키 관리 또는 암호화 키 관리는 암호화된 데이터의 보안을 보장하기 위해 암호화 키를 생성, 교환, 저장 및 관리하는 프로세스입니다. 키를 올바르게 관리하지 않으면 무단 액세스, 데이터 손실 및 데이터 유출로 이어질 수 있으므로 효과적인 데이터 암호화를 위해서 키 관리가 매우 중요합니다.
암호화는 읽을 수 있는 일반 텍스트를 읽을 수 없는 암호 텍스트로 변환하여 민감한 데이터를 보호하는 것입니다.. 암호화 키는 암호화 프로세스 내에서 데이터 보안의 초석입니다. 키를 가지고 있는 사람은 암호화된 데이터를 암호화 키를 사용해 원래의 일반 텍스트 형식으로 다시 변환할 수 있습니다.
암호화 키를 도난당하거나 잘못 취급하면 권한이 없는 사용자가 키를 사용해 민감한 데이터에 액세스할 수 있습니다. 키를 분실하면 권한이 있는 사용자라도 데이터에 영구적으로 접근할 수 없게 될 수 있습니다.
결과적으로 암호화 키가 안전해야 암호화가 안전합니다.
조직은 키 관리를 통해 전체 라이프사이클 동안 암호화 키를 안전하게 유지하여 데이터 무결성을 보호하고 무단 액세스 및 데이터 침해 위험을 최소화할 수 있습니다. 이 암호화 키 라이프사이클에는 키 생성, 저장, 배포, 사용, 순환 및 최종 파기 또는 해지가 포함됩니다.
키 관리 시스템은 키 정책을 자동화하고 시행하여 프로세스의 효율성을 높이고 오류를 줄일 수 있게 지원합니다. 조직이 데이터 보안을 강화하고 무단 액세스를 방지하며 규제 표준을 준수하는 데도 도움이 됩니다.
오늘날 조직은 사이버 보안을 강화하기 위해 암호화 및 키 관리를 점점 더 중요하게 생각합니다. 데이터 유출 비용(CODB) 보고서에 따르면 암호화를 사용하는 조직은 데이터 유출로 인한 재정적 영향을 22만 달러 이상 줄일 수 있습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
데이터는 모든 조직에서 가장 중요한 자산 중 하나입니다. 민감한 데이터가 많아짐에 따라 무단 액세스로부터 데이터를 보호해야 할 필요성도 커지고 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면 전 세계 평균 데이터 유출 비용은 444만 달러입니다.
많은 조직에 있어 암호화는 민감한 데이터를 보호하는 가장 효과적인 방법 중 하나입니다. 암호화 알고리즘을 사용하여 판독 가능한 데이터를 암호 텍스트로 변환하여 권한이 없는 사용자가 액세스할 수 없도록 암호화를 적용합니다.
암호화의 효율성은 고급 암호화 표준(AES)과 같은 강력한 알고리즘뿐만 아니라 데이터를 잠그고 잠금을 해제하는 암호화 키의 안전한 관리에 달려 있습니다.
그러나 이 과정이 생각만큼 쉽지는 않습니다. 조직은 라이프사이클의 다양한 단계에서 여러 시스템과 환경에 걸쳐 수천 개의 암호화 키를 관리해야 하는 경우가 많습니다.
암호화 키를 여러 부서 또는 외부 파트너와 안전하게 공유해야 할 수도 있습니다. 이러한 복잡성으로 인해 모든 키가 라이프사이클 내에서 적절하게 보호, 추적 및 유지 관리되는지 확인하기가 어려울 수 있습니다.
키 관리를 사용하면 키 제어를 중앙 집중화하고, 주요 라이프사이클 프로세스를 자동화하고, 강력한 모니터링 및 감사 기능을 활용해 이 프로세스를 쉽게 수행할 수 있습니다. 이를 통해 조직은 암호화 키를 모범 사례에 따라 일관되게 관리하고 키 분실 또는 오용의 위험을 줄일 수 있습니다.
적절한 키 관리를 도입하지 않은 조직은 암호화의 이점을 효과적으로 누리지 못해 무단 액세스, 데이터 침해 및 데이터 손실의 위험을 초래할 수 있습니다.
예를 들어, Microsoft는 최근 중국의 지원을 받는 해킹 그룹이 자사 시스템에서 중요한 암호화 키를 훔쳤다고 밝혔습니다.1 위협 행위자는 이 키를 사용해 합법적인 인증 토큰을 생성하고 여러 미국 정부 기관을 포함한 25개 조직의 클라우드 기반 Outlook 이메일 시스템에 액세스할 수 있었습니다.
또한 새로운 기술이 계속 등장하면서 강력한 키 관리의 중요성이 커지고 있습니다. 예를 들어 양자 컴퓨팅의 출현은 현재의 암호화 알고리즘에 심각한 위협이 되고 있으며, 이에 대응하기 위해 조직과 전문가들은 양자 저항 암호화 기술과 키 관리 시스템에 투자하고 있습니다.
이러한 발전에 한발 앞서 첨단 키 관리 솔루션과 시스템에 투자하면 조직이 암호화 관행을 미래에 대비하고 효과적으로 유지하는 데 도움이 될 수 있습니다.
키 관리의 역할을 이해하기 위해서는 금고와 비밀번호의 관계를 생각해 보면 됩니다.
금고가 귀중한 물품을 보호하는 것처럼 암호화는 민감한 데이터를 보호합니다. 금고 비밀번호가 잘못된 사람의 손에 들어가면 권한이 없는 사람이 금고를 열어 내용물을 훔칠 수 있습니다. 마찬가지로 비밀번호를 분실하거나 잊어버리면 금고는 물론 금고 안에 있는 귀중품에 영원히 접근할 수 없게 됩니다.
이 비유에서 금고는 암호화된 데이터를, 비밀번호는 암호화 키를, 비밀번호를 안전하게 유지하는 것은 키 관리를 의미합니다.
데이터 암호화에는 다양한 유형의 암호화 키가 있으며, 각 키는 두 가지 주요 암호화 방법과 연결되어 있습니다.
대칭 암호화는 단일 키를 사용하여 데이터를 암호화하고 해독합니다. 이 대칭 키가 손상되면 암호화된 모든 데이터가 위험에 처하기 때문에 이 대칭 키의 보안은 매우 중요합니다. 대칭 암호화를 위한 키 관리는 키를 안전하게 생성, 저장 및 배포하여 권한이 있는 사용자만 액세스할 수 있도록 하는 데 중점을 둡니다.
비대칭 암호화는 키 쌍, 즉 암호화를 위한 공개 키와 암호 해독을 위한 비공개 키를 사용합니다. 공개 키는 공개적으로 공유할 수 있지만 비공개 키는 기밀로 유지되어야 합니다. 이 방법을 사용하면 인증, 디지털 서명, 안전한 키 교환 등의 기능을 지원하는 공개 키 인프라(PKI)를 포함하여 가장 안전한 암호화 작업을 처리할 수 있습니다.
비대칭 암호화에서 키 관리에는 키를 안전하게 생성하고, 저장하고, 키에 대한 액세스를 제어하고, 침해를 방지하기 위해 정기적으로 키를 교체하는 작업이 포함됩니다.
두 암호화 방법 모두 데이터를 보호하고 암호화 시스템의 무결성을 유지하기 위해서 적절한 키 관리가 반드시 필요합니다.
암호화 키 관리는 여러 단계로 구성되며, 각 단계는 암호화 시스템의 보안과 효율성에 매우 중요합니다. 이러한 모든 단계는 암호화 키의 생성부터 최종 파기까지의 전체 여정을 아우르는 키 관리 라이프사이클을 구성합니다.
라이프사이클 관리는 무단 액세스 및 데이터 침해를 방지하기 위한 특정 제어를 마련하여 모든 단계에서 키를 안전하게 처리하는 데 도움이 됩니다.
키 생성에는 보안 알고리즘을 사용하여 난수 또는 의사 난수 비트나 숫자의 문자열인 암호화 키를 만드는 작업이 포함됩니다. 무작위적이고 예측할 수 없는 키를 생성하면 전체 암호화 프로세스를 손상시킬 수 있는 취약점을 완화하는 데 도움이 됩니다.
하드웨어 보안 모듈(HSM) 및 키 관리 시스템(KMS)은 안전한 환경에서 키를 생성하는 데 도움이 될 수 있습니다. (자세한 내용은 '일반적인 키 관리 솔루션 및 기술'을 참조하세요.)
암호화 키가 생성된 후에는 필요한 엔티티에 배포됩니다. 예를 들어 보안 난수 생성기를 사용하여 대칭 키를 만든 다음, 키 교환 프로토콜 또는 사전 공유 채널을 통해 이를 안전하게 배포할 수 있습니다.
대칭 키는 항상 기밀로 유지되어야 하기 때문에 키 배포가 특히 까다롭습니다.
반면에 비대칭 키 시스템은 비공개 키를 안전하게 유지하면서 공개 키를 공개적으로 배포하여 보안 문제를 완화할 수 있습니다. 또한 전송 보안 계층(TLS) 프로토콜을 사용하는 등의 안전한 배포 방법을 통해 키를 안전하게 전송할 수 있습니다.
사용자가 암호화 키를 갖게 되면 무단 액세스로부터 사용자를 보호하기 위해 보안 키 스토리지에 보관해야 합니다. HSM은 변조 방지 환경을 제공하고 암호화 모듈의 보안 요구 사항을 지정하는 FIPS 140-2(연방 정보 처리 표준)와 같은 엄격한 보안 표준을 충족하는 경우가 많아 자주 사용되는 키 스토리지입니다.
소프트웨어에 키를 저장하는 것이 더 편리할 수도 있지만, HSM과 같은 하드웨어 기반 스토리지 솔루션에 저장하는 것보다 더 높은 보안 위험이 발생할 수 있습니다.
키는 데이터 암호화, 문서 서명 또는 사용자 인증과 같은 다양한 암호화 작업을 수행할 수 있습니다. 지정된 용도로만 사용하면 보안 위험을 완화하는 데 도움이 됩니다. 역할 기반 액세스 제어(RBAC) 및 다단계 인증(MFA)과 같은 액세스 제어를 사용하면 권한이 있는 개인 또는 시스템만 이러한 키에 액세스할 수 있으므로 키 사용을 더욱 안전하게 보호할 수 있습니다.
키 회전에는 이전 키를 주기적으로 새 키로 교체하는 작업이 포함됩니다. 정기적으로 키를 교체하면 키 유출 위험을 줄이고 키가 노출될 경우 발생할 수 있는 손실을 제한하는 데도 도움이 됩니다. 키 관리 시스템에는 일관성과 보안을 위해 자동화된 키 회전 기능이 포함된 경우가 많습니다.
암호화 키가 더 이상 필요하지 않거나 손상된 것으로 의심되는 경우 해당 키를 해지하면 더 이상 사용할 수 없습니다. 또한 키를 안전하게 파기하면 권한이 없는 사용자가 복구해 오용할 가능성을 없앨 수 있습니다.
암호화가 사이버 보안에 없어서는 안 될 요소가 되면서, 산업 전반에서 키 관리의 중요성이 점점 더 커지고 있습니다.
키 관리의 가장 일반적인 사용 사례는 다음과 같습니다.
클라우드 키 관리에는 저장된 데이터를 비롯한 데이터가 여러 위치에 분산되어 있고 SQL 데이터베이스 및 서비스형 소프트웨어(SaaS) 애플리케이션 등 다양한 서비스에서 액세스하는 클라우드 환경에서 암호화 키를 관리하는 작업이 포함됩니다.
클라우드 서비스 제공업체는 조직이 클라우드에서 암호화 키를 안전하게 관리할 수 있도록 KMS(키 관리 서비스)를 제공하는 경우가 많습니다.
많은 KMS 제품에는 '자체 키 가져오기(BYOK, Bring your own key)' 기능도 있습니다. 이 유연한 옵션을 통해 기업은 타사 클라우드 서비스를 사용는 경우에도 키를 계속 제어할 수 있습니다.
BYOK를 사용하면 암호화 키가 조직의 특정 보안 정책에 따라 관리되고 클라우드 공급자에 관계없이 NIST 지침 및 FIPS 140-2와 같은 업계 표준에 부합하도록 하여 데이터 보안을 강화할 수 있습니다.
DevOps에서는 애플리케이션이 빠른 속도로 지속적으로 개발, 테스트, 배포됩니다. 이러한 빠른 개발 주기는 보안 취약성을 유발하고 데이터 보호 문제를 일으킬 수 있습니다.
비밀 관리 도구는 이러한 위험을 완화하도록 설계된 특수 소프트웨어 솔루션입니다. 데이터베이스 암호, API 키, 토큰 및 기타 자격 증명과 같은 민감한 데이터에 대한 액세스를 안전하게 저장, 관리 및 제어합니다.
이러한 도구는 키 관리 시스템과 통합되어 기밀 처리를 자동화하여 민감한 데이터를 엄격한 액세스 제어로 암호화하고 보호하는 데 사용되는 경우가 흔합니다.
사물인터넷(IoT)은 많은 수의 장치가 관련되어 있고 제한된 컴퓨팅 성능으로 인해 키 관리 문제를 안고 있습니다.
온도 조절기 및 보안 카메라와 같은 스마트 홈 IoT 장치를 생각해 보세요. 이러한 장치는 다른 장치 및 중앙 허브와 데이터를 자주 교환하며 중요한 정보를 저장합니다. 이러한 장치가 암호화 키를 안전하게 생성, 저장 및 사용하지 않으면 공격에 취약해질 수 있습니다.
효과적인 키 관리를 통해 IoT 장치가 자체 인증하고, 보안 연결을 설정하고, 수집하는 데이터를 보호하도록 할 수 있습니다.
일반 데이터 보호 규정(GDPR) 및 결제 카드 산업 데이터 보안 표준(PCI DSS)과 같은 규제 표준은 데이터 보호에 대한 엄격한 규정을 적용하며, 규정을 준수하지 않는 경우 엄중한 처벌을 내립니다.
예를 들어, GDPR을 위반하면 최대 EUR 2,000만 또는 회사의 전 세계 연매출의 4% 중 더 높은 금액이 벌금으로 부과될 수 있습니다.
높이 평가되는 NIST 표준을 포함해, 조직이 이러한 규정을 충족하는 데 도움이 되는 많은 표준에서 키 관리가 중요한 역할을 하는 경우가 많습니다.
여러 솔루션과 기술은 효과적인 키 관리를 구현하는 데 필수적입니다. 그 예는 다음과 같습니다.
키 관리 서비스(KMS) 및 오픈 소스 키 관리 도구와 같은 솔루션은 유연하고 사용자 지정 가능한 옵션을 제공합니다. 하드웨어 보안 모듈(HSM)과 같은 전문 기술 또는 키 관리 상호운용성 프로토콜(KMIP)과 같은 프로토콜도 도움이 됩니다.
암호화 키 관리 솔루션은 다양한 기능을 제공하지만, 다음과 같은 기능이 포함되는 경우가 많습니다.
HSM은 안전한 키 관리 및 암호화 작업을 제공하는 특수 장치입니다. 이 장치는 변조 방지 환경에서 암호화 키를 생성, 저장 및 관리하므로 금융 거래, 디지털 서명 및 공개 키 인프라(PKI) 관리와 같이 높은 보안 수준을 요구하는 애플리케이션에 적합합니다.
CloudHSM 서비스는 이러한 기능을 클라우드로 확장하여 클라우드 기반 환경에도 동일한 수준의 보안을 제공합니다. PCI DSS 또는 GDPR과 같은 엄격한 규정 준수 요구 사항을 충족해야 하는 조직은 키가 보안 환경을 벗어나지 않는다는 장점을 고려해 HSM을 선택할 수 있습니다.
키 관리 서비스는 타사 공급자가 제공하는 클라우드 기반 솔루션입니다. 이 서비스는 생성, 저장, 회전 및 파기를 포함한 암호화 키의 라이프사이클을 관리합니다. BYOK와 같은 기능을 활용하면 타사 클라우드 서비스를 사용하는 경우에도 조직이 암호화 키를 제어할 수 있습니다.
키 관리 서비스는 온프레미스 인프라에 많은 투자를 하지 않고도 키 관리 요구 사항을 동적으로 확장하려는 기업에 적합한 경우가 많습니다. 사용 편의성, 확장성 및 다양한 클라우드 서비스와의 통합을 제공할 수 있습니다.
오픈 소스 키 관리 솔루션은 유연하고 투명한 키 관리 옵션을 제공할 수 있습니다. 이 솔루션은 조직이 키 관리 관행을 사용자 지정하고 온프레미스 또는 클라우드 어디서든 기존 인프라와 통합할 수 있게 지원합니다.
오픈 소스 도구는 높은 유연성이 필요하거나, 공급업체 종속을 피하려고 하거나, 투명한 보안 관행을 보장해야 하는 조직에 유용할 수 있습니다.
KMIP는 키 관리 솔루션이 아니라 서로 다른 플랫폼 및 공급자 사이에 키 관리 시스템의 상호 운용성을 촉진하기 위해 설계된 표준화된 프로토콜입니다.
기본적으로 KMIP는 다양한 키 관리 시스템이 서로 통신하고 원활하게 작동할 수 있는 공통 언어를 제공합니다.
KMIP를 도입하면 조직은 멀티 클라우드 또는 하이브리드 클라우드 환경에서도 키 관리 관행을 일관되고 안전하게 유지할 수 있습니다.
이러한 표준화는 키 관리를 간소화하고 일관성 있는 보안 태세를 지원합니다. 여러 개의 키 관리 솔루션을 사용하거나, 서로 다른 시스템의 데이터로 작업하거나, 공급자를 변경해야 하는 조직에 매우 중요합니다.