 • 암호화 범위 축소 암호화 속도 향상 • 평문부분 인덱스 검색 활용  검색 속도 향상 패스워드 주민등록번호 이름 ds23d 771122-1fbbgdvbdfv 홍길동 4fv5b3 850207-2sdvw3bdf4v 김두한 gvsd2cc 680705-asdafsdbw3b 박지성 압축 암호화 적용 2 • 암호화문 사이즈 축소  암호화 속도향상 컬럼 사이즈 증가 방지 3 SYNC API 적용 • 로컬 정책참조  네크워크 부하 감소

  23. Data 암호화 후 System CPU / Memory 서비스 별 시스템 리소스 내역 서비스 별 처리 성능 테스트 환경 Ⅱ. 기술 부문 라. 암호화 구성에 따른 성능 XecureDB를 통해 1000만건을 암호화하고, DB쿼리 실행 시, 응답 시간 증가는 2%미만의 테스트 결과를 보이며, API방식으로 제품 기동시DBMS서버에 직접적인 부하는 발생시키지 않으며 실질적인 부하 발생은 WAS 또는 Application 서버에서 발생합니다. 1.제품 개요 및 구성 배치성 암호화 처리 성능 OLTP 성 암호화 처리 성능 사례 • API 타입을 이용하여 배치작업 테스트시 “1000만건 암호화 시 약 2분”의 처리 성능 • 주민번호(4억건), 계좌번호, 카드번호 DB암호화 적용 사이트 • A업무 JENIFER 평균 응답 속도 변화 측정 • Pattern 암호화 적용 후 100user가 1분 동안 연속적으로 페이지 조회 평균 응답속도. MS WAS(Web Application Stress) Tool 약 3% 의 CPU 증가 약 2% 의 Memory 증가

  24. 데이터베이스 파일 암호화 변환 프로그램 Ⅱ. 기술 부문 마. 파일 암호화 변환 프로그램 제안 솔루션은 DB에 업로드된 파일(텍스트, CVS 등)의 전체 또는 구분자를 통한 특정 필드에 대한 암호화를 위하여 Windows, Unix 용 암복호화 프로그램을 제공합니다. 2.암/복호 기능 파일 암호화 변환 프로그램 파일암호화를 위한 별도의 변환 프로그램을 제공하며 환경설정에 따라 구분자, 암복호화 여부, 암복호화 범위, 원본 삭제여부, 백업 여부 설정하여 편리하게 파일에 대한 암복호화를 지원 파일 암호화 • 구분자, 암호화 후 저장 위치 등환경설정 설정 및 참조 보안관리자 MjEzNHdzZWZy… MjEzNHdzZWZy… MjEzNHdzZWZy… ‘,’구분자를 이용한 JUMIN,(부분암호화) PASSWD(해쉬) 암호화적용 XecureDB 파일 암호화 프로그램

  25. Ⅱ. 기술 부문 가. 마이그레이션 방안 XecureDB는 대량의 데이터에 대한 Migration 시에 작업자가 편리하게 사용 가능한 마이그레이션 툴과 다운타임 최소화 방안을 제공해 드립니다. 이를 통하여 주민등록 번호 1000만 건 일괄 암호화 적용 시 다운타임을 1시간 이내로 적용하실 수 있습니다. 3.설치 및 운영 운영중인 데이터 초기 일괄 암호화 적용시 프로세스 3 2 4 1 컬럼 테이블 계정 암호화 대상 계정,테이블 및 컬럼 선택 XecureDBMigrator를 통한 마이그레이션 서버 접속 XecureDBMigrator를 통한 진행 상태 파악 XecureDBMigrator를 통한 ERD파악 Pathfinding알고리즘을 통해 참조하는 컬럼을 정확히 찾아 감 2 3 1

  26. Ⅱ. 기술 부문 3.설치 및 운영 라. 일괄 암∙복호화 작업에 대한 처리 절차 XecureDB는 일괄 암∙복호화수행시Batch작업에 특화된 Batch API를 체계화된 절차에 따라 적용하여 일괄적으로 데이터를 ∙복호화 하여 할 수 있도록 합니다. 암호화 데이터의 일반데이터로의 전환 시 Batch Application에 의하여 XecureDB Batch API를 호출하여 일괄적으로 암호화 된 데이터 복호화를 수행합니다 일괄 암∙복호화 작업에 대한 처리 절차 Batch를 통한 전환 절차 Batch특화 API를 사용하여 전환 3. 복호화하여 저장 Batch 프로그램 실행 Batch 프로그램 암∙복호화 Batch 프로그램 DB 보안관리자 2. Batch API 호출 암∙복호화 권한 체크 암/복호화 권한 부여 NO XecureDB Batch API YES • XecureDB Batch API 사용 관리자 암호화 적용 후 일반 데이터로 전환하여 저장 암호화 적용 전 이름 주민등록번호 비밀번호 이름 주민등록번호 비밀번호 홍길동 sfgb4hdfb54he ds23dak 홍길동 77112221234555 1111 이순신 4uijmgj34ghwg 4fv5b3u 이순신 8502072235666 2222 NO(복구수행) 정상 실행 결과 확인 정약용 345hfgj57jghm gvsd2cc 정약용 6807051252101 3333 DBMS YES Batch API를 통한 일괄 복호화 수행 Batch 프로그램 종료

  27. Ⅱ. 기술 부문 4. 보안 및 감사 기능 가. 암호화 데이터 접근제어 방법 | 암호화된 데이터의 선택적 복호화 제어 기능 XecureDB는 보안정책에 따라 권한이 있는 사용자만이 암호화 된 컬럼에 접근하여 등록 된 대칭키로 데이터를 복호화 할 수 있습니다. 권한이 없는 사용자의 경우 데이터의 복호화 키에 대한 권한이 없음으로 데이터를 복호화 할 수 없습니다. 암호화 데이터에 대한 선택적 권한제어 사용자 별 접근통제를 설정하여 데이터를 보호 서로 다른 키로 암/복호화 XecureDB API / Plug-in 응용 서버 패스워드 주민등록번호 카드번호 인가자 ds23d 7711222-1fbbgdvbdfv sfgb4hdfb54hebdfbedb 성공 유무 dvdfv34wv-dsdvw34v 4uijmgj34ghwgdgdfgd 4fv5b3 접근계정 일부 인가자 컬럼별 접근제어 Admin Manager를 통한 정책 설정 작업내역 접근 IP 6807gsdvb-asdafsdb 345hfgj57jghmhnnnfg gvsd2cc 접근 대상 다양한 접근제어 옵션탭 DB서버 비인가자 인증서 기반인증 사용자 별 상세권한 정책 서버 정책에 따른 사용자 접근 통제 권한설정

  28. Ⅱ. 기술 부문 나. 암호화 대상 데이터 접근 로그 등 기록관리 기능 XecureDB는 각 WAS의 Service Server 모듈을 통해 로그가 생성되어 지고 보안관리자의 로그요청 시 관리자콘솔을 통하여 통합로그를 전송 받게 됩니다. 각 WAS의 로그 정보를 ID, IP, Column에 따라 통계를 추출할 수 있는 기능을 제공하며 통계된 로그들을 엑셀에서 볼 수 있도록 csv파일로 저장할 수 있는 기능을 제공합니다. 4. 보안 및 감사 기능 암호화 대상 데이터 접근 로그 등 기록관리 기능 • 로그 기능을 이용하여 IP 및 사용자 ID가 기록되어 컬럼에 대한 암/복호화 이력, 사용자의 암호화된 데이터의 접근 및 작업내역의 성공, 실패 등의 로그가 검색 가능합니다. • ID, IP, Column에 따라 통계를 추출할 수 있는 기능을 제공하며 통계된 로그들을 엑셀에서 볼 수 있도록 csv파일로 저장할 수 있는 기능을 제공 컬럼에 대한 암/복호화 이력 - 시간, 사용자 ID, 대상 테이블, 컬럼, 성공/실패 등.. CSV 파일로 저장하여 엑셀에서 확인 서비스 접속 통합 로그기록

  29. 관리자 인증 강화 Ⅱ. 기술 부문 4. 보안 및 감사 기능 다. 관리자 인증 XecureDB는 다양한 사용자들이 주요 데이터에 임의로 접근하는 보안위협을 사전에 방지하기 위하여 사용자 별 접근통제를 설정하여 데이터를 보호하며, 관리자 콘솔 접근의 경우 타인이 관리자 키를 보유하고 있어도 관리자 키에 맞는 패스워드(관리자 키는 PCKS#5로 암호화)를 입력해야만 정책을 설정할 수 있어 한층 더 뛰어난 보안강도를 제공해 드립니다. 암∙복호화 키의 접근 권한 관리 컬럼별 접근제어 암·복호화 수행 WAS Server 권한자 Application 권한확인 키관리 XecureDB API XecureDB 정책 서버 비 권한자는 암·복호화 불가능 비권한자 DBMS 관리자 키에 맞는 패스워드(관리자 키는 PCKS#5로 암호화)

  30. Ⅱ. 기술 부문 4. 보안 및 감사 기능 라. 안정적인 Key관리 XecureDB는 보안관리자가 관리자툴을 이용하여 생성한 암호화 키와 관리정책들은 모두 관리자의 마스터키를 이용하여 암호화 저장 하므로 유출 및 위/변조로부터 안전하게 보호하고 마스터키 역시 관리자의 공개키로 암호화한 후 저장합니다. 또한 암호키 생성 시 안전한 난수발생기를 사용하여 안전한 키 생성 및 키 관리를 제공합니다. 안전한 키 생성 및 키 관리 안전한 키 생성 및 키 관리 메모리 상의 키 보호 • 암/복호화대기시암호화키를 암호화된 상태로 메모리상에 Load 시킴 국정원 검증필 암호모듈 탑재 Shared Memory Policy Server 암호화 키 : YWJjZGhpMTIz…. 1 2 XecureDBService Daemon SharedMemory 2 암호화 키 : abcd1234567 난수발생기는 공개된 검증대상 암호알고리즘으로 암호검증기준(KS X ISO/IEC 19790)에 등재된 알고리즘입니다. 암호화 키 : YWJjZG2hpMTIz…. 3 • 관리자는 관리자툴을 이용하여 암호화 키 생성/접근/갱신/파기가 가능하며 사용중인 암호키 삭제 시 경고창을 띄움 메모리내암호화키 상태변경 • 서비스 종료시점에 메모리상에서 폐기 키 삭제 암호화 키 관리 키 생성 ① 서비스요청 대기상태 : 메모리상에 암호화된 상태로 암호화키 로드 ② 서비스수행 : 서비스 요청이 들어오면 메모리상에 암화된암호화키를복호화하여평문의암호화키를 이용하여 암/복화 서비스를 수행 ③ 서비스요청 완료(대기상태): 평문의암호화키를 암호화시켜 메모리 로드 ④ 서비스종료 : 메로리에로드된암호화키 및 관련 변수 제거 키를 삭제할 시사용 여부 확인 관리 창에서 키 생성/삭제/ 관리 관리 콘솔 창에서 키 생성이 가능

  31. Ⅱ. 기술 부문 라. 안정적인 Key관리(계속) XecureDB는 보안관리자가 관리자툴을 이용하여 생성한 암호화 키와 관리정책들은 모두 관리자의 마스터키를 이용하여 암호화 저장 하므로 유출 및 위/변조로부터 안전하게 보호하고 마스터키 역시 관리자의 공개키로 암호화한 후 저장합니다. 또한 암호키 생성 시 안전한 난수발생기를 사용하여 안전한 키 생성 및 키 관리를 제공합니다. 4. 보안 및 감사 기능 안전한 키의 저장 및 복구 안전한 키 저장 키의 백업 및 복구 • 암호키, 보안 정책의 XecureDB Manager를 이용하여 백업 및 복구를 수행 Policy Server • DBMS가 아닌 별도의 H/W에 암호화키 보관 • 관리자 툴을 이용한 편리한 백업 / 복구 Policy Server 키/정책 관리 XecureDB Manager 암 ㆍ복호화 백업 관리모듈 XecureDB Manager 인터페이스 MjEzNHdzZWZy… 복구 보안관리자 • 마스터 키로 암호화 된 상태 • 암호화 키및 관리 정책을 마스터키로 암호화 저장 보안관리자 서비스 서버 관리대상 암호화 키 및 정책 백업 암호화 키 및 정책 복구 1 = + 1 관리자 Master Key 관리정책 암호화키 마스터키 서비스서버 복구 대화창의 오른쪽에 ‘서버 백업’이라는 버튼 클릭. 파일 메뉴에서 서비스 '서버 복구‘ 선택 • 로컬백업/복구: 보안관리자 로컬 • PC로 암/복호화하여 백업/복구 • 별도 HW(HSM) 장비 백업/복구0 백업할 파일 이름을 기입하고 '백업 시작' 클릭 2 키/정책 백업

  32. Ⅱ. 기술 부문 가. UI 개요 및 특징 | UI 사용 편의성 XecureDB Manager는 메인프레임과 그 내부에 생성되는 차일드 프레임으로 구성됩니다. 차일드 프레임에는 트리뷰, 리스트뷰, 쿼리뷰가 구성되어 있으며, 그 이외에 메뉴, 툴바, 상태바 등이 있습니다. 또한 사용 편의성을 위해 큰 아이콘을 통해 관리자가 직관적으로 인지할 수 있도록 하였습니다. 하부 트리를 한번에 보여주도록 하고 암호화 컬럼 정보, 사용자, 암호화 키를 툴바 메뉴에 추가하여 관리자의 편의를 고려하였습니다. 5. UI 편의성 UI 개요 및 특징 및 사용 편의성 1 2 ① 메인프레임: 서버 연결, Clon서버의 추가, 암호화 정책 설 정 등을 할 수 있는 메뉴로 구성 되어 있음. ② 차일드프레임: 서버와의 연결 및 해제, 사용자 생성 및 암호화 키 생성, 로그 통계 기능을 제공함. ③ 트리뷰: 서비스서버의 집합을 보여주는 'Ex Server' Tab과 DB 구성을 나타내는 'DB Tree' Tab으로 구성됨. ④ 리스트 뷰: 트리뷰에서 선택한 서비스서버의 하위 클라이언트를 리스트에 탐색기와 같은 방식으로 표시함. ⑤ 쿼리 뷰: XecureDB Manager에서 연결된 DB계정으로 직 접 SQL 쿼리를 사용하고 결과값을 받아 표시하 는 윈도우. 3 4 5

  33. 키 관리(생성/삭제) 사용자 관리(생성/삭제) 암호화 정책설정 IP별 접근통제 Ⅱ. 기술 부문 나. 암호화 정책 관리, 적용 기능 및 절차 보안정책은 암호화 대상 데이터와 방식을 결정하며, 사용자 별 권한을 설정합니다. 정책 설정으로는 키 관리 / 사용자 관리 / 정책설정 / 접근권한 설정 등이 있습니다. 기존 생성된 키는 하나 혹은 여러 개의 데이터를 암호화 하는데 사용되고 있을 수 있으며 기 사용중인 키 삭제 시 암호화 된 데이터에 대하여 복구를 불가능하게 할 수 있습니다. 따라서 모든 사항을 체크한 후 실행하여야 하며 이와 관련하여 XecureDB Manager에서도 이미 사용되고 있는 키의 삭제는 불가능하도록 기능을 제공합니다. 5. UI 편의성 암호화 정책 관리, 적용 기능 및 절차 사용자 선택 후 삭제 키 추가 메뉴 클릭 사용자 생성을 위한 ID 입력 사용자 선택 후 삭제 암호화 키 및 알고리즘 선택 해당 사용자의 권한(읽기/쓰기) 설정 접속 가능한 IP 설정

  34. WAS Clustering Ⅱ. 기술 부문 6.서비스 안정성 가. 정책 서버 이중화 구성 방안 XecureDB의 장애는 크게 API 적용 오류와 실제 암/복호화를 담당하는 XecureDB Service Server의 오류로 구분할 수 있으며 이에 대하여 Application Server의 이중화 및 XecureDB Service Server의 다중 구성을 통해 DBMS 가용성을 보장할 수 있습니다. 정책서버 이중화 구성 방안 • XecureDB 자체의 오류 또는 기 Application 오류로 인하여 시스템의 장애 발생 시 데이터의 암/복호화 수행은 불가능 • 제품 장애 또는 기 Application 장애에 대비하여 시스템을 2중화 구성을 통해 DBMS 가용성을 보장 WAS에서 암/복호화를 담당하는 XecureDB Service Server의 독립구성 및 L4를 이용한 다중구성 XecureDB Service Server Application Server 이중화 WAS Server #1 WAS Server #2 XecureDB Service Server XecureDB Service Server

  35. Ⅱ. 기술 부문 6.서비스 안정성 나. 정책 서버 장애시 대응 방안 XecureDB는정책 서버(Service Server)의 장애 상황에 대비하여 이중화 구성을 지원하며, 정책 서버가 모두 장애가 발생하는 경우에도 안정적으로 암∙복호화를 수행하기 위하여 Sync API 및 Sync Plug-In를 지원합니다. Sync 암호화 방식은 주기적으로 정책을 동기화하며 장애 발생시점에는 로컬에 암호화되어 저장된 정책을 사용하여 안정적으로 암∙복호화를 수행합니다. 정책서버(Service Server) 장애시 영향도 보안관리자 장애 발생시 시스템 구성도 웹응용 서버 업무A 업무B 업무C 업무N 통합 정책 관리 XDB Sync API XDB Sync API XDB Sync API XDB Sync API Xecure DB Sync API 정책서버 암호화된 로컬 정책을 사용하여 무중단 암호화 수행 정책 전파 정책 동기화 Xecure DB PlugIn(Sync) DB 서버 장애 발생 장애 발생 DBMS(Oracle) DBMS(MS-SQL) DBMS(DB2) XDB Sync Plugin XDB Sync Plugin XDB Sync Plugin 서비스 서버 장애 발생시 영향도 없음

  36. 감사합니다 DaouData Tel : 070-8707-3133 E-mail : sales@daoudata.co.kr

More Related