암호화 키를 관리하는 방법

암호화 키는 누구나 읽을 수 있는 일반 텍스트 데이터를 읽을 수 없고 해독이 필요한 암호화된 암호 텍스트로 변환하기 위해 알고리즘 또는 수학적 프로세스와 함께 사용되는 영숫자 코드 또는 일련의 문자입니다. 암호화 키는 저장, 전송 및 사용 중인 개인 데이터와 민감한 데이터를 보호하는 데 사용됩니다. 암호화된 데이터 또는 암호 텍스트는 연결된 암호 해독 키로 해독한 후에만 읽을 수 있습니다.

암호화 키는 대칭 또는 비대칭일 수 있습니다. 대칭 암호화 키를 사용하는 경우 데이터를 암호화한 다음 다시 읽을 수 있는 텍스트로 해독하는 데 동일한 키가 사용됩니다. 비대칭 키를 사용하는 경우, 하나의 공개 공유 키(공개 키)는 일반 텍스트 데이터를 암호화하며, 다른 하나의 키는 공유되지 않고 비공개로 유지되어(개인 키) 데이터를 해독하는 데 사용됩니다. 대칭 또는 비대칭 암호화의 목표는 암호화된 데이터의 기밀성을 유지하는 것입니다. 암호화된 데이터가 잘못된 사람의 손에 들어가더라도 데이터는 계속 보호됩니다. 키를 잃어버리면 데이터가 손실되기 때문에, 키를 보호하는 것이 중요합니다.

암호화의 역사는 오래되었으며, 특히 전쟁을 비롯해 오랜 시간 동안 사용되어 왔습니다. 초기 그리스인들은 정보가 적의 손에 들어가지 않도록 보호하기 위해 전치식 암호(암호화의 일종)를 사용했습니다. 오늘날 정보화 시대가 열리면서 암호화는 데이터와 애플리케이션을 보호하는 데 없어서는 안 될 툴이 되었습니다. 처음에는 은행 및 금융 애플리케이션에서 주로 사용되었지만, 디지털 혁신 영역 전반에 걸쳐서 더 널리 채택되어 규제를 받는 여러 산업에서 꼭 필요한 요건이 되었습니다.

오늘날 암호화는 모범 사례가 되었으며, 광범위한 애플리케이션과 산업에서 사용됩니다. 점점 더 많은 일상 활동이 온라인으로 이루어지고 있기 때문에 거래의 기밀성과 무결성을 보장하는 것이 중요합니다. 은행, 금융, 전자 상거래, 전자 정부 및 의료 서비스는 암호화 기술을 광범위하게 사용하는 여러 산업 중 일부에 불과합니다. 대부분의 사람들은 자신도 모르는 사이에 매일 암호화를 사용합니다. 온라인으로 무언가를 구매할 때마다, 주문 및 결제 정보는 TLS/SSL(전송 계층 보안/보안 소켓 계층)을 통해 암호화됩니다. 이는 온라인 연결을 보호하기 위해 대칭 및 비대칭 암호화를 모두 활용하는, 널리 사용되는 표준입니다.

암호화는 정보의 기밀성을 보호하는 데 사용됩니다. 자체 지적 재산(IP)과 같은 민감한 데이터와 개인 식별 정보(PII), 개인 건강 정보(PHI), 신용 카드 번호가 포함된 결제 데이터 등이 포함된 고객 정보, 그리고 개인과 연결되는 기타 데이터 유형을 처리하는 조직은 대개 전 세계 여러 관할권에서 데이터를 보호해야 합니다. 조직이 일상적인 업무를 수행하기 위해 민감한 데이터를 점점 더 많이 저장하면서, 저장소 리포지토리는 주요 공격 대상이 되었습니다. 결과적으로 전송 중인 데이터(네트워크 통과)와 저장된 데이터(저장소에 보관)는 일반적으로 암호화되어 기밀성을 저해하고 비즈니스에 피해를 주며 조직의 평판을 떨어뜨릴 수 있는 공격을 방지합니다.

정보가 현대 비즈니스의 원동력이 되면서 데이터는 중요한 자원이 되었습니다. 전 세계 정부 및 산업 규제 기관은 데이터를 보호하고 데이터가 수집되는 개인의 개인 정보를 보호하기 위해 단속 노력을 강화해 왔습니다. 새로운 규제 환경으로 인해, 암호화는 많은 업계의 최고 정보 책임자(CIO), 최고 정보 보안 책임자(CISO) 및 규정 준수 검사관을 비롯한 조직 리더의 최우선 과제가 되었습니다. 이에 따라 많은 애플리케이션에 암호화가 점점 더 많이 구축되고 있습니다. 암호화는 데이터의 민감도를 낮추기 때문에 특정 규정의 범위를 줄여 보안을 강화하고 비용을 절감할 수도 있습니다.

암호화는 상당한 경제적 손해와 평판 손상을 초래할 수 있는 데이터 유출로부터 조직을 보호해 주는 중요한 툴입니다. 그러나 암호화의 효과는 연결된 키가 보호되는 정도에 달려 있습니다. 암호화를 현관문의 자물쇠로 비유하자면, 열쇠를 잘 보호해야 가진 것을 효과적으로 보호할 수 있습니다. 열쇠를 현관문 아래에 두면 자물쇠가 제공하는 보호 기능이 무효가 됩니다. 암호화 키를 보호하지 않으면 데이터를 암호화하는 의미가 없습니다. 키를 찾으면 데이터에 액세스할 수 있기 때문입니다. 그러므로 모든 데이터 암호화 체계의 효율성을 보장하기 위해서는 신뢰할 수 있는 암호화 키 관리가 필요합니다.

암호화 키 관리에는 두 가지 주요 측면이 포함됩니다. 바로, 수명 주기 관리와 액세스 관리입니다. 수명주기 관리에는 중요한 암호화 키를 생성, 사용, 저장, 업데이트, 보관 및 파기하는 과정이 포함됩니다. 액세스 관리는 인증되고 승인된 사용자만 키를 사용하여 데이터를 암호화하고 해독할 수 있도록 합니다. 오늘날의 사용자에는 사람과 애플리케이션(기계)이 모두 포함된다는 점이 중요합니다. 실제로, 데이터에 대한 액세스는 대개 사람보다 기계에 더 많이 필요합니다. 사용자의 인증 및 권한 부여를 지원하려면, 이후의 유효성 검사를 위해 사람 및 기계 ID를 발급해야 합니다. PKI(공개 키 인프라)도 종합적인 키 관리 전략 중 하나입니다.

암호화 키의 품질은 무차별 대입 공격을 얼마나 방지하느냐에 달려 있습니다. 쉽게 추측할 수 없는 강력한 암호와 마찬가지로, 키도 강력해야 하며 진정한 난수 생성기를 사용하여 개발되어야 합니다. FIPS(연방 정보 처리 표준)는 승인된 하드웨어 기반 난수 생성기 사용에 대한 지침을 제공합니다. 이는 수명 주기 동안 강력한 키를 생성하고 관리하는 전용 플랫폼인 인증된 HSM(하드웨어 보안 모듈)을 통해 실현할 수 있습니다. HSM은 전통적으로 온프레미스에서 배포되었지만, 클라우드로 마이그레이션하면서 HSM을 구독 기반 서비스로 사용할 수 있게 되었습니다. 클라우드 기반 HSM은 고객이 자체 장비를 구입하고 유지 관리할 필요 없이 키를 생성하고 관리할 수 있도록 전용 하드웨어 PaaS(Platform as a Service)를 제공합니다. 애플리케이션과 데이터를 클라우드로 이동할 때, 조직은 확장하는 컴퓨팅 에코시스템 전반에서 튼튼한 보안 태세를 유지하기 위해 소유권, 제어 권한, 소유의 수준이 어떻게 변경되는지 생각해야 합니다.

키는 데이터의 기밀성을 보호하기 위한 암호화에 사용되거나 데이터의 출처와 무결성을 보호하기 위한 서명에 사용되는 경우 모두, 암호화 프로세스의 보안을 뒷받침합니다. 데이터를 암호화하거나 서명하는 데 사용되는 알고리즘이 아무리 강력하더라도, 연결된 키가 손상되면 프로세스의 보안이 무너집니다. 따라서 암호화 키를 보호하는 것이 매우 중요합니다.

앞에서 설명한 키의 임의성으로 인해, 소프트웨어에서 키의 위치를 식별하기란 다소 쉽습니다. 민감한 데이터를 찾는 공격자는 키를 얻으면 데이터도 얻을 수 있다는 점을 알기 때문에 키를 노립니다. 따라서 공격자가 소프트웨어에 저장된 키를 찾고 획득할 수 있으므로, 암호화된 데이터의 보안이 위험에 처할 수 있습니다. 이러한 이유로 항상 HSM을 사용하여 키를 보호해야 합니다. HSM을 신뢰할 수 있는 루트로 사용하는 것은 사이버 보안 업계에서 모범 사례가 되었으며, 보안 전문가와 많은 주요 애플리케이션 공급업체가 권장하는 사항입니다.

키를 보호하기 위해 고려해야 할 또 다른 요소는 외부 공격자뿐만 아니라 내부자의 액세스입니다. HSM을 사용하여 키를 보호하고 관리하면 이중 제어가 가능한 메커니즘이 제공되므로, 어떠한 내부자 또는 엔터티도 키 사용 정책을 변경하고 설정된 보안 메커니즘을 효과적으로 파괴할 수 없습니다. HSM 및 주요 관리 기능에 변경 사항을 적용하기 위해서는 미리 정해져 있는 최소한의 개인들이 함께 모여야 하는 쿼럼 체계는 보안 수준도 강화해 줍니다.

키 관리 시스템은 조직 전체에서 데이터 보안 정책을 시행하는 데 필요한 중앙 집중식 신뢰 루트를 제공합니다. 모든 키의 수명 주기를 제어할 뿐만 아니라 모든 사용자 액세스에 대한 타임스탬프 로그를 유지 관리하여 감사 및 규정 준수를 위한 중요한 툴을 제공합니다. 사이버 보안 위협이 증가하고 정부 및 산업 규제가 강화되면서 키 관리 시스템은 필수적인 요소가 되고 있습니다.

점점 더 많은 정부 및 업계 데이터 보안 규정에서는 규정 준수를 위해 강력한 암호화와 효과적인 암호화 키 관리를 요구합니다. 유럽 연합 GDPR(개인정보보호 규정) 및 CCPA(캘리포니아 소비자 개인정보 보호법)와 같은 시민 개인정보 보호법뿐만 아니라, PCI DSS(결제 카드 산업 데이터 보안 표준)와 같은 산업 규정에서는 특히 인증 제품을 사용하여 규정 준수를 촉진하는 것을 포함하여 강력한 암호화 및 키 관리의 필요성을 강조합니다.