당신의 컴퓨터는 정말 안전합니까?
상태바
당신의 컴퓨터는 정말 안전합니까?
  • 데이터넷
  • 승인 2008.04.02 00:00
  • 댓글 0
이 기사를 공유합니다

데이터 보안
당신의 컴퓨터는 정말 안전합니까?
암호화 통한 데이터 보안 ‘필수’ … 디스크 기반 FDE 방식 ‘우세’

모든 PC 사용자들은 그 양에 차이가 있을 뿐 하드 디스크 내에 중요하고 민감한 데이터를 저장하게 된다. 특히 업무는 물론 개인의 생활 속에서도 PC에 대한 의존도가 높아지면서 민감한 데이터의 중요도는 더욱 높아져 가기 마련이다. 이번 호에서는 디스크 드라이브 상의 데이터에 대한 암호화, 보다 구체적으로는 소프트웨어 기반의 암호화에 대해 소개하고자 한다. 다음 호에서는 하드웨어 기반의 암호화 솔루션에 대해 상세히 살펴본다. <편집자>

연재순서
1회 : PC 데이터 보안 위한 소프트웨어 기반 암호화(이번호)
2회 : 하드웨어 기반 암호화 솔루션


브라이언 위크먼 // 씨게이트테크놀로지
한국 및 대만 지역 총괄책임자

모든 PC 사용자들은 그 양에 차이가 있을 뿐 하드 디스크 내에 중요하고 민감한 데이터를 저장하게 된다. 특히 업무는 물론 개인의 생활 속에서도 PC에 대한 의존도가 높아지면서 민감한 데이터의 중요도는 더욱 높아져 가기 마련이다. 뿐만 아니라 개인적으로 PC에 저장해 두고 있는 수많은 디지털 자산들은 금전적 가치는 물론 돈으로서는 따지기 힘든 개인적인 가치를 담고 있는 경우가 많다. 이처럼 PC 내의 디지털 자산에 대한 가치가 높아지면서 해당 데이터 및 디지털 자산을 안전하게 보호하는 것이 중요한 과제로 떠오르고 있다.
그 중에서도 데이터를 안전하게 보호할 수 있는 효과적인 솔루션을 찾고자 하는 기업, 공공기관 등 각종 조직을 돕기 위해 이번 호에서는 디스크 드라이브 상의 데이터에 대한 암호화, 보다 구체적으로는 소프트웨어 기반의 암호화에 대해서 살펴본다.

암호화 중요성
PC 보안에 있어 가장 기초적인 방법은 PC에 액세스할 경우 인증을 거친 후 사용하는 방식이다. 운영체제, 바이오스, 하드 디스크 액세스 컨트롤 시스템 등에 의해 제공되는 이 같은 인증 방식의 액세스 컨트롤 메커니즘은 기본적인 보안 기능을 수행하지만 인증을 통한 보안 기능은 비교적 쉽게 뚫리는 것이 현실이다. 예를 들면, 하드 디스크를 제거해 ID 및 패스워드를 알고 있는 다른 시스템에 장착하면 바이오스 또는 운영체제 단에서의 인증 보안을 쉽게 해제할 수 있고, 하드 디스크에 저장된 데이터에 손쉽게 액세스할 수 있게 된다.
반면 암호화 방식은 제대로 수행만 되면 충분한 데이터 보안 기능을 수행한다. 액세스에 대한 인증이 아니라 데이터 자체를 암호화하기 때문에 해커들이 하드 디스크를 빼내 다른 시스템에 장착해도 하드 디스크 내부의 데이터를 읽을 수 없다. 따라서 액세스 컨트롤 방식의 데이터 보호가 실패 또는 해제되더라도 하드 디스크에 있는 데이터 자체는 안전하게 남아있게 되는 것이다.
데이터 암호화의 또 다른 장점은 저장장치를 더 이상 사용하지 않는 경우에도 해당 데이터를 보호한다는 점이다. 많은 공공기관 및 기업에서는 PC나 서버를 교체할 경우 기존 PC나 서버에 남아있던 데이터의 유출을 막기 위해 특별한 소프트웨어를 사용해 삭제하거나 심지어는 멀쩡한 하드 디스크를 파기하기도 한다.
데이터 유출을 막기 위한 불가피한 조치라고는 하지만 이에 소요되는 시간과 비용이 만만치 않은 것이 사실이다. 하지만 데이터 암호화 솔루션이 적용된 경우라면 PC나 서버가 폐기되거나 재사용을 위해 다른 곳으로 옮겨질 경우에도 암호화됐던 데이터는 여전히 보호되며, 따라서 데이터를 덮어쓰거나 저장장치를 물리적으로 파기하는 비용을 절감할 수 있다.
뿐만 아니라 민감한 데이터에 대한 암호화 처리를 요구하는 법과 규제가 증가하고 있는 이슈에 대비할 수 있다. 이는 아마도 대다수 기업이나 공공기관에서 가장 중요한 부분이라고 할 수 있을 것이다. 실제 컴플라이언스 미준수에 따른 결과는 한 조직에 치명적인 위협을 가져올 수 있다. 단 한대의 노트북이나 하드 디스크가 분실된 경우에도 그 피해가 수백만 달러에 달할 수도 있기 때문이다.

소프트웨어 기반 암호화 개요
소프트웨어 기반의 암호화 방식은 크게 ‘디바이스 기반의 시스템’과 ‘파일 기반의 시스템’으로 나눠진다. 각각의 시스템에 따라 장단점을 가지고 있다.
디바이스 기반의 시스템들은 디스크 드라이브나 USB 드라이브 같은 특정기기와 연결돼 사용되며, 일반적으로 암호화 진행과정은 디바이스 드라이버 안에서 이뤄진다. 이 같은 방식에서는 사용자의 ID가 확인되면 디바이스 내에 저장된 모든 데이터가 자동적으로 투명하게 암호화되고, 디바이스에서 읽혀진 모든 데이터 역시 자동적으로 투명하게 암호가 해제된다.
만약 사용자가 정확한 ID와 비밀번호를 제공할 수 없다면, 암호화는 해제되지 않고 데이터는 계속 암호화돼 있어 읽을 수 없게 된다. 그러나 암호화는 디바이스 자체에 의존하기 때문에 다른 저장매체나 시스템에 복제돼 저장된 데이터에 대해서는 해당 저장매체나 시스템이 다른 방식의 재암호화 과정을 필요로 하게 된다.
디바이스 기반의 완전 디스크 암호화(Full Disk Encryption) 제품들은 이미 90년대 초반부터 출시됐으나 최근에는 다른 방식의 디바이스 기반 암호화 제품들이 등장하기 시작했다. 이것들은 하드 디스크 암호화 시스템과 유사하나 이 새로운 차세대 디바이스 암호화 제품군은 USB 드라이브, CD, DVD 및 기타 저장매체 상의 데이터 모두를 암호화한다.
반면 파일 기반의 암호화 시스템은 애플리케이션 단에서 작동한다. 한 개 혹은 복수의 애플리케이션이 애플리케이션 자체 안에서 각각의 파일을 암호화하는 방식이다. 따라서 파일이 하드 디스크나 다른 장치에 저장될 때 이미 암호화가 이뤄진 상태에서 저장된다.
암호화가 애플리케이션 내에서 이뤄지기 때문에 암호화는 디바이스에 국한되지 않고 어디서든 보호된다. 이 같은 방식으로 암호화된 파일은 어디에 저장되던, 네트워크를 통해 전송되든지에 무관하게 항상 안전한 상태를 유지할 수 있다.
파일 기반의 암호화 시스템에는 여러 방식이 있다. 특정 파일을 암호화하는 유틸리티를 매뉴얼 방식으로 작동시킬 수도 있으며, 다른 애플리케이션 내부에 긴밀하게 통합돼 작동될 수도 있다. 예를 든다면 마이크로소프트 오피스 프로그램 내에서 플러그인 방식으로 작동될 수 있으며, 기밀사항과 같은 특정 단어를 포함하고 있는 모든 파일을 자동으로 암호화시키도록 설정할 수도 있다. 또 신용카드 정보, 주민등록번호 등과 관련된 것으로 보이는 모든 데이터를 자동으로 암화화하도록 설정도 가능하다.
또 다른 방식으로는 파일 보안을 위해 특별히 설정된 폴더에 저장되는 어떠한 형태의 파일이라도 암호화할 수도 있다. 이 같은 특징 때문에 파일 기반의 암호화 시스템들은 ‘암호화 파일 및 폴더 시스템’이라고 불리기도 한다. 파일 기반의 암호화 시스템 역시 개별 유틸리티 프로그램으로 오래전부터 사용돼 왔으나 중앙집중식 통제와 암호화된 파일을 복수의 다른 그룹과 공유를 지원하는 기업용 버전으로 출시된 것은 최근이다.

솔루션 선택 시 고려사항
소프트웨어 기반의 암호화 솔루션을 고려할 경우 반드시 고려해야 하는 몇 가지 특징들이 있다. 보안상의 요구사항을 충족시켜야 할 뿐만 아니라 자동화된 방식으로 투명하게 이뤄져야 하며, 설치 및 사용이 쉬워야 한다. 기업 내부에 저장돼 있는 모든 데이터에 대한 암호화 솔루션을 선택할 때 중요한 사항들을 정리하면 다음과 같다.

· 보안의 범위 - 해당 시스템이 민감한 모든 데이터를 암호화할 수 있는가. 암호화가 애플리케이션 내부에서 구현되는 경우(파일 기반의 시스템) 해당 시스템 외부에서 생성된 데이터의 경우 암호화되지 않는 경우가 있어 주의를 기울일 필요가 있다.

· 신뢰할 수 있는 구현 방안 - 만약 조직에서 디스크 드라이브가 도난 또는 유출됐다면 단순 물품 도난이 아닌 데이터 도난 사고라고 봐야 한다. 상황에 따라 관계당국에 신고하거나 고객들에게 통보해야 하는 경우도 발생한다. 무엇보다 중요한 것은 보안 구현 방식으로, 사람의 실수를 통해 데이터가 유출되는 경우를 방지해야 한다. 실제 대부분의 데이터 유출이 사람의 실수에 의해 발생하기 때문이다. 또 조직의 상황에 맞춰 엄격하게 자동화된 암호화 기능이 작동하도록 하는 것이 필요할 뿐 아니라 개별 사용자가 임의로 설정된 보안 기능의 변경이나 삭제를 방지하는 것 역시 중요하다.

· 성능 - 암호화는 복합한 프로세싱으로 인해 과중한 부하를 발생시킨다. 소프트웨어 기반의 암호화 방식은 CPU 점유율이 높기 때문에 자칫 시스템 전체의 성능에 영향을 미칠 수 있다. 암호화 솔루션 자체가 PC 성능을 떨어뜨리는 역할을 한다면 조직 내 사용자들의 불만을 사게 되며, 이는 효율적인 보안 구현에 걸림돌로 작용하게 된다.

· 간편한 설치 - 대부분의 기업용 소프트웨어의 경우 다중 시스템 상에 해당 소프트웨어를 설치하는 것이 결코 만만한 일은 아니다. 소프트웨어 기반의 암호화 솔루션을 설치하는 경우도 마찬가지다. 따라서 쉽게 설치할 수 있으며, 언제나 손쉽게 백업을 실행할 수 있는 패키지로 구성하는 것이 중요하다.

· 사용 편리성 - 사용의 편리함을 위해 암호화 시스템은 자동화된 시스템이 전적으로 투명하게 구현되는 방식이야 하며, 사용자들의 PC 사용을 방해해서도 안 된다. 소프트웨어 기반의 FDE 시스템은 하드웨어 구성과 기타 요소에 따라 PC 성능을 저해하는 경우가 발생할 수 있다. 반면 파일 기반의 솔루션의 경우 어느 선까지는 자동적으로 이뤄지나 사용자의 개입을 상당히 필요로 한다는 점에서 약점을 가진다. 또 지속적인 유지보수에 상당한 비용이 소요되는 경우가 있기 때문에 유지보수에 있어 편리하고 비용을 절감할 수 있는 솔루션을 선택해야 한다.

· 하드웨어 암호화와 통합사용 가능 여부 - 일부 소프트웨어 암호화 패키지는 암호화 하드웨어와 통합돼 사용될 수 있으며, 이 경우 성능 및 보안 수준을 획기적으로 높일 수 있는 방안이 마련될 수 있다. 따라서 하드웨어 방식의 암호화와 통합돼 사용될 수 있는 지 여부를 미리 따지는 것이 좋다.

소프트웨어 암호화 장점
소프트웨어 방식의 암호화에는 장단점이 있다. 가장 큰 장점으로는 ‘소프트웨어 방식의 암호화 시스템은 특정 하드웨어에 의존하지 않는다’는 점이다. 파일 레벨에서의 기업용 암호화 시스템이 윈도 환경에 제약을 받게 되는 경우가 있지만 기본적으로 파일 레벨의 단일 암호화 시스템은 어떤 플랫폼 상에서도 적용될 수 있다.
디스크 내부에 있는 모든 데이터들을 암호화하는 시스템의 경우에도 최신 윈도 버전을 모두 지원하는 다양한 FDE 소프트웨어들이 출시돼 있다. 필요한 하드웨어도 많지 않기 때문에 새로운 하드웨어를 추가로 구매할 필요 없이 전사적인 암호화 시스템 구축이 즉각적으로 가능하다는 것 역시 장점이다.
이미 시장에서 검증되었다는 것 역시 큰 장점이다. 물론 일부 파일 레벨 암호화 시스템의 기업용 버전의 경우 시장에서 도입 초기 단계지만 대부분의 소프트웨어 기반의 FDE 솔루션들은 시장에서 검증을 거친 제품들이다. 또한 스마트카드, 휴대폰, 보안 토큰 및 USB 토큰, 지문인식 등 다양한 인증 방식과 연계돼 더욱 강력한 보안을 실현할 수 있다는 점도 장점으로 작용될 수 있다.
소프트웨어 기반의 솔루션들의 또 다른 장점으로는 관리 인프라스트럭처를 구성할 수 있다는 점을 꼽을 수 있다. 예를 들어, 대부분의 소프트웨어 기반의 FDE 솔루션들은 전사적 관리 시스템의 기능을 수행할 수 있다. 구체적인 기능들은 다음과 같다.

· 중앙관리식의 헬프 데스크 기능을 통해 패스워드를 잊어버린 사용자가 인증 과정에서 도움이 필요한 사용자들을 지원할 수 있다.

· 중앙집중식의 키 관리 시스템을 통해 안전하게 키를 생성하고 관리할 수 있어 관리자가 필요시 데이터를 복구할 수 있다.

· 필요에 따른 다양한 설치방법을 유연하게 지원할 수 있어 마이크로소프트 매니지먼트 콘솔, 액티브 디렉토리 및 소프트웨어 배포 시스템 등과 긴밀한 통합이 가능하다.

소프트웨어 암호화 단점
소프트웨어 방식의 암호화 구현에도 몇 가지 부족한 점은 있다. 우선 대부분의 소프트웨어 암호화의 경우 부가 서비스로 제공되는 경우가 많은데, 여기서 문제 발생 여지가 생긴다. 통상적으로 사용자가 노트북이나 PC를 구매한 이후 관련 소프트웨어를 설치하게 되는데, 이 간단한 절차가 실질적으로는 만만치 않은 작업이 되기 일쑤기 때문이다. 따라서 IT 관리부서에서 책임을 맡아 개별 PC들에 일일이 설치하는 것은 많은 시간과 불필요한 인력 낭비를 초래하게 된다.
설치에 소요되는 시간 역시 문제점이 될 수 있다. 소프트웨어 개발사가 아무리 쉽고 빠르게 설치가 가능하도록 개발했더라도 모든 설치작업이 완료될 때까지는 상당한 시간이 소요된다. 하드 디스크 상에 존재하는 모든 데이터를 암호화하는 작업은 당연히 상당한 시간이 걸리기 마련이며, 소프트웨어 설치 이전에 수행돼야 하는 풀 백업 역시 상당한 시간이 소요되지만 정확한 지식을 갖고 있지 않은 개별 사용자들은 저항감을 갖게 되는 경우가 허다하다.
성능 이슈 역시 소프트웨어 기반 암호화 방식의 단점으로 지적된다. 암호화 작업은 CPU 점유율이 높은 작업으로, 대량의 데이터를 암호화하는 경우 사용자 PC의 성능을 저하시킬 수 있다. 적은 량의 데이터에 대한 작업이 진행되면서 사용자가 마이크로소프트 오피스나 이메일 등의 일상적인 애플리케이션을 사용할 경우라면 성능 저하를 인식하지 못하겠지만, 대용량의 데이터를 처리할 경우에는 성능 저하를 느끼게 된다.
실제 테스트 결과, 2.2GB 용량의 암호화된 파일에 액세스하는데 걸리는 시간이 현저히 증가한 사실을 알 수 있었다. 제작사에 따라 차이는 있지만 암호화 처리가 되지 않은 파일에 액세스하는 시간에 비해 40~117%까지 액세스 시간이 늘어나는 것으로 나타났다.
물론 소프트웨어 기반의 FDE 시스템이 해제되는 사고가 일어난 적은 없지만, 일반 CPU를 사용하는 소프트웨어 기반의 암호화가 하드웨어 기반의 암호화에 비해 상대적으로 완벽한 것은 사실이다. 바로 암호화 키 문제 때문이다. 암호화 키를 도난당할 경우 공격당할 수 있는 취약점이 있기 때문이다.
정상적인 인증을 통해 생성된 암호화 키를 트로이 목마 또는 악성코드 등을 통해 탈취할 수 있는 가능성이 있기 때문에 최고의 보안 수준을 요하는 기업에서는 문제가 될 수 있다. 반면 하드웨어 방식은 키에 액세스 할 수 있는 다른 프로세스가 없기 때문에 도난당할 염려가 없다.

소프트웨어 기반 암호화 시스템 구현 방안
소프트웨어 기반의 암호화 솔루션을 구현하기 위한 방법론은 여러 가지가 있을 수 있다. 간편하게 모든 데이터에 대한 암호화를 원한다면, 디바이스 기반의 암호화 방식을 선택해 디스크 상의 모든 데이터에 대한 암호화 작업을 수행하면 된다. 반면 파일 기반의 암호화 방식은 파일이 복사되거나 해당 디스크에서 옮겨지는 경우 유용한 방법이 된다.
물론 두 가지 방법 중 하나만을 택해야 할 이유는 없다. 두 방식 모두 상호보완적으로 작용할 수 있으며, 병행에 아무런 문제가 없기 때문이다. 두 가지 방법론에 있어 참조할만한 내용은 다음과 같다.
우선 FDE 등의 디바이스 기반의 암호화 시스템이 파일 기반의 암호화에 비해 설치가 용이하다. FDE 방식은 단순해 디스크 내부에 있는 모든 데이터를 암호화하지만 파일 레벨의 암호화는 사용자가 어떤 파일을 암호화할지, 암호화는 정확하게 이뤄졌는지 확인해야 하는 번거로움이 있다. 즉, 유연성이 있는 만큼 복잡함이 따르는 것이다.
디바이스 암호화의 맹점은 데이터가 해당 디바이스에 존재할 시에만 안전하다는 것이다. 해당 디바이스에서 데이터로 전송 또는 옮겨지는 순간 별도의 재암호화가 실행되지 않는 한 데이터의 보안성은 해제된다. 반면 파일 기반의 암호화 시스템은 해당 파일이 복사되거나 전송되는 경우에도 여전히 암호화된 상태를 유지한다.
파일 암호화 시스템의 경우 암호화된 파일의 공유를 통한 협업이 가능하지만 디바이스 기반의 암호화 방식은 이를 지원하지 못하는 것도 차이점이다. 또한 디바이스 암호화의 경우 일단 유효한 인증을 통해 암호화가 해제되면 한 번에 모든 데이터에 제약 없이 접근할 수 있다는 점에서 작업이 편리하다는 장점과 악성 코드 등에 의한 액세스까지 허용할 수 있다는 장단점 모두를 갖추고 있다.
파일 암호화 시스템의 경우에는 디바이스 방식에 비해 번거로운 과정이 문제가 될 수 있으며, 아직은 시장에서 충분한 검증을 거치지 않았다는 약점을 지닌다. 따라서 대규모 기업에서는 FDE 방식을 우선적으로 고려하는 것이 바람직하다고 볼 수 있다.

PC·노트북은 소프트웨어 방식 암호화가 ‘현실적’
PC 및 서버의 하드 드라이브에 저장된 기밀 데이터를 잃는 리스크는 간과할 수 없으며, 패스워드를 통한 인증 방식의 기본적인 액세스 관리 수준의 보안으로는 부족하다. 따라서 데이터 암호화를 통한 추가적인 보안 프로세스가 강구돼야 한다.
데이터 암호화 솔루션으로는 하드웨어 기반의 암호화 방식이 여러 면에서 유리한 점이 있지만 기존에 설치된 PC나 노트북에 대해서는 소프트웨어 방식의 암호화를 적용하는 것이 현실적인 방법이다. 비용 절감이 가능하며 추후 하드웨어 기반의 암호화로 마이그레이션이 가능하기 때문이다.
소프트웨어 기반의 암호화의 대표적인 두 가지 방법에는 파일 기반의 암호화와 디바이스 기반의 암호화가 있다. 파일 암호화 방식은 특정 디바이스에 무관하게 암호화된 파일을 항상 안전하게 보호할 수 있다는 장점을 지닌 반면 설치 및 관리가 번거로운 면이 있다. 이에 반해 디바이스 기반의 FDE 방식은 이미 시장에서 성숙 단계에 접어든 솔루션으로 설치 및 관리가 용이하다. 또한 디바이스 상에 존재하는 모든 데이터를 암호화한다는 장점도 지니고 있다.
뿐만 아니라 현재 대규모 기업들이 채택하고 있는 데이터 보안 시스템은 소프트웨어 기반의 FDE 시스템이 다수를 차지하고 있으며, PC를 교체할 경우 하드웨어 기반의 암호화 디스크로 교체가 용이하다는 점에서 디바이스 기반의 시스템이 유리한 것으로 판단된다. 아울러 암호화 관리 소프트웨어의 진화를 통해 하드웨어 단에서 파일 기반의 암호화를 포함한 다양한 암호화 작업이 수행될 것으로 예상되기 때문에 FDE 방식이 우세를 보일 전망이다.
이상 소프트웨어 기반의 암호화에 대해 살펴봤다. 다음호에서는 차세대 하드웨어 기반의 암호화 방식에 대해 알아보도록 하겠다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.