매제제어·중앙집중관리 등 유용한 부가기능 … 암호화 하드 디스크·기업보안 필수툴
지난호에서는 컴퓨터에 보관돼 있는 각종 데이터를 안전하게 보호할 수 있는 방법 중 소프트웨어를 활용한 솔루션에 대해 알아봤다. 이번호에서는 하드웨어 기반의 암호화 솔루션, 즉 차세대 암호화 하드 드라이브에 대해 데이터를 안전하게 보호할 수 있는 방안에 대해 소개한다. <편집자>
연재순서
1회 : PC 데이터 보안 위한 소프트웨어 기반 암호화
2회 : 하드웨어 기반 암호화 솔루션(이번호)
브라이언 위크먼 // 씨게이트테크놀로지
한국 및 대만 지역 총괄책임자
하드 디스크에서 데이터 암호화가 가능하게 된 것은 오래 전 일이다. 특정 데이터 세트를 암호화하는 애플리케이션은 이미 1980년대 초반부터 등장했었고, 하드 디스크의 모든 데이터를 암호화하는 소프트웨어 드라이버는 1987년도부터 출시됐다. 물론 이러한 방식은 오늘날 관점에서 보면 이들은 초보적인 수준의 디스크 암호화라고 할 수 있다.
최근에는 이러한 방법에서 한 발 더 나아가 드라이버 자체 내에서 하드웨어 기반의 암호화를 수행하는 디스크 드라이버가 출시되고 있다. 그렇다면, 최신의 암호화 하드 드라이브는 어떤 특징과 장점을 지니고, 이러한 하드웨어 기반의 접근법이 왜 효과적인가에 대해 알아본다.
하드웨어 암호화의 세 가지 이점
‘왜 데이터 암호화가 하드 드라이브 내부에서 이뤄져야 하는가?’ 이러한 질문에 대한 답은 분명하게 나열될 수 있다. 드라이브 자체 내에서 암호화를 수행하는 것이 유리한 이유는 첫째, 복잡한 암호화 작업을 실행하기 위해서는 엄청난 프로세싱 파워가 요구되기 때문이다. 암호화 기능을 전담하는 하드웨어가 없을 경우에는 CPU가 모든 작업을 감당하게 되는데, 이 경우 컴퓨터의 다른 작업이 영향을 받게 된다.
애플리케이션과 데이터 양에 따라 달라지긴 하지만 CPU에서 암호화 작업을 처리할 경우에는 전체 시스템 성능에 엄청난 영향을 미치게 된다. 반면 하드 디스크 자체에 암호화 칩을 갖춘 암호화 하드 디스크를 사용하는 경우에는 암호화 작업이 CPU가 아닌 드라이브 자체에서 처리되기 때문에 전체 시스템 성능에는 아무런 영향을 미치지 않는 이점을 준다.
하드 드라이브 내에서 암호화를 수행하는 것의 또 다른 장점으로는 더욱 강화된 보안성을 들 수 있다. 예를 들어 드라이브 트러스트(DriveTrust)라는 기술에 기반한 씨게이트의 암호화 디스크는 프로세스에 따라 하드웨어 접근을 제한시킬 수 있다. 즉 스파이웨어, 트로이 목마 등 운영체제 내에 침투해 코드를 변형시키는 악성 소프트웨어들은 드라이브 트러스트가 적용된 하드웨어에 침투가 불가능하게 만들 수 있다.
결국 하드 드라이브 내에서 암호화가 이뤄진 경우는 암호화 키 유출이나 데이터 변조 등이 원천적으로 차단되게 된다. 이는 모나리자 바로 옆에 보안 시스템과 무장 보안관을 배치한 것과 단지 박물관 밖에 방어벽을 설치한 것만큼의 차이에 비유할 수 있다. 밀착 보호하면 할수록 보안은 철저해지기 마련이다. 드라이브 자체 내에서 암호화를 수행하는 것은, 데이터에 더욱 근접한 곳에서 보안 기능을 수행함으로써 근접 경호와 동일한 효과를 얻을 수 있다.
하드 디스크 내에서 암호화를 진행하는 세 번째 장점은 시스템 구축이 시작되는 처음부터 데이터 보호 작업이 이뤄진다는 점이다. 드라이브 자체가 암호화를 진행하기 때문에 운영체제, 사용자 데이터와 애플리케이션 데이터 등 디스크에 존재하는 모든 것들이 처음부터 보호된다. 다시 말해 디스크 구입 시부터 디스크 내부에 대한 암호화가 이뤄져 추가적인 소프트웨어를 구입할 필요가 없게 되는 이점을 준다.
이는 또한 단순한 비용 절감 효과뿐만 아니라 소프트웨어 방식의 암호화 솔루션에서는 필수적인 전체 데이터에 대한 암호화를 진행하는데 필요한 시간과 노력을 절감할 수 있다. 소프트웨어 암호화의 솔루션이 설치되는 중간에도 컴퓨터를 사용할 수는 있지만 시스템 부하로 암호화를 하지 않을 때 보다 많은 시간이 걸리는 것은 분명하다. 소프트웨어 방식의 암호화의 편의성이 뛰어나다고 하더라도 이는 사용자에게 번거로운 일이 아닐 수 없다. 하지만 암호화 하드 드라이브는 첫 이용부터 이러한 고민으로부터 해방시켜 준다.
간편하게 보안성 향상
씨게이트와 히타치 등이 제공하는 ‘풀 디스크 암호화(FDE)’는 간단히 말해 디스크 상에 기록되는 모든 데이터가 암호화된다는 것을 의미한다. 해당 데이터가 읽혀질 경우에는 암호화가 해제돼 읽혀지게 된다. 물론 이 때 사용자는 인증을 거치며, 복호화는 인증된 사용자에 한해 이뤄진다.
모든 데이터가 암호화된다는 것은 말 그대로 운영체제, 시스템 공간 상의 임시 데이터, 애플리케이션 및 애플리케이션 데이터, 유저 데이터 등을 포함한 모든 데이터가 자동적으로 암호화된다는 것이며, 따라서 인증을 거치기만 하면 저장된 모든 데이터를 예외없이 안전하게 보호할 수 있는 환경을 구축하게 된다.
이러한 FDE 하드 디스크에는 최신 암호화 표준(AES; Advanced Encryption Standard)과 128비트 암호화 알고리즘이 사용된다. 이는 미국 정부가 기밀 정보를 처리하는 기준에 부합되는 강력한 암호화 알고리즘이다.
하드웨어 암호화는 모든 암호화가 디스크 내에서 자체적으로 처리되기 때문에 시스템 CPU에 부하가 걸리지 않는 이점을 준다. 타사의 경우에는 드라이브의 펌웨어를 통해 암호화 기능을 수행하지만, 드라이브 트러스트라는 암호화 엔진을 사용하는 씨게이트는 드라이브 내부에 암호화를 위한 전용 칩을 장착해 암호화를 수행함으로써 시스템의 부하를 전혀 주지 않으면서도 빠르게 암호화할 수 있도록 한다.
암호화 하드 드라이브의 또 다른 장점으로는 ‘안전한 삭제’를 들 수 있다. 실제 정부기관이나 민간기업에서는 하드 드라이브를 폐기하거나 교체할 경우 민감한 데이터가 복구되지 않도록 조치하는데 연간 수백만 달러를 지출하고 있다. 하지만 암호화 하드 드라이브의 경우에는 단순히 암호화키를 변경하는 것만으로도 저장된 모든 데이터를 읽지도, 사용하지도 못하게 할 수 있다. 바꿔 말해 안전한 삭제를 단 몇 초만에 완료할 수 있게 되는 것이다. 이는 하드 드라이브 내 데이터를 물리적으로 삭제하는데 필요한 시간과 비용 절감은 물론 무엇보다 완벽한 데이터 삭제에 가장 큰 적인 사용자의 실수 가능성을 원천적으로 차단할 수 있는 방법이다.
더불어 씨게이트 암호화 하드 드라이브의 경우 드라이브 트러스트 보안 플랫폼 채택을 통해 추가적인 보안 기능 수행이 가능하다는 장점도 있다. 대표적인 기능이 특정 디스크 스토리지 공간을 드라이브 트러스트에 의해 검증된 소프트웨어 애플리케이션 전용으로 확보해 사용하는 ‘보안 스토리지 파티션(Secure Storage Partitions)’이다.
보안 스토리지 파티션에 의해 생성된 해당 공간은 숨겨진 공간으로 운영체제나 기타 애플리케이션에 의해서는 접근이 원천적으로 차단된다. 따라서 암호화 키, 사용자 패스워드, 계좌번호 및 기타 금융정보, 기타 민감한 데이터 등을 안전하게 별도의 공간에 저장할 수 있으며, 해당 공간에 접근하기 위해서는 드라이브 트러스트가 인증한 애플리케이션을 통해서만 가능하다. 인증된 애플리케이션은 각각의 애플리케이션 별로 공간을 할당 받아 똑같이 인증 받은 애플리케이션이라도 각각의 필요한 정보에만 접근할 수 있게 됨으로써 민감한 데이터를 보다 안전하게 보호할 수 있게 되는 것이다.
USB 이용제한도 가능
드라이브 트러스트의 또 다른 특징으로는 ‘접근제한 기능(Driving Paring)’을 들 수 있다. 이 기능은 특정 디스크 드라이브가 특정 시스템이나 호스트에 폐쇄적으로 사용될 수 있도록 설정할 수 있는 것으로 민감한 비즈니스 데이터 유출 가능성이 높은 기업 사용자들에게 매우 유용하다.
접근제어 기능을 사용하면, 특정 하드 드라이브를 차단, USB 저장매체를 포함한 승인받지 못한 외부 저장매체를 통한 접근을 통제할 수 있다. 민감한 데이터가 USB 연결을 통해 외부 저장장치에 쉽게 옮겨질 수 있는 오늘날의 발달된 IT 기술은 편리함만큼, 많은 기업 조직들에게 곤란한 상황을 부여하고 있다. 실제 수십 기가바이트의 정보가 단 몇 분 만에 유출될 수 있으며, 이에 사용 및 접근을 제한할 수 있는 시스템에 대한 요구가 갈수록 커지고 있다.
암호화 하드 드라이브의 접근제한 기능은 특정 하드 드라이브를 특정 컴퓨터에 전용으로 지정할 수도 있어 하드 드라이브를 뜯어내도 다른 시스템에서는 사용할 수 없게 하는 것도 가능하다. 또 불법 복제를 방지하거나 저작권이 있는 데이터에 대한 전송 금지, 기타 중요 데이터에 대한 복사 및 전송 금지 등을 설정하는 등 다양한 부가기능도 수행할 수 있다.
더불어 드라이브 트러스트 기술은 ‘암호화 서비스 프로바이더(CSP ; Cryptographic Service Provider)’ 기능을 통해 마이크로소프트 윈도우 기반의 애플리케이션에 보다 향상된 암호화 서비스 기능을 추가할 수도 있다. ISV들은 드라이브 트러스트의 CSP 기능을 활용해 중앙 키 관리 시스템을 구현하고, 애플리케이션 레벨 데이터 암호화 및 이메일 보안 등의 향상된 암호화 기능을 추가하며, 사용자 인증을 비롯한 웹사이트 인증과 트렌젝션 인증, 문서 인증 등 각종 강력한 인증 기능을 추가할 수 있다.
드라이브 트러스트는 기업사용자들의 전사적인 보안 관리를 중앙집중식으로 할 수 있도록 지원한다. 이를 통해 보안과 관련된 각종 규칙들을 전사적으로 설정하고, 사용자별 접근 권한을 부여하는 등 중앙집중화된 관리를 수행할 수 있다.
소프트웨어·하드웨어 방식 병행
디스크 드라이브 내 데이터의 암호화 작업에 있어서 가장 이상적인 방법은 하드웨어 내에서 암호화 작업을 처리하는 것이다. 하지만 암호화 하드 디스크가 장착되지 않은 기존 시스템을 보호하기 위해서는 결국 소프트웨어 기반의 FDE 솔루션을 활용할 수밖에 없다. 기업 내부의 모든 시스템의 하드 드라이브를 암호화 하드 디스크로 교체하기에는 비용 부담이 너무 크기 때문이다.
따라서 대부분의 기업이나 조직에서는 새 시스템에는 암호화 하드 디스크를 설치해 나가면서 기존 시스템에는 소프트웨어 방식의 FDE 솔루션을 동시에 병행해 나가는 것이 일반적인 형태가 될 것이다. 특히 기업 사용자를 위한 중앙관리 기능이 뛰어난 소프트웨어 방식의 FDE 패키지를 사용할 경우에는 하드웨어 방식과 소프트웨어 방식을 함께 사용하는 것이 시너지 효과를 창출할 수 있다.
아직까지는 암호화 하드 드라이브가 널리 보급되지 않았기 때문에 일부 소프트웨어 FDE 업체들의 암호화 하드 드라이브 지원에는 미진한 부분이 있는 것이 사실이다. 하지만 소프트웨어 벤더들의 암호화 하드웨어 지원이 가속화되고 있기 때문에 이러한 문제는 조만간 해결될 전망이다.
암호화 하드 드라이브 보급 가속화
주지하다시피 최근 핵심 데이터 유출 및 도난 사건이 잇따라 발생하고 있으며, 어떤 경우 유출된 데이터의 가치가 수조원에 달한다고 보고된다. 이 같은 대규모의 데이터 유출이 첨단 산업을 영위하는 대기업에나 해당되는 사례라고 생각하는 것은 너무나 안이한 생각이다. 노트북 컴퓨터 한대에 담긴 정보가 수십억원의 가치를 지닐 수도 있다.
미국 패션기업인 갭(GAP)의 노트북PC 분실 사건은 이를 반증한다. 갭은 지난 2007년 9월에 80만명의 고객정보가 담긴 노트북PC를 도난당했다. 통상 고객 1인의 민감한 개인정보의 가치가 약 200달러라는 점을 감안하면, 해당 노트북 1대 도난으로 발생할 수 있는 피해액은 무려 1억6천만달러에 달한다고 할 수 있다. 결국 파일 형태로 저장된 모든 데이터를 철저하게 관리하고, 보호하는 것은 그 무엇보다 중요한 일이 되는 것이다.
물론 노트북PC 도난과 같은 일이 항상 엄청난 손해로 돌아오는 것은 아니다. 하지만 악의적인 목적을 지닌 사람의 수중에 노트북PC가 들어간 경우라면, 패스워드를 사용하는 사용자 인증 방식의 보안 체계는 너무나 쉽게 뚫려버릴 수 있다. 결국 데이터 자체를 암호화하는 것이 유일한 해결책이 될 것이다. 암호화된 데이터는 유출이나 도난을 당한 경우, 더 이상 데이터로서 활용될 수 없기 때문이다.
지금까지 데이터를 암호화하는 방법은 소프트웨어를 사용하는 방법이 주류를 이뤘다. 소프트웨어 방식의 경우에는 소프트웨어 솔루션 구매와 설치에 따르는 추가적인 비용이 발생하게 되며, 전체 시스템 백업, 전체 데이터에 대한 암호화 등 동반되는 번거로운 작업 절차에 장시간이 소요되는 불편함이 존재한다. 이와 함께 암호화가 시스템 성능의 저하를 불러오는 불편함까지 감수해야 한다.
반면, 차세대 암호화 하드 드라이브의 개발은 이 같은 불편함과 제약을 해결했다. 하드 드라이브 내에 장착돼 있는 암호화 기능을 통해 번거로운 암호화 작업을 수행할 필요도 없으며, 시스템 성능 저하에 대한 걱정도 덜 수 있다. 또한 중앙집중 방식의 데이터 암호화 수행 등 더욱 강화된 데이터 보안을 위한 추가적인 설정도 훨씬 용이하다.
물론 완전 암호화 하드 드라이브의 보급에는 다소 시간이 걸릴 것이다. 하지만 컴퓨터에 저장된 각종 데이터를 노리는 범죄가 더욱 증가할 것으로 예상되는 만큼 암호화 하드 드라이브에 대한 보급도 더욱 가속화될 것이다.
