암호화 도입률 높아졌지만 접근 방식에 대한 보안 잘 이뤄지지 않아
키 관리 분야도 마찬가지...하드웨어 보안 모듈 사용률은 절반도 안 돼
[보안뉴스 문가용 기자] 암호화 기술이 실제 현장에 점점 더 많이 적용되고 있는 추세이긴 하지만 아직 갈 길이 한참 멀었다는 연구 결과가 최근 수개월 간에 여럿 등장했다. 그중 하나가 포네몬(Ponemon)과 탈레스(Thales)에서 발표한 비교적 최근의 연구 자료인데, 일단 “지난 10년 동안 암호화를 적용하는 기업들이 두 배 이상 늘어났다”고 서두에 밝히고 있다. 또한 클라우드 환경에서 발생하는 각종 위협과 리스크에 대응하기 위해 암호화를 적용하는 예가 늘어나고 있다고도 보고서는 설명하고 있다. 하지만 그래봤자 아직 이러한 기업은 절반도 되지 않으며, 그나마도 제대로 효용성을 발휘하고 있지 못하다고 한다.
.jpg)
“암호화 전략의 도입 자체는 빠르게 성장하고 있습니다. 그래서 수천만~수억 건의 개인정보가 유출되는, 이른 바 ‘메가 브리치’ 사건은 크게 줄어들고 있죠.” 포네몬의 래리 포네몬 박사(Larry Ponemon)의 설명이다. “다시 말해 메가 브리치 사건이 과거에 있었기 때문에 기업들이 ‘더 이상 해커들의 공격을 기다리기만 해서는 안 되겠다’는 자세를 버리고, 암호화 같은 능동적인 대처법을 도입하게 된 것입니다.”
포네몬이 암호화 도입 현황에 대해 조사한 것은 2006년부터로, 해마다 ‘세계 암호화 트렌드 보고서(Global Encryption Trends Study)’라는 이름으로 결과물을 발간해왔다. 2006년에는 20%였던 것이 지금은 40%가 조금 넘은 정도로 올라섰다. “꾸준히 성장하고는 있습니다. 데이터 보호 정책이 더 강력해지고 있고, 지적 재산 등을 노리고 있는 사이버 범죄자들이 더 기승을 부리고 있다는, 사이버 보안에 대한 해소되지 않는 불안감이 이런 성장의 배경에 있습니다. 그렇기 때문에 이런 성장은 한동안 지속될 것이 분명합니다.”
‘성장 추세’라는 측면에서의 성적과 전망은 나쁘지 않다는 게 포네몬 박사의 평이다. 그밖에도 괜찮은 성적을 보인 세부 항목이 몇 개 더 있었다. “정적 데이터의 측면에서, 61%의 조직들이 ‘인사 정보를 주기적으로 암호화한다’고 했습니다. 56%는 지불 정보를 주기적으로 암호화하고 있으며, 49%는 금융 기록을, 40%는 소비자 정보를 주기적으로 암호화한다고 답했습니다.” 또 다른 보안 업체인 베나피(Venafi)에서는 동적 데이터에 관한 암호화 실태를 조사했는데, 그 결과 57%의 기업이 ‘외부 웹 트래픽의 70% 이상을 암호화한다’고 답했으며, 41%가 ‘내부 웹 트래픽의 70% 이상을 암호화한다’고 응답했다.
이처럼 기업들이 암호화 및 키 관리에 집중하는 이유는 바로 클라우드의 성장세 때문이다. “점점 더 많은 데이터가 서드파티 데이터 센터로 옮겨가고 있기 때문에 기업들이 불안한 것이죠. 그래서 그런지 67%의 기업들이 클라우드로 데이터를 보내기 전에 회사 내부에서 암호화를 진행하거나 내부적으로 생성한 키를 사용해 데이터를 암호화한다고 합니다. 물론 이 키는 내부에서 관리하죠. 같은 방법으로 클라우드에 보낼 데이터 일부를 암호화한다는 기업도 37%는 됩니다. 이 기업들은 키 관리도 클라우드 업체에 맡깁니다.”
그렇다면 역으로, 클라우드 내 아직도 암호화되고 있지 않은 데이터는 얼마나 존재하고 있는 걸까? 2016년 보안 업체인 하이트러스트(HyTrust)에서 발표한 보고서에 의하면 모든 데이터의 약 28%가 전혀 암호화되어 있지 않다고 한다. 포네몬도 비슷한 보고서를 2016년에 발표했었는데, 그것에 의하면 “76%의 기업이 민감한 정보를 암호화 하지 않은 채 클라우드와 SaaS 애플리케이션을 통해 사용하고 있다”고 한다. 이렇게 암호화되지 않은 데이터를 여기저기에 저장하고 사용하면 이번 달 초에 발생한 스콧트레이드(Scottrade) 정보 유출 사건이 발생한다. 금융 업체였던 스콧트레이드는 암호화를 하지 않고 클라우드에 파트너사 및 고객들의 개인정보를 업로드 했다가 해킹 당해 약 2만여 명의 정보를 도난당했다.
이에 대해 클라우드 보안 업체인 돔9(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “공공 클라우드는 딱 한 개의 취약점이나 보안 구멍만 있어도 사고가 발생하는 곳”이라며 “아무리 보안 정책이 철저하고 엄격하게 적용되더라도, 가장 기본적인 절차가 무시되고 있다면 보안 사고는 터지게 되어 있다”고 설명했다. 스콧트레이드의 경우 그 딱 한 가지 구멍이 암호화였다. “어떤 데이터를 암호화해야 하는지, 언제 어디서 어떻게 해야 하는지, 또 접근 설정은 어떤 식으로 되어야 하는지, 키 관리 방식은 무엇인지, 정책적으로 하나도 정해져 있는 게 없었죠.”
민감한 정보를 보호한답시고 암호화를 적용하는 것만으로는 충분치 않다고 그는 설명을 이어갔다. “암호화된 데이터라고 하더라도 특정 앱이나 권한 소지자에겐 접근이 가능하도록 설계되어 있습니다. 어디선가, 어느 시점에선 암호화가 다 풀린다는 것이죠.” 보안 업체 트립와이어(Tripwire)의 부회장인 팀 얼린(Tim Erlin)의 설명이다. “데이터를 암호화하는 것은 물론이고, 암호화된 데이터에 접근하는 방식까지도 전부 보호해야 합니다.”
키 관리 분야도 꾸준한 성장세를 보이고는 있지만 갈 길이 멀긴 마찬가지라고 포네몬의 보고서는 밝히고 있다. “기업들의 약 51%가 공식적인 키 관리 정책을 가지고는 있습니다만 디지털 키의 금고인 하드웨어 보안 모듈(Hardware Security Module, HSM)을 사용하는 예는 38%에 그쳤습니다. 그나마 다행이라면 HSM을 사용한다는 기업들 중 절반 가까이가 HSM 관리 전담 팀을 두었다는 것입니다. HSM 전담 팀이 중앙에서 기업 내에서 이뤄지고 있는 모든 암호화 관련 행위 및 정책을 일괄적으로 관리하고 있다는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
키 관리 분야도 마찬가지...하드웨어 보안 모듈 사용률은 절반도 안 돼
[보안뉴스 문가용 기자] 암호화 기술이 실제 현장에 점점 더 많이 적용되고 있는 추세이긴 하지만 아직 갈 길이 한참 멀었다는 연구 결과가 최근 수개월 간에 여럿 등장했다. 그중 하나가 포네몬(Ponemon)과 탈레스(Thales)에서 발표한 비교적 최근의 연구 자료인데, 일단 “지난 10년 동안 암호화를 적용하는 기업들이 두 배 이상 늘어났다”고 서두에 밝히고 있다. 또한 클라우드 환경에서 발생하는 각종 위협과 리스크에 대응하기 위해 암호화를 적용하는 예가 늘어나고 있다고도 보고서는 설명하고 있다. 하지만 그래봤자 아직 이러한 기업은 절반도 되지 않으며, 그나마도 제대로 효용성을 발휘하고 있지 못하다고 한다.
“암호화 전략의 도입 자체는 빠르게 성장하고 있습니다. 그래서 수천만~수억 건의 개인정보가 유출되는, 이른 바 ‘메가 브리치’ 사건은 크게 줄어들고 있죠.” 포네몬의 래리 포네몬 박사(Larry Ponemon)의 설명이다. “다시 말해 메가 브리치 사건이 과거에 있었기 때문에 기업들이 ‘더 이상 해커들의 공격을 기다리기만 해서는 안 되겠다’는 자세를 버리고, 암호화 같은 능동적인 대처법을 도입하게 된 것입니다.”
포네몬이 암호화 도입 현황에 대해 조사한 것은 2006년부터로, 해마다 ‘세계 암호화 트렌드 보고서(Global Encryption Trends Study)’라는 이름으로 결과물을 발간해왔다. 2006년에는 20%였던 것이 지금은 40%가 조금 넘은 정도로 올라섰다. “꾸준히 성장하고는 있습니다. 데이터 보호 정책이 더 강력해지고 있고, 지적 재산 등을 노리고 있는 사이버 범죄자들이 더 기승을 부리고 있다는, 사이버 보안에 대한 해소되지 않는 불안감이 이런 성장의 배경에 있습니다. 그렇기 때문에 이런 성장은 한동안 지속될 것이 분명합니다.”
‘성장 추세’라는 측면에서의 성적과 전망은 나쁘지 않다는 게 포네몬 박사의 평이다. 그밖에도 괜찮은 성적을 보인 세부 항목이 몇 개 더 있었다. “정적 데이터의 측면에서, 61%의 조직들이 ‘인사 정보를 주기적으로 암호화한다’고 했습니다. 56%는 지불 정보를 주기적으로 암호화하고 있으며, 49%는 금융 기록을, 40%는 소비자 정보를 주기적으로 암호화한다고 답했습니다.” 또 다른 보안 업체인 베나피(Venafi)에서는 동적 데이터에 관한 암호화 실태를 조사했는데, 그 결과 57%의 기업이 ‘외부 웹 트래픽의 70% 이상을 암호화한다’고 답했으며, 41%가 ‘내부 웹 트래픽의 70% 이상을 암호화한다’고 응답했다.
이처럼 기업들이 암호화 및 키 관리에 집중하는 이유는 바로 클라우드의 성장세 때문이다. “점점 더 많은 데이터가 서드파티 데이터 센터로 옮겨가고 있기 때문에 기업들이 불안한 것이죠. 그래서 그런지 67%의 기업들이 클라우드로 데이터를 보내기 전에 회사 내부에서 암호화를 진행하거나 내부적으로 생성한 키를 사용해 데이터를 암호화한다고 합니다. 물론 이 키는 내부에서 관리하죠. 같은 방법으로 클라우드에 보낼 데이터 일부를 암호화한다는 기업도 37%는 됩니다. 이 기업들은 키 관리도 클라우드 업체에 맡깁니다.”
그렇다면 역으로, 클라우드 내 아직도 암호화되고 있지 않은 데이터는 얼마나 존재하고 있는 걸까? 2016년 보안 업체인 하이트러스트(HyTrust)에서 발표한 보고서에 의하면 모든 데이터의 약 28%가 전혀 암호화되어 있지 않다고 한다. 포네몬도 비슷한 보고서를 2016년에 발표했었는데, 그것에 의하면 “76%의 기업이 민감한 정보를 암호화 하지 않은 채 클라우드와 SaaS 애플리케이션을 통해 사용하고 있다”고 한다. 이렇게 암호화되지 않은 데이터를 여기저기에 저장하고 사용하면 이번 달 초에 발생한 스콧트레이드(Scottrade) 정보 유출 사건이 발생한다. 금융 업체였던 스콧트레이드는 암호화를 하지 않고 클라우드에 파트너사 및 고객들의 개인정보를 업로드 했다가 해킹 당해 약 2만여 명의 정보를 도난당했다.
이에 대해 클라우드 보안 업체인 돔9(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “공공 클라우드는 딱 한 개의 취약점이나 보안 구멍만 있어도 사고가 발생하는 곳”이라며 “아무리 보안 정책이 철저하고 엄격하게 적용되더라도, 가장 기본적인 절차가 무시되고 있다면 보안 사고는 터지게 되어 있다”고 설명했다. 스콧트레이드의 경우 그 딱 한 가지 구멍이 암호화였다. “어떤 데이터를 암호화해야 하는지, 언제 어디서 어떻게 해야 하는지, 또 접근 설정은 어떤 식으로 되어야 하는지, 키 관리 방식은 무엇인지, 정책적으로 하나도 정해져 있는 게 없었죠.”
민감한 정보를 보호한답시고 암호화를 적용하는 것만으로는 충분치 않다고 그는 설명을 이어갔다. “암호화된 데이터라고 하더라도 특정 앱이나 권한 소지자에겐 접근이 가능하도록 설계되어 있습니다. 어디선가, 어느 시점에선 암호화가 다 풀린다는 것이죠.” 보안 업체 트립와이어(Tripwire)의 부회장인 팀 얼린(Tim Erlin)의 설명이다. “데이터를 암호화하는 것은 물론이고, 암호화된 데이터에 접근하는 방식까지도 전부 보호해야 합니다.”
키 관리 분야도 꾸준한 성장세를 보이고는 있지만 갈 길이 멀긴 마찬가지라고 포네몬의 보고서는 밝히고 있다. “기업들의 약 51%가 공식적인 키 관리 정책을 가지고는 있습니다만 디지털 키의 금고인 하드웨어 보안 모듈(Hardware Security Module, HSM)을 사용하는 예는 38%에 그쳤습니다. 그나마 다행이라면 HSM을 사용한다는 기업들 중 절반 가까이가 HSM 관리 전담 팀을 두었다는 것입니다. HSM 전담 팀이 중앙에서 기업 내에서 이뤄지고 있는 모든 암호화 관련 행위 및 정책을 일괄적으로 관리하고 있다는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
