Data Centric Security in Cloud Era ① : 업계동향과 기초암호학

Data Centric Security in Cloud Era ① : 업계동향과 기초암호학

지난 몇 년간 클라우드 도입 증가와 글로벌 규제 강화로 보안 시장은 급성장하고 있으며, 특히 데이터 암호화 시장은 가장 큰 성장 폭을 보이고 있습니다. 클라우드 보안 시장은 ‘17년 4.09 Billion USD에서 ‘22년 12.73 Billion USD (23.5% GAGR)로 성장할 것으로 예견되고 있으며, 그 중 데이터 암호화 시장은 ‘17년 645.4 Million USD에서 ‘22년 2401.9 Million USD (30% GAGR)로 성장할 것으로 기대하고 있습니다.

암호기술은 지난 수십 년 동안 몇 가지 표준 기술이 큰 변화 없이 사용되고 있었지만, 최근 들어 많은 변화를 겪고 있습니다. 예를 들어, 모든 것이 SDx(Software-Defined Anything/Everything)화 되고 있는 클라우드 환경에서는 암호화 기술도 기존과 달리 소프트웨어 기반으로 각종 해킹을 차단할 수 있어야 합니다. 그리고 최근 암호기술은 데이터를 보호하는 목적에서 벗어나 기존에 불가능했던 데이터 활용 수단을 제공하여 새로운 비즈니스 모델을 만들고 있습니다. 그리고 양자컴퓨터가 어느 정도의 컴퓨팅 수준이 되면 기존 공개키 암호가 무력화되기 때문에 양자내성 암호(Post-Quantum Cryptography)에 대한 연구와 표준화 활동이 활발히 진행되고 있습니다.

필자는 본 아티클을 시작으로 총 3편에 걸쳐 클라우드 구성요소인 Storage, Compute, Network에 각각 적용되는 Data-at-rest Encryption, Data-in-use Encryption, Data-in-transit Encryption 이 세 가지 분야에서의 암호기술 트렌드를 살펴보고자 합니다. 먼저 국내외 클라우드 관련 규제 동향과 암호에 대해 간략히 살펴보겠습니다.

국내외 현황지도

업계 동향

1. 국내외 규제동향
최근 개인정보보호 등의 규제 강화도 클라우드 보안 시장 성장에 큰 요인이 되고 있습니다. 특히 유럽에서는 지난 5월 25일부터 시행된 GDPR(General Data Protection Regulation)이 기존 개인정보지침(Directive)를 대체하면서 모든 EU 회원국에서도 직접적인 법적 구속력을 행사할 수 있게 되었습니다.

GDPR이 가장 큰 이슈가 된 이유는 아마도 위반 시 부여되는 상당한 과징금 때문일 것입니다. GDPR은 동의 없이 개인정보를 수집하거나 EU외로 개인정보를 전송하는 등의 중대한 위법을 범했을 시 해당 기업에 전 세계 연간 매출의 4% 혹은 2천만 유로 중 높은 금액으로 과징금을 부여하고, 정보유출 미신고 등의 일반적 위법에 대해서도 전 세계 연간 매출 2% 혹은 1천만 유로 중 높은 금액으로 과징금을 부여합니다. GDPR의 기존 Directive 대비 주요 변동 사항으로는 정보주체 권리 및 동의 기준을 대폭 강화했으며, 특히 개인정보의 범위가 확대되었습니다. 기존의 이름, 전화번호 등의 일반적인 개인정보 외에도 온라인 식별자 (예: IP/MAC주소, 온라인쿠키), 위치정보, 유전정보까지 개인정보에 포함시킨 것이죠. (더 자세한 내용은 『우리 기업을 위한 유럽 일반 개인정보 보호법 안내서』를 참고하세요)

국내의 경우, 지난 수년간 개인정보 유출문제가 잦아지면서 개인정보보호법 개정으로 개인정보의 수집부터 폐기까지 전 범위에 걸쳐 사전동의(Opt-in)를 얻도록 했고, 제재 규정도 전 세계에서 가장 엄격한 편에 속하게 되었습니다. 하지만 최근 데이터 산업이 활성화되면서 규제완화의 움직임을 보이고 있죠. 특히 금융분야를 주목할 만 한데, 기존에는 비중요 데이터만 클라우드 활용이 가능하고, 개인정보 및 신용정보 등은 클라우드 이용이 제한되어 개인정보 등을 활용한 상품/서비스 개발 시 클라우드에서 제공하는 AI/분석 인프라 사용이 불가능했습니다. 하지만 앞으로 개인신용정보, 고유식별 정보를 처리하는 중요 시스템도 클라우드를 이용할 가능성이 커지면서 금융회사/핀테크 기업들의 클라우드를 활용한 사업화 및 협업도 곧 활성화될 것으로 예상됩니다.

2. Cloud Security Alliance
CSA(Cloud Security Alliance)는 클라우드 보안 관련 가장 큰 규모의 Alliance로 다양한 보안기술 및 동향에 대한 파악이 가능합니다. 이미 400개가 넘는 기업이 가입하고 있으며, 80개의 Chapter가 전 세계적으로 구성되어 활동하고 있고, 또한 38개의 Domain에 대해서 Working Group이 생성되어 활발한 활동을 하고 있습니다. CSA는 개인 멤버로도 가입이 가능해 필자도 Linked-In 계정으로 가입한 상태입니다.
CSA는 14개 도메인에 대해서 가이드라인을 작성하여 공개하였는데, 해당 가이드라인을 통해 클라우드 보안을 한눈에 파악할 수 있습니다. 가이드라인은 Administrative & Policy-related Topics, Technology-related Topics, 그리고 Emerging Topics을 다루고 있습니다. 특히 Emerging Topics에서는 Security-as-a-Service를 다루고 있는데, 흔히 클라우드 보안이라고 하면 클라우드를 위한 보안만을 떠올릴 수 있지만, 최근 해외에서는 관제서비스 혹은 IAM 등을 클라우드 상에서 제공하는 클라우드를 이용한 보안사업이 크게 성장하면서 이를 지칭하기도 합니다.

클라우드보안 이미지

Cryptography 101

암호기술에 대해서도 살펴보죠. 암호기술은 Caesar Cipher와 같은 1세대 고전 암호, Enigma와 같은 기계식의 2세대 근대 암호, 그리고 현재 사용되고 있는 디지털 기반의 3세대 현대 암호의 역사로 이어집니다. 아래 [그림1]은 암호학의 분류체계를 보여주고 있습니다.

암호학 체계 [그림1] 암호학 체계

본 아티클에서는 대칭키 암호와 공개키 암호의 개념이 필수이기에 두 암호에 대해서만 조금 더 소개하겠습니다.

1. 대칭키 암호 (Symmetric Cryptography)
대칭키 암호는 평문(plaintext)을 암호문(ciphertext)으로 변환할 때 사용하는 키와 암호문을 평문으로 복호화 할 때 사용하는 키가 같은 겁니다. (그림2) 대칭키 암호는 공개키 암호에 비해 암·복호화 속도가 빨라 데이터 암호에 주로 사용됩니다. 데이터를 디바이스 내에서 암·복호화 하는 경우는 큰 문제가 없지만, 예를 들어 지구 반대편에 있는 Alice와 Bob이 대칭키로 서로의 암호문을 공유해야 한다면 이 때는 문제가 됩니다. ‘이메일로 공유하면 되지 않나?’라고 단순하게 생각할 수도 있지만, 이 경우, 이메일의 암호화(보안) 문제를 다시 고려해야 합니다.

Symmetric-key Encryption (대칭키암호) [그림2] Symmetric-key Encryption (대칭키암호)

2. 공개키 암호 (Public-key Cryptography)
결국 이 문제를 극복하기 위해 공개키 암호가 등장했죠. (그림3) 공개키 암호는 대칭키 암호와 달리 암호화 하는 키와 복호화하는 키가 다릅니다. Alice와 Bob의 예를 다시 생각해보죠. 먼저 Alice는 공개키(public key)와 비밀키(private key)를 생성하고, Bob에게 공개키를 보냅니다. 이때 공개키는 이름처럼 공개가 되어도 보안에 문제가 되지 않습니다. 그러면 Bob은 공개키를 이용해 자신이 보내고자 하는 평문을 암호화하여 Alice에게 보내죠. 이후 Alice는 자신만 알고 있는 비밀키를 이용하여 암호문을 안전하게 복호화 할 수 있습니다.
다만, 공개키 암호가 편리한 대신 성능에 있어서는 trade-off가 있습니다. 공개키 암호에 있어 공개키와 비밀키는 수학적 연관성이 있는데, 그럼에도 불구하고 공개키로부터 비밀키를 알 수 없도록 설계해야 하기에 키 사이즈도 커지게 되고 암·복호화 속도도 느려지게 됩니다. 또, Alice가 공개키를 배포할 때 공격자가 Alice의 공개키를 자신의 키로 바꾸어 중간에서 정보를 해킹하는 Man-In-The-Middle Attack이 가능하기 때문에 공개키와 소유자를 안전하게 바인딩하는 Public-key Infrastructure (PKI)도 필요합니다.

공개키 암호 (Public-key Encryption) [그림3] 공개키 암호 (Public-key Encryption)

이상으로 국내외 클라우드 관련 규제 동향, 그리고 암호에 대해 간략히 살펴봤습니다. 다음 아티클에서는 클라우드 환경에서의 DB 암호화 기술, Privacy-Preserving Data Mining (PPDM)기술 동향과 데이터 분석에 적절한 동형 암호(Homomorphic Encryption) 기술 및 Use Case에 대해 소개하겠습니다.



▶   해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에 저작권이 있습니다.
▶   해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


조지훈 팀장
조지훈 팀장 IT테크놀로지 전문가
삼성SDS 보안연구팀

조지훈팀장은 University of Waterloo에서 석사학위(암호)를, Royal Holloway University of London에서 정보보안 박사학위를 각각 취득하였습니다. Mobile Security Architect로 스마트폰 보안업무를 담당한 경험이 있으며, 현재 삼성SDS 연구소 보안연구팀 팀장으로 암호기술 및 SW보안기술을 연구개발하고 있습니다.

구독하기

인사이트 리포트 소식을 메일로 받아보세요