사각지대 노출 우려…KMS 도입 필요
[아이뉴스24 박정민 기자] 기업의 '내부자 리스크'로 인한 보안 사고가 증가하면서 내부 '암호키'를 보호하는 암호키 관리 시스템의 중요성이 부각되고 있다.
![기업 암호키 관리 자가진단 [사진=펜타시큐리티]](https://image.inews24.com/v1/24d90731c4ed93.jpg)
기업 암호키 관리 자가진단 [사진=펜타시큐리티]14일 보안업계에 따르면 최근 대형 보안 사고들이 잇따르면서 데이터 암호화에 대한 기업들의 경각심이 커지고 있다. 데이터 암호화의 핵심은 암호키 관리로, 암호키가 도난당할 경우 누구든 복호화가 가능해 기업의 보안 빗장이 무너진다.
실제로 지난해 발생한 대규모 개인정보 유출사고는 암호키 관리 부실로 일어난 사고였다. SK텔레콤에서는 인증키를 별도 분리하지 않고 평문으로 저장했다가 약 2300만명의 고객 정보가 유출되는 사고가 발생했으며, 쿠팡 또한 퇴사자의 서명키 노출로 인해 대규모의 개인정보가 유출됐다.
보안업계에서는 보안 사고의 원인이 외부 침입을 넘어 내부 관리 부실로 옮겨가고 있다고 지적하고 있다. △암호키가 소스코드, 설정파일 등에 하드코딩된 경우 △키 접근 이력을 관리하기 힘들고 접근 제어 시스템이 없는 경우 △JWT 서명키 등 다양한 키의 전반적인 수명주기를 관리하기 어려운 경우 △개인정보보호법 또는 정보보호·개인정보보호 관리체계 인증(ISMS-P) 관리 요건을 충족하는지 확인이 어려운 경우 보안 사각지대에 노출될 수 있다고 보고 있다.
지난 3월 시행된 개인정보보호법 개정안의 경우 과징금 상한선을 매출액의 최대 10%로 상향하고 유출 가능성만 인지해도 즉시 통지하도록 의무를 강화한 만큼, 암호키를 비롯한 보안 관리의 중요성이 커지고 있다. 보안의 완성은 암호문과 암호키를 물리적으로 격리하는 것이 핵심으로, 특히 암호키의 양이 방대해지는 클라우드 환경에서 키의 생성부터 폐기까지 전 과정을 자동화하는 '전문키 관리 시스템(KMS)' 도입이 필수가 되고 있다.
이러한 보안 요구에 대응하기 위한 솔루션으로 펜타시큐리티의 '디아모(D.AMO) KMS'가 있다. 디아모 KMS는 암호키를 전용 장비에 보관해 내부자 탈취 가능성을 차단하고 글로벌 데이터베이스와의 호환성도 강화했다. 양자내성암호(PQC) 국내 기준인 'K-PQC'를 지원해 앞으로의 컴퓨팅 환경에도 대응할 수 있도록 설계됐다.
보안업계 관계자는 "결국 견고한 암호화 체계가 데이터 보안의 시작이라면, 그 보안을 완성하는 힘은 암호키를 얼마나 철저하게 격리하고 통제하느냐에 달려 있다"며 "체계적인 키 관리 시스템은 이러한 강력한 암호화 기술을 완성하는 마지막 퍼즐 조각이며, 내부자 리스크로부터 기업의 정보 자산을 지켜내는 가장 확실한 해법이 될 것"이라고 밝혔다.
/박정민 기자(pjm8318@inews24.com)포토뉴스
![[부음] 정병묵(이데일리 산업부 차장)씨 장모상](https://img.etnews.com/2017/img/facebookblank.png)
English (US) · 