암호화 키 관리방안

암호화 키 관리방안

---

키 관리는 지속적인 비용과 노력이 가장 많이 요구되는 분야입니다.

암호화 키 관리를 올바르게 하지 않으면 데이터 암호화 전체가 위험해지고, 암호화 키의 교체, 삭제, 생성과 같은 민감한 작업의 보안이 취약해져서 비즈니스에 큰 영향을 미칠 수 있습니다.

따라서 암호화 키는 안전하게 보호되어야 합니다.

데이터 공격에 대한 시도가 점점 대형화, 지능화, 다양화 되어가고 있기 때문에, 데이터 보안을 위해서는 전통적인 경계 보안 솔루션(방화벽, 침입탐지, 접근제어 등) 분만 아니라 데이터 자체에 대한 암호화 솔루션이 반드시 도입되야 합니다. 그리고 암호화 솔루션에서 가장 중요한 것은 암호화 키에 대한 안전한 관리입니다.

표준 보안 알고리즘 (ex. AES)를 적용해 암호화한 데이터를 해커가 암호화 키 없이 풀어내는 것은 현재의 기술로는 불가능합니다.

즉, 암호화 키만 안전하게 관리 된다면 암호회된 데이터가 유출되어도 원래의 정보들은 유출되지 않습니다. 그러나 반대로 암호화된 데이터가 모두 유출된다면 암호화는 무용지물이 됩니다.

1. 키 관리가 적용되지 않는 암호화 시스템

키 관리의 가장 중요한 원칙은 암호화키와 암호화 데이터를 분리해서 보관해야 한다는 것입니다.

일부 보안 관리자들은 관리의 번거로움 때문에 암호화 키를 DB서버에 같이 두는 경우가 있습니다. 이것은 자물쇠 바로 옆에 열쇠를 같이 놓아두는 격으로, 암호화 키와 데이터를 동시에 유출시키려는 공격에 매우 취약합니다.

2. 키 관리가 적용된 암호화 시스템

데이터 보안에 대한 인식이 제고되면서 많은 보안 관리자들이 키를 분리하는 것에 대한 필요성을 느끼고 별도의 키 관리 서버를 사용하는 경우가 늘어나고 있다. 하지만 이 경우에도 아래의 사항들을 고려하지 않는 다면 여전히 데이터 유출의 위험으로부터 자유로울 수 없습니다.

가. 암호화 키는 절대로 키 관리 서버를 떠나서는 안됩니다.

암호화 키는 데이터 암호화에 사용되는 키와 키 자체를 암호화 하는 마스터키 모두 DB서버의 파이시스템은 물론 메모리에도 존재하지 않아야 합니다. 

해커가 DB서버를 완전히 장악하는 경우에는 메모리상에 존재하는 암호화 키도 유출될 수 있기 때문입니다.

해결책은 암호화 키가 키 관리 서버 외부로 이동(Export)하지 않으면서도 DB서버에서 암복호화 작업이 가능한 전용 하드웨어 어플라이언스 형태의 키 관리 솔루션을 사용하는 것입니다.

나. 암호화 키는 외부 공격으로부터 키를 안전하게 보호할 수 있는 곳에 보관돼야 합니다.

키를 분리에서 키 관리 서버에 보관하더라도, 해커가 DB서버를 경유해서 키 관리 서버 자체를 공격할 가능성에도 대비해야 합니다. 

이 때 키관리 서버가 범용 서버(Windows, Linux, Unix)에 키 관리 소프트웨어를 설치/운영하는 형태라면 범용 OS의 보안 취약점을 통해 공격 당할 수 있습니다.

따라서 키를 안전하게 보호하기 위해 설계된 전용하드웨어 어플라이언스에 키를 보관하는 것이 더욱 안전합니다. 국제 보안인증(FIPS, CC)  획득 여부도 키 관리 서버의 안전성을 판단하는 추가 지표가 될 수 있습니다.

다. DB관리자와 데이터 보안 관리자(암호화 키 관리자) 계쩡은 반드시 분리해서 관리해야 합니다.

DB관리자가 데이터 보안 관리자 권한까지 같이 있는 경우, 해커가 DB관리자 계정을 탈취하면 암호화 키에 대한 접근 권한까지 같이 획득하게 돼 데이터에 대한 복호화가 가능해 집니다.

따라서 DB관리자와 데이터 보안 관리자를 별도의 계정으로 관리해, DB관리자라 하더라도 암호화된 데이터의 원래 내용을 볼 수 없도록 권한을 제한해야 합니다.

키 관리는 지속적인 비용과 노력이 가장 많이 요구되는 분야입니다. 암호화 키 관리를 올바르게 하지 않으면 데이터 암호화 전체가 위험해 지고, 암호화 키의 지속적인 교체, 삭제, 생성과 같은 민감한 작업의 보안이 취약해져서 비즈니스에 큰 영향을 미칠 수 있습니다.

이들 세가지 사항에 유의해 암호화 키는 안전하게 보호돼야 합니다.