암호화 후에도 같은 포맷 유지시켜야 작동하는 소프트웨어 많아
그 어떤 암호화도 데이터 관리의 모든 것을 한 방에 해결하지는 못해
.jpg)
[보안뉴스 문가용] NIST가 새로운 암호화 방식을 개발해 발표했다. 이번에 발표한 방식은 금융 데이터 등 민감한 정보의 암호화에 특화되어 있다고 한다. 해당 문건은 NIST 홈페이지나 기사 말미에 있는 링크를 통해 다운로드 받을 수 있다.
모리스 드워킨(Morris Dworkin)이 작성한 이 문건의 핵심은 바이너리 및 비(非)바이너리 데이터에 대한 ‘암호화 표준’이며, 특히 암호화되지 않은 것처럼 보이도록 하는 것이 핵심이다. NIST가 이전에도 유가한 방식의 암호화를 개발한 적이 있는데 바이더리 데이터에만 적용되는 것으로 스트링 데이터를 암호화 할 때는 원래의 포맷을 유지할 수 있는 방법이 필요하기도 했었다.
“신용카드와 같은 숫자열 혹은 문자열 정보를 암호로 바꾸되 포맷(자릿수나 외관)이 그대로 유지되려면 어떻게 해야 할까 하는 고민이 이번 발표자료의 핵심입니다. 왜 이런 연구가 필요했냐면 소프트웨어들 중 암호화 처리가 된 데이터 때문에 오류가 나는 경우가 많이 있기 때문이죠.”
NIST이 이번에 발표한 표준에는 FF1과 FF3라는 기술이 언급된다. 둘 다 신용카드 번호를 보호하는 데에 특화된 기술이며 민감한 의료기록을 보호하는 데에도 사용이 가능하다. 하지만 “누구나 사용할만한 기술도 아니고, 100% 안전한 해결책도 아니다”라고 드워킨은 설명한다.
“스트링 데이터의 길이나 외관만 봐도 그 내용이 무엇인지 알아보는 경우가 있을 수 있습니다. 예를 들어 아주 작은 병원에서 이 표준을 도입해 환자정보를 암호화했다고 합시다. 그러면 수용환자 수가 아주 적어서 대강의 문자열 길이만 봐도 누구 데이터인지 한 눈에 알 수 있게 되죠. 또한 암호화 해제 권한을 가진 자가 하는 실수를 막을 수도 없고요.”
결국 데이터 관리란 “암호화만으로는 다 해결할 수 없는 것”이며 “공동으로 열람을 할 수 있는 사람 혹은 제공을 해도 괜찮은 사람을 처음부터 조심스럽게 선택해야 하는 과정이 선결되어야 한다”고 그는 설명한다.
해당 문건은 여기서 다운로드가 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
그 어떤 암호화도 데이터 관리의 모든 것을 한 방에 해결하지는 못해
[보안뉴스 문가용] NIST가 새로운 암호화 방식을 개발해 발표했다. 이번에 발표한 방식은 금융 데이터 등 민감한 정보의 암호화에 특화되어 있다고 한다. 해당 문건은 NIST 홈페이지나 기사 말미에 있는 링크를 통해 다운로드 받을 수 있다.
모리스 드워킨(Morris Dworkin)이 작성한 이 문건의 핵심은 바이너리 및 비(非)바이너리 데이터에 대한 ‘암호화 표준’이며, 특히 암호화되지 않은 것처럼 보이도록 하는 것이 핵심이다. NIST가 이전에도 유가한 방식의 암호화를 개발한 적이 있는데 바이더리 데이터에만 적용되는 것으로 스트링 데이터를 암호화 할 때는 원래의 포맷을 유지할 수 있는 방법이 필요하기도 했었다.
“신용카드와 같은 숫자열 혹은 문자열 정보를 암호로 바꾸되 포맷(자릿수나 외관)이 그대로 유지되려면 어떻게 해야 할까 하는 고민이 이번 발표자료의 핵심입니다. 왜 이런 연구가 필요했냐면 소프트웨어들 중 암호화 처리가 된 데이터 때문에 오류가 나는 경우가 많이 있기 때문이죠.”
NIST이 이번에 발표한 표준에는 FF1과 FF3라는 기술이 언급된다. 둘 다 신용카드 번호를 보호하는 데에 특화된 기술이며 민감한 의료기록을 보호하는 데에도 사용이 가능하다. 하지만 “누구나 사용할만한 기술도 아니고, 100% 안전한 해결책도 아니다”라고 드워킨은 설명한다.
“스트링 데이터의 길이나 외관만 봐도 그 내용이 무엇인지 알아보는 경우가 있을 수 있습니다. 예를 들어 아주 작은 병원에서 이 표준을 도입해 환자정보를 암호화했다고 합시다. 그러면 수용환자 수가 아주 적어서 대강의 문자열 길이만 봐도 누구 데이터인지 한 눈에 알 수 있게 되죠. 또한 암호화 해제 권한을 가진 자가 하는 실수를 막을 수도 없고요.”
결국 데이터 관리란 “암호화만으로는 다 해결할 수 없는 것”이며 “공동으로 열람을 할 수 있는 사람 혹은 제공을 해도 괜찮은 사람을 처음부터 조심스럽게 선택해야 하는 과정이 선결되어야 한다”고 그는 설명한다.
해당 문건은 여기서 다운로드가 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
