기업 보안을 위한 ’10가지 암호화 팁’

하지만 암호화가 잘못 되면 암호화가 적용되지 않았을 때 보다 더욱 심각한 결과로 나타날 수도 있다. 암호화 그 자체가 주는 안도감 때문이다. 암호화를 올바르게 진행하는 팁을 제시한다.

팁1 : 가장 강력한 암호화를 사용하라
데이터가 절대로 올바른 방향으로 어떤 비용을 치르고서라도 보호되어야 한다면, 잘 알려지고 많은 테스트를 거친 알고리즘과 실제로 관리 가능한 가장 긴 키(key)를 사용하라. 또 하드웨어 기반의 암호화를 사용하여 암호를 한 단계 높여야 한다. 미국 국가안보국(NSA)만이 수퍼컴퓨터를 가진 조직이 아니다.

인텔은 하드웨어 기반의 암호화 기술 확장에 힘쓰고 있는 기업 중 하나다. 인텔의 제품관리 디렉터인 제이슨 케네디에 따르면, 이러한 프로세스를 하드웨어 단계를 옮기게 되면 4배의 속도 향상이 가능하다. 그는 “프로세스 속도를 4배 향상시킴으로써 기업의 프로세스를 더욱 효과적으로 구현할 수 있게 된다”라고 그는 말했다.

케네디는 또한 노트북의 전체 드라이브 암호화가 직원들에게 덜 거추장스러워진다며, “보안이 업무 진행에 지장을 주지 않도록 하려 한다”라고 말했다.

팁2 : 키(key)를 안전하게 보관해라
암호화가 충분히 강력해 수퍼컴퓨터를 가진 정부 기관도 뚫을 수 없다면, 암호화 키 분실 시 문제가 어떠한 문제가 생겨날 수 있을 지 생각해볼 차례다.

라고 암호화 전문가이자 세이프넷(SafeNet)의 수석 전략 담당자인 치온 고낸은 “암호화에 대해서 생각하기 시작하는 사람들에게 주는 팁은 키(key)에 대해서 생각하라는 것이다. 키가 우선이고 암호화는 두 번째다”라고 말했다.

이는 키가 어떻게 생성될 것이고, 어떻게 저장될 것이고, 누가 접근권한을 갖게 될 것이고, 얼마나 자주 키가 변경될 것이고, 언제 삭제될 것인지에 대해 미리 계획을 세우고 있어야 한다는 것이다.

이는 일반적으로 키 관리 기술의 사용을 필요로 한다. 왜냐하면 이들 중 많은 기술은 수동으로 해내기 어렵기 때문이다. 그리고 실패가 발생할 경우 심각한 경우로 이어진다. 패스워드와 마찬가지로 모든 곳에 같은 키를 사용하고 싶지는 않을 것이다.

사이퍼포인트 소프트웨어(CipherPoint Software)의 CEO인 마이크 플렉은 “2년에 한번씩은 권고안에 따라 키를 교체해주어야 한다”라고 권고했다. 그리고 이는 해커들이 보안 키를 손에 넣었을 때 데이터에 접근권한이 생긴다는 이유에서만은 아니라고 강조했다.

그는 “암호화 데이터의 샘플 사이즈가 클수록, 해커가 데이터의 패턴을 찾을 확률이 높아진다”라고 설명했다.

팁3 : 키를 삭제해 클라우드의 데이터를 영구적으로 삭제
만약 여러분의 회사에서 중요한 문서를 공유하거나 편리한 백업을 위해 클라우드를 사용한다면, 이들 파일을 삭제할 때 과연 이들이 제대로 삭제된 것이라고 확신하는가?

세이프넷의 고넨은 “고객사 중에 온라인 법무 회사가 있다. 이들은 법률 관련 문서를 클라우드 서비스에 올려놓고 있다. 이들의 질문은 우리가 문서를 삭제하면 정말 지워지는 것인지 아니면 클라우드 인프라 어딘가에 저장되어 여전히 돌아다니는 것인지에 대한 것이었다”라고 전했다. 무언가 지워졌는지를 확인하는 방법 중 하나는 키를 삭제하는 것이다. 그렇게 되면 그 파일이 어느 곳에 저장이 되어있다고 해도 문제가 되지 않는다.

팁4 : 암호화를 사용해 데이터를 공유환경에서 분리시키기
암호화는 데이터를 논리적으로 분리할 수 있게 해준다. 세이프넷의 고넨은 “내부 클라우드에서 개인금융이나 기업금융의 경우와 같이 공유 인프라를 사용하는 경우, 이들 데이터간 분리를 어떻게 하는가? 암호화가 이를 가능하게 해준다”라고 설명했다.

팁5 : 데이터 옆에 키를 보관하지 마라
암호화 키를 암호화 데이터 옆에 보관하는 것은 ATM카드에 비밀번호를 써두는 것과 같다.

그리고 이는 내부 인프라 및 클라우드 환경에 모두 적용된다. 만약 해커 또는 권한을 얻었지만 정보를 남용할 가능성이 있는 사용자가 보안 데이터나 보안 키에 대해 접근할 경우, 모든 노력은 허사로 돌아간다.

만약 제3의 벤더에게 데이터가 저장되어 있을 때 해커와 직원 리스크는 외부 기관의 리스크와 합쳐진다. 반면 키를 본인이 가지고 있을 때는 정부기관이 소환장을 제시할 수 있다. 여러분의 집의 문을 두드릴 것이고 여러분은 그들이 무얼 찾고 있는지 알게 될 것이다.

문제는 데이터베이스나 시스템 관리자가 시스템의 키 관리 책임까지 있을 때 무엇을 해야 하냐는 것이다. 산호세의 보안업체 보메트릭(Vormetric)의 수석 보안책임자(CSO)인 솔 케이츠에 따르면 이 문제에 대한 해답은 동일 기업 내 다른 부서에서 보안 키를 가지고 있게 하는 것이다.

케이츠는 “일반적으로 고객들은 키 관리를 보안업체에서 담당해야 한다고 생각한다. 그리고 정책 관리는 보통 HR부서와 보안 부서, 혹은 기업의 고위층과 보안부서의 협업으로 이뤄진다”라고 말했다.

팁6 : 키를 포기하지 마라
일부 사용자는 보메트릭 키 관리 어플라이언스를 퍼블릭 클라우드 애플리케이션과 연동해 사용하기도 한다고 케이츠는 전했다. 그는 “이를 통해 우리의 여러 기업고객들이 클라우드에 더욱 많은 관심을 갖게 되었다”라며, 소규모 시스템도 퍼블릭 클라우드 등을 활용할 수 있다고 전했다.

즉 만약 클라우드를 통해 데이터를 저장하는 경우라면 데이터를 외부에 보낼 때 이를 암호화시킬 수 있다. 그리고 다시 클라우드로 들어올 때 암호를 해제할 수 있다. 그럼에도 저장 벤더는 보안 키를 볼 수 없다.

VPN도 이와 같은 접근법을 가능하게 해준다. 이는 기업간 암호화 터널을 구축해준다. 혹은 기업 내에서 이거나 직원간 의 암호화 터널을 엔드포엔트에서의 암호설정과 암호해제를 통해 가능케 해준다.

팁7 : 기능 보존 암호화는 긴요하지만 비용이 들 수 있다
데이터를 암호화하면서도 모든 데이터를 해독할 필요없이 분류하거나 검색할 수 있다. 호스팅 이메일과 같은 클라우드 기반의 애플리케이션을 사용하고 있다면 특히 이는 유용할 수 있다. 벤더업체에게 보안키를 제공하지 않고도 원하는 이메일을 찾을 수 있는 것이다. 프록시를 통해 내부 컴퓨터에서 모든 자료를 암호화하고 해독하기 때문이다.

하지만 이러한 접근법에는 두 가지 문제점이 있다. 하나는 암호화 기법에 더 많은 기능이 들어갈수록, 보안성이 떨어진다는 점이다. 이러한 리스크는 크지 않게 느껴질 수도 있고 일부 데이터에는 큰 문제가 되지 않을 수도 있지만 기밀을 요하는 정보에서는 문제가 된다.

두 번째 문제는 어떠한 암호화 기법도 모든 기능을 보존하지는 못한다는 것이다. 예를 들어, 철자 점검기능이 작동하지 않는다고 해보자. 문제 해결을 위해, 개발자들은 프록시에 이 기능을 구축해야 한다. 그리고 이는 클라우드 기반의 애플리케이션을 사용함으로서 나타나는 장점 중 하나인 새로운 기능에의 쉽고 빠른 접근을 포기하는 셈이다.

대신 클라우드 밴더가 새로운 기능을 내놓을 때, 사용자는 프록시에 이것이 추가될 때까지 기다려야 한다. 또한 프록시는 각각의 온라인 애플리케이션에 개별적으로 개발되어야 하며 이는 추가적인 비용을 의미한다.

뉴욕에 본사를 둔 볼티브(Vaultive)는 기업들로 하여금 마이크로소프트 오피스 365의 메일박스, 캘린더, 노트, 테스크 기능을 쓰게 하면서도 암호화 키를 내부 네트워크에 저장하도록 지원한다. 볼티브의 프록시 소프트웨어를 사용하는 기업들은 클라우드로 전송되는 모든 데이터를 암호화 할 수 있게 된다.

회사의 공동창업자 벤 마츠켈은 “이들은 모든 익스체인지 인프라를 허물어 비용 절감을 도모하는 것이다. 원격 애플리케이션은 그 기능을 발휘할 것이고 그 결과는 데이터가 암호화 되지 않았을 때 와 동일할 것이다. 이는 인덱싱, 소팅, 보고서 생성, 다양한 출처에서 데이터를 합쳐 이를 연관 짓는 것 등을 포함한다”라고 설명했다.


그는 이어 이디스커버리(e-discovery), 리걸 홀드(legal holds), 필터링과 데이터 분실 방지 등과 같은 다른 기능은 프록시 그 자체에서 다뤄진다고 설명했다. 참고로 이 기업은 마이크로소프트 기반의 클라우드에서도 다른 툴을 이용할 수 있도록 하기 위해 계획을 세우고 있다.

팁8 : 데이터 이외의 부분도 암호화를 고려하라
만약 퍼블릭 클라우드를 사용해 가상머신을 구동시키고 있다면 그리고 이에 대해 해커가 접근한다면 데이터에 침투할 확률이 매우 높다.

세이프넷의 고넨은 “2차세계대전 당시 연합군이 독일의 에니그마 머신에 접근하지 못했더라면 그들의 메시지를 풀어낼 수 없었을 것이다”라며 “따라서 해커들에게 가급적 정보를 주지 않는 것이 중요하다”라고 말했다.

팁9 : 직원들을 위한 보호기능을 생각하라
이미 외근 나가는 직원들을 위해 VPN을 셋업한 상태라면, 직원들 역시 인터넷을 개인적인 용도로 사용할 때 보안이 필요하다는 점을 잊어서는 안 된다. 그렇지 않는다면 퍼블릭 와이파이를 사용할 때 노트북에 저장된 중요한 기업문서들이 노출될 수 있다.

여러 제공업체들에서는 퍼블릭 인터넷 회선을 이용할 때 사용할 수 있는 인터넷 트래픽 암호화 서비스를 제공한다. 그리고 이를 내부 서버에 연결되었을 때 암호를 해독한다. 그리고 나머지를 일반적인 인터넷 채널로 보낸다.

비슷한 서비스는 모바일 기기에서 스카이프 전화를 거는데 사용될 수 있다. 단순히 여러 사람이 쓰는 핫스팟에서뿐만 아니라 독재정부가 전화를 엿듣는 외국에서 전화를 걸기 위해서도 사용될 수 있다.

워싱턴 DC에 본사가 있는 사일런트 서클(Silent Circle)의 경우 6월이후 NSA 정보유출이 드러나자 판매량이 5배증가한 바 있다.

두 당사자 모두가 동일한 서비스에 가입된 경우라면 대화는 끝에서 끝으로(end-to-end) 암호화 된 것이다. 한쪽 끝이 일반 전화라면, 그들의 대화는 사일런트 서클의 서버까지 암호화돼어 있고 그 이후에는 일반 전화신호로 전달된다. 한편 일반 음성전화와 문자메시지를 암호화 해주는 기업들도 있다.

팁10 : 데이터에서 키를 저장해야 한다면 키를 확실히 저장해둬야 한다
많은 노트북은 그 자체로 모든 일을 할 수 있도록 설계되어 있다. 따지고 보면 직원들은 자신들의 문서를 인터넷 연결이 되어 있지 않을 때도 필요로 한다. 즉 결과적으로 데이터 암호해독 키는 기기 자체에 보관되어 있어야 한다.

따라서 직원들에게 USB드라이브와 같은 별도의 스토리지에 암호 해독 키를 가지고 있도록 해야 한다. 아니면 키를 노트북 자체의 안전한 장소에 숨길 수도 있다.

탈레스 이시큐리티의 리차드 물드는 “노트북 내에 보안을 담당하는 칩이 있다. 하지만 대부분의 애플리케이션은 이것의 도움을 받지 않는”라고 말했다.

그에 따르면 마이크로소프트의 비트로커(BitLocker)는 이러한 칩을 사용하는 애플리케이션 중 하나다. 그는 “해커들은 칩 자체에 침투해야만 하고 그렇다고 해도 키를 얻기 위해 여러 단계의 절차를 거쳐야 한다. 따라서 침투가 거의 불가능해진다”라고 말했다. dl-ciokorea@foundryco.com