클라우드 문서보안의 첫 걸음, 보안사고를 막는 키(key) 관리 방안

    제품 이야기 2020. 1. 8. 19:01

    다양한 디바이스의 보급과 5G로 대두되는 통신 기술의 발전에 따라 정보관리의 중요성 역시 지속적으로 확산되고 있습니다. 클라우드 문서보안은 다양한 클라우드 서비스의 제공, 협력사와의 면밀한 협업, 모바일 업무환경, 사물 간 인터넷 혹은 개체 간 인터넷으로 정의되는 IoT (Internet of Things) 등 다양한 환경안에서 중요한 문서가 유통 활용되는 과정속에서 필수적으로 유지되야 하기 때문입니다. 따라서, 보안은 국내 기업이 정보보호를 위해 기본적으로 수립해야하는 정책을 내포하고 있습니다. 그 중, 가장 기본은 문서를 암호화함으로서 출발한다고 볼 수 있습니다. 국내 데이터 암호화 시장은 개인정보호법으로 급속한 성장을 이뤘습니다. 

     

    암호화의 핵심 기술은 키(Key) 관리

    암호화의 핵심 기술은 암호화 키 관리라고 할 수 있는데요, 암호화(Encryption)는 암호화 기법 및 프로그램을 사용하여 평문 정보를 알아볼 수 없는 정보로 변환하는 과정으로 허가된 이 외에는 읽을 수 없도록 정보를 부호화 하는 것 입니다. 부호화하는 방식을 암호화 알고리즘이라고 할 수 있습니다. 기업 및 공공 기관은 개인정보보호법에 의거하여, 필수적으로 개인정보를 암호화 해야 하는데요. 빈번하게 일어나는 개인정보 대량 유출 사고 등으로 개인정보를 포함한 기업의 중요정보를 안전하게 저장하고 관리하는 암호기술에 대해서는 관심이 높을 수 밖에 없습니다.

     

    암호 키를 안전하게 관리하는 것은 매우 중요하며 정보보호관리체계(ISMS: Information Security Management System) 인증제도, PCI데이터 보안표준(PCI DSS: Payment Card Industry Date Security Standard) 인증 등에서는 암호 키 관리에 대한 요구 조건을 따로 명시하고 있을 정도로 그 중요도에 대해 가치를 두고 있습니다.

     

    암호화의 종류 및 특성

    암호화 종류

    특성

    방식

    대칭키 암호화

    대칭키 암호 알고리즘을 사용하여 전송하고자 하는 평문을 암호화하고 복호화하는데 동일한 키를 사용하는 방식

    △ 공개키 암호화 방식에 비해 빠른 처리속도를 제공하고, 암호키의 길이가 공개키 암호화 방식보다 상대적으로 작아서 일반적인 정보의 기밀성을 보장하기 위한 용도로 사용되고 있다

    △ 반면에 정보 교환 당사자 간에 동일한 키를 공유해야 하므로 여러 사람과의 정보 교환 시 많은 키를 유지 및 관리해야 하는 어려움이 있다.

    △ 대표적인 대칭키 암호 알고리즘은

    국내- SEED, ARIA, HIGHT

    국외- AES, Blowfish, Camellia

    공개키 암호화

    공개키 암호 알고리즘을 사용하여 암호화하며 공개키와 개인키의 키 쌍이 존재하며 평문을 암복호화 하는데 서로 다른 키를 사용하는 방식 ( 비대칭키 암호화 방식 이라고도 불린다)

    △ 공개키 암호화 방식은 데이터 암호화 속도가 대칭키 암호화 방식에 비해 느리기 때문에 일반적으로 대칭키 암호화 방식의 키 분배나 전자서명 또는 카드번호와 같은 작은 크기의 데이터 암호화에 많이 사용되고 있다.

    △ 대표적인 대칭키 암호 알고리즘은

    국외- RSA, ELGamal, ECC

    일방향(해쉬함수) 암호화

    해쉬함수를 이용하여 암호화된 값을 생성하여 복호화 되지 않는 방식

    △임의의 길이를 갖는 메시지를 입력으로 하여 고정된 길이의 해쉬값 또는 해쉬 코드라 불리는 값을 생성하며, 동일한 입력 메시지에 대해 항상 동일한 값을 생성하지만 해쉬값으로 입력메시지를 유추할 수 없어 비밀번호와 같이 복호화 없이 입력 값의 정확성 검증이 필요한 경우 등에 사용.

    △ 대표적인 해쉬함수로는

    국외- SHA-2(SHA-224/256/384/512)

    SHA-3, RIPEMD-160, Whirlpool

    △자료 및 이미지 출처: <개인정보의 암호화 조치 안내서> 행정자치부, 한국인터넷진흥원. 2017.01

     

    암호 키 보호 - 전송중인 암호 키 보호, 저장중인 암호 키 보호

    암호화 구현과 키 관리 방법에는, 전송 시 암호화와 저장 시 로 구분됩니다.

    전송 시 암호화는 웹브라우저에 기본적으로 내장된 SSL/TLS 프로토콜로 접속하는 SSL 방식과 웹브라우저와 보안 프로그램을 설치하여 접속하는 응용프로그램 방식으로 구분할 수 있는 △웹서버와 클라이언트 간 암호화,

    개인정보처리시스템 간에 개인정보를 전송할 때 암호화를 지원하기 위하여 공중망을 이용한 가상사설망(VPN:Nirtual Private Network)를 구축할 수 있는 △개인정보처리시스템 간 암호화,

    개인정보취급자 간에 개인정보를 전송할 때 주로 사용하게 되는 이메일 네트워크 전송과정에서 공격자에 의해 유출되거나 위조될 가능성에 대해 암호화하는 △개인정보취급자 간 암호화가 있습니다.

     

     

    저장 시 암호화에는 개인정보를 처리하고 관리하는 개인정보처리시스템은 DB에 저장된 개인정보를 암호화하여 저장함으로써 개인정보의 유출, 위·변조, 훼손 등을 방지하는 △개인정보처리시스템 암호화 방식,

    엄무용 컴퓨터에서는 하드디스크·이동식 디스크 또는 보조저장매체(USB 등)에 저장된 개인정보의 보호를 위해 개별 단위 암호화· 디렉터리 단위 암호화· 디스크 암호화 등의 방법을 사용할 수 있는 △ 업무용 컴퓨터·보조저장매체 암호화 방식으로 나눠집니다.

    디지털 트렌스포메이션(Digital Transformation) 시대, 암호화키 관리가 보안의 핵심

    클라우드 도입 기업이 시스템 관리 암호화 키 구현에 대해 고민이 많습니다. 이는, 자산으로서의 방대한 데이터에 대한 보호 중요성이 대두되면서 방대한 데이터 안에서 민감도가 높은 중요 데이터에 대한 수많은 리스크에 당면하게 되기 때문입니다. 클라우드 문서보안은 다양한 곳에 산재되어 있는 문서에 대한 암호화, 사용권한제어, 키 관리에 대하여 자동화되고 통합된 관리환경을 제공합니다.

    앞서 말씀드린 것처럼 암호화 키 관리와 관련된 정보보호관리체계(ISMS)를 통한 점검항목을 살펴보면, 암호키는 별도의 안전한 장소에 보관 하고 물리적으로 분리된 서버에 저장할 것을 권고하고 있습니다. 즉, 암호화를 통한 접근제어는 물론이며, 키의 권한 관리를 통해 기업의 중요 데이터에 대한 접근을 통제하고 있습니다.

    그렇다면 기업의 보안담당자는 암호화 키에 대해서 어떤 관점으로 접근을 해야할까요? 고민은 바로 여기서 시작하는 것 같습니다. 얼마나 많은 키를 가질 것인가? 그렇다면 암호키는 어디에 저장할 것인가? 암호키에 대한 사용 이력을 관리하는가? 분실에 대한 대책은 어떻게 세울 것인가? 암호화키 관리와 관련해 반드시 출발해야하는 고민 지점 인 것 같습니다.

    암호키 관리는 매우 까다롭지만 반드시 해결해야 할 사안입니다.