DATA PRIVACY MANAGER 파일단위 DATA 암호화솔루션
목차 2 / 31
목차 3 / 31
암호화관련법규 I. 암호화관련법규 개인정보보호법 제 24 조 ( 고유식별정보의처리제한 ), 제 29 조 ( 안전조치의무 ) 정보통신망이용촉진및정보보호등에관한법률 제 28 조 ( 개인정보의보호조치 ) 개인정보의안전성확보조치기준 제 6 조 ( 개인정보의암호화 ) 1 영제 21 조및영제 30 조제 1 항제 3 호에따라암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다. 개인정보보호법시행령 [ 시행 2016.1.1.] [ 대통령령제26776호, 2015.12.30., 일부개정 ] 제21조의2( 주민등록번호암호화적용대상등 ) 1 법제24조의2제2항에따라암호화조치를하여야하는암호화적용대상은주민등록번호를전자적인방법으로보관하는개인정보처리자로한다. 2 제1항의개인정보처리자에대한암호화적용시기는다음각호와같다. 1. 100만명미만의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2017년 1월 1일 2. 100만명이상의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2018년 1월 1일 암호화적용대상시스템 개인정보처리시스템 : 개인정보를처리할수있도록체계적으로구성한데이터베이스시스템 (DBMS) 정보통신망이용송 / 수신시및보조저장매체를통해전달하는경우 내부망저장고유식별정보 : 2016년 1월 1일부터는영향평가및위험도분석결과와관계없이암호화 업무용컴퓨터또는모바일기기 4 / 31
암호화대상개인정보 I. 암호화관련법규 구분 암호화대상 의무적암호화대상개인정보 개인정보보호법 정보통신망법 위치정보보호법 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호및비밀번호, 바이오정보 주민등록번호, 카드번호, 계좌번호, 비밀번호, 바이오정보 위치정보 일반정보 이름, 주소, 전화번호, 생년월일, 출생지, 이메일주소, ID/PW, 가족관계및가족구성원의정보, IP 주소 신체적정보 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게등의신체에대한정보와건강상태, 진료기록, 신체장애, 장애등급등의의료 / 건강에대한정보 결합에따른암호화필요개인정보 정신적정보 재산적정보 도서, 비디오대여기록, 잡지구독정보, 여행등활동내역, 식료품등물품구매내역, 인터넷웹사이트검색내역등의기호 / 성향정보와종교및활동내역, 정당, 노조가입여부및활동내역등의신념 / 사상에대한정보소득정보, 신용카드번호및비밀번호, 통장계좌번호및비밀번호, 동산. 부동산내역, 저축내용등의개인 / 금융정보와개인신용평가정보, 대출또는담보설정내역, 신용카드사용내역등의신용정보 사회적정보 학력, 성적, 출석상황, 자격증보유내역, 상벌기록, 생활기록부등의교육정보, 전과범죄기록, 재판기록, 과태료납부내역등의법적정보와직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록등의근로정보 기타 통화내역, 인터넷웹사이트접속내역, 이메일또는전화메시지등의통신정보, GPS 등에의한개인위치정보, 병역여부, 군번, 계급, 근무부대등의병역정보 5 / 31
목차 6 / 31
제조사소개 II. DPM 개요 제조사 : Randtronics Pty Limited, 호주시드니 Products : DPM File, DPM Token, DPM Database Manager, DPM DB Connector 설립년도 : 2002년 사업분야 : 데이터암호화 (File 암호화, Token DB 암호화 ) 주요판매국가 호주, 일본, 한국, 인도네시아, 싱가포르, 홍콩, 베트남, 중국, 필리핀, 말레이시아, 인도, 대만, 뉴질렌드, 피지, 영국, 프랑스, 독일, 미국등 7 / 31
DPM Products II. DPM 개요 Randtronics Data Privacy Manager File 단위암호화솔루션 DPM File DPM Key Manager DPM File Manager DPM Token Manager DPM Key Manager DPM File Manager DBMS Files Cloud 파일단위암호화및접근통제 정형데이터, 비정형데이터, 클라우드데이터 지원 OS Windows, Linux 지원 DBMS Any DBMS File 단위암호화 Column 단위 Tokenization( 토큰화 ), Masking( 마스킹 ), Anomymisation( 익명화 ) Column 단위 DB 암호화솔루션 DPM Token DPM Key Manager DPM Token Manager DPM Database Manager DPM DB Connector Oracle, MSSQL, DB2 for iseries 정형 Data 비정형 Data Cloud Data 컬럼단위 DB 암호화및접근통제 토큰화, 익명화, 마스킹 지원 OS Windows, Linux, HP UX, AIX, Solaris 지원 DBMS Oracle 10g 이상, MSSQL 2005 이상, IBM DB2 for i 8 / 31
DB 암호화고려사항 II. DPM 개요 항목 DB 암호화고려사항 DPM File 적용시 Application 수정최소화 Application 수정없이암호화가능 운영환경변화 Application 소스코드없어도암호화가능? DB 스키마변경없이암호화 DB 변경없음 DB 성능변화암호화적용후 DB 성능은문제없는가? DB 성능저하없음 구축기간 DB 암호화구축기간최소화빠른적용 중앙통제 중앙에서모든암호화적용시스템의 Key 관리, 보안정책관리, 감사관리가능한가? 중앙집중관리가능 법규만족개인정보보호법등각종법률규제만족법규만족 9 / 31
DB 암호화트랜드 II. DPM 개요 컬럼암호화 커널암호화 DB 컬럼단위암호화문제점 Application 수정필요 성능이슈발생가능 DBMS 환경변화필요 DBMS 종류및버전에영향받음 Application 본수에따라사업기간수개월소요, 인건비발생 커널방식암호화장점 Application 수정없음 암호화후성능이슈해결 DBMS 환경변화없음 DBMS 종류및버전에영향없음 사업기간단축으로인건비절약 기존 DB 운영환경변경및 어플리케이션수정에따른개발기간필요 DB 및 Application 수정없고, 암호화후성능이슈해결 10 / 31
DPM 기능요약 II. DPM 개요 DB 및 Application 수정없음 접근통제 성능유지 암호화 중앙집중관리 적용대상 DB 서버 App 서버 File 서버 PC 암호화 지원알고리즘 : AES128, AES256 인덱스, 참조무결성, 쿼리최적화에영향없음 적용대상 Windows PC, Windows 2003 Server 이상, Linux 2.6 이상 Any DBMS 접근통제 OS User, Application Name Performance 성능저하 : 암호화적용전 5% 이하 Application 수정 DB 및 Application 수정없이암호화적용 중앙집중관리 Key Manager Policy Manager( 암호화, 접근통제, 감사로그등 ) 11 / 31
DPM DB 암호화방식 II. DPM 개요 DB접속허가자개발자, DBA 어플리케이션 DB Tool DB접속비허가자협력업체해커 DB Tool DBMS Server DBMS(Oracle) TABLESPACE 는데이터베이스저장소위치를지정할뿐이고실제데이터는파일시스템에저장한다. TABLESPACE CUSTOMER SALES FI DPM Management Server Key Manager Policy Manager Audit Manager DPM Agent 접근제어정책적용 OS User, Application 별접근제어 FILE SYSTEM DPM Agent CUSTOMER.DBF SALES.DBF FI.DBF Log File DB 서버의 OS에서입출력 (I/O) 시 DBMS의데이터파일암호화 DPM Agent는 DB서버의 OS Kernel에설치 TableSpace에서데이터파일에저장시암호화저장 응용프로그램이나 DB 스키마수정필요없음 암호화후성능저하문제해결 CUSTOMER.DBF SALES.DBF FI.DBF Log File DB 및어플리케이션의모든데이터는 File 형태로저장 DPM 은 File System 내의 File 을암호화저장 12 / 31
DB 암호화비교 II. DPM 개요 구분커널방식 Column 암호화 Oracle TDE 암호화방식 OS Kernel Layer 에서암호화수행 API 방식 : Application 서버 Plug in 방식 : DBMS 서버 DBMS 서버의 Oracle IO Layer 에서암호화 암호화 Key 관리 별도 DPM Server 에서 Key 관리 별도 Manage Server 를통한 Key 관리 DBMS 서버에서 Local 관리 (Key 관리기능이미약함 ) DBMS, Application 환경변화 DBMS 혹은 Application 의환경변화없음 DBMS의환경변화, 성능이슈로 Application Source Code 수정필요 Application 의환경변화가발생하지않음 암 / 복호화성능 암호화전과후의성능차이는약 5% 이내로미미함. 동일한성능보장 모든 Column 방식의암호화솔루션은 Batch 모드사용시성능저하심각함. 암복화에따른약 20 ~30% 서버자원사용량증가됨 암호화전과후의성능차이는약 5%~10% 이내로미미하지만오라클또한하나의 Application 이므로자체부하발생 지원환경 모든 DBMS 지원. 단 Server 의 OS 에영향받음.(Windows, Linux Server 지원 ) DBMS 종류및 Version 에영향을받음 Oracle DBMS 에만국한됨 비정형데이터암호화지원 모든서버의비정형데이터암호화지원암호화키및정책중앙관리 미지원 미지원 구축기간 설치에서암호화완료까지대부분 1 일 ~ 1 주일이내 ( 데이터사이즈, downtime 허용여부에따라실제구축기간변동가능 ) 변경이필요한 Application 본수에따라상이하나보통수개월소요됨 암호화대상데이터사이즈에따라상이함 도입가격고려요소 초기 DPM 도입후추가 Agent 비용만부담 라이선스및 Application 수정에따른인건비발생됨 Oracle ENT 버전이상지원 Advanced Security 옵션별도구매매년라이선스 Renewal 필요 13 / 31
DPM File 제품구성 II. DPM 개요 DPM File Management Server DPM File Agent DPM File Server DPM File Agent 1CPU 4Core / MEM 8GB / HDD 300GB이상 OS: Windows, Linux Server DBMS: MSSQL, MySQL DPM Agent 중앙관리 정책설정, Key 관리, 로그관리 Agent에정책하달및알림메시지수집 지원 OS: Windows PC/Server, Linux 지원 DBMS: any DBMS 관리대상 DB 서버에설치 DPM Server로부터정책수령및적용 DPM Server에알림메시지보고 14 / 31
DPM File 구성도 II. DPM 개요 고객 인증및권한부여 Cloud Provider CEO DPM File Agent DB Level WebServers DPM LAN/WAN Databases Database DPM DPM File Agent PC Level File System DBA 시스템관리자 인프라관리자 내부직원 협력업체 DPM File Management Server 15 / 31
목차 16 / 31
DashBoard III. DPM File 주요기능 Global Status: 암호화된파일, Key, 장비, DB, 사용자, 정책통계 Alarm Trend: 지난 24시간 Alarm 통계 Alarm Summary by Department: 지난 24시간부서별알람통계 Illegal File Activity by Device: 지난 24시간장비별불법적파일활동 Number of Encrypted File by Device: 장비별암호화된파일수 File Activity by User: 지난 24시간 OS User별파일접근활동 File Activity by Device: 지난 24시간장비별파일접근활동 File Access Activity Trend: 지난 24시간파일접근활동통계 17 / 31
System Management III. DPM File 주요기능 System Information : DPM 라이선스정보, DPM Manager 의 System 환경에대한 Backup 및 Restore. TLS(Transport Layer Security): DPM Server DPM Agent 통신구간암호화설정 Key Manager: Key Manager 사용환경설정 ( 내부 or 외부 Key Manager 선택및환경설정 ) System Role / System User : Role별 / User별접근권한설정 Group: 부서별, 사용자별그룹설정 Device: Group별 Agent 등록현황, Agent 별 Log 정책 / 접근통제정책 / 암호화정책의현황파악 Email: SMTP서버및관리자 Email을등록하여주요알람정보전송 Password Management: DPM Server 사용자별패스워드정책설정 ( 패스워드길이, 과거사용패스워드금지, 혼합패스워드정책 ( 대소문자, 숫자, 특수문자 ), 패스워드사용기간, 계정잠금정책 18 / 31
System 백업및복구 III. DPM File 주요기능 DPM File Manager 에서보관하고있는환경설정파일, 암복호화및접근제어정책, 암복호화키등을별도의파일로백업및복구 백업진행시복구에필요한패스워드입력 DPM File Manager 자체 DBMS 의백업은표준 DBMS 백업정책에따라백업진행 19 / 31
Key Management III. DPM File 주요기능 암호화알고리즘 : AES 128/256, SHA256/512 지원 DPM Management Server에서안전한 Key 생성및분배, Key 만료일및폐기일설정 DPM File 자체 Key Manager 또는외부 Key Manager(HSM) 활용가능 File Key : 암호화대상파일암 / 복호화시사용, 대칭키를이용한암호화 Encrypting Key : 모든 File Key 를저장하기전 Encrypting Key로암호화하여저장 Master Key: Encrypting Key를암호화하기위한 Key 모든 Key 백업및복구지원 (DPM Manager 관리자및 Key 관리권한자계정및패스워드입력필수 ) Key Revoking( 취소 ): 생성된 Key로더이상암호화하지않을때사용 ( 복호화는가능 ) Key Destroy( 폐기 ): 생성된 Key 값을폐기, Revoking( 취소 ) 된 Key 만 Destroy( 폐기 ) 가능 20 / 31
Policy Management III. DPM File 주요기능 Role 정의 암호화대상장비별, 부서별 Role( 역할 ) 등록 ( 예, Sales / FI / HR / Marketing) 암복호화및접근제어정책에서활용, 생략가능 User 정의 DPM Agent가설치된장비의 OS User 등록 ( 시스템에등록된정확한 User 명등록필요 ) 해당시스템등록 OS User 수집, LDAP 연동하여 User 등록가능 User별 Role 등록가능 암호화및접근제어정책 DPM Agent별암호화대상 Folder 및 Database File 등록 암호화대상 Folder 지정후부터생성된 File을암호화 ( 기존저장파일의경우다른곳으로백업후복사필요 ) 접근제어정책적용 : 암복호화가능 OS User 및 Application 지정 암호화정책적용시기본적인접근제어정책자동적용 ( 암호화권한자외모든사용자접근불가 ) 권한조정 (OS User) Offline 설정 기존권한자이외의 OS User 가암호화된파일을읽을수있도록허가하고싶을때해당암호화 Key 값에 Read 권한부여가능 관리자가지정한시간동안 ( 최대 365일 ) DPM File Manager가 DPM Agent에보안정책및암복호화 Key 값을허용하여 Online 상태와동일한정책을적용받을수있다. 노트북이용자가외부출장및반출시용이 Offline 단말기사용자가 DPM Agent 관리메뉴접근위한패스워드관리가능 Policy Lock 설정 DPM Agent의 Policy Lock( 정책잠금 ) 기능으로암호화적용된모든파일에대해복호화방지가능 외부용역업체와같이근무할경우, 잠시자리를비울때서버및 PC 자료보호가능 Policy Lock 기능은서버및단말기권한자가패스워드를통해통제가능 21 / 31
Policy Management III. DPM File 주요기능 Encrypt Security 모드, 알고리즘 ( 대칭, 비대칭, 해쉬 ) 선택 암호화대상폴더선택 Access Control 암호화폴더에대한 OS User, Role, Application별접근제어설정 (R,W,M,D) 암호화정책적용시접근제어정책자동적용 암호화권한자외모든사용자접근불가 Key Sharing 복호화필요한 User 및 Role별복호화권한추가부여 22 / 31
Policy Management III. DPM File 주요기능 Application User별, Role별암복호화금지 Application 정의 Application 지정하지않을경우모든 Application은암복호화가능 Offline Config 출장등으로노트북외부반출시허용시간동안사용허가, 외부반출후분실및도난대비가능 최대 365일지정가능 인가자 ( 비밀번호로통제 ) 에한해 Offline 사용가능 SafeGuard(Policy Lock) 암호화적용된모든파일에대해복호화방지 잠시자리를비울때비인가자로부터서버및 PC 자료보호가능 23 / 31
Audit Management III. DPM File 주요기능 DPM File에서수행된모든활동기록, 문제해결및비정상적인행동추적가능 Event DPM Agent별 Group별이벤트발행현황 Event Type 이벤트유형별모니터링 ( 비권한자의접근현황, 권한자의접근현황, 시스템관리로그, Key 관리로그 ) Event Config 이벤트를전송할서버설정, 사용자별, Event 타입, 위험도 (High, Medium, Low) 별선택전송등설정 이벤트에대한일자별, 기간별, 장비별검색가능 24 / 31
정책적용後 III. DPM File 주요기능 권한 OS User, Application 암호화및복호화가능 비허가 User, Application 암복호화방지 비허가 User, Application 폴더읽기, 생성, 수정, 삭제차단 DPM Agent Lock/Unlock Policy 비밀번호입력 DPM Agent Lock 후에는어떠한 User 및 Application도복호화불가 서버및 PC 관리자가 Unlock 후에이용가능 25 / 31
목차 26 / 31
컬럼 + 파일암호화 IV. DPM File 활용분야 DPM Token, DPM File 동시적용, 컬럼및파일암호화구현 Randtronics DPM DPM Key Manager Unix 정형데이터 DPM Token DPM DB Connector Token API Column 암호화 Tokenization( 토큰화 ) Anomymisation( 익명화 ) Masking( 마스킹 ) DPM File Manager Oracle MSSQL DB2 Etc. DPM Token Manager Linux Windows Clould 정형 + 비정형데이터 DPM File Agent DPM File 암호화방안 #1 정형 DATA Column 암호화 비정형 DATA File 암호화 DPM Database Manager DBMS 그림 File Offiec File 녹취 File 암호화방안 #2 정형 DATA File 암호화 비정형 DATA File 암호화 27 / 31
File 암호화 IV. DPM File 활용분야 DPM File 로정형, 비정형 DATA TOTAL 암호화 정형데이터 Any DBMS 비정형데이터 Log, 그림, 문서, 동영상, 녹취파일등 28 / 31
ASP Service IV. DPM File 활용분야 암호화 ASP 서비스 월단위과금정책에의한경비절감 ( 클라우드암호화서비스 ) 개인정보보호법준수를위한신속한암호화적용 Application의 Source Code 수정없이빠른적용 Windows, Linux 기반모든 DBMS 암호화지원 DPM Agent File 서버 Application 서버 DPM Agent DPM Agent 암호화통신 PC DPM Agent DPM Agent Web 서버 DPM File Management Server 중앙통합보안관리 암호화키및암호화정책관리 원격기술지원 DB 서버 29 / 31
Reference DPM File 적용고객사 Philippines Department of Defense J 여성병원 30 / 31
감사합니다. 영업문의 : 유진혁이사 ( 010 3238 0993, hyuk@pit.or.kr) 기술문의 : 김민호부장 (010 8933 0975, mino@pit.or.kr) 31 / 31