규정에 나와 있지 않다고 암호화 하지 않기도 하고 키 관리 실수하기도 하고
암호화, 널리 알려진 표준 암호화 알고리즘이 가장 안전
[보안뉴스 문가용 기자] 데이터 암호화를 도입하면 좋다는 건 기술자가 아니어도 아는 사실이다. 암호화 기술 자체가 강력하기도 하지만, 보안의 전략적인 측면에서 종심 방어(defense-in-depth)를 가능하게 해주기 때문이다. 데이터 암호화가 있어 공격에 들어가는 비용이 높아진다. 하지만 네트워크 속도가 느려진다는 커다란 단점이 있다. 암호화 사용에 있어 흔히 저지르는 실수 네 가지를 정리했다.
[이미지 = iclickart]
1. 널리 알려진 암호화 알고리즘을 기피한다
유명한 알고리즘이나 장비, 보안 전략을 사용한다는 건 일반적으로 안전하지 못한 일이다. 그래서 내부적으로 암호화 기술을 개발하고 적용하는 사례도 적지 않다. 하지만 암호화 알고리즘을 선택할 땐 표준 알고리즘을 사용하는 게 제일 안전하다. 특히 민감한 데이터를 암호화 할 땐 유명한 표준 암호화 알고리즘을 사용해야 한다. 왜냐면 암호학이라는 분야 자체(그러므로 암호화 기술 자체)가 매우 고난이도이기 때문이다.
암호학을 제대로 공부하려면 수학과 과학에 대한 높은 이해도가 필요하다. 표준으로 굳어진 IDEA 128비트나 ARC4 128비트와 같은 유명 알고리즘은 암호학을 전문으로 하는 사람들이 함께 개발하고 수정한 것이다. 회사 내 개발자 몇몇이 암호학에 대한 어설픈 지식을 가지고 만들어낸 것보다 훨씬 우수할 수밖에 없다.
2. 전체 디스크 암호화
암호화를 하려면 데이터가 멈춰있을 때나 움직이고 있을 때 모두 해야 한다. 그런데 이렇게 조치를 취할 때 생각해야 할 것이 몇 가지 있다. 그 중 하나가 전체 디스크 암호화다. 전체 디스크 암호화의 가장 기본적인 목적은 민감한 데이터로의 접근을 막는 것으로, 특히 기기나 하드드라이브가 분리되었을 때를 위한 것이다.
그러니 기기가 제대로 네트워크에 장착되고, 사용자가 로그인을 함으로써 암호화를 풀어버리면(업무 목적을 위해 풀어야 한다!) 전체 디스크 암호화는 온데 간데 없어지고 모든 데이터가 활짝 열리게 된다. 전체 디스크 암호화의 이러한 특징을 알고 적용시켜야 한다.
3. 컴플라이언스
어떤 산업이든 데이터 수집, 데이터 주권, 데이터 저장에 관한 규정들이 마련되어 있다. 그리고 기업들이 이를 어떤 식으로 준수하고 있는지 면밀히 모니터링 한다. 산업별로 독자적인 규정을 마련해서 진행할 때도 있고, 국가가 나서서 관리할 때도 있다. 그런데 규정 중에 데이터 암호화를 언급한 사례는 아직까지 찾기 힘들다.
그래서 일부 운영진은 ‘규정에도 없는 암호화, 해서 뭐하나’라고 반문하며 암호화를 쓸데 없는 것 취급한다. 이는 ‘보안=컴플라이언스’라는 사고방식을 드러내는 발언이기도 하다. 보안 담당자는 보안과 관련된 규정과 표준을 지키는 건, 보안의 첫 걸음이라는 것부터 설득을 시작해야 한다. 법을 지키는 건 중요하지만, 그것이 단단한 보안을 책임져주지는 않는다.
4. 복호화 키 저장
데이터 암호화를 활발히 하고 있는 조직들이라도 키 관리를 제대로 하지 못할 때가 종종 있다. 저장을 엉뚱한 데다 한다든가, 잊어버린다든가, 심지어 키를 저장한 하드드라이브를 암호화하는 바람에 디스크를 전부 못 쓰게 만들기도 한다. 집 문을 잘 잠가놓고 열쇠를 꼽아둔 채 외출하지 않도록 해야 한다. 굉장히 기본적인 건데, 키 관리 실수는 빈번히 등장한다.
그래서 많은 팀들에서 ‘마스터 키’를 따로 저장해두기도 한다. 이를 별도의 데이터베이스나 서버에 놓고 누군가 실수를 저질렀을 때만 가끔 꺼내서 사용하곤 한다. 암호화를 그렇게까지 꼼꼼하게 할 필요가 있냐, 고 물을 수 있는데, 굉장히 지혜로운 행동이다.
글 : 조 코스마노(Joe Cosmano), iBoss
[국제부 문가용 기자(globoan@boannews.com)]
암호화, 널리 알려진 표준 암호화 알고리즘이 가장 안전
[보안뉴스 문가용 기자] 데이터 암호화를 도입하면 좋다는 건 기술자가 아니어도 아는 사실이다. 암호화 기술 자체가 강력하기도 하지만, 보안의 전략적인 측면에서 종심 방어(defense-in-depth)를 가능하게 해주기 때문이다. 데이터 암호화가 있어 공격에 들어가는 비용이 높아진다. 하지만 네트워크 속도가 느려진다는 커다란 단점이 있다. 암호화 사용에 있어 흔히 저지르는 실수 네 가지를 정리했다.
[이미지 = iclickart]
1. 널리 알려진 암호화 알고리즘을 기피한다
유명한 알고리즘이나 장비, 보안 전략을 사용한다는 건 일반적으로 안전하지 못한 일이다. 그래서 내부적으로 암호화 기술을 개발하고 적용하는 사례도 적지 않다. 하지만 암호화 알고리즘을 선택할 땐 표준 알고리즘을 사용하는 게 제일 안전하다. 특히 민감한 데이터를 암호화 할 땐 유명한 표준 암호화 알고리즘을 사용해야 한다. 왜냐면 암호학이라는 분야 자체(그러므로 암호화 기술 자체)가 매우 고난이도이기 때문이다.
암호학을 제대로 공부하려면 수학과 과학에 대한 높은 이해도가 필요하다. 표준으로 굳어진 IDEA 128비트나 ARC4 128비트와 같은 유명 알고리즘은 암호학을 전문으로 하는 사람들이 함께 개발하고 수정한 것이다. 회사 내 개발자 몇몇이 암호학에 대한 어설픈 지식을 가지고 만들어낸 것보다 훨씬 우수할 수밖에 없다.
2. 전체 디스크 암호화
암호화를 하려면 데이터가 멈춰있을 때나 움직이고 있을 때 모두 해야 한다. 그런데 이렇게 조치를 취할 때 생각해야 할 것이 몇 가지 있다. 그 중 하나가 전체 디스크 암호화다. 전체 디스크 암호화의 가장 기본적인 목적은 민감한 데이터로의 접근을 막는 것으로, 특히 기기나 하드드라이브가 분리되었을 때를 위한 것이다.
그러니 기기가 제대로 네트워크에 장착되고, 사용자가 로그인을 함으로써 암호화를 풀어버리면(업무 목적을 위해 풀어야 한다!) 전체 디스크 암호화는 온데 간데 없어지고 모든 데이터가 활짝 열리게 된다. 전체 디스크 암호화의 이러한 특징을 알고 적용시켜야 한다.
3. 컴플라이언스
어떤 산업이든 데이터 수집, 데이터 주권, 데이터 저장에 관한 규정들이 마련되어 있다. 그리고 기업들이 이를 어떤 식으로 준수하고 있는지 면밀히 모니터링 한다. 산업별로 독자적인 규정을 마련해서 진행할 때도 있고, 국가가 나서서 관리할 때도 있다. 그런데 규정 중에 데이터 암호화를 언급한 사례는 아직까지 찾기 힘들다.
그래서 일부 운영진은 ‘규정에도 없는 암호화, 해서 뭐하나’라고 반문하며 암호화를 쓸데 없는 것 취급한다. 이는 ‘보안=컴플라이언스’라는 사고방식을 드러내는 발언이기도 하다. 보안 담당자는 보안과 관련된 규정과 표준을 지키는 건, 보안의 첫 걸음이라는 것부터 설득을 시작해야 한다. 법을 지키는 건 중요하지만, 그것이 단단한 보안을 책임져주지는 않는다.
4. 복호화 키 저장
데이터 암호화를 활발히 하고 있는 조직들이라도 키 관리를 제대로 하지 못할 때가 종종 있다. 저장을 엉뚱한 데다 한다든가, 잊어버린다든가, 심지어 키를 저장한 하드드라이브를 암호화하는 바람에 디스크를 전부 못 쓰게 만들기도 한다. 집 문을 잘 잠가놓고 열쇠를 꼽아둔 채 외출하지 않도록 해야 한다. 굉장히 기본적인 건데, 키 관리 실수는 빈번히 등장한다.
그래서 많은 팀들에서 ‘마스터 키’를 따로 저장해두기도 한다. 이를 별도의 데이터베이스나 서버에 놓고 누군가 실수를 저질렀을 때만 가끔 꺼내서 사용하곤 한다. 암호화를 그렇게까지 꼼꼼하게 할 필요가 있냐, 고 물을 수 있는데, 굉장히 지혜로운 행동이다.
글 : 조 코스마노(Joe Cosmano), iBoss
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
