데이터 암호화란 무엇인가요?

데이터 암호화는 데이터를 무작위로 섞어, 해당 내용을 해독할 수 있는 키가 없는 사람, 서비스 또는 디바이스는 읽을 수 없도록 만드는 과정입니다. 암호화를 통해 파일, 디스크, 객체, 스트림 등 다양한 형태의 데이터를 암호화한 사람과 키를 가진 사람 간에만 비공개로 유지할 수 있습니다. 제3자가 암호화된 데이터에 접근하더라도, 키 없이는 데이터를 확인할 수 없습니다. 데이터 암호화는 기업 사이버 보안의 기본적인 요소입니다.

현대 암호화 시스템은 일반적으로 대칭 암호화또는 비대칭 암호화 중 하나를 사용하며, 두 형태 모두 암호학의 일종입니다.

대칭 암호화

대칭 키 암호화는 데이터를 암호화하고 복호화하는 데 하나의 프라이빗 키를 사용합니다. 대칭 키의 작동 방식상, 발신자와 수신자는 모두 암호화 키를 사전에 소유하고 있어야 합니다.

일반적으로 대칭 암호화는 비대칭 암호화보다 속도가 빠르고 효율적이어서 대량의 데이터를 암호화하는 데 적합합니다.

비대칭 암호화

비대칭 암호화는 다음과 같이 한 쌍의 공개 키와 프라이빗 키를 사용합니다.

• 공개 키는 다른 사람이 보내는 데이터를 암호화하는 데 사용되는 키입니다. 이 암호화 키는 연락처와 공개적으로 공유할 수 있으며, 비밀로 유지할 필요가 없습니다.
• 프라이빗 키는 비밀로 유지하고 사람들이 공개 키로 보내는 기밀 데이터를 복호화하는 데 사용되는 키입니다.

이 시스템을 사용하면 공유 키를 안전하게 교환할 필요가 없으므로, 대칭 암호화의 가장 큰 한계 중 하나를 극복할 수 있습니다.

조직에서는 일반적으로 비대칭 암호화를 다음과 같은 방식으로 사용합니다.

• 디지털 서명 활용
• 웹 브라우징(HTTPS) 세션 보호
• 이전에 키를 교환한 적이 없는 당사자 간 민감한 메시지 암호화

비대칭 암호화는 때때로 공개 키 암호화라고도 불립니다.

개인과 조직은 데이터를 보호하고 규제 표준을 준수하기 위해 암호화 방법을 사용합니다. 네트워크를 통해 연결된 디바이스 간에 저장된 데이터 및 전송 중인 데이터를 암호화할 수 있으며, 데이터를 엔드투엔드로 암호화할도 수 있습니다.

저장 상태 암호화

저장된 데이터는 보관 중인 데이터를 의미합니다. 보관 중인 데이터는 하드 드라이브, 클라우드, 데이터베이스에 저장되어 있는 데이터일 수 있습니다. 예를 들어, 조직에서는 중요한 데이터를 클라우드에 저장한 상태에서 암호화하여 동기화 백업으로 유지하는 경우가 많습니다.

전송 중 암호화

전송 중인 데이터는 네트워크를 통해 한 시스템에서 다른 시스템으로 이동하는 데이터를 의미합니다. 예를 들어, 웹 브라우저와 서버 간의 상호작용이 이에 해당합니다. 은행과 같은 보안이 유지되는 웹사이트를 방문할 때, 브라우저와 서버는 전송 중 암호화를 사용합니다. 이러한 전송 중 통신 암호화를 전송 계층 보안(TLS)이라고 합니다. 누군가 네트워크 상에서 이 은행 데이터를 가로채더라도, 암호화되어 있어 읽을 수 없습니다.

엔드투엔드 암호화(E2EE)

엔드투엔드 데이터 암호화는 데이터를 전송 전에 발신 시스템에서 암호화합니다. 수신 시스템은 데이터를 받은 후 로컬에서 복호화 키를 사용합니다. 예를 들어, 보안 메시징 앱은 사용자의 디바이스에서 메시지 내용을 엔드투엔드 방식으로 암호화합니다. 데이터는 승인된 연락처가 자신의 앱에서 받을 때만 복호화됩니다.

조직에서는 일반적으로 민감하거나 규제 대상이 되는 데이터를 보호하기 위해 암호화를 사용합니다.

금융 데이터

거래 내역, 계좌 정보, 신용 기록 등 민감한 금융 데이터를 보호하기 위해 저장 및 전송 시 암호화하는 것은 모범 사례입니다. 금융 분야에서는 Payment Card Industry Data Security Standard(PCI-DSS)와 같은 규정 준수와 관련된 다양한 규제에서 엄격한 데이터 암호화 규칙과 절차를 요구합니다. 이러한 암호화는 사기와 무단 접근을 방지하는 데 도움이 됩니다.

상업 데이터

많은 조직은 제안서, 고객 계약서, 서비스 수준 계약서(SLA), 공급업체 계약서 등 민감한 비즈니스 데이터를 암호화하기를 원합니다. 특정 산업이나 국가에서는 일반 데이터 보호 규정(GDPR)과 같은 암호화 표준을 다루는 규제와 법률을 준수해야 합니다. 기업은 데이터 유출 시 재정적 손실이나 평판 피해를 방지하기 위해 데이터를 암호화합니다.

인사 데이터

조직이 인사(HR) 데이터를 보호하는 방법은 일반적으로 연방 법과 지역 법의 규제를 받으며, 특히 직원의 개인 식별 정보(PII)에 대한 보호가 중요합니다. 또한, HR 데이터는 종종 타사 플랫폼과 공유되므로, 데이터가 노출되거나 가로채기 당할 가능성이 생길 수 있습니다.

개인 식별 정보(PII)

개인 식별 정보(PII)에는 공개될 경우 개인을 식별하는 데 사용될 수 있는 데이터가 포함됩니다. 이름, 주소, 주민등록번호는 모두 PII의 예입니다. PII를 암호화하면 조직이 신원 도용을 방지하고 전 세계 개인정보 보호법을 준수할 수 있습니다.

예를 들어, 유럽 연합의 GDPR과 캘리포니아주의 소비자 프라이버시법(CCPA)과 같은 규정은 조직이 보관 중인 PII를 보호하도록 요구합니다. 암호화는 이러한 표준을 충족하기 위해 일반적으로 사용되는 도구입니다.

민감 건강 정보(PHI)

의료 서비스 제공자, 보험사 및 HR 부서는 민감 건강 정보(PHI)를 다루며, 여기에는 개인과 연관된 의료 또는 건강 관련 정보가 포함됩니다. PHI의 예로는 전자 의료 기록, 치료 이력, 약국 처방 데이터 등이 있습니다.

미국의 건강 보험 양도 및 책임에 관한 법(HIPAA)과 같은 법률은 데이터 보안 조치를 구현하도록 규정합니다. 이러한 조치는 전자 PHI(ePHI)의 기밀성, 무결성 및 가용성을 보호합니다. PII와 마찬가지로, 암호화는 HIPAA 및 기타 PHI 표준을 충족하기 위해 일반적으로 사용되는 도구입니다.

해싱 알고리즘은 파일이나 메시지와 같은 데이터를 받아 해당 데이터에 고유한 문자열(해시라고 함)을 생성합니다. 원본 데이터가 조금이라도 변경되면, 해시 값도 함께 변경됩니다. 따라서 해시는 데이터 무결성과 진위를 확인하는 데 자주 사용됩니다.

암호화와 달리, 해싱 알고리즘은 단방향 수학 함수입니다. 암호화 키가 없고 되돌릴 수 없습니다. 조직에서는 데이터가 진본이고 변조되지 않았는지 확인하기 위해 해싱과 암호화를 함께 사용하는 경우가 많습니다.

디지털 서명은 발신자의 신원을 검증하는 도구입니다. 디지털 서명은 공개 키 데이터 암호화와 해싱을 모두 사용합니다.

디지털 서명의 작동 과정은 다음과 같습니다.

1. 발신자는 데이터의 해시를 생성하여 데이터가 진본이며 변조되지 않았음을 증명합니다.
2. 그런 다음, 발신자는 해당 해시를 암호화하여 디지털 서명을 생성합니다.
3. 수신자는 데이터와 함께 관련 서명을 수신합니다. 수신자는 서명에 대해 복호화 키를 실행하고, 데이터의 해시를 새로 생성한 후 복호화된 원래 해시와 비교합니다.

두 해시가 일치하면, 수신자는 해당 발신자가 데이터를 보냈고 전송 중 변조가 없었다는 사실을 확신할 수 있습니다.

오늘날 가장 널리 사용되는 대칭 암호화 표준은 고급 암호화 표준(AES)으로, 전 세계 인터넷 트래픽의 상당 부분이 AES로 암호화됩니다. 가장 일반적인 비대칭 표준은 Rivest-Shamir-Adleman(RSA)입니다. RSA는 AES보다 연산량이 많아 주로 디지털 서명과 같이 소량의 데이터를 암호화하는 데 사용됩니다.

AES와 RSA는 조합하여 사용할 수도 있습니다. RSA는 소량 데이터를 암호화할 때 효율성이 가장 높으므로, 대량 데이터를 대칭 키로 암호화하여 전송할 때 해당 AES 키를 암호화할 수 있습니다.

고급 암호화 표준(AES)

AES는 2001년 미국 국립 표준 기술 연구소(NIST)에서 제정한 대칭 암호화 규격입니다. AES는 암호학자 Joan Daemen과 Vincent Rijmen이 개발한 암호화 알고리즘을 사용하며, 128비트 또는 256비트의 암호화 키 크기(각각 AES-128, AES-256이라고 알려져 있음)를 지원합니다.

RSA

RSA라는 이름은 1977년 이를 개발한 MIT 과학자 Rivest, Shamir, Adleman의 이름에서 유래했습니다. RSA는 비밀리에 생성된 큰 소수 쌍을 사용하여 프라이빗 키와 공개 키를 만듭니다. RSA는 암호화 모델로 수학의 “소인수분해 문제”를 활용합니다. RSA 키를 생성할 때 사용되는 매우 큰 수의 소인수를 역으로 계산하는 효율적인 연산 방법은 존재하지 않습니다.

데이터 암호화 표준(DES)

데이터 암호화 표준(DES)은 이전에 사용되던 암호화 표준으로, 2002년 NIST에 의해 AES로 대체되었습니다. DES는 56비트 키를 사용해 64비트 블록 단위로 데이터를 암호화하며, 연구자들은 이 방식이 무차별 대입 공격에 취약하다는 것을 밝혀냈습니다. 현대의 공격 기법과 데이터 유출에는 취약하지만, DES는 여전히 레거시 시스템에서 사용되고 있습니다.

선택하는 데이터 암호화 기법은 단순히 데이터를 보호하는 것 이상의 역할을 해야 합니다. 이러한 기법은 비즈니스 목표와 일치하고 규제 요구 사항을 준수해야 합니다.

조직에서 암호화 기법을 선택할 때는 다음 네 가지 요소를 고려하세요.

자산 민감도 평가

모든 데이터가 동일한 수준의 보안을 필요로 하는 것은 아닙니다. 민감한 데이터는 완전한 엔드투엔드 암호화가 필요할 수 있습니다. 덜 민감한 데이터는 낮은 수준의 암호화가 필요하거나 암호화가 필요하지 않을 수도 있습니다.

보안 환경 이해

금융 기관이나 정부 기관처럼 조직 전체가 공격 대상이 될 수 있는 경우도 있습니다. 반면, 앱 회사처럼 자체 인프라에 저장된 데이터가 거의 없는 경우에는 보안 위험이 상대적으로 낮을 수 있습니다. 조직 내 각 디지털 자산 집합의 위험 프로필에 적합한 기법을 선택하세요.

최신 표준 사용

모든 암호화 알고리즘이 동일한 수준의 보호를 제공하는 것은 아닙니다. DES, 그 파생 알고리즘인 3DES, 그리고 그 밖의 오래된 표준은 일반적으로 현대의 공격에 대응할 수 없습니다. AES-256 암호화 및 2048비트 키의 RSA와 같이 최신 표준을 사용하는 암호화 서비스를 선택하세요.

규정 준수 요구 사항 충족

많은 산업과 지역에서는 민감한 데이터를 보호하기 위해 암호화를 요구하는 특정 규정을 마련해 두고 있습니다. 예를 들어, PCI-DSS는 조직이 소비자 신용카드 정보를 안전하게 처리하고 전송하도록 규정하고 있습니다.

AWS는 클라우드 기반 암호화와 키 관리를 지원하는 다양한 서비스를 제공합니다.

AWS CloudHSM은 사용자가 전용 Federal Information Processing Standards(FIPS) 140-2 레벨 3 단일 테넌트 하드웨어 보안 모듈(HSM) 인스턴스에서 암호화 키를 생성하고 사용할 수 있도록 해줍니다. AWS CloudHSM은 고객 소유의 단일 테넌트 HSM 인스턴스를 사용하여 해당 인스턴스가 가상 프라이빗 클라우드(VPC) 내에서 실행되도록 하여 규정 준수를 지원합니다.

AWS Key Management Service(AWS KMS)는 애플리케이션 내 데이터를 암호화하는 데 사용되는 키를 생성하고 제어할 수 있게 해주는 서비스입니다. AWS KMS는 AWS Encryption SDK(소프트웨어 개발 키트) 데이터 암호화 라이브러리를 사용합니다.

AWS Payment Cryptography는 클라우드 환경에서 호스팅되는 결제 애플리케이션의 암호화 작업을 간소화합니다.

AWS Secrets Manager는 고객이 소유하고 AWS KMS에 저장한 암호화 키를 사용하여 저장되어 있는 민감한 데이터를 암호화합니다.

오늘 바로 무료 계정을 만들어 AWS에서 데이터 암호화를 시작해 보세요.