.gif)
Q. DB 암호화시 키 관리 방안은 무엇인가요? 암호화 솔루션과 함께 구축할 경우와 암호화 시스템과 별도의 시스템으로 구축할 경우 각각의 장단점 및 권고사항은 무엇인가요?
A-1. 키 관리의 가장 중요한 원칙은 암호화 키와 암호화 데이터를 분리해서 보관해야 한다는 것입니다. 일부 보안관리자들은 관리의 번거로움 때문에 암호화 키를 DB서버에 같이 두는 경우가 있습니다. 이것은 자물쇠 바로 옆에 열쇠를 같이 놓아두는 격으로, 암호화 키와 데이터를 동시에 유출시키려는 공격에 매우 취약합니다.
데이터 보안에 대한 인식이 제고되면서 많은 보안관리자들이 키를 분리하는 것에 대한 필요성을 느끼고 별도의 키 관리 서버를 사용하는 경우가 늘어나고 있습니다. 하지만 이 경우에도 여러 가지 사항들을 고려하지 않는다면 여전히 데이터 유출의 위협으로부터 자유로울 수 없습니다.
첫째, 암호화 키는 절대로 키 관리 서버를 떠나서는 안 됩니다. 암호화 키는 데이터 암호화에 사용되는 키와 키 자체를 암호화 하는 마스터 키 모두 DB서버의 파일 시스템은 물론 메모리에도 존재하지 않아야 합니다. 해커가 DB서버를 완전히 장악하는 경우에는 메모리상에 존재하는 암호화 키도 유출될 수 있기 때문입니다. 해결책은 암호화 키가 키관리 서버 외부로 이동(EXPORT)하지 않으면서도 DB서버에서 암복호화 작업이 가능한 전용 하드웨어 어플라이언스 형태의 키 관리 솔루션을 사용하는 것입니다.
둘째, 암호화 키는 외부 공격으로부터 키를 안전하게 보호할 수 있는 곳에 보관돼야 합니다. 키를 분리해서 키 관리 서버에 보관하더라도, 해커가 DB서버를 경유해서 키 관리 서버 자체를 공격할 가능성에도 대비해야 합니다. 이 때 키 관리 서버가 범용 서버(WINDOWS, LINUX, UNIX)에 키 관리 소프트웨어를 설치·운영하는 형태라면 범용 OS의 보안 취약점을 통해 공격당할 수 있습니다. 따라서 키를 안전하게 보호하기 위해 설계된 전용 하드웨어 어플라이언스에 키를 보관하는 것이 더욱 안전합니다. 국제 보안인증(FIPS, CC) 획득 여부도 키 관리 서버의 안전성을 판단하는 추가 지표가 될 수 있습니다.
셋째, DB관리자와 데이터 보안 관리자(암호화키 관리자) 계정은 반드시 분리해서 관리해야 합니다. DB관리자가 데이터 보안 관리자 권한까지 같이 있는 경우, 해커가 DB 관리자 계정을 탈취하면 암호화 키에 대한 접근 권한까지 같이 획득하게 돼 데이터에 대한 복호화가 가능해집니다. 따라서 DB관리자와 데이터 보안 관리자를 별도의 계정으로 관리해, DB관리자라 하더라도 암호화된 데이터의 원래 내용을 볼 수 없도록 권한을 제한해야 합니다.
데이터베이스(DB) 암호화와 키 관리로 기업의 개인 정보 등 중요정보에 대한 안전성을 확보했습니다. 하지만 성능 이슈 또한 간과하지 않을 수 없습니다. 종종 모 기업이 보안 때문에 암호화를 도입하려고 했으나 워낙 성능이 떨어져서 무기한 연기를 했다는 식의 이야기를 들어본 적이 있을 겁니다.
넷째, DB 암호화 적용 시에는 반드시 얼마나 안전한가를 고려해야 합니다. 이 안전성의 기준은 암호화 키를 데이터와 분리해서 관리한다는 것입니다. 아울러 성능도 중요한 요소이기 때문에 인덱스 컬럼 암호화에서 성능과 보안성 사이에서 합의점을 찾아야 합니다.
(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)
A-2. 암호화키 관리의 가장 중요한 원칙은 암호화키와 암호화 데이터를 분리해서 보관해야 합니다. 일부 보안관리자들은 관리의 번거로움 때문에 암호화 키를 DB서버에 같이 두는 경우가 있는데, 이러한 경우 암호화키와 데이터를 동시에 유출될 수 있기 때문에 매우 위험합니다. 외부 공격으로부터 안전하게 보호할 수 있는 암호 키 관리 서버를 구축하고 DB관리자와 데이터보안관리자(암호 키 관리) 권한으로 구분하여 관리하면 암호화 키를 안전하고 보호할 수 있습니다.
(임동철 열심히커뮤니케이션즈 리스크관리실 대리/neo3712@keencomms.com)
A-3. 별도의 키 관리 시스템을 구축하고 해당 시스템의 접근통제를 강화하는 것이 필요합니다. 암호화 시스템과 별도 구축을 권고하는 이유는 암호화 시스템은 암호화 대상 서버와 연동되어 있으므로 서버 해킹에 따른 피해를 최소화하기 위함이며, 키 관리 시스템을 별도 구축하는 경우, 접근통제 뿐 아니라 장애 등 서비스 연속성을 고려하는 것도 중요합니다.
(강정훈 11번가/jhkang@sk.com)
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)