IBM Korea 최신 LT4 세대기술을활용한 테이프암호화방안 한국IBM 스토리지사업본부김상현과장 sang@kr.ibm.com 0
순서 I [ 동영상 ] 테이프암호화의필요성 II [Case Study] 암호화기술개발배경및도입효과 III 기존암호화솔루션의한계 IV IBM 테이프암호화의장점 V IBM 테이프암호화절차 VI IBM LT4 세대소개 1
테이프의분실 / 도난으로인해 2005년 2월부터 2006년 8월까지 17번의개인정보유출사건발생 9백만명의개인정보유출 피해규모 : 최대 1 조 3 천억원 Source: www.privacyrights.org 2
테이프암호화기술개발배경및도입효과 2005 세계최대은행인 C 은행에서잇따른테이프분실사고발생 : 일본, 싱가폴, 미국 400 백만계좌의개인정보유출 수백만달러의처리비용발생 2005.6 StorageTek 에해결방안요청 2005.6 IBM 에해결방안요청 테이프암호화기술개발착수 2006.8 IBM 업계최초테이프암호화기술출시 2006.11 C 은행 : IBM 테이프로전면교체 도입장비 TS1120 테이프드라이브 396 개 TS3500 라이브러리 10 대 ( 총 70 프레임 ) 3
테이프암호화기술개발배경및도입효과 Today! 매일 2,000 개의테이프암호화 기존백업시스템대비성능향상 3 배 비용감소및관리용이 4
암호화 [, encryption, encipherment] 본문의미를알수없는형식 ( 암호문 ) 으로정보를변환하는것. 암호문의형태로정보를기억장치에저장하거나통신회선을통해전송함으로써정보를보호할수있다. 암호화는암호키 ( 특정의비트열 ) 를사용하여정보를암호문으로변환하는것이고, 복호화는복호키를사용하여원래의정보를복원하는것이다. 복호키를갖고있지않은사람은정보를올바르게복원할수없으므로, 복호키가제3자에게알려지지않으면정보는보호된다. 암호체계는크게대칭키방식과비대칭키방식으로분류된다. 대칭키방식은암호화와복호화에동일한키를사용한다. 통신할때에는송신자와수신자가사전에동일한키를비밀로갖고있을필요가있다. 한편, 비대칭키는암호화와복호화에서로다른키를사용하는데암호키는공개하고복호화키는비밀로한다. 대칭키방식이주로사용되나, 다자간의데이터교환을위해서비대칭키방식을사용할경우, 보안을유지하면서원활한데이터교환이가능해진다. 5
IBM Korea 2007 IBM Storage 고객 세미나 기존의 테이프 암호화 방식 기존의 테이프 암호화 방식 : 암호화를 위해 별도의 S/W나 Appliance 사용 1. 서버에 암호화 S/W 탑재 2. 암호화를 위한 별도의 장비 필요(appliances) Tape Data Path 기존 테이프 암호화 방식의 문제점 9Performance 저하 (백업량 비례) 9추가 비용 지속 발생 (별도의 라이센스, 유지보수 비용) 9암호화 통합 운영 및 관리의 어려움 6
한국 IBM, 테이프드라이브기반완전암호화기술첫선 : 2006 년 8 월 7
IBM 테이프암호화솔루션개요 업계최초테이프드라이브기반의데이터암호화기능 업계최초의테이프드라이브기반의하드웨어방식의암호화제공 IBM TS1120/LT Gen4 테이프드라이브기반 드라이브내에 Built-in AES 256-bit 데이터암호화엔진탑재 성능저하나용량손실이발생하지않음 Java 기반의혁신적인 IBM의암호화키관리자 (EKM) 제공 엔터프라이즈내통합된암호화키생성및제공 z/s, i5/s, AIX, HP, Sun, Linux, Windows 플랫폼지원 기존 IBM 테이프라이브러리활용가능 System z 의암호화키, 정책관리, 보안, 암호화기능과통합 (TS1120) 테이프데이터암호화와관리를위한컨설팅과구축서비스제공 ( 유상 ) [ 테이프드라이브내부구성요소 ] 8
IBM 테이프암호화솔루션개요 IBM 테이프드라이브기반암호화의장점테이프드라이브가서버로부터암호화되지않은데이터를받아업계표준의암호화알고리즘 (AES, 256bit) 으로암호화 성능 백업성능에미치는영향극히미비 : 1% 미만 용량 압축후에암호화를하기때문에압축가능 (efficient capacity) 암호화되어내려오는데이터는압축이불가능하다!!! 단순화 ( 비용 ) 암호화를위한별도의장비 (appliance) 나호스트기반의 S/W 불필요 유연성 하나의드라이브로암호화백업과비암호화백업가능 암호화를위한별도의드라이브도입불필요 볼륨단위 / 카트리지단위로암호화적용 9
IBM Tape encryption 테이프분실 / 도난으로인한데이터유출방지 테이프드라이브자체암호화기능제공 3 : 성능저하 X, 용량손실 X, 추가비용 X 10
LT 4 세대드라이브를통한테이프암호화절차 Key Store 키관리자 (EKM) 데이터 + 데이터암호화키 암호화된데이터 테이프드라이브 카트리지 키관리자 (EKM) 와 Tape 드라이브사이의세션키를생성하고서로공유 키관리자 (EKM) 는데이터를암호화하기위하여사용할데이터암호화키를추출 키관리자는데이터암호화키를세션키로암호화하여Tape 드라이브로전송 Tape 드라이브는암호화된데이터키를세션키로복호화하여데이터키값을획득 Tape 드라이브는획득한데이터키를이용하여데이터를암호화하여카트리지에저장 Tape 드라이브는암호화키에대한 key identifier 를카트리지에저장 11
LT 4 세대드라이브를통한테이프복호화절차 Key Store 데이터키 Identifier 키관리자 (EKM) 암호화된데이터 카트리지 데이터암호화키 테이프드라이브 데이터 키관리자 (EKM) 와 Tape 드라이브사이의세션키를생성하고서로공유 Tape 드라이브는미디어에서데이터키 Identifier를읽어서 EKM에게보냄 EKM은받은키Identifier를이용하여데이터암호화키를획득 EKM은다시세션키로획득된데이터키를암호화하여Tape 드라이브로전송하고 Tape 드라이브는세션키로복호화하여데이터암호화키를획득 Tape 드라이브는획득된데이터키를이용하여데이터의복호화를수행 12
LT 4 세대암호화설정화면 암호화방식결정 세가지암호화정책구현방식제공 System Managed Application Managed Library Managed 암호화정책내부세팅 Don t Encrypt if No Policy Encrypt if No Policy Policy Required Never Encrypt Always Encrypt Internal Label Selective Encryption Internal Label Encrypt All 13
IBM LT G4 (4 세대 ) LT 원천기술개발업체 (since 1997) 업계최초 4세대출시 (2007년 4월 ) 성능 1.5배 (240MB/s) / 용량 2배 (1.6TB) 향상 암호화기능최초제공 14
IBM 업계최초 LT 4 세대제품군출시 IBM 이개방형테이프기술표준인 LT 기술로드맵에따라업계선도적인 4 세대 LT 기술을업계최초로발표합니다. IBM LT4 세대드라이브는이전 3 세대 LT 대비 2 배의확장성과함께 IBM 이지난해업계최초로선보인테이프암호화기능을통합함으로써, 용량과성능은물론보안에대한고객의요구사항을해결하는혁신적인기술을제공합니다. [ IBM LT 드라이브비교 : 2 세대 vs. 3 세대 vs. 4 세대 ] 전송속도미디어용량내부데이터버퍼 240MB/s 1,600GB 256MB 70MB/s 160MB/s 400GB 800GB 64MB 128MB IBM 2 세대 IBM 3 세대 IBM 4 세대 IBM 2 세대 IBM 3 세대 IBM 4 세대 IBM 2 세대 IBM 3 세대 IBM 4 세대 강력한성능, 확장된용량, 향상된신뢰성과획기적인보안기능을제공하는 IBM LT 4 세대드라이브를통해고객은아래와같은효과를얻을수있습니다. 비즈니스측면의효과 TC( 총소유비용 ) 의감소 : 용량 2 배, 성능 1.5 배향상을통해물리적으로필요한드라이브, 카트리지개수및저장공간이감소됩니다. 보안수준향상 : 혁신적인테이프암호화기능을통해카트리지유실및도난의경우에도데이터보안이유지됩니다. 법규준수 : 데이터위 / 변조를방지하기위한 WRM (Write nce Read Many) 기능이지속적으로제공됩니다. 운영측면의효과 백업인프라단순화 : 향상된 LT 기술은백업윈도우단축, 통합이기종백업환경구축을통한인프라단순화로이어집니다. 유연한접속성 : SAN 환경 ( 파이버채널접속 ), SCSI 환경은물론차세대 SCSI 기술로각광받는 SAS 접속까지가능합니다. 이전세대와의호환성제공 : IBM 의 4 세대 LT 드라이브는이전 3 세대 LT 미디어에대한읽기 / 쓰기, 2 세대미디어에대한읽기호환성을제공하여기존투자를보장하면서신기술도입을용이하게합니다. 15
LT Roadmap & IBM LT Leadership LT 원천기술표준화및세대별제품상용화주도 전세계테이프드라이브매출 1위업체인 IBM은전세계적으로 750,000 대이상의 IBM LT 드라이브를공급해온와 29,000 대이상의 LT 라이브러리장비를공급하였습니다. (2006년하반기기준 ) IBM은현재까지각세대별로 Native 파이버채널드라이브를공급해온유일한업체이며, LT 드라이브원천기술개발과함께 50년간의테이프라이브러리기술을보유한테이프기술의역사이자, 업계표준의테이프스토리지솔루션을제공하는선두업체로서의입지를더욱강화해갈것입니다. 1997 년 IBM, HP, Seagate ( 현재의 Certance) 3 사에의해공동개발된 LT (Linear Tape pen) 는개방형테이프장비기술표준및미디어, 백업장비일체의기술을지칭하며, 2000 년 1 세대 LT 제품군이 IBM 에의해최초상용화된이래제품의우수성과개방형기술을통해급속도로시장을확산하며, 오픈환경의백업표준으로자리를잡았습니다. 현재 LT 공인인증 3 개드라이브벤더사, 30 개 LT 라이센스보유업체, 5 개미디어라이센스업체가 LT 프로그램을구성하고있습니다. 최초 4 세대제품로드맵에따라통상 18~24 개월의기술주기를보이면서 2000 년 1 세대, 2002 년 2 세대를예정에맞추어성공적으로공급해온 LT 진영은 2004 년 11 월, 3 세대 LT 발표에이어위의 6 세대로드맵을새로이발표하였으며, 2007 년 2 사분기 4 세대발표에이르고있습니다. 16
IBM System Storage LT 4 세대제품군 IBM LT 테이프제품군은소규모환경을위한단일드라이브급부터데이터센터급통합을위한초대형자동화라이브러리제품에이르기까지다양한요건에맞는최적의백업솔루션을제공합니다. 이번에 LT 4 세대드라이브장착지원으로더욱강력해진 IBM LT 4 세대제품군은아래와같습니다. 제품명 제품개요 최대장착드라이브 최대슬롯개수 최대저장용량 (2:1 압축 ) 드라이브종류 접속방식 암호화 W RM IBM System Storage TS3500 테이프라이브러리 엔터프라이즈대용량자동화백업을위한최적의솔루션을제공하는 IBM 3584 는선형모듈러확장방식으로최대 16 프레임에 192 개의드라이브 / 최대 6,887 개의카트리지장착이가능한선형확장성과풍부한라이브러리파티셔닝및드라이브공유기능, 다중채널자동화기술이적용된최상의유연성과가용성을제공하는장비입니다. 또, 3953 시스템을통해메인프레임메인프레임백업, VTS 접속을지원하는이기종백업을위한최상의백업라이브러리입니다. 192 6,881 11PB LT, TS1120 4Gb FC IBM System Storage TS3310 테이프라이브러리 TS3310 은모듈러방식의수직확장라이브러리구조로설계되었습니다. 표준라이브러리모듈인 L5B 모델은기본 2 대의 LT 드라이브와최대 36 개의카트리지 (30 개 - 데이터슬롯, 6 개 - 입출력슬롯 ) 를제공하며, E9U 모델은최대 4 대의 LT 드라이브와 92 개의슬롯을제공하여, 최대 4 개까지확장모듈을추가할수있습니다. IBM 의특허기술인파티셔닝기능과다중채널기술이적용되어더욱향상된유연성과가용성을제공합니다. 18 402 321TB LT LVD SCSI, 4Gb FC, 3Gb SAS IBM System Storage TS3200 테이프라이브러리 컴팩트사이즈로최대 2 개의파이버채널 /SCSI/SAS 드라이브와 48 개의데이터카트리지, 3 개의 I/ station, 1 개의클리닝카트리지슬롯을제공합니다. 바코드리더, 카트리지메거진, 원격관리기능을통해향상된유연성과관리편이성을제공합니다. 2 48 76TB LT LVD SCSI, 4Gb FC, 3Gb SAS IBM System Storage TS3100 테이프라이브러리 IBM LT TS3100 은단일파이버채널 /SCSI/SAS 드라이브에 24 개의카트리지장착이가능한소규모백업장비이며, 4 세대 LT 드라이브장착으로용량및성능이향상되었습니다. 1 24 38TB LT LVD SCSI, 4Gb FC, 3Gb SAS IBM System Storage TS2340 테이프드라이브 IBM LT TS2340 테이프드라이븐데스크답이나랙장착이가능한단일드라이브, 단일카트리지장비입니다. 1 1 1.6TB LT LVD SCSI, 3Gb SAS 17
IBM, 테이프시장점유율 11 분기연속 1 위 18