키 관리: 오늘날의 과제

암호 기술은 강력한 보안을 제공할 수 있는 여러 다양한 프로세스의 근간을 형성하지만 이러한 프로세스에 대한 올바른 관리 없이는 복잡하고 비용이 많이 들며 위험성이 높아질 수 있습니다. 디지털 서명 또는 데이터 암호화 등 암호 기술에 구현된 보안 작업을 관리하는 능력은 이러한 프로세스를 관장하는 암호화 키를 얼마나 효과적으로 관리할 수 있는지에 의해 좌우됩니다. 암호 기술이 조직의 IT 인프라 내에서 보다 광범위하게 채용됨에 따라 관리해야 할 키의 수와 다양성이 증가하면서 키 관리 관련 과제 역시 계속 증가하고 있습니다. 암호화 보안 구현을 담당하는 개인 사용자는 다양한 키 관리 방법, 키 관리 모범 사례 및 이러한 사례를 구현하는 기술 대안에 대해 잘 알아둘 필요가 있습니다. 

키 관리는 운영상의 과제 이상의 문제를 제기합니다. 점차 많은 규제 기관에서 키 관리의 중요성을 인식하면서 이러한 프로세스에 대한 보안 및 감사 요구 사항이 점차 엄격해지는 추세입니다. 또한 OASIS KMIP(키 관리 상호운용성 프로토콜)와 같은 표준이 성숙해짐에 따라 서로 다른 장치와 시스템 간의 키 관리 상호운용성 역시 개선될 것입니다. 이러한 추세를 고려할 때 조직은 키 관리 전략 수립 시 보안, 감사 및 운영상의 요구 사항을 고려해야 합니다.

자세한 내용

키 관리란?

키 관리 프로세스는 암호화 키를 생성, 유지 관리, 보호하고 그 사용을 제어하는 데 필요한 전체 수동 및 자동 작업 집합을 의미합니다. 기밀성을 위해 데이터를 암호화하거나 인증을 위해 디지털 인증서를 사용하거나 또는 문서의 무결성을 위해 디지털 서명 프로세스를 수행하는지 여부에 관계없이 수많은 키 관리 관련 과제는 동일하게 남아 있습니다. 각각의 키에는 생성, 가용 수명, 폐기라는 나름의 수명이 있습니다. 키 수명의 길이와 생성 및 폐기 사이에 정확히 어떤 일이 발생하는지는 특정 응용 프로그램에 따라 판이하게 달라질 수 있습니다. 전체 수명 주기 내내 키를 효과적으로 관리함으로써 위험을 감소하고 배포 비용을 낮추며 데이터 보호 관련 규정을 준수할 수 있습니다.

키 관리 방식

귀사의 목표에 따라 단일 응용 프로그램에 대한 키 관리 문제에 관심을 갖거나 조직 구성 단위 내부 또는 기업 전반에서 일련의 업무 프로세스 전체를 대상으로 암호화 키를 보다 효과적으로 관리할 방법을 모색할 수도 있습니다. 

개별 보안 응용 프로그램은 매우 다양한 특성을 가집니다. 1) 두 데이터 센터 간 전용 링크를 통과하는 데이터 암호화, 2) 대규모 계약 시 신뢰할 수 있는 디지털 서명 수행, 3) 인터넷 뱅킹 시 안전한 트랜잭션 보장, 4) 전자 상거래 시 보안 서버를 통한 신용 카드 결제 수락 및 5) CSO(Chief Security Officer)를 위한 스마트 카드 발급의 차이점을 생각해 보십시오. 이들이 보유한 데이터 볼륨, 빈도, 잠재적 공격, 업무상 위험성은 모두 다르지만 각자의 보안 목표를 충족하려면 이러한 프로세스 모두에 효과적인 키 관리가 필요합니다.

조직은 다양한 키 관리 방법 중에서 선택할 수 있습니다. 세 가지 일반적인 시나리오는 다음과 같습니다.

  • 소프트웨어 기본 툴을 통한 키 관리. 가장 단순한 차원에서는 배포하려는 개별 제품에 고유한 기본 키 관리 기능을 활용할 수 있습니다. 예를 들어 수많은 상용 암호화 제품에는 키 관리 수명의 일부 단계를 처리할 수 있는 소프트웨어 기능이 포함되어 있습니다. 이러한 키 관리 유틸리티의 중요성, 정책 및 일반 보안 속성은 제품별로 매우 다양합니다.
  • 강화 장치를 사용한 키 관리. 위험을 보다 잘 관리하고 전체 키 수명을 보다 잘 제어하기 위해 HSM(하드웨어 보안 모듈)과 같이 특별히 제작된 강화형 키 관리 장치를 사용하여 상용 및 맞춤형 응용 프로그램을 확대할 수 있습니다. 전용 암호화 하드웨어를 사용하면 암호화 기능에 대해 격리되거나 "신뢰할 수 있는" 영역을 생성하여 소프트웨어 기반 암호 기술에 내재된 약점을 극복할 수 있습니다. 또한 키 관리에 독립적인 보안 플랫폼을 사용하여 키 관리 작업과 그러한 키를 사용하는 응용 프로그램 관리 작업을 엄격하게 분리합니다. 이렇듯 업무를 분리하여 단일 슈퍼 사용자의 위험성을 해소하는 것이 키 관리 모범 사례이며, PCI DSS 등의 보안 표준에서 권장되는 사항이기도 합니다.
  • 중앙 집중적 키 관리. 대규모 배포의 경우 이기종 응용 프로그램과 시스템 전반에서 키를 관리하는 조직에서 일관되지 않은 정책과 서로 다른 보안 수준, 치솟는 비용 문제에 직면하게 될 수 있습니다. 중앙 집중적 키 관리 방식을 구현하면 통합 정책, 시스템 전반에 걸친 키 해지, 자동화된 키 전달, 통합된 감사, 명확한 업무 분리, 보호 및 백업을 위한 단일 키 리포지토리를 비롯하여 다양한 혜택을 누릴 수 있습니다. 귀사는 키 관리에 있어 보다 전략적인 하향식 방식을 채택하여 조직 전반에서 더욱 심도 있는 제어를 실행하고 운영상의 효율성을 개선할 수 있습니다. 중앙 집중적 키 관리를 구현한 조직에서는 공격자들에게 매력적인 표적이 될 수 있는 시스템의 보안 속성을 신중하게 고려해야 합니다. 또한 고가용성을 유지하는 동시에 복원력 및 페일오버 메커니즘을 통해 중앙 키 관리 프로세스가 단일 오류 지점이 되지 않도록 해야 합니다.

섹션 숨기기

키 관리와 관련된 위험 요소

  • 키가 잘못된 사람의 수중에 들어가 권한이 없는 사용자나 응용 프로그램에서 중요 정보나 고부가가치 정보에 액세스하게 될 수 있습니다.
  • 데이터 침해가 당혹스러운 공개나 고객 ID 도용의 위험성, 벌금이나 법적 문제로 이어질 수 있습니다.
  • 암호화 키를 분실하거나 복구할 수 없어서 데이터를 읽지 못하게 될 수 있습니다. 데이터 고유의 특성에 따라 키 분실이 업무 운영 중단, 고객 이탈 또는 법적 문제 등 업무상 중요한 문제를 야기할 수 있습니다.
  • 소프트웨어 기반 키 관리 프로세스는 보호 기능이 한정적이므로 중요 키와 이 키가 보호하는 데이터가 공격에 취약해집니다.
  • 분산된 키 관리 시스템이 만연하면 보안 시스템의 복잡도 및 비용이 증가할 수 있으며 이로 인해 업무 프로세스의 관리 및 확장이 어려워질 수 있습니다.
  • 키 관리 활동의 문서화가 부실하면 준수 보고 활동의 부담이 커질 수 있습니다.

키 관리: Thales e-Security 솔루션

Thales e-Security는 조직의 암호화 프로세스 전체에 걸쳐 효과적인 키 관리를 배포하여 해당 조직이 보안을 최고 수준으로 유지할 수 있도록 하는 일을 전문으로 합니다. 조직은 Thales의 제품 및 서비스를 통해 보안이 우수한 키 관리 모범 사례를 구현하는 동시에 효율적인 운영으로 업무 프로세스를 관리 및 확장 가능한 상태로 유지할 수 있습니다. Thales의 키 관리 전문가들은 현재와 미래에 키 관리 방식을 설계하고 응용 프로그램 및 조직의 필요에 가장 잘 맞는 솔루션을 배포할 수 있도록 도와 드립니다.

  • 조직은 nShield HSM을 통해 조작 방지 하드웨어의 키와 운영을 보호함으로써 암호화 및 디지털 서명 프로세스의 보안을 개선할 수 있습니다. 이 HSM에 있는 입증된 키 관리 아키텍처 Thales Security World는 키 백업 등의 중요한 키 관리 작업을 자동화하며 HSM 집단 전체에서 일관되게 정책을 시행합니다.
  • keyAuthority는 조직이 다양한 장치와 프로세스에 중앙 집중적 키 관리 방식을 구현할 수 있도록 설계된 강화 키 관리 어플라이언스입니다. 이 장치는 FIPS 140 인증을 받은 조작 방지 보안과 함께 복원을 위한 복제와 정교한 역할 기반 정책 제어를 갖추고 있습니다. KeyAuthority는 최신 KMIP 표준을 지원하도록 설계되었으며 용량은 키 2,500만여 개입니다.

장점:

  • 전용 하드웨어 모듈 및/또는 중앙 집중적 키 관리 어플라이언스를 사용한 효과적인 암호화 키 관리 구현
  • 원시 소프트웨어 기반 키 관리에 비해 보안을 크게 강화
  • 암호화 또는 다른 암호 기술 기반 어플라이언스의 분산된 배포에 대한 제어 회복
  • 키 분실, 비싼 관리 비용, 확장이 불가능한 프로세스의 위험 감소
  • 업무 연속성을 저해하는 일 없이 업계 의무 사항 및 신규 키 관리 표준 준수
  • 암호화 키 관리 모범 사례를 구현하고 조직이 향후 요구 사항에 대처할 수 있도록 대비
  • 전문가와 협력(Thales e-Security는 암호화 키 관리 분야에서 권위 있는 30년 이상 경력의 선도적 글로벌 기업)