규제 준수는 업종에 따라 강도가 좀 다른 목표가 될 수 있습니다. 하지만 비즈니스의 디지털 전환이 가속화되면서 규제 준수는 이제 업종을 가리지 않고 그 무게감이 커지고 있습니다. 전통적으로 규제에 민감한 업계로 꼽힌 금융, 통신, 소매, 의료 외에 다른 업종까지 규제 준수는 우선순위가 높은 보안 목표가 되고 있습니다.
한국은 개인정보보호법이 대표적인 데이터 관련 규제입니다. 유럽연합의 경우 GDPR이라는 데이터 보호 규제를 적용하고 있습니다. 이외에 의료 분야 대표 규제로 꼽히는 HIPAA, 카드사들이 따르는 PCI-DSS같이 특정 산업을 대상으로 한 규제도 떠올려 볼 수 있습니다.
데이터 보호, 프라이버시 보호 같은 목표를 내세우는 규제 가이드라인 문서를 보면 공통점이 하나 있습니다. 데이터 암호화는 매우 비중 있게 다루지만 상대적으로 암호화 키 관리는 간단히 언급하고 넘어가는 정도라는 것입니다. 그러다 보니 하드웨어 기반 암호화 키 관리 플랫폼인 HSM을 사용하라고 강제하거나 권고하는 내용을 가이드라인 상에서 찾기 어렵습니다. 물론 PCI-DSS같이 키 관리의 중요성을 강조하며 HSM 배포를 선택적 옵션으로 제안하는 가이드라인도 있긴 합니다.
HSM은 암호화 키를 생명주기 측면에서 관리합니다. 키 생성부터 폐기까지 독립적인 하드웨어 장치를 이용합니다. 키 역시 강력한 암호화가 적용되어 외부 유출에 따른 피해 걱정도 없습니다. 하지만 HSM을 배포하고 관리하는 것은 여러모로 조직에 부담을 줍니다. 고가의 장비를 들여와야 하고, 관리 포인트가 늘어나는 것도 부담입니다. 그러다 보니 꼭 필요한 경우가 아닌 적극적으로 나서서 애써 검토하지 않습니다. 그러던 것이 요즘 분위기가 조금씩 바뀌고 있습니다. HSM의 중요성을 애써 외면하던 이들이 암호화 키 관리를 간편하게 할 수 있는 방법을 클라우드에서 찾았기 때문입니다.
클라우드 기반 암호화 키 관리
규제 가이드라인 내용 중 암호화 관련 항목은 아주 오래전에 작성된 내용입니다. 전통적인 IT 환경을 전제로 암호화를 안내하고 있다고 보면 됩니다. 분야를 막론하고 규제 내용 개정 속도보다 기술 발전이 더 빠르죠. 클라우드가 보편적인 컴퓨팅 환경이 되면서 보안 메커니즘도 달라지고 있습니다. 경제만 지키던 방식에서 벗어나고 있는 것이죠. 데이터가 있는 모든 곳이 보호 대상인 시대입니다. 전송 중이거나, 저장된 상태이거나 관계없이 안전을 보장해야 하죠. 관련해 암호화는 더 광범위하게 쓰이고 있습니다.
암호화 대상이 많아진다는 것은 관리해야 할 키도 함께 늘어남을 뜻합니다. 엔터프라이즈 컴퓨팅 환경에서 이제는 클라우드를 배제할 수 없습니다. 전통적인 HSM 장비는 클라우드를 전제로 설계되고 개발된 솔루션이 아닙니다. 따라서 온프레미스 환경에는 적합할 수 있지만 하이브리드, 멀티 클라우드 확장에는 유연히 대응하기 어렵습니다. 따라서 키 관리 방식 역시 클라우드를 고려해야 합니다. 하이브리드, 멀티 클라우드를 고려한다면 클라우드 기반 키 관리 방안을 찾아야 합니다.
클라우드 기반 암호화 키 관리는 여러모로 편합니다. 키 배포와 관리 메커니즘은 API 연계를 기반으로 합니다. 따라서 생명주기 측면의 암호화 키 관리 방식이 갖는 복잡성을 크게 낮출 수 있습니다. API 방식이다 보다 각종 앱, 서비스 개발에 있어 암호화 키 관리 연계도 편리합니다. 당연히 다양한 규제 준수 가이드라인보다 높은 수준의 키 관리 체계를 간편하게 마련할 수 있습니다.
온프레미스를 넘어 클라우드까지 포괄하는 암호화 키 관리를 한다는 것은? 기업이 철저히 통제하는 사내 네트워크 경계 밖에서 일어날 수 있는 내부자 위협에 의한 보안 침해를 방지하는 데 있어 그 무엇보다 강력한 안전 기반이 될 수 있습니다. 내부자 위협은 실제 관계자가 악의적인 목적으로 위협을 가하는 예도 있지만, 계정과 비밀번호 관리 소홀로 인한 사용자 식별 정보 유출로 인한 피해도 있습니다. 따라서 암호화 및 암호화 키 관리는 기업의 네트워크 경계 밖 중요 데이터에 대한 접근 제어와 거버넌스 확보에 있어 매우 중요한 요소라 할 수 있습니다.
Google Cloud 사용자를 위한 팁
구글 클라우드를 이용 중이신가요? 규제 준수와 보안 두 마리 토끼를 잡기 위한 몇 가지 팁을 정리해 보았습니다.
- 따라야 하는 규제가 무엇인지 파악하고, 관련해 위협으로부터 안전하게 데이터를 보호하기 위해 암호화 및 키 관리를 잘해야 합니다.
- 키 관리를 단순히 규제 준수를 위한 활동으로 한정 짓지 말고 엔터프라이즈 보안 운영의 효과적인 제어 방식 중 하나로 삼아야 합니다. 암호화가 약속하는 보안성과 신뢰성은 투명한 암호화 키 관리를 전제로 한다는 것을 잊지 마십시오.
- 클라우드를 쓰는 가장 큰 이유는 유연하고 민첩하게 비즈니스 요구에 대응할 수 있기 때문입니다. 워크로드나 서비스 기반을 클라우드로 옮길 때 규제 준수에 대한 부담을 클라우드 기반 키 관리로 덜어내십시오.
- 하드웨어 기반 전용 HSM이 꼭 필요한 경우도 있습니다. 이 또한 간과하지 마십시오. 클라우드 기반 키 관리를 소프트웨어 기술을 기반으로 합니다. 반면에 HSM은 전용 장비를 이용합니다. 따라서 두 방식의 차이와 각 방식에 더 잘 맞는 경우를 잘 구분해야 합니다.
- 구글이 주요 국가나 단체가 정한 규제를 준수하기 위해 어떤 노력을 기울이고 있는지, 데이터 보호에 대해 어떤 제어와 책임 활동을 수행하는지도 잘 알고 있어야 합니다.
Google Cloud’s External Key Manager (Cloud EKM)
보안 운영 실무자를 위한 꿀팁 정보를 하나 공유하겠습니다. 구글은 2019년 12월 Cloud EKM 베타 버전을 발표했습니다. 이를 이용하면 데이터와 암호화 키를 안전하게 분리해 편리하게 관리할 수 있습니다. Cloud EKM을 사용하면 구글 인프라 외부에 배포한 HSM 키 관리 시스템에 저장된 암호화 키를 이용해 BigQuery나 Compute Engine에 저장된 데이터를 보호할 수 있습니다. 네, 기존 키 관리 플랫폼에 대한 투자 보호를 할 수 있습니다. 구글은 Equinix, Fortanix, lonic, Thales, Unbound와 긴밀히 협력하고 있습니다. 이를 통해 써드파티 키 관리 시스템에 저장된 키 출처를 투명하게 파악하고, 해당 키에 접근하는 사용자를 완벽히 제어하고, 중앙 집중식 키 관리의 이점을 유지할 수 있도록 돕습니다.
