최적의 암호화 방식 선택

보메트릭 데이터 시큐리티 제품

유스케이스, 대응 위협, 수용가능한 구축 복잡성에 따라 적합한 솔루션이 달라질 수 있습니다

경영진의 입장에서 볼 때, 데이터 암호화는 간단한 문제입니다. 데이터 암호화를 구축하고 회사 자산을 안전하게 보호하거나, 아니면 암호화하지 않고 패닉 상태에 빠지거나 둘 중 하나입니다. 하지만 민감한 자산을 보호해야 하는 임무를 전담한 보안 팀에게 있어서 현실은 그리 간단하지 않습니다.

조직의 요구에 가장 잘 부합되는 데이터 암호화 솔루션 유형이 무엇인지 결정할 때, 몇 가지 고려해야 할 사항이 있습니다. 먼저, 데이터 암호화 유형은 기술 스택 레벨에서 구축 위치에 따라 크게 4가지로 나뉩니다. 데이터 암호화는 대개 풀-디스크 또는 미디어, 파일 시스템, 데이터베이스, 애플리케이션 레벨에 구축됩니다.

일반적으로 암호화가 스택에서 하위에 구축될수록 작업이 단순하고 기존 시스템에 미치는 영향이 적습니다. 그러나 이러한 데이터 암호화 방식으로 대응할 수 있는 위협의 수와 종류 또한 적습니다. 반면에, 암호화를 스택 상위에 구축할수록 보안 레벨을 강화하고 더 많은 위협에 대응할 수 있게 됩니다.

Security and deployment complexity

스택 상위에 구축할 경우, 보안이 강화되고 구축 복잡성이 증가합니다.

다음은 컴퓨팅 스택 내 각 레벨의 암호화 구축에 따른 구체적인 장점과 단점입니다. 특정 환경 및 유스케이스에 맞는 최적의 암호화 방식과 제품을 선택하는데 참고할 수 있습니다.

풀-디스크(Full-Disk) 암호화

FDE(full-disk encryption) 또는 SED(self-encrypting drives)를 채용할 경우, 디스크에 기록되는 모든 정보가 암호화되고 디스크를 읽을 때 복호화됩니다.

이점:

  • 가장 간단한 방식의 암호화 구축.
  • 애플리케이션, 데이터베이스, 사용자에게 투명함.
  • 고성능 하드웨어 기반 암호화.

한계:

  • 극히 일부의 위협에만 대응 가능. 미디어 스토리지의 물리적 손실만 보호.
  • APT, 악의적인 내부자, 외부 공격자들로부터의 보호를 제공하지 못함.
  • 최소한의 규제요건만 충족시키며, 정교한 액세스 감사 로그 제공 불가.

중요:

  • FDE는 분실 또는 도난의 가능성이 높은 노트북에 적합합니다. 그러나 이러한 암호화 방식은 데이터센터와 클라우드 환경에서 직면하는 대부분의 리스크에는 적합하지 않습니다.

관련 정보:

파일 레벨 암호화

파일 레벨 방식은 OS 내에 인스톨된 소프트웨어 에이전트를 사용하여 보안 컨트롤을 제공합니다. 이 에이전트는 모든 디스크 읽기 및 쓰기 요청을 인터셉트하고, 해당 데이터의 암호화 또는 복호화를 결정하는 정책을 적용합니다. 고급 파일 시스템 암호화 제품은 관리자 권한 사용자 및 프로세스를 포함한 강력한 정책기반 접근제어와 정교한 로깅 기능을 제공합니다.

이점:

  • 사용자와 애플리케이션에 대해 투명합니다. 즉, 조직은 스토리지 벤더에 종속되어 애플리케이션을 커스터마이즈하거나 관련 비즈니스 프로세스를 변경할 필요가 없습니다.
  • 정형 데이터 및 비정형 데이터 모두 지원
  • 관리자 권한을 가진 사용자에 의한 보안 침해를 방지하고 일반적인 규제요건을 만족시키는 강력한 컨트롤 구현.
  • 보안 인텔리전스 및 규제준수 리포팅을 위해 사용할 수 있는 정교한 파일 액세스 로그 및 SIEM 통합 제공.

한계:

  • 악의적인 데이터베이스 관리자 또는 SQL Injection 공격을 방어하기 위해서는 DAM(database activity monitoring) 제품과 함께 구축해야 합니다.
  • 에이전트마다 지원하는 OS가 다르기 때문에, 해당 솔루션이 Windows, Linux, Unix 플랫폼을 두루 커버하는지 확인하는 것이 중요합니다.

중요:

  • 파일 암호화는 많은 조직과 여러 목적에 부합하는 방식입니다. 광범위한 보호를 통해 대다수의 유스케이스를 지원하며, 구축과 운영이 쉽습니다.
  • 클라우드 스토리지로 이동되는 데이터를 보호할 수 있는 보충적인 게이트웨이를 제공하는 솔루션을 선택하십시오.

관련 정보:

데이터베이스 암호화 (TDE)

이 방식은 보안 팀이 데이터베이스 내의 데이터 특정 하위세트 또는 전체 데이터베이스 파일을 암호화하도록 해줍니다. 이 카테고리에 TDE(transparent data encryption)로 알려진 여러 데이터베이스 벤더들의 솔루션이 포함됩니다.

이점:

  • 리포지토리에 매우 중요한 데이터베이스 내의 데이터 보호.
  • 악의적인 내부자(일부 경우에는 악의적인 데이터베이스 관리자)를 비롯한 다양한 위협으로부터 강력한 보호 제공.

한계:

  • 어떤 한 데이터베이스 벤더의 솔루션을 다른 벤더들의 데이터베이스에 적용할 수 없음.
  • 여러 벤더의 데이터베이스 또는 환경 내 다른 영역 전반에 대한 중앙 관리가 불가능.
  • 구성 파일, 시스템 로그, 노출된 리포트는 남겨두고 데이터베이스 컬럼 또는 테이블만 암호화.

중요:

  • 데이터베이스 암호화 기술은 특정한 전략적인 요구사항을 만족시킬 수 있습니다. 하지만 조직이 이종 환경 전반에 대한 보안을 해결할 수 있도록 해주지는 못합니다. 따라서, 이 기술만으로는 중대한 보안 헛점이 발생할 수 있습니다.

관련 정보:

애플리케이션 암호화

이 방식을 채용하면, 애플리케이션 내부 데이터의 암호화 또는 토큰화를 관리하는 애플리케이션 로직이 추가됩니다.

이점:

  • 데이터베이스 내 필드와 같은 데이터의 특정 하위세트를 보호합니다.
  • 애플리케이션 레이어에서 암호화 및 복호화가 실행되므로, 전송 또는 저장 전에 데이터를 암호화합니다.
  • 악의적인 DBA 및 SQL-injection 공격을 방어하는 최고 수준의 보안을 제공합니다.
  • 토큰화는 또한 PCI DSS 규제준수 비용 및 관리 부담을 대폭 줄여줄 수 있습니다.

한계:

  • 이 방식은 애플리케이션과 통합되어야만 합니다. 따라서 개발 작업 및 리소스가 요구됩니다.

중요:

  • 이 방식은 보안 정책 또는 규제준수 의무에 따라 데이터의 특정 세트를 보호해야 하는 경우에 적합합니다. 또한 토큰화, FPE( format-preserving encryption) 등의 변형된 애플리케이션 레이어 암호화는 데이터베이스에 미치는 영향을 최소화하도록 도와줍니다.
  • 애플리케이션 개발을 간소화할 수 있는 자세한 기술문서, 표준 기반 API, 샘플 코드가 갖춰진 솔루션을 선택하십시오.

관련 정보:

  • 관련 보메트릭 솔루션:

Application Encryption

ANALYST REPORT

Encryption as an Enterprise Strategy

Vormetric Data Security Platform

Offers survey results and analysis on creating an enterprise-wide encryption strategy.  

Download >>

ANALYST REPORT

Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

Vormetric Data Security Platform

Provides actionable information that can help you secure your most crucial asset, your data.  

Download >>

Customer and Partner Success

  • Rackspace Cloud Partners
  • McKesson
  • AWS
  • Google Compute Engine
  • Microsoft
  • IBM
  • CenturyLink
  • QTS
  • Teleperformance Secures
  • Delta Dental