중단없는암호화·키 관리로 보호해야
[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>
버라이즌의 ‘2019 데이터 유출 조사 보고서(DBI)’에 따르면 데이터 침해 사고의 52%는 해킹 도구에 의해, 33%는 사회공학 기법에 의해, 32%는 훔친 인증 정보를 이용해, 28%는 멀웨어에 의해 탈취됐다. 공격자의 69%는 외부 해커이며, 34%는 내부자가 포함돼 있었다. 71%는 금전적 동기에 의한 것이었으며, 56%는 발견될 때 까지 수 개월의 시간이 걸렸다. 포네몬연구소의 보고서에서는 중소기업의 사이버 공격 피해는 100만 달러를 상회할 수 있다고 분석했다.
대규모 개인정보 유출사고의 대표적인 예는 미국 신용정보회사 캐피탈원이 방화벽 설정 오류로 AWS 상의 고객정보를 탈취당한 사건과 에콰도르의 2000만명 국민 개인정보가 데이터베이스 설정 오류로 인터넷에 노출된 사고를 들 수 있다. 페이스북은 4억2000만 사용자의 ID와 전화번호를 인터넷에 무방비로 노출했다.
이렇게 유·노출된 개인정보는 또 다른 공격으로 이어진다. 크리덴셜 스터핑은 이전에 유출된 개인정보를 이용해 웹 서비스에 적용시키면서 추가 정보를 탈취하는 기법이다. 이를 통해 개인 신용정보, 금융정보, 의료 정보 등을 다양하게 확보해 고급 개인정보 DB를 확보할 수 있으며 이를 다크웹이나 관련 기업 등에 판매하거나 다른 공격에 이용할 수 있다.
클라우드 상의 데이터는 더 위험하다. 가트너는 클라우드 보안 사고의 99%가 사용자 실수에 의해 발생한다고 전망했는데, 실제로 클라우드 설정 오류로 암호화되지 않은 개인정보가 공개된 상태로 수 개월 간 방치된 사고가 여러 번 발견되기도 했다.
탈레스의 ‘2019 클라우드 보안 연구’에 따르면 설문에 응답한 기업의 46%가 클라우드에 고객 데이터를 저장하고 있다고 밝혔다. 클라우드에 가장 많이 저장하는 데이터로 고객정보를 꼽은 사람이 60%, 고객 이메일이 48%였다. 클라우드에 민감 데이터를 저장하면서 암호화 등의 보안 조치는 소홀하다. 클라우드에 저장된 민감 정보를 암호화한다는 응답은 49%에 그쳤다.
데이터 유출 사고를 입은 기업은 반복적으로 공격자의 타깃이 된다. 탈레스는 ‘데이터 유출 면역력을 가진 기업은 없다’고 설명하는데, 미국 유통기업의 37%가 전년 데이터 유출 사고를 겼었으며, 과거에 사고를 경험한 기업은 62%에 달했다.
암호화의 핵심, 키관리
클라우드든 온프레미스든 데이터는 암호화 해 저장해야 하고 키를 안전하게 관리해야 한다. 데이터 암호화 솔루션은 탈레스의 보메트릭, 세이프넷 데이터 보호 제품군이 있으며, 토종 솔루션으로는 펜타시큐리티, 이글로벌, 케이사인, 모니터랩, 신시웨이 등이 있다.
키관리 솔루션 중 가장 강력한 보안을 제공하는 하드웨어 보안 모듈(HSM)은 탈레스와 엔사이퍼가 제공한다. HSM은 최근 클라우드, IoT, 차세대 인증 등에도 사용되고 있으며, 동시에 수천만대의 인증서를 발급하고 관리하는 등 대규모 환경에서의 키관리 이슈에도 대응한다.
클라우드에서 키 관리는 아주 중요한 문제가 될 수 있다. 대부분의 기업들이 클라우드에 데이터를 암호화하고 키 관리를 클라우드 사업자의 서비스를 이용한다. 동일한 클라우드에서 암·복호화가 이뤄지기 때문에 속도를 개선할 수 있지만, 클라우드 인증 권한을 탈취한 공격자가 암호화 데이터와 키를 함께 유출하는 것을 막을 수 없다.
이 문제를 해결하는 방법으로, 암호화 데이터와 키를 클라우드에 두고, 마스터키를 기업에서 관리하는 방안이 제안된다. 마스터키는 HSM으로 보호해 가장 높은 수준의 보호 정책이 적용되도록 한다. 클라우드의 키와 마스터키의 인증값만 통신이 이뤄지기 때문에 가볍고 빠른 인증이 가능하며, 클라우드 상의 암호화 데이터와 키가 가까이에 있어 암복호화에 필요한 리소스를 최소화 할 수 있다.
DRM으로 중요 문서 보호
우리나라에서 시작한 보안 솔루션 중 주목할만한 것이 문서 암호화를 위해 사용되는 DRM이다. 파수닷컴, 마크애니, 소프트캠프가 대표이다. 이들 3사 모두 DRM 솔루션 매출이 가장 높지만, 차세대 성장을 위해 선택한 전략이 제각각 다르다는 것은 매우 흥미있는 일이다.
파수닷컴은 데이터 보호 아키텍처를 중심으로 DRM, 분산된 데이터 식별 및 검색, 전자문서 관리, 개인정보 보호 등의 솔루션을 추가하면서 데이터 중심 보안 전략을 강화한다. 이 기술을 클라우드를 통해서도 서비스하며 데이터 보안 컨설팅 서비스를 함께 제공해 데이터 보안 수준을 향상시키고 있다.
2020년에는 비정상행위 탐지, 권한제어 등의 기술을 고도화하고 협업 솔루션을 이용해 업무 생산성 제고를 지원할 방침이다. 더불어 클라우드 시장확대를 위해 클라우드 접근 보안 중개(CASB), 클라우드 보안 형상관리(CSPM) 솔루션을 출시할 계획이다.
마크애니는 공공 문서 위변조 방지 원천 기술을 활용한 블록체인 사업에 박차를 가한다. 마크애니는 자체개발한 블록체인 플랫폼을 통해 문서 유통 과정의 위변조를 방지하는 서비스를 제공하고 있으며, 관세청 사례가 글로벌 시장에서 주목받는다.
소프트캠프는 콘텐츠 무해화(CDR)와 문서 중앙화 및 협업, 공급망 보안 등으로 사업을 확대해 나간다. 이 중 CDR은 일본 공공기관·지자체 등에서 매우 큰 성과를 보이고 있으며, 국내에서도 가장 앞선 경쟁력을 기록한다. 공급망 보안 솔루션도 주목받고 있는데, 패치 파일의 변경 내역을 추적·비교하고, 패치파일을 무해화해 적용할 수 있도록 한다. 이외에도 문서중앙화, 협업 등의 기술을 제공하며 업무와 밀접하게 적용되는 보안 프로세스를 수립하도록 한다.
