‘암호화의 역습’이 시작됐다. 악성코드를 암호화해 분석을 어렵게하는 공격이 등장하는가 하면, 무단으로 데이터를 암호화 한 후 금전을 요구하는 랜섬웨어 공격도 창궐하고 있다. 한편에서는 암호화를 이용해 다양한 데이터를 보호하고자 하는 연구도 지속되고 DB, 문서, 이미지, 동영상 등 다양한 형식의 데이터에 존재하는 기밀정보를 보호하기 위한 암호화 기술이 제안되고 있으며, IoT·간편결제를 위한 경량 암호화 알고리즘도 등장하고 있다. 암호화의 명과 암을 짚어보고, 데이터 특성별로 다른 암호화 기술 적용 방법을 제안한다.<편집자>
엔드포인트 암호화, 기본 중의 기본
데이터 암호화는 데이터가 생성, 이동, 저장되는 모든 곳에서 이뤄져야 하는데, 대부분의 경우 DB서버에 저장된 데이터만을 암호화 대상으로 생각한다. 그러나 실제 업무를 살펴보면, 기업의 중요한 데이터가 임직원 PC, 모바일, USB/외장하드 등 이동식 저장장치, 웹서버, 애플리케이션 서버 등 수많은 엔드포인트 기기에 저장된다. 최근 클라우드 사용이 늘어나면서 클라우드에 저장된 데이터 암호화 수요도 늘고 있다.
클라우드 데이터 암호화는 클라우드 스토리지 서비스에서 옵션 혹은 기본으로 제공하고 있으며, 드롭박스, 구글 드라이브 등을 위한 암호화 서비스를 별도로 제공하는 써드파티 기업도 있다. 보메트릭은 암호화 게이트웨이를 통해 암호화 한 후 클라우드 스토리지에 저장하는 ‘클라우드 인크립션 게이트웨이’를 제공한다.
다양한 엔드포인트 데이터를 보호하는 솔루션으로 ‘시만텍 엔드포인트 인크립션(Symantec Endpoint Encryption)’이 소개된다. 이 제품은 PC/랩톱, HDD, USB 등 엔드포인트 기기의 암호화와 접근제어를 제공하며, AES-NI 하드웨어 최적화 기술로 암호화 속도를 높인다. 암호화 정책과 키는 액티브디렉토리(AD)와 동기화하며, SSO를 지원한다. 시만텍 DLP와 연동해 데이터 보호 효과를 높일 수 있다.
윤광택 시만텍코리아 상무는 “PC의 데이터를 지우거나 포맷해도 복원이 가능해 폐기된 PC에서 중요한 데이터가 유출되는 사고가 종종 일어난다. 또한 시스템 전원이 꺼져있을 때 DLP가 동작하지 않는다는 점을 악용해 멀티부팅으로 DLP가 작동하지 않은 상태로 데이터를 가져가는 공격도 등장한다”며 “시만텍 엔드포인트 인크립션은 데이터가 저장된 상태를 암호화 하기 때문에 어떠한 유출경로로 유출을 시도해도 암호화로 안전하게 보호한다”고 말했다.
빠르게 성장하는 비정형 데이터 암호화
암호화 시장에서 주목해야 할 분야 중 하나가 비정형 데이터 암호화다. 개정 개인정보보호법에서 모든 주민등록번호를 암호화 하도록 하면서 로그, 문서, 이미지, 동영상 등 다양한 데이터에 있는 주민등록번호를 암호화 하는 수요가 크게 늘고 있는 것이다.
DB 암호화는 일정한 형태를 갖춘 데이터 테이블 내에서 중요한 데이터 컬럼만 암호화 하는 방식을 택하고 있으며, 기술 성숙도와 시장 성숙도도 높은 편이다. 그러나 비정형 데이터 암호화는 데이터 종류가 다양한 만큼 암호화를 적용하는 방식도 매우 다양한 편이다.
조돈섭 이글로벌 이사는 “지금까지 암호화 시장은 DB서버에 저장된 데이터를 보호하는데 집중해왔지만, 이제는 DB 밖의 데이터로 눈길을 돌리기 시작했다. 예를 들어 온라인 신용카드 결제시 카드정보, 비밀번호를 입력할 때 암호화되지 않은 평문으로 저장된다면 개인정보를 보호하지 못한다. DB서버만을 보호해서 되는 일이 아니다”며 “전자청약서와 각종 계약서, CCTV이미지, 의료정보 등 수많은 비정형 데이터를 보호할 수 있는 방법이 필요하다”고 설명했다.
비정형 데이터 중 빅데이터를 암호화하고자 하는 수요는 최근 크게 늘어나고 있는 분야 중 하나다. 방대한 규모의 데이터를 여러 시스템에서 수집해 여러 각도로 연관분석한 후 비즈니스 인텔리전스를 갖고자 하려는 노력이 지속되고 있다. 이 데이터 중에는 민감한 데이터가 다수 포함돼 있기 때문에 데이터를 보호할 수 있는 방법이 필요하다.
지금까지 빅데이터는 암호화 하지 않은 상태로 이용했다. 방대한 분량의 데이터를 암호화 하기 위해 많은 IT 시스템과 인력이 필요해 비용이 과다하게 발생하며, 암호화된 대량의 데이터에서 특정 데이터를 추출하기 위해서는 데이터 전체를 복호화 한 후 다시 암호화해야 해 시간이 많이 소요되기 때문이다.
빅데이터 솔루션 이디엄의 로그프레소는 데이터 수집구간에서 저장, 분석, 시각화에 이르는 전 과정을 단일 솔루션으로 지원한다. 데이터를 수집할 때 암호화된 통신채널을 이용하며, 암호화 키는 세션 주기별로 갱신해 보안성을 높인다. 데이터를 수집할 때 서버에 에이전트를 설치하며 에이전트 없이 수집할 때는 SFTP를 이용한다. 수집된 데이터는 TDE 암호화로 암호화한다. 시스템 운영 시 계정 암호를 매번 바꾸지 않도록 SSH 키 기반 인증을 지원한다.
M증권이 로그프레소를 이용해 빅데이터 분석과 보안을 강화한 대표적인 고객으로 꼽히며, 데이터 생성부터 수집, 저장에 이르는 모든 과정에서 무결성을 보장하면서 데이터를 보호하고 빅데이터 이용 효과를 높일 수 있었다.
구동언 이디엄 이사는 “기업의 빅데이터 활용범위가 넓어지면서 빅데이터 내에 포함된 민감정보를 보호해야 한다는 필요성이 늘어나고 있으며, 암호화를 통해 완벽하게 보호하고자 하는 요구가 높아지고 있다. 특히 금융기관에서 비식별화된 개인정보를 사용할 수 있게 돼 빅데이터에 포함된 개인정보 암호화 수요는 더욱 늘어날 것으로 보인다”며 “빅데이터 암호화 분야에서 로그프레소가 가장 앞선 기술을 제공하고 있어 경쟁력이 높다고 자신한다”고 말했다.
