1. SafeNet
네트워크 암호화
상담(구축) 문의 : 솔루션사업부
이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : zion@zionsecurity.co.kr
www.zionsecurity.co.kr
2. 네트워크(회선) 암호화 왜 필요한가?
개인정보보호법 등 Compliance 요건 충족
태핑(Tapping)을 통한 해킹 위험 방지
이웃 일본 등 해외 사례
세이프넷 암호화 장비 소개
3. 법률적 근거(Compliance 요건)
① 주민등록번호, 신용카드번호, 계좌번호 등 중요 개인정보에 대해서는 안전
한 알고리즘으로 암호화하여 저장하여야 한다
② 비밀번호 및 바이오정보가 복호화 되지 아니하도록 일방향 암호화하여 저
장하여야 한다
③ 정보통신망을 통해 이용자의 개인정보 등을 송/수신할 때에는 보안서버 등
의 조치를 통해 이를 암호화하여야 한다
④ 중요 개인정보를 업무용 컴퓨터에 저장하여 관리하는 경우 암호화 소프트
웨어나 일반 업무용 프로그램에서 제공하는 암호화 방법을 사용하여야 한
다
정보통신망법에 의거한 개인정보암호화(2010.12.30 행안부 고시 제
10조)의 의무 조항
4. 데이터 전송 시 정보의 도난/누출 위협 – 태핑(Tapping)
전화/팩스, 이메일, 화상회의 등은 해커와 산업스파이의 손쉬운 먹이감
WAN
해커/크래커
전용선을 사용해
도 네트워크 태핑
공격 가능
Confidential
대외비
Id: kdhong
Password: 1234
Id: kdhong
Password: 1234
Confidential 대
외비
Confidential 대
외비
ID,Password만 알
면 뭐든지
알 수 있지!
4
5. 광케이블 네트워크 태핑(Tapping)의 위험성
5
Optical Clip 장비들
모의 태핑 예
1. 너무나 쉽고 간단하다 (Too easy, too simple)
7. 광케이블 네트워크 태핑(Tapping)의 위험성
3. 처음부터 금전적 이익이 목적이므로 피해규모가 크다
프랑스 산업스파이, 네트워크를 통하여 미국 항공기제조사의 입찰정보를
입수하여 경쟁사에게 제공
“중요한 입찰정보를 얻기 위하여 네트워크 태핑은 광범위하게 진행되고 있다”
- Roland Bopp, ex-Manager of Deutsche Telekom
한 건의 Data 공격에 의한 기업의 기회비용은 $150,000~$400,000 이고,
년간 총 피해액은 $50M 수준 – FBI 보고서
2003년. 광 네트워크 네트워크 태핑에 의한 도청장비 발견
뮤추얼펀드 회사 실적 데이터 오랫동안 유출된 정황
2002년. $8M 불법 이체 피해
2000년. 프랑크푸르트 공항 네트워크 태핑 피해 사고.
7
9. 광케이블 네트워크 태핑(Tapping)의 위험성
5. 통신사업자들은 어떻게 대응하고 있나 ?
<Wolf Report, 2003년3월>
<독일 36개 통신회사에 보낸 질의와 답변>
“광케이블 네트워크에 대한 불법적인 접근을 즉각적으로 탐지하고,
실시간으로 피해를 국소화시킬 수 있는 보안조치를 행하고 있습니까?”
75% 무응답(최대통신사도
이치텔레콤 포함)
응답자의 일부는 익명을
전제로 “도청과 데이터 도
난의 가능성을 배제하지 않
겠다”
9
10. 이웃 일본의 대응 - FISC* 지침
10
* FISC(Center of Finance Information System, 일본 금융정보시스템 센터)
: 일본 금융권 정보시스템의 지침(서)을 만들고 관리 감독하는 기구.
技29 伝送データの漏洩防止策を講ずること。
(FISC安全対策基準)
データ伝送時の盗聴等により漏洩を防止するため、重要データについては暗号化の対策を講ずる ことが望ましい。
1. データ伝送時に盗聴された場合にもデータの内容が分からないようにするため、重要データについては、暗号化 するこ
とが望ましい。特に個人データを伝送する場合には、暗号化・パスワード設定等データ伝送時に盗聴された場合にもデータの内
容が分からないようにするための対策を講ずることが必要である。
また、個人データを伝送する場合には、上記以外の対策として、以下の条件を満たしセキュアな環境とすることで、光ファイ
バーの専用線を用いることも有効である。
1) 建物内に不正な機器が接続されていないことの確認
2) 切断検知時の報告の徴収およびその分析
3. データ伝送上の暗号化の例として、以下のようなものがある。
(1) 暗号化対象範囲によりレベル
1) 伝送データの一部のみ暗号化(例:暗証番号、口座番号、電子的価値情報等)
2) 伝送データ全体の暗号化(例:伝送するレコード全体を暗号化する)
(2) 伝送路上における暗号化レベル
1) 伝送回線上の暗号化(例:伝送回線の両端に暗号化・復号装置を設置する方法)
2) 端末間の暗号化(例:端末上の暗号化ソフトにより端末間の伝送データを暗号化する方法)
(3) (1)(2)を組み合わせた暗号化(例:暗証番号、口座番号、電子的付加価値情報等の暗号化をしたうえで、
さらに暗号化装置を設置する方法)
건물 내 부정기기의 접속과 절단현상을 체크
1)전송회선 암/복호화
2)단말간 암호화
1) 2)의 조합
전송데이터의 누설방지 대책
(FISC 안전대책기준)
암호화대상 범위
(일부 또는 전부)
11. 일본 Mizuho 은행 사례
•3개 데이터 센터간 백본네트워크 암호화
•국내외 전 지점과 센터간 회선 암호화
•기존 IPSec을 대치
SEE-1GCisco Router
SEE-1G
SEE-10G
SEE-10G
SEE-10G
SEE-10G
SMC
1G Ethernet
(Standby)
(Active)
10G Ethernet
Data Center at Tokyo(Tama) Data Center at Chiba
SMC
SEE-1G
SEE-1G
Cisco Router
Cisco Router
SEE-1G
SEE-1G
SEE-1G
SEE-1G
Data Center at Tokyo (Meguro)
일본 서열 2위 은행
11
12. 다임러 차이나 사례
데이터 센터 두 곳과 백업센터간 네트워크 구간 암호화
SEE
SEE
SEE
SEE
SEE
Primary Data Center Secondary DataCenter
Backup Center
SEESEE
60KM
80KM
12
13. JP Morgan 사례
미국, 영국, 홍콩 센터간 백본(SONET) 네트워크 암호화
SSE OC3
SSE OC3
SSE OC3
USA
SSE OC3
UK
HK.Shatin
HK.Taikoo
13
14. SafeNet Ethernet Encryptor(SEE)
• 쉬운 설치와 유지보수
• 모든 이더넷 기술과 호환
• 원격 구성 및 모니터링 가능
비용 최소화
• 안전한 AES-256 암호화를 최대 10Gbps까지 지원
• 대역폭 증대 없고, 지연시간은 5 μs 미만
• 2048-bit 암호화 키 자동 갱신
성능 극대화
• 다수의 장비를 중앙 집중 관리
• 10M, 100M, 1G, 10G 지원하는 다양한 모델
관리 편의성
FIPS 140-2
Level 3
Certified
14
15. SafeNet SONET Encryptor
• 쉬운 설치와 유지보수
• 원격 구성 및 모니터링 가능
비용 최소화
• 안전한 AES-256 암호화를 최대 10Gbps까지 지원
• 대역폭 증대 없고, 지연시간은 5 μs 미만
• 2048-bit 암호화 키 자동 갱신
성능 극대화
• 다수의 장비를 중앙 집중 관리
• OC3(155Mbps), OC12(622Mbps)
• OC48(2.5Gbps), OC192(10Gbps)
관리 편의성
FIPS 140-2
Level 3
Certified
15
16. IPSec 암호화 .vs. L2 암호화
16
IPSec 이더넷 암호화
• Layer 3 암호화
• 일반적으로 라우터에서 부가 기능으로 제공
• 사이즈가 작은 프레임(ex. VoIP, Video)에서
처리량(throughput) 감소
• 네트워크 대역폭 사용량 최대 40%까지 증가
• 긴 지연 시간(latency)
• IP 구성 변경시 라우터마다 보안 설정 변경 필요
• Layer 2 암호화
• 전용 암호화 장비 사용
• 모든 사이즈의 프레임에서 처리량 우수
• 네트워크 대역폭 사용량 변함 없음
• 지연 시간 거의 없음
• IP 구성 변경시 보안 설정 변경 불필요
17. 관리(라우터의 IPSec 사용시)
17
관리 편의성
IP
IPSec기능 라우터
Edge 라우터
LAN
지사 A 재해복구(DR) 센
터
지사 B
IP 구성이 변
경되면
보안 정책도 업데이
트 되어야 합니다
여기도 업데이
트 필요
여기도 업데이
트 필요
1
2
3
3
18. 관리(Ethernet Encryptor 사용시)
18
관리 편의성
Ethernet
라우터
Edge 라우터
LAN
지사 A 재해복구(DR) 센
터
지사 B
IP 구성이 변
경되어도
업데이트가 필
요없습니다
여기도 업데이트
불필요
여기도 업데이트
불필요
1
2
3
3
Encryptor
19. 19
데이터센터
인터넷
백업/DR 센터
Edge Router
PE Router
Physical Link
Packet Flow
네트워크 전송 보안
적용 예 – 백업/DR센터
SEE SEE
800101-12
34567
800101-12
34567
$%^!@#a6
Y7$!
구리/광케이블에 대한
네트워크 태핑 공격으로부터 정
보 보호
20. 20
귀 사의 안정적인 내부유출방지 시스템 구축을 위해
최선을 다하는 시온시큐리티가 되도록 노력하겠습니다.
감사합니다.
상담(구축) 문의 : 솔루션사업부
이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : zion@zionsecurity.co.kr
www.zionsecurity.co.kr