2012.03.28

누가 암호화 키를 쥐고 있는가?

Stacy Collett | Computerworld
암호화 키나 디지털 권한이 제대로 관리되지 않는 한, 암호화는 결코 해답이 될 수 없다. 저장된 데이터를 어떻게 보호할 수 있는지 정리했다.

암호화는 좋지 못한 방화벽부터 해커 공격, 노트북 분실에 이르기까지 장황한 보안 문제를 완화시킬 수 있다. 데이터가 일단 암호화되면 범죄자가 사용하거나 판매할 수 없다. 또한 암호화된 데이터의 경우 분실하더라도 대부분의 지역에서 공시 의무를 회피할 수 있다. 포레스터 리서치가 조사한 기업 중 38%가 이미 전체 디스크 암호화 기술을 도입한 이유일 것이다. 하지만 데이터 암호화는 거기서 멈추지 않는다. 암호화 키와 디지털 권리 또한 잘 조화되고 보호되어야 한다. 그렇지 않으면 암호화 보호가 물거품이 되어 버린다.

예를 들어 예상 가능한 곳에 보관된 암호화 키는 현관 매트 아래 넣어둔 집 열쇠와도 같다. 침입자들에게는 식은 죽 먹기가 되는 것이다.

지난 12월 해킹 단체 어나니머스는는 법 집행 장비 제공 업체인 스페셜포스닷컴(SpecialForces.com)에 침입해 수천 명의 고객들에 관한 데이터와 신용카드 번호를 훔쳐낸 바 있다. 해당 데이터는 암호화되어 있었기 때문에 위기를 모면하는 듯 했다. 하지만 해커들은 거기서 멈추지 않았다. 그들은 해당 기업의 서버에 침입하여 암호화 키를 훔쳤다. 그리고 자체 웹 사이트를 통해 약 1만 4,000개의 암호와 8,000개의 신용카드 번호를 유출했다.

"[NIST(National Institute of Standards and Technology)가 명시한] 대부분의 표준화된 암호화 방법과 알고리즘은 훌륭하다. 문제는 그것을 이행하는 방법과 키를 어떻게 관리하느냐다"라고 포레스터 리서치의 애널릿트 존 킨더바그는 말했다.

많은 기업들이 규제를 준수하거나 데이터 분실 및 도난 시 개인정보 보호법의 공시 요건을 피하기 위해서 전체 디스크 암호화를 배치했지만 아직도 많은 기업들이 조치를 취하지 않고 있는 실정이다.

지난 1월 500명 이상의 IT 전문가들을 대상으로 설문조사를 실시한 포네몬 인스티튜트(Ponemon Institute)와 익스페리언 인포메이션 솔루션스(Experian Information Solutions)는 분실하거나 도난 당한 데이터의 상당수가 암호화되어 있지 않았다고 밝혔다.

분실한 데이터는 대부분 이메일(응답자의 70%가 대답), 신용카드 또는 은행 결제 정보(45%), 사회보장 번호(33%) 등이다. 만약 해당 기관이 침입의 원인을 밝혀낼 경우 대부분은 무심한 내부인이 원인(34%)일 경우가 많다. 19%는 제 3자에 대한 아웃소싱 데이터가 원인이라고 생각했으며 16%는 악의를 가진 내부인이 주요 원인이라고 답했다.

가트너 애널리스트 에릭 오엘렛은 "조직을 벗어나는 기기는 암호 이상의 수단을 동원해 보호되어야 한다. 이런 것들은 쉽게 해킹당할 수 있기 때문이다"라고 말했다. 움직이지 않는 데이터도 보호되어야 한다고 그는 덧붙였다. 그는 데이터가 암호화되어 있지 않을 경우에 "스토리지의 테이프에 이름을 잘못 붙이거나 찾을 수 없는 것도 유출 사건"이라고 지적했다.

반도체 생산 장비 제조사 어플라이드 머터리얼스(Applied Materials)는 정보를 보호하기 위해서 엄격한 요건에 직면하고 있다. 25개 국가에서 운영되고 있는 이 기업은 지난 2010년 말 보유하고 있는 1만 3,000개의 노트북 보안의 일환으로 전체 디스크 및 메시지 암호화를 시작했다. 현재 78%의 노트북이 암호화되어 있다.

이 기업의 CISO(Chief Information Security Officer)와 CPO(Chief Privacy Officer)를 겸하고 있는 매튜 아치발드는 "이 변화는 전 세계에서 긍정적인 반응을 얻고 있다. 엔지니어링의 측면에서 무엇이든 [시스템을] 느려지게 한다고 생각할 수 있다. 따라서 성능에 전혀 영향을 끼치지 않는다고 증명할 필요가 있다"라고 말했다.

EDRM에 주의하여 진행하라

문서를 읽고 수정하기 위한 권한을 할당하는 것이 좋은 생각처럼 보이지만 가트너의 에릭 오엘렛은 문서를 오랫동안 보관하는 기관에 이런 방식을 추천하지 않는다고 전했다.

"EDRM(Enterprise Digital Rights Management)에 대한 표준이 없기 때문"이라고 그는 설명했다. 만약 한 벤더가 암호화 방법이나 기술 적용 방법을 바꾸면 사용자는 반드시 업그레이드를 하거나 기존의 모든 문서를 갱신하거나 그 누구도 문서를 열 수 없는 상황이 발생할 수 있는 위험을 감수해야 한다는 것이다. 어떤 가트너의 고객은 지난 8년 동안 2번이나 업그레이드를 해야 했다고 그는 덧붙였다.

그는 "만약 문서가 12~18개월 동안만 유효하다면 위험을 충분히 관리할 수 있다. 하지만 만약 문서가 4~5년 이상 유지되어야 한다면 대체 시스템을 구축해야 한다"라고 말했다. 대체 시스템이란 해당 문서의 플레인 텍스트(Plain Text)를 기관의 1~2명만이 접근할 수 있는 곳에 보관하는 것이다.

- 스테이시 콜렛



인텔은 자사 노트북 중 85%에 대해 전체 디스크 암호화한 상태다. 그러나 CISO 말콤 하킨스는 이미 다음 단계를 준비하고 있다. 그것은 노트북이 대기, 잠자기, 하이버네이트 모드에 있을 때의 암호화 공백을 해결하는 자체 암호화 하드 디스크다.

하킨스는 "사람들이 항시 전원이 켜져 있거나 순간적으로 전원을 켤 수 있는 제품으로 이동하면서 9시간 동안 배터리가 유지되거나 항시 대기 상태로 있다면 데이터가 암호화되지 않는다"라며, 암호화는 일반적으로 사용자가 패스코드를 입력하고 시스템이 재부팅 되기를 기다려야 한다는 점을 언급했다. 그는 이어 "이것이 가능하다면 잠재적으로 통제 비용을 낮출 수 있는 자체 암호화 드라이브가 해답이 될 수 있다"라고 말했다.

키 관리
데이터를 암호화하는 것이 중요하지만 암호화와 해독 과정을 제어하는 키는 더욱 중요하다. 왜냐하면 키가 없다면 데이터가 무용지물이 되기 때문이다. 그리고 너무 프로그램과 기기들이 암호화와 개별적인 키 관리를 필요로 하게 되면 키를 잘못 관리하거나 위험한 지름길을 선택하게 되기 마련이다.




2012.03.28

누가 암호화 키를 쥐고 있는가?

Stacy Collett | Computerworld
암호화 키나 디지털 권한이 제대로 관리되지 않는 한, 암호화는 결코 해답이 될 수 없다. 저장된 데이터를 어떻게 보호할 수 있는지 정리했다.

암호화는 좋지 못한 방화벽부터 해커 공격, 노트북 분실에 이르기까지 장황한 보안 문제를 완화시킬 수 있다. 데이터가 일단 암호화되면 범죄자가 사용하거나 판매할 수 없다. 또한 암호화된 데이터의 경우 분실하더라도 대부분의 지역에서 공시 의무를 회피할 수 있다. 포레스터 리서치가 조사한 기업 중 38%가 이미 전체 디스크 암호화 기술을 도입한 이유일 것이다. 하지만 데이터 암호화는 거기서 멈추지 않는다. 암호화 키와 디지털 권리 또한 잘 조화되고 보호되어야 한다. 그렇지 않으면 암호화 보호가 물거품이 되어 버린다.

예를 들어 예상 가능한 곳에 보관된 암호화 키는 현관 매트 아래 넣어둔 집 열쇠와도 같다. 침입자들에게는 식은 죽 먹기가 되는 것이다.

지난 12월 해킹 단체 어나니머스는는 법 집행 장비 제공 업체인 스페셜포스닷컴(SpecialForces.com)에 침입해 수천 명의 고객들에 관한 데이터와 신용카드 번호를 훔쳐낸 바 있다. 해당 데이터는 암호화되어 있었기 때문에 위기를 모면하는 듯 했다. 하지만 해커들은 거기서 멈추지 않았다. 그들은 해당 기업의 서버에 침입하여 암호화 키를 훔쳤다. 그리고 자체 웹 사이트를 통해 약 1만 4,000개의 암호와 8,000개의 신용카드 번호를 유출했다.

"[NIST(National Institute of Standards and Technology)가 명시한] 대부분의 표준화된 암호화 방법과 알고리즘은 훌륭하다. 문제는 그것을 이행하는 방법과 키를 어떻게 관리하느냐다"라고 포레스터 리서치의 애널릿트 존 킨더바그는 말했다.

많은 기업들이 규제를 준수하거나 데이터 분실 및 도난 시 개인정보 보호법의 공시 요건을 피하기 위해서 전체 디스크 암호화를 배치했지만 아직도 많은 기업들이 조치를 취하지 않고 있는 실정이다.

지난 1월 500명 이상의 IT 전문가들을 대상으로 설문조사를 실시한 포네몬 인스티튜트(Ponemon Institute)와 익스페리언 인포메이션 솔루션스(Experian Information Solutions)는 분실하거나 도난 당한 데이터의 상당수가 암호화되어 있지 않았다고 밝혔다.

분실한 데이터는 대부분 이메일(응답자의 70%가 대답), 신용카드 또는 은행 결제 정보(45%), 사회보장 번호(33%) 등이다. 만약 해당 기관이 침입의 원인을 밝혀낼 경우 대부분은 무심한 내부인이 원인(34%)일 경우가 많다. 19%는 제 3자에 대한 아웃소싱 데이터가 원인이라고 생각했으며 16%는 악의를 가진 내부인이 주요 원인이라고 답했다.

가트너 애널리스트 에릭 오엘렛은 "조직을 벗어나는 기기는 암호 이상의 수단을 동원해 보호되어야 한다. 이런 것들은 쉽게 해킹당할 수 있기 때문이다"라고 말했다. 움직이지 않는 데이터도 보호되어야 한다고 그는 덧붙였다. 그는 데이터가 암호화되어 있지 않을 경우에 "스토리지의 테이프에 이름을 잘못 붙이거나 찾을 수 없는 것도 유출 사건"이라고 지적했다.

반도체 생산 장비 제조사 어플라이드 머터리얼스(Applied Materials)는 정보를 보호하기 위해서 엄격한 요건에 직면하고 있다. 25개 국가에서 운영되고 있는 이 기업은 지난 2010년 말 보유하고 있는 1만 3,000개의 노트북 보안의 일환으로 전체 디스크 및 메시지 암호화를 시작했다. 현재 78%의 노트북이 암호화되어 있다.

이 기업의 CISO(Chief Information Security Officer)와 CPO(Chief Privacy Officer)를 겸하고 있는 매튜 아치발드는 "이 변화는 전 세계에서 긍정적인 반응을 얻고 있다. 엔지니어링의 측면에서 무엇이든 [시스템을] 느려지게 한다고 생각할 수 있다. 따라서 성능에 전혀 영향을 끼치지 않는다고 증명할 필요가 있다"라고 말했다.

EDRM에 주의하여 진행하라

문서를 읽고 수정하기 위한 권한을 할당하는 것이 좋은 생각처럼 보이지만 가트너의 에릭 오엘렛은 문서를 오랫동안 보관하는 기관에 이런 방식을 추천하지 않는다고 전했다.

"EDRM(Enterprise Digital Rights Management)에 대한 표준이 없기 때문"이라고 그는 설명했다. 만약 한 벤더가 암호화 방법이나 기술 적용 방법을 바꾸면 사용자는 반드시 업그레이드를 하거나 기존의 모든 문서를 갱신하거나 그 누구도 문서를 열 수 없는 상황이 발생할 수 있는 위험을 감수해야 한다는 것이다. 어떤 가트너의 고객은 지난 8년 동안 2번이나 업그레이드를 해야 했다고 그는 덧붙였다.

그는 "만약 문서가 12~18개월 동안만 유효하다면 위험을 충분히 관리할 수 있다. 하지만 만약 문서가 4~5년 이상 유지되어야 한다면 대체 시스템을 구축해야 한다"라고 말했다. 대체 시스템이란 해당 문서의 플레인 텍스트(Plain Text)를 기관의 1~2명만이 접근할 수 있는 곳에 보관하는 것이다.

- 스테이시 콜렛



인텔은 자사 노트북 중 85%에 대해 전체 디스크 암호화한 상태다. 그러나 CISO 말콤 하킨스는 이미 다음 단계를 준비하고 있다. 그것은 노트북이 대기, 잠자기, 하이버네이트 모드에 있을 때의 암호화 공백을 해결하는 자체 암호화 하드 디스크다.

하킨스는 "사람들이 항시 전원이 켜져 있거나 순간적으로 전원을 켤 수 있는 제품으로 이동하면서 9시간 동안 배터리가 유지되거나 항시 대기 상태로 있다면 데이터가 암호화되지 않는다"라며, 암호화는 일반적으로 사용자가 패스코드를 입력하고 시스템이 재부팅 되기를 기다려야 한다는 점을 언급했다. 그는 이어 "이것이 가능하다면 잠재적으로 통제 비용을 낮출 수 있는 자체 암호화 드라이브가 해답이 될 수 있다"라고 말했다.

키 관리
데이터를 암호화하는 것이 중요하지만 암호화와 해독 과정을 제어하는 키는 더욱 중요하다. 왜냐하면 키가 없다면 데이터가 무용지물이 되기 때문이다. 그리고 너무 프로그램과 기기들이 암호화와 개별적인 키 관리를 필요로 하게 되면 키를 잘못 관리하거나 위험한 지름길을 선택하게 되기 마련이다.


X