슬라이드 1 - PDF Free Download

Ⅰ. 제안업체기본 1. 일반사항 가. 회사연혁, 조직및인원현황 2010 12 데이타베이스패턴암호화에따른인덱스검색시스템특허획득 2009 04 CODEGATE2009 해킹방어대회 & 국제보안컨퍼런스개최 01 업계최초국가정보원암호검증제도재검증 소프트포럼 DB 보안전문조직체계 2008 12 소프트포럼, 대한민국신성장경영대상최우수상수상 12 인터파크 고객정보 DB 암호시스템공급 10 V2.7 GS 인증 05 XecureWeb, KISA 구현적합성심의통과, 평가인증서획득 02 KB 국민은행복권시스템 DB 암호화솔루션공급 01 XecureWeb GS 인증획득 대표이사 SW 사업본부 2007 2006 2005 2004 2003 2001 2000 1999 11 국내최초로국정원보안적합성심사에서 USB 키보드취약점보안부문포함하여통과 (2007 년 11 월 6 일 ) 05 보안성검증필획득 04 미국현지법인설립 11 국가정보원암호검증제도국내최초통과 10 HSBC, 도이치방크등해외금융기관에보안솔루션공급 12 국방공개키기반인증체계 (MPKI) 구축사업권획득 05 국세청 고객정보 DB 암호시스템공급 07 MS 솔루션파트너선정 11 KOSDAQ 상장 ( 종목번호제 054920 호 ) 08 Identrus ( 아이덴트러스 ) 인증획득 11 통합인증솔루션 SafeIdentity 개발 04 소프트포럼 독립법인설립 1998 08 소프트포럼공개키기반구조 XecurePKI 개발 영업부 전략사업부 SW연구개발실 구축팀 금융영업부문기업영업부문공공영업부문 정책분석팀기획컨설팅팀마케팅팀 DB보안개발팀 PKI개발팀디지털ID개발팀기반기술팀신사업TFT DB보안구축 PKI 구축팀 SSO/EAM PC보안구축 1996 07 국내최초 128 비트암호솔루션 SecurePlugIn 1.0 개발 1995 10 미래산업 보안연구소소프트포럼설립 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 3

Ⅰ. 제안업체기본 1. 일반사항 나. 제안제품공급실적 소프트포럼 ( 주 ) 은기업, 금융, 공공등다양한프로젝트성공구축사례를보유하고있습니다. DB 암호화방식에따른제품공급실적 Plug-In 방식 API 방식 고객분야업무 도입시기 세이브존기업 DB 암호화 ( 주민번호암호화등 ) 2011 년 롯데캐논기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 고객분야업무 도입시기 EB 카드금융 DB 암호화 ( 주민번호암호화등 ) 2011 년 행정안전부공공 DB 암호화 ( 주민번호암호화등 ) 2011 년 지식경제부공공 DB 암호화 ( 주민번호암호화등 ) 2010 년 법무부공공 DB 암호화 ( 주민번호암호화등 ) 2010 년 에르고다음다이렉트보험 금융 DB 암호화 ( 주민번호암호화등 ) 2010 년 미래에셋생명보험금융 DB 암호화 ( 주민번호암호화등 ) 2010 년 두산동아그룹기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 SK 엔카기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 인터파크기업 DB 암호화 ( 주민번호암호화등 ) 2009 년 여신금융협회금융 DB 암호화 ( 주민번호암호화등 ) 2009 년 한국증권금융금융 DB 암호화 ( 주민번호암호화등 ) 2008 년 국민은행금융 DB 암호화 ( 주민번호암호화등 ) 2007 년 Hybrid 방식 고객분야업무 도입시기 리딩투자증권금융 DB 암호화 ( 주민번호암호화등 ) 2011 년 보건복지부공공 DB 암호화 ( 주민번호암호화등 ) 2011 년 롯데제과기업 DB 암호화 ( 주민번호암호화등 ) 2011 년 롯데리아기업 DB 암호화 ( 주민번호암호화등 ) 2011 년 마이비카드금융 DB 암호화 ( 주민번호암호화등 ) 2011 년 부산하나로카드 금융 DB 암호화 ( 주민번호암호화등 ) 2010 년 대한주택보증공공 DB 암호화 ( 주민번호암호화등 ) 2010 년 롯데자이언츠기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 국군기무사령부 공공 DB 암호화 ( 주민번호암호화등 ) 2010 년 롯데닷컴기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 롯데백화점기업 DB 암호화 ( 주민번호암호화등 ) 2010 년 국방부공공 DB 암호화 ( 주민번호암호화등 ) 2010 년 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 4

1. 제품개요및구성 가. 제품개요, 특장점, 구동방식등 1) 제품개요 는 DB 암호화를통한기밀성을유지, 안전한키관리, DB 접근제어를제공하는강력한 DB 보안솔루션입니다. 제품개요 제품명 암호화솔루션 제품개요 API와 Plug-in방식을혼용한 DB암호화솔루션다양한암호화알고리즘제공다양한환경 / 대용량 DB암호화구축경험보유 DB특화기술을통한마이그레이션시간단축 GS인증, CMVP, 국가용암호제품등록 강화된 DB 보안정책적용 운영개념및체계규격연구관리 / 적용의용이성제공검증된솔루션국내최고의기술력보유 보안관리자, DBA, 사용자등의개별보안정책적용안전한 DB 암호화키관리를통한키유출사전방지 DB에연결되어있는객체들에대한접근제어기능의강화 DB에보안정책을설정시전용관리도구를통하여계층및트리구조의다양한보안정책을설정 Migration시전용마이그레이션도구를통하여신속하고직관적인확인및설정환경을제공 다양한국내. 외암호화알고리즘을제공국정원암호검증제도 (CMVP) 를통과한암호화모듈탑재국가용암호지정제품등록 GS인증획득 DBA 및 DB튜닝전문가인력을통한 DB의명확한분석 / 적용롯데백화점, 인터파크, 국세청등의대용량 DB암호화경험보유 POS, CRM등의임베디드및 DW 환경등의다양한환경적용경험 Index 암호화및검색기능제공 적용을통한최적의성능과강력한 DB 보안을수행 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 6

1. 제품개요및구성 가. 제품개요, 특장점, 구동방식등 2) 제품구동방식 는업무시스템사용량과수정가능여부에따라 API 방식혹은 Plug-In 방식으로적용하게됩니다. 뿐만아니라하나의암호화테이블에두가지방식으로동시적용이가능한 Hybrid 방식으로지원합니다. 제품구동방식 API 방식 : 데이터암호화부하를응용서버에서가져가며 DB 서버부하를최소화함. 대규모서비스에적합 Plug-In 방식 : 데이터암호화적용을위하여응용단수정이불필요함. 사용자 App Server App Server DBMS DBMS 암호화요청 데이터저장 DBMS API 소스코딩필요 암호화요청 Service Server Service Server (Deamon) 키관리 ( 생성, 저장 ) 암ㆍ복호화수행 관리모듈 Manager 인터페이스 암호화요청보안정책설정 Plug-in 소스코드수정없이적용 Manager 보안정책관리도구 Service Server 인터페이스 Authentication API/UI Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 7

나. 제품구성도 (H/W, S/W 아키텍쳐 ) 는 API 방식과 Plug-In 방식을모두지원하는솔루션으로서고객사환경에맞추어 DB 암호화방식 (API, Plug-In, Hybrid) 을최적화된구성으로적용하겠습니다. 또한 Service Server 를이중화하여가용성확보및 Manager 를통한편의성을제공하는강력한 DB 보안솔루션입니다. S/W 구성도 1. 제품개요및구성 본구성도는고객사시스템변동에따라달라질수있으며, 현행시스템에대한이해를바탕으로최적화된구성으로적용하겠습니다. Service Server 는고객사환경에맞게기구축 WAS 환경에별도의 H/W 없이구성하는방안과별도의 H/W 에구축하여가용성을확보하는방안을모두지원합니다. 사용자 Manager ( 관리자 PC) Authentication API/UI 관리자 Service Server Interface WAS Clustering DB Clustering L4 WAS Server #1 Application WAS Server #1 Application DB Server #1 Database DB Server #1 Database Service Server #1 (Deamon) 키관리 ( 생성, 저장 ) Service Server #2 (Deamon) 키관리 ( 생성, 저장 ) API API Plugin Plugin 암 복호화 암 복호화 관리모듈 관리모듈 Manager Interface Manager Interface Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 8

나. 제품구성도 (H/W, S/W 아키텍쳐 ) 1. 제품개요및구성 데이터암호화적용시업무서비스영향으로는데이터암 / 복호화에따른부하및속도문제가있습니다. 는서비스영향을최소화하기위하여, API 방식과 Plug-in 방식을동시에지원하는 Hybrid 방식을제공함으로써서비스속도를보장해드립니다. 데이터암호화적용시업무서비스영향 암호화방식에따른서비스속도변화량 암호화전 API PLUG-IN 266.66(ms) 0.2 초 362.47(ms) 0.3 초 (50% 증가 ) 534.24(ms) 0.5 초 (150% 증가 ) 는 Hybrid(API + Plug-in) 데이터암호화방식지원 CPU 변화량 약 3% 의 CPU 증가 API 방식적용 Plug-in 방식적용 WAS WAS WAS DBA 개발자업무담당자 API API API 33% 33% 33% 데이터암 / 복호화부하를 WAS 단에서나눠가짐 DBMS 에는전혀부하가없음 DBMS 대규모서비스에적합한방식 데이터암 / 복호화부하는 DBMS 에서발생함 DBMS Plug-in 상대적으로데이터암 / 복호화요청이적은작업자들이주로사용하는 DB에적합한방식 100% Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 9

다. 지원가능플랫폼 ( 서버,OS, 상용 DB 등 ) 및버전 1. 제품개요및구성 는 API 방식과 Plug-in 방식을모두지원하는솔루션으로써다양한고객사의다양한환경에맞게 API, Plug-In, Hybrid 방식으로제공됩니다. API 방식적용의경우 C, C++, JAVA, ASP, ASP.NET(C#), PHP 등다양한프로그램언어를위한 API 가준비되어전기종의 DBMS 에데이터암복호화적용을지원하며, Plug-In 방식의경우 Oracle, MS-SQL, DB2, Tibero 등을지원하는강력한 DB 암호화솔루션입니다. DB 암호화를위한다양한플랫폼지원 구성요소 지원환경 API 방식 PLUG-IN 방식 API Service Server (Deamon) DBMS Service Server (Deamon) DBMS ASP, ASP.NET, C, C++, JAVA, JSP, PHP, Stores Procedure solaris 2.6 이상, aix 4.3 이상, hp 11.0 이상, hp-ia (Itanium) 11.23 이상, Linux kernel 2.4 이상, win2000 서버이상, solaris-x86 2.9 이상 Oracle, Sybase, MS-SQL, DB2, Tibero 등의모든 DBMS 지원 DBMS 운영체제 (solaris 2.6 이상, aix 4.3 이상, hp 11.0 이상, hp-ia(itanium) 11.23 이상, Linux kernel 2.4 이상, win2000 서버이상, solaris-x86 2.9 이상 ) Oracle, Sybase, MS SQL, DB2, Tibero 등 Manager Migrator Windows 98, Me, 2000, XP, 2003 등 사용자환경 : Windows 98, Me, 2000, XP, 2003, Vista, Windows7 등 DBMS OS : 모든 OS 지원 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 10

라. 제품인증및보안적합성내용 1. 제품개요및구성 는국가용암호화제품으로등재되었으며국정원의국가용암호검증필및 GS 인증을획득, 본사업에서요구하는모든표준을준수합니다. 제품인증및보안적합성 국정원의국가용암호검증필 (CMVP) 획득및국가용암호화제품으로등재 GS(Good Software) 인증획득국정원 IT 보안인증사무국의 DB암호제품보안요구사항 준수국정원에서제시한 DB암호화가이드라인 에따라검증된암호화알고리즘으로인덱스암호화를수행 ( 특허보유 : 출원번호10-2010- 0030741) TIBERO 상호연동적합성인증 for ERP - SAP 인증 (SAP Integration Certification) DB 암호제품보안요구사항 IT 보안인증사무국 2010. 4 국정원에서제시한 DB 암호화가이드라인 에따라검증된암호화알고리즘으로인덱스암호화를수행 ( 특허출원 : 출원번호 10-2010-0030741) Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 11

가. 제품기동시시스템에주는부하 2. 설치및운영 를통해 1000 만건을암호화하고, DB 쿼리실행시, 응답시간증가는 2% 미만의테스트결과를보이며, API 방식으로제품기동시 DBMS 서버에직접적인부하는발생시키지않으며실질적인부하발생은 WAS 또는 Application 서버에서발생합니다. 제품기동시시스템에주는부하 API 타입을이용하여배치작업테스트시 1000만건암호화시약 2분 의처리성능 OLTP 성암호화처리성능사례 1000만건을암호화하고, DB쿼리실행시, 응답시간증가는 2% 미만의처리성능주민번호 (4억건 ), 계좌번호, 카드번호 DB암호화적용사이트 Data 암호화전 System CPU / Memory A업무 JENIFER 평균응답속도변화측정 약 95% 구분암호화전암호화후비교 A 업무 0.0936 (s) 0.0975(s) +0.0039(s) Data 암호화후 System CPU / Memory Pattern 암호화적용후 100user 가 1 분동안연속적으로페이지 조회평균응답속도. ( 주민번호 1 건조건검색 ) MS WAS(Web Application Stress) Tool 약 3% 의 CPU 증가 약 97% 약 2% 의 Memory 증가 암호화전 API PLUG-IN 266.66(ms) 0.2 초 362.47(ms) 0.3 초 534.24(ms) 0.5 초 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 12

가. 제품장애발생시당사시스템및서비스영향도 3. 가용성 의장애는크게 API 적용오류와실제암 / 복호화를담당하는 Service Server 의오류로구분할수있으며이에대하여 Application Server 의이중화및 Service Server 의다중구성을통해 DBMS 가용성을보장할수있습니다. 제품장애발생시당사시스템및서비스영향도 자체의오류또는기 Application 오류로인하여시스템의장애발생시데이터의암 / 복호화수행은불가능 제품장애또는기 Application 장애에대비하여시스템을 2 중화구성을통해 DBMS 가용성을보장 WAS Clustering Application Server 이중화 Service Server WAS 에서암 / 복호화를담당하는 Service Server 의독립구성및 L4 를이용한다중구성 WAS Server #1 WAS Server #2 Service Server Service Server Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 13

나. 당사운영서버 (AP 서버, DB 서버 ) 의장애로인한 FailOver 시영향도 서비스서버의장애시영향도 3. 가용성 는정책서버 (Service Server) 의장애상황에대비하여이중화구성을지원하며, 정책서버가모두장애가발생하는경우에도안정적으로암 복호화를수행하기위하여 Sync API 및 Sync Plug-In 를지원합니다. Sync 암호화방식은주기적으로정책을동기화하며장애발생시점에는로컬에암호화되어저장된정책을사용하여안정적으로암 복호화를수행합니다. 정책서버 (Service Server) 장애시영향도 장애발생시시스템구성도 장애요소 설명 영향도 보안관리자 웹응용서버 업무 A 업무 B 업무 C 업무 N AP 서버 DB 서버 Sync API 사용시주기적으로정책을동기화하며정책서버장애시점에도 AP 서버에저장된로컬정책을사용하여무중단암호화수행 Sync PlugIn 사용시주기적으로정책을동기화하며정책서버장애시점에도 DB 서버에저장된로컬정책을사용하여무중단암호화수행 없음 없음 통합정책관리 정책서버 장애발생 정책동기화 장애발생 정책전파 DB 서버 XDB Sync API XDB Sync API XDB Sync API Xecure DB Sync API Xecure DB PlugIn(Sync) XDB Sync API 암호화된로컬정책을사용하여무중단암호화수행 Sync 방식을사용할경우주기적으로정책동기화수행정책서버 장애복구시점에안정적으로정책전파수행 없음 서비스서버장애발생시영향도없음 DBMS (Oracle) XDB Sync Plugin DBMS (MS-SQL) XDB Sync Plugin DBMS (DB2) XDB Sync Plugin Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 14

다. 암호키백업및복구기능 보안정책관리시스템백업 / 복구방안 3. 가용성 의암호키, 보안정책관리시스템백업및복구는 Manager 를이용하여백업및복구를수행합니다. Manager 는 Service Server 의컬럼암호화정보나암호화키, 유저정보등의중요한데이터를백업시키거나복구하는기능을가지고있으며백업화일의관리를쉽게해줍니다. 암호키백업및복구기능 서비스서버백업 1 서비스서버복구 1 2 서비스서버복구대화창의오른쪽에 서버백업 이라는버튼클릭. 파일메뉴에서서비스 ' 서버복구 선택 백업할파일이름을기입하고 ' 백업시작 ' 클릭 2 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 15

가. 지원되는암호화알고리즘 4. 암 / 복호모듈 는국제표준알고리즘을포함하여, SEED, TDES, AES, ARIA, SHA1 등등국정원요구표준알고리즘을모두지원합니다. 지원되는암호화알고리즘 지원알고리즘 관리자콘솔에서의알고리즘선택 구분 지원항목 암호화 알고리즘 ( 양방향, 대칭키 ) SEED,AES, DES, TDES, RC2, RC4, RC5, BlowFish, CAST128, ARIA 등국내외표준알고리즘모두지원 Hash 알고리즘 ( 단방향 ) SHA1 (160 bit), SHA2 (224, 256, 384, 512 bit), MD5, HAS160, RIPEMD160 등국내외표준알고리즘모두지원 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 16

나. 암호화객체단위 4. 암 / 복호모듈 는 DB 암호화적용시암호화대상을컬럼단위로암호화합니다. 중요컬럼을대상으로암호화함으로써불필요한부하를발생시키지않으며시스템의가용성을보장합니다. 또한, 각각의컬럼별로암 / 복호화키를다르게설정이가능하게지원함으로써보안성을극대화한제품입니다. 컬럼단위암호화 PK Clustered Index PARK JANG RYU FK Stored Procedure Update EmpNum LastName FirstName CtryCode Jumin2 integer longstring varchar(20) char(2) char(6) 10001 KIM NAMIL KW 1234 10002 10003 Password char(6) LEE CHA 1234 god angel YOUNGPYO DORI DJ SE Password char(12) cdef xetysd s1jfhtys god angel 중요컬럼에대한선택적 암호화적용 Trigger Card Num LastMod Char(13) longstring 7910171 \HR\SE XXXXX 7605072 \HR\SE XXXXXXX 8401012 \HR\CON XXXXXXX 관리자는컬럼별각기다른대칭키를이용하여 암호화되도록관리자툴을사용하여지정 Master Key 각각의대칭키 각각의대칭키는초기생성된 Master Key 로암호화되어저장 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 17

Time 가. 운영중인데이터초기일괄적용시데이터암호화적용프로세스 5. 암 / 복호기능 는대량의데이터에대한 Migration 시에작업자가편리하게사용가능한마이그레이션툴과다운타임최소화방안을제공해드립니다. 이를통하여주민등록번호 1000 만건일괄암호화적용시다운타임을 1 시간이내로적용하실수있습니다. 운영중인데이터초기일괄적용시데이터암호화적용프로세스 마이그레이터서버의주소와포트번호 이서버를통해서처리할타겟데이터베이스의연결정보를입력 증분데이터 1 2 증분테이블생성 암호화데이터 신규암호화테이블생성원본데이터암호화저장 원본데이터 A 데이터증분 / 변경 서비스운영 테이블 계정 컬럼 4 암호화 5 3 증분데이터실시간복제 (Trigger 등이용 ) 데이터병합 샘플링검사프로그램제공 A 7 6 A Down Time 데이터샘플링검사 테이블명변경 A 기준원본데이터사이즈증분데이터량암호화대상추가 Storage 량 1G 100 만건 설명 주민등록번호 1000 만건사이즈 = 240M 1000 만 X 24 byte = 240 M byte 원본데이터 + 주민번호암호화사이즈 = 1.24 G 증분데이터사이즈 = 0.124 G / 합계 = 1.37 G 시간소요지점소요예상시간예상다운타임 원본데이터암호화대상테이블암호화저장 (Insert) 증분암호화 증분데이터병합 데이터검사 테이블명변경 5 분 - 1 분 5 분내 30 분 1 분 1 시간이내 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 18

5. 암 / 복호기능 나. 부분암호화특허 는국정원 DB 암호화가이드라인 에따라검증된암호화알고리즘으로인덱스를암호화하여안전성을보장하며, 자사고유기술인 암호화된인덱스검색기술및그방법 에따라암호화적용후에도인덱스검색을통한성능을보장합니다. 또한특허로등록된부분암호화기술을적용하여암호화에따른부하및데이터사이즈증가를최소화하여안정적인암 복호화수행을보장합니다. 부분암호화특허 ( 검증된암호화기술을사용한인덱스검색 ) 부분암호화적용예시 부분암호화 전체암호화 부분암호화특허보유 사번이름패스워드주민등록번호 카드번호 DB 부분암호화특허 0001 홍길동 1111 7711222-1234555 1203-7853-9565-8585 Index 검색수행 0002 김두한 2222 850207-2235666 8523-2187-3255-3535 0003 박지성 3333 680705-1252101 7841-8596-5147-7870 패스워드 ds23d 주민등록번호 771122-1fbbgdvbdfv 카드번호 1203-78fb54hebdfbedb 부분암호화적용으로 Index 검색을수행하여성능저하방지 4fv5b3 gvsd2cc 850207-2sdvw3bdf4v 680705-asdafsdbw3b 8253-21ghwgdgdfgdadc 7841-85hgj57jghmdnnfg 국정원 DB 암호화가이드라인을준수하여검증된암호화알고리즘으로인덱스암호화 적용예시 암호화적용후에도인덱스검색을통한성능보장 (APP상에서암호화 API를사용하여암 복호화 ) txdbhelper_n.decrypt(rs.getstring( CARDNUM"))); (Query상에서암호화함수를사용하여암 복호화 ) Select SUBSTR(JUMIN_NO,1,6) '-' SUBSTR( CRYPTO.DECRYPT(JUMIN),7,13) from EMP 부분암호화를통한암호화에따른부하및데이터사이즈증가최소화 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 19

다. 압축암호화특허 ( 출원중 ) 소프트포럼 은다양한고객사환경에데이터암호화를적용을지원하기위하여끊임없이기술개발을진행하고있습니다. 현재진행중인압축암호화기능은평문을암호화하면길어지는암호화문을저장히기위하여 DB 컬럼사이즈를증가시키거나, 별도의암호문저장컬럼이필요했던기존암호화방식을개선한방식입니다. 고객사에서는 의압축암호화기능을통하여 DB 컬럼사이즈증가없이데이터암호화를적용하실수있습니다. ( 단, 숫자로만된데이터에한함 ) 암축암호화 기존암호화방식 ( 암호화문사이즈증가 ) 데이터암호화적용시데이터사이즈증가를해결하기위해서는다음과같은 2가지방안이있었음. 원본테이블 [ 방안1] 컬럼사이즈증가 이름 주민등록번호 비밀번호 이름 주민등록번호 비밀번호 5. 암 / 복호기능 암호화문사이즈평문과압축암호화동일 는압축암호화기술을이용하여컬럼사이즈증가또는별도의암호문저장컬럼없이데이터암호화적용이가능하도록기능을제공. 현재소프트포럼 은 압축암호화기술특허출원중 홍길동 이순신 정약용 77112221234555 8502072235666 6807051252101 이름 13 byte 홍길동 이순신 정약용 1111 2222 3333 주민등록번호 0001 0002 0003 비밀번호 1111 2222 3333 홍길동 sfgb4hdfb54hebdfbedb ds23dak 이순신 4uijmgj34ghwgdgdfgd 4fv5b3u 정약용 345hfgj57jghmhnnnfg gvsd2cc Index 주민등록번호 13 자리 SEED 알고리즘으로암호화시암호문의길이는 32 가됨 0001 0002 0003 32 byte [ 방안 2] 별도암호화문저장용테이블 ( 또는 DB) 생성 암호화문 sfgb4hdfb54hebdfbedb 4uijmgj34ghwgdgdfgd 345hfgj57jghmhnnnfg 암호화적용전 이름 홍길동 이순신 정약용 주민등록번호 77112221234555 8502072235666 6807051252101 13 byte 비밀번호 1111 2222 3333 API / Plug-in 압축암호화기술을이용한암호화 암호화적용후 이름 홍길동 이순신 정약용 주민등록번호 sfgb4hdfb54he 4uijmgj34ghwg 345hfgj57jghm 13 byte 주민등록번호암호화전후길이가똑같음 비밀번호 ds23dak 4fv5b3u gvsd2cc Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 20

라. 암호화데이터의일반데이터로의전환처리절차 5. 암 / 복호기능 는암호화데이터의일반데이터로의전환시 Batch 작업에특화된 Batch API 를체계화된절차에따라적용하여일괄적으로데이터를복호화하여일반데이터로전환할수있도록합니다. 암호화데이터의일반데이터로의전환시 Batch Application 에의하여 Batch API 를호출하여일괄적으로암호화된데이터복호화를수행합니다. 암호화데이터의일반데이터로의전환처리절차 Batch 특화 API 를사용하여전환 Batch 를통한전환절차 Batch 프로그램 3. 복호화하여저장 Batch 프로그램실행 DB 보안관리자 암 / 복호화권한부여 암 복호화 Batch 프로그램 Batch API 2. Batch API 호출 NO 암 복호화권한체크 관리자 Batch API 사용암호화적용전암호화적용후이름주민등록번호비밀번호이름주민등록번호 비밀번호 YES 일반데이터로전환하여저장 홍길동 77112221234555 1111 홍길동 sfgb4hdfb54he ds23dak 이순신 정약용 8502072235666 6807051252101 2222 3333 이순신 정약용 4uijmgj34ghwg 345hfgj57jghm 4fv5b3u gvsd2cc DBMS NO( 복구수행 ) 정상실행결과확인 Batch API 를통한일괄복호화수행 YES Batch 프로그램종료 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 21

마. 파일암호화변환프로그램 5. 암 / 복호기능 제안솔루션은 DB 에업로드된파일 ( 텍스트, CVS 등 ) 의전체또는구분자를통한특정필드에대한암호화를위하여 Windows, Unix 용암복호화프로그램을제공합니다. 파일암호화변환프로그램 파일암호화변환프로그램 파일암호화를위한별도의변환프로그램을제공하며환경설정에따라구분자, 암 복호화여부, 암복호화범위, 원본삭제여부, 백업여부설정하여편리하게파일에대한암 복호화를지원 데이터베이스 MjEzNHd MjEzNHd MjEzNHd zzwzy zzwzy zzwzy 구분자, 암호화후저장위치등환경설정설정및참조 파일암호화 파일암호화프로그램, 구분자를이용한 JUMIN,( 부분암호화 ) PASSWD( 해쉬 ) 암호화적용 보안관리자 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 22

바. 암호화 / 복호화수행작업에대한로깅기능 5. 암 / 복호기능 는 Manager 의로그기능을이용하여 IP 및사용자 ID 가기록되어컬럼에대한암 / 복호화이력, 사용자의암호화된데이터의접근및작업내역의성공, 실패등의로그가검색가능합니다. 암호화 / 복호화수행작업에대한로깅기능 컬럼에대한암 / 복호화이력 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 23

가. UI 개요및특징 UI 사용편의성 6. UI 편의성 Manager 는메인프레임과그내부에생성되는차일드프레임으로구성됩니다. 차일드프레임에는트리뷰, 리스트뷰, 쿼리뷰가구성되어있으며, 그이외에메뉴, 툴바, 상태바등이있습니다. 또한사용편의성을위해큰아이콘을통해관리자가직관적으로인지할수있도록하였습니다. 하부트리를한번에보여주도록하고암호화컬럼정보, 사용자, 암호화키를툴바메뉴에추가하여관리자의편의를고려하였습니다. UI 개요및특징및사용편의성 3 5 2 1 4 1 메인프레임 : 서버연결, Clon 서버의추가, 암호화정책설정등을할수있는메뉴로구성되어있음. 2 차일드프레임 : 서버와의연결및해제, 사용자생성및암호화키생성, 로그통계기능을제공함. 3 트리뷰 : 서비스서버의집합을보여주는 'Ex Server' Tab 과 DB 구성을나타내는 'DB Tree' Tab으로구성됨. 4 리스트뷰 : 트리뷰에서선택한서비스서버의하위클라이언트를리스트에탐색기와같은방식으로표시함. 5 쿼리뷰 : Manager에서연결된 DB계정으로직접 SQL 쿼리를사용하고결과값을받아표시하는윈도우. Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 24

나. 암호화정책관리, 적용기능및절차 6. UI 편의성 보안정책은암호화대상데이터와방식을결정하며, 사용자별권한을설정합니다. 정책설정으로는키관리 / 사용자관리 / 정책설정 / 접근권한설정등이있습니다. 기존생성된키는하나혹은여러개의데이터를암호화하는데사용되고있을수있으며기사용중인키삭제시암호화된데이터에대하여복구를불가능하게할수있습니다. 따라서모든사항을체크한후실행하여야하며이와관련하여 Manager 에서도이미사용되고있는키의삭제는불가능하도록기능을제공합니다. 암호화정책관리, 적용기능및절차 키관리 ( 생성 / 삭제 ) 사용자관리 ( 생성 / 삭제 ) 키추가메뉴클릭 사용자선택후삭제 사용자생성을위한 ID 입력 사용자선택후삭제 암호화정책설정 IP 별접근통제 암호화키및알고리즘선택 해당사용자의권한 ( 읽기 / 쓰기 ) 설정 접속가능한 IP 설정 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 25

가. 암호화데이터접근제어방법 암호화된데이터의선택적복호화제어기능 7. 보안및감사기능 는보안정책에따라권한이있는사용자만이암호화된컬럼에접근하여등록된대칭키로데이터를복호화할수있습니다. 권한이없는사용자의경우데이터의복호화키에대한권한이없음으로데이터를복호화할수없습니다. 암호화데이터에대한선택적권한제어 서로다른키로암 / 복호화 인사테이블 응용서버 패스워드주민등록번호 카드번호 응용서버 DB 관리자 API / Plug-in ds23d 7711222-1fbbgdvbdfv sfgb4hdfb54hebdfbedb 4fv5b3 dvdfv34wv-dsdvw34v 4uijmgj34ghwgdgdfgd gvsd2cc 6807gsdvb-asdafsdb 345hfgj57jghmhnnnfg 개발자 DB 서버 컬럼별접근제어 다양한접근제어옵션탭 사용자별권한제어수행 동일사용자일지라도컬럼별권한에따라접근 ( 암 / 복호화 ) 이제한됨 정책전파 Policy Server Service Server 권한설정 사용자별상세권한 DB 보안담당자 IP 주소 DB 계정 클라이언트프로그램이름 시간별 ( 접속시간, 함수호출시간 ) DB 에연결된특정세션별 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 26

나. 암호화대상데이터접근로그등기록관리기능 7. 보안및감사기능 는각 WAS 의 Service Server 모듈을통해로그가생성되어지고보안관리자의로그요청시관리자콘솔을통하여통합로그를전송받게됩니다. 각 WAS 의로그정보를 ID, IP, Column 에따라통계를추출할수있는기능을제공하며통계된로그들을엑셀에서볼수있도록 csv 파일로저장할수있는기능을제공합니다. 암호화대상데이터접근로그등기록관리기능 보안관리자서버 각 WAS 의로그요청 통합로그전송 WAS#1 API Service Server (Deamon) WAS#2 API Service Server (Deamon) WAS#3 API Service Server (Deamon) APP APP APP 통합로그통계기능설정 OS OS OS Service Server 모듈을통해각 WAS 별로로그생성저장 차일드프레임 : 서버와의연결및해제, 사용자생성및암호화키생성, 로그통계기능을제공 서비스접속통합로그기록 CSV 파일로저장하여엑셀에서확인 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 27

7. 보안및감사기능 다. 안정적인 Key 관리 는보안관리자가관리자툴을이용하여생성한암호화키와관리정책들은모두관리자의마스터키를이용하여암호화저장하므로유출및위 / 변조로부터안전하게보호하고마스터키역시관리자의공개키로암호화한후저장합니다. 또한암호키생성시안전한난수발생기를사용하여안전한키생성및키관리를제공합니다. 암호키의보안기능 안전한키생성및키관리 안전한키저장 국정원검증필암호모듈탑재 Policy Server 키 / 정책관리암ㆍ복호화관리모듈 DBMS 가아닌별도의 H/W 에암호화키보관 난수발생기는공개된검증대상암호알고리즘으로암호검증기준 (KS X ISO/IEC 19790) 에등재된알고리즘입니다. 관리자는관리자툴을이용하여암호화키생성 / 접근 / 갱신 / 파기가 가능하며사용중인암호키삭제시경고창을띄움 키생성암호화키관리키삭제 Manager 인터페이스 서비스서버관리대상 암호화키 MjEzNHd zzwzy 암호화키및관리정책을마스터키로암호화저장 관리정책 + 보안관리자 = 관리자 Master Key 관리콘솔창에서 키생성이가능 관리창에서키생성 / 삭제 / 관리 키를삭제할시 사용여부확인 키 / 정책백업 마스터키 로컬백업 / 복구 : 보안관리자로컬 PC로암 / 복호화하여백업 / 복구 별도 HW(HSM) 장비백업 / 복구0 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 28

7. 보안및감사기능 다. 안정적인 Key 관리 ( 계속 ) 는다양한사용자들이주요데이터에임의로접근하는보안위협을사전에방지하기위하여사용자별접근통제를설정하여데이터를보호하며, 관리자콘솔접근의경우타인이관리자키를보유하고있어도관리자키에맞는패스워드 ( 관리자키는 PCKS#5 로암호화 ) 를입력해야만정책을설정할수있어한층더뛰어난보안강도를제공해드립니다. 암 복호화키의접근권한관리 관리자인증강화 암 복호화수행 컬럼별접근제어 권한자 비권한자 비권한자는 암 복호화불가능 WAS Server Application API 정책서버 권한확인 키관리 DBMS 관리자키에맞는패스워드 ( 관리자키는 PCKS#5 로암호화 ) Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 29

다. 안정적인 Key 관리 ( 계속 ) 암호화된암호화키는서비스실행시정책서버메모리내암호화된상태로로드되고실제암 / 복호화요청이있을시에만복호화됩니다. 이후서비스종료시에는암호화키및관련변수들은모두메모리상에서제거됩니다. 키폐기및백업복구 7. 보안및감사기능 안전한키생성및키관리 암 / 복호화대기시암호화키를암호화된상태로메모리상에 Load 시킴 Policy Server Shared Memory 1 암호화키 : YWJjZGhpMTIz. 2 안전한키저장 암호키, 보안정책의 Manager 를이용하여백업및복구를수행 Policy Server 백업 관리자툴을이용한편리한백업 / 복구 Manager Service Daemon Shared Memory 2 암호화키 : abcd1234567 3 암호화키 : YWJjZG2hpMTIz. 복구 마스터키로암호화된상태 보안관리자 서비스종료시점에메모리상에서폐기메모리내암호화키상태변경 1 서비스요청대기상태 : 메모리상에암호화된상태로암호화키로드 2 서비스수행 : 서비스요청이들어오면메모리상에암화된암호화키를복호화하여평문의암호화키를이용하여암 / 복화서비스를수행 3 서비스요청완료 ( 대기상태 ) : 평문의암호화키를암호화시켜메모리로드 4 서비스종료 : 메로리에로드된암호화키및관련변수제거 1 암호화키및정책백업 백업할파일이름을기입하고 ' 백업시작 ' 클릭 서비스서버복구대화창의오른쪽에 서버백업 이라는버튼클릭. 1 암호화키및정책복구 파일메뉴에서서비스 ' 서버복구 선택 2 Copyright c 2012 SOFTFORUM CO.,LTD., All rights reserved 30