FIPS 140-2

elasticserch측에서 FIPS 140-2를 획득했다고 하여 무엇인지 알아봄

FIPS 140-2 무엇인가?

FIPS(연방정부 정보처리 표준) 140-2는 IT 제품이 기밀은 아니지만 민감한 용도로 사용될 때 충족해야 할 암호화 및 관련 보안 요건을 규정한 미정부 표준입니다.

FIPS 140-2란 무엇을 규정하는가?

이 표준은 승인되고 강력한 암호화 알고리즘 및 방식과 같은 안전한 보안 수단이 제품에 사용되고 있음을 보증합니다. 또한 개별 또는 다른 프로세스들이 제품을 활용하기 위해 어떻게 승인되어야 하는지와 모듈이나 구성품이 다른 시스템과 안전하게 상호작용하기 위해 어떻게 설계되어야 하는지를 규정합니다.

암호화가 필요한 이유는 무엇인가?

하드 디스크 드라이브가 교체(보증, 수리 및 대여 만료로 인한 반품, 다른 스토리지로의 용도 변경, 판매), 분실 또는 도난을 당하는 일은 흔히 있는 일입니다. 보호되지 않은 상태로 데이터가 소유자의 통제를 벗어나거나 위험에 처하게 되는 경우 회사는 수익, 시장 지분 그리고 고객 신뢰를 잃어버릴 수 있습니다. 심지어 개인정보보호 규정의 위반으로 인해 민사제재금을 물 수도 있습니다. 이러한 상황은 특히 중소기업과 같은 조직에게는 치명적인 일이 아닐 수 없습니다.

• Seagate의 추정으로는 테라바이트 급 데이터를 저장하고 있는 매일 약 50,000대의 드라이브가 데이터 센터 환경을 벗어나고 있습니다.
• IBM에 따르면 보증 수리를 위해 반환된 드라이브의 90%에 판독 가능한 데이터가 담겨 있다고 합니다. 또 Ponemon Institute와 같은 전문기관에 따르면 데이터 침해당 평균 비용이 매년 증가하고 있으며 2008년에는 그 규모가 평균 미화 660만 달러(침해 건당 202달러)에 달했다고 합니다.

Ponemon Institute의 또 다른 보고서에 따르면 노트북의 81%에는 민감한 데이터가 저장되어 있으며 전체 노트북의 10% 정도가 사용수명 동안 분실이나 도난을 당한다고 합니다. 또한 미국 내 공항에서만 매주 약 12,000대의 노트북이 분실이나 도난을 당하는 것으로 추정되고 있습니다. 암호화되지 않은 민감한 데이터가 저장된 노트북이 사라졌을 때 기업에 끼치는 평균 비용은 거의 50,000달러에 달한다고 합니다. 극단적인 경우에는 그 비용이 거의 1백만 달러에 이를 수도 있습니다.

[Ponemon Institute, 2008 연례 보고서: 데이터 침해의 비용(미국), 2009년 2월, www.ponemon.org, 데이터 침해 비용 상승, 연구 결과에서 인용, Ellen Messmer, Network World, 2009년 2월 2일]