UIDAI의 Aadhaar 번호 규정 준수

다음 표준은 UIADAI의 (인증 사용자 기관[AUA]/E-KYC 사용자 기관[KUA], 인증 서비스 기관[ASA] 및 생체 인식 장치 제공 업체)에 대한 규정, 회람 및 지침 개요의 2018년 4월 30일 개정안인 ‘UIDAI 정보 보안 정책 – UIDAI 외부 생태계 – 인증 사용자 기관/KYC 사용자 기관' 항목에서 발췌한 것입니다. [개요]는 다음과 같습니다.

사용자 액세스 제어

2.6 액세스 제어
1. UIDAI 정보를 처리하는 정보 시설(인증 애플리케이션, 감사 로그, 인증 서버, 애플리케이션, 소스 코드, 정보 보안 인프라 등)에 대한 액세스 권한은 인가받은 개인에게만 부여합니다.

저장 데이터 및 이동 데이터 암호화

2.8 암호화
1. 주민의 인구 통계/생체 데이터로 구성된 개인 신원 데이터(PID) 블록은 인증에 사용되는 단말 장치(예: PoT 단말기)에서 UIDAI가 지정한 최신 API 문서에 따라 암호화해야 합니다.

2. PID가 AUA/KUA 생태계 내에서 전송·이동하는 중에, ASA와 공유하는 중에 암호화해야 합니다.

암호키 관리

2.8 암호화
6. 모든 AUA/KUA는 키 관리 활동을 시행하여 수명주기 동안 키를 보호해야 하며, 이는 다음과 같은 키 관리 조치를 포함해야 합니다.

a) 키 생성

b) 키 배포

c) 보안 키 저장소

d) 이중 통제를 위한 주요 관리인 및 요건

e) 키의 무단 대체 방지

f) 손상이 알려지거나 의심되는 키 교체

g) 키 폐기 및 관련 키 관리 활동의 로그 및 감사

데이터베이스 액세스 로깅

2.10 운영 보안
12. AUA/KUA는 중요한 사용자 활동, 예외·보안 이벤트를 기록하는 이벤트 로그를 활성화하고 저장하여 향후 조사와 액세스 제어 모니터링을 지원해야 합니다.

13. 정보 시스템의 무단 사용 가능성에 대한 감사 로그를 정기적으로 모니터링하고 결과를 기록해야 합니다. 감사 기록·이벤트 로그에 대한 액세스는 승인받은 직원에게만 부여해야 합니다.

Aadhaar 번호 토큰화

이 지침은 개요의 ‘회람 11020/205/2017’에서 발췌한 것입니다.

Aadhaar 번호 저장 보안 수준을 향상할 수 있도록 2016년 Aadhaar법에 따라 특정 목적을 위해 Aadhaar 번호를 수집하고 저장하는 모든 AUA/KUA/하위 AUA 및 기타 주체는 모든 시스템에서의 토큰화를 통해 Aadhaar 번호에 매핑된 참조키를 사용하기 시작해야 합니다.

(a) 모든 주체는 Aadhaar 번호, 연결된 모든 Aadhaar 데이터(예: Aadhaar 번호 및 데이터를 포함하는 eKYC XML)를 별도의 보안 데이터베이스/볼트/시스템에 의무적으로 저장하도록 요구받습니다. 이 시스템은 ‘Aadhaar 데이터 볼트’라고 불리며 Aadhaar 번호, 연결된 모든 Aadhaar 데이터가 저장되는 유일한 위치입니다.

(c) 각 Aadhaar 번호는 참조키라는 별도의 키로 참조됩니다. 참조키와 Aadhaar 번호의 매핑은 Aadhaar 데이터 볼트에 유지 보관됩니다.

(d) 주체의 모든 비즈니스 사용 사례에는 이러한 참조키를 저장/매핑해야 하는 모든 시스템에서 Aadhaar 번호 대신 이 참조키를 사용해야 합니다. 즉, 비즈니스 거래 목적으로 Aadhaar 번호를 저장해야 하는 모든 테이블/시스템은 지금부터 참조키만 유지 보관할 수 있습니다. 실제 Aadhaar 번호는 Aadhaar 볼트 이외의 비즈니스 데이터베이스에 저장할 수 없습니다.

FIPS 140-2 인증 HSM을 이용한 암호키 보호

개요의 회람 11020/205/2017에서 추가 발췌한 내용은 다음과 같습니다.

(f) Aadhaar 데이터 볼트에서 유지 보관하는 Aadhaar 번호 및 모든 연결 데이터는 항상 암호화된 상태로 유지하며, 액세스를 엄격하게 제어하여 승인받은 시스템에서만 액세스하도록 합니다. 암호키는 HSM 장치에만 저장합니다.

규정 준수 개요

탈레스 전자 보안 솔루션은 UIDAI의 Aadhar 번호 규정 요건을 충족할 수 있도록 다음과 같이 지원합니다.

강력한 액세스 관리 및 인증

탈레스가 제공하는 액세스 관리 및 인증 솔루션은 조직이 데이터 보안 규정을 준수하는 데 필요한 보안 메커니즘과 보고 기능을 모두 제공합니다. 사용자가 민감한 데이터를 저장하는 애플리케이션에 로그인할 때 적절한 접근 제어를 시행하여 민감한 데이터를 보호하는 솔루션입니다. 광범위한 인증 방법, 정책 및 역할 기반 액세스를 지원하는 탈레스 솔루션은 기업이 자격 증명의 손상이나 도난, 내부자의 자격 증명 남용으로 인한 데이터 유출 위험을 완화하도록 지원합니다.

스마트 SSO(싱글 사인 온) 및 단계별 인증 지원을 통해 기업이 최종 사용자의 편의를 최적화하여 필요할 때만 인증하도록 할 수 있습니다. 광범위한 보고를 통해 모든 액세스 및 인증 이벤트에 자세한 감사 이력을 생성하여 광범위한 규제 준수를 입증할 수 있습니다.

CipherTrust 데이터 보안 플랫폼

탈레스의 CipherTrust 데이터 보안 플랫폼은 광범위한 OS 플랫폼, 데이터베이스, 클라우드 환경, 빅데이터 구현 전반에 걸쳐 기업의 다양한 요구에 따라 확장 가능한 단일 프레임워크를 제공하여 저장 데이터 보안을 지원하는 유일한 솔루션입니다. 그 결과, 총 소유 비용이 낮을 뿐만 아니라 간단하고 효율적인 배포와 운영이 가능합니다.

• CipherTrust Transparent Encryption은 파일 및 볼륨 수준의 저장 데이터 암호화, 보안 키 관리, 법률 및 규정 체제 준수에 필요한 액세스 제어를 제공합니다.
• CipherTrust Key Management를 이용하면 KMIP 호환 하드웨어, Oracle, SQL 서버 TDE 마스터키와 디지털 인증서를 포함한 기타 환경과 장치의 암호키를 중앙에서 관리할 수 있습니다.
• CipherTrust 보안 인텔리전스는 진행 중인 사건을 식별할 수 있는 액세스 패턴 정보를 제공하여, 데이터를 훼손하는 악의적인 내부자, 권한 있는 사용자, APT, 기타 공격으로부터 한 차원 더 높은 보호를 제공합니다.
• CipherTrust Application Data Protection을 이용하는 기관은 필드와 열 수준에서 내부 애플리케이션에 암호화 기능을 쉽게 구축할 수 있습니다.
• CipherTrust Tokenization은 Aadhaar와 같은 보안 정책, 규제령을 준수하는 데 필요한 비용과 노력을 크게 줄여줍니다. 이 솔루션은 데이터베이스 토큰화와 동적 디스플레이 보안 기능을 제공합니다. 또한, 관리자가 전체 필드를 토큰화하거나 필드 일부를 동적으로 마스킹하는 정책을 설정할 수 있습니다. 이 솔루션의 형태 보존 토큰화 기능을 사용하면 민감한 자산에 대한 액세스를 제한하는 동시에 많은 사용자가 작업을 수행할 수 있는 방식으로 보호하는 데이터의 형태를 지정할 수 있습니다.

탈레스 고속 암호 생성기

탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(2~4개 계층)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 고객은 성능 저하 없이 합리적인 비용으로 탈레스의 HSE 솔루션을 이용할 수 있으며, 이 솔루션으로 데이터, 동영상, 음성 및 메타데이터를 도청이나 감시, 명백하거나 은밀한 가로채기로부터 효과적으로 보호할 수 있습니다.

FIPS 140-2 인증 Luna HSM을 이용한 암호키 보호

탈레스의 Luna HSM은 강화된 변조 방지 환경으로 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 제공합니다. 세 가지 FIPS 140-2 인증 폼팩터로 이용 가능한 Luna HSM은 다양한 배포 시나리오를 지원합니다.

또한 Luna HSM는,

• 루트키 및 인증 기관(CA)키를 생성하고 보호하여 다양한 사용 사례에서 PKI를 지원합니다.
• 애플리케이션 코드 서명 기능으로 소프트웨어가 안전하고 변조되지 않으며 인증된 상태를 유지하도록 합니다.
• 디지털 인증서를 생성하여 전매 전자 장치의 자격 증명과 인증을 통해 IoT 애플리케이션·기타 네트워크 배포를 지원합니다.