KMS 시스템은 암호화 키를 안전하게 보호 및 관리하기 위해 설계된 전용 장비로 HSM 모듈의 기능을 겸할 수 있는 보안솔루션입니다. 이를 통해 암호화키를 외부에 노출시키지 않고 시스템 내부에서 안전하게 암호화 키를 관리할 수 있습니다. 또한 중앙집중식 관리 형태로 비용을 절감하며 로그 및 감사를 통한 사후 모니터링 및 분석이 가능합니다.
KMS 암호키관리
개념
KMS 시스템은 WAS, Database, Application 서버와 같은 내부 서버의 접근에 필요한 암호키 및 클라우드, 블록체인 등 외부 서비스에서 사용하는 암호화키를 통합적으로 관리합니다.
또한 최근에는 IoT 기기에도 경량 암호화 알고리즘을 통한 데이터 보호의 필요성이 증가하고 있습니다. KMS 시스템은 이러한 다양한 서비스와 기기에 접근하기 위한 암호키를 사용자 권한 및 키 생명주기에 따라 중앙집중식으로 간편히 관리할 수 있도록 도와주는 솔루션입니다.
암호화 키 생명주기
암호화 키 관리는 단순히 암호키를 안전한 장소에 보관하는 것으로 오해하기 쉽습니다. 하지만 암호화 키의 생성, 저장, 폐기, 갱신, 백업 및 사용시 키의 라이프사이클에 기반한 관리가 필요합니다.
가령, 사용이 끝난 Password나 암호키를 메모리에 남겨두지 않고 초기화를 하거나, 사용 연한이 지난 암호키는 사용자에게 만료 알림을 주어 갱신하도록 관리할 수 있습니다. 또한, 폐기시에는 지정된 담당자에 의해 안전한 방법으로 삭제 처리되어야 합니다.
KMS 주요 기능
KMS (Key Management System)은 독립된 HW로 구현된 어플라이언스나 또는 SW 라이브러리 형태로 구현될 수 있습니다. 이러한 유형에 상관없이 KMS 시스템은 기본적으로 다음과 같은 주요 기능을 제공합니다.
1. 키의 통합관리
DB 서버, WAS 서버, 파일서버 등 내부적으로 사용하는 서버의 접근이나 클라우드 서비스, IoT, 블록체인 등 외부의 서비스에서 사용하는 암호키를 통합하여 관리할 수 있습니다. KMS 솔루션에 따라 관리할 수 있는 키의 범위가 다를 수 있습니다.
2. 접근제어
소규모 기업의 경우 데이터베이스 관리자 DBA가 암호키를 함께 관리하는 경우도 있습니다. 하지만, 기본적으로 보안관리자와 서버 관리자는 분리되어야 안전합니다. 시스템 별 접근할 수 있는 사용자(객체)와 보호대상을(주체) 구분하여 접근제어 기능을 제공합니다.
3. 키 관리 기능
Common Criteria (CC) 인증이나 GS 인증에서 명시하는 요구사항을 충족하는 수준의 다양한 암호화 알고리즘(SEED, ARIA, AES, LEA 등)을 지원합니다. 그리고 암호화키를 자동 및 수동으로 생성하고 접근 가능한 Agent 생성 기능을 지원할 수 있습니다.
4. 감사기능
키의 사용을 요청하는 사용자의 접속 로그를 조회하거나 KMS 하드웨어 및 소프트웨어의 사용량 조회합니다. 그리고 암호키의 수, 암호화키의 사용량, 암호화키 만료 기한 등을 중앙집중식으로 모니터링할 수 있는 감사 기능을 제공합니다.
KMS 키관리 솔루션
1. 펜타시큐리티: 디아모 KMS
자사 암호화 솔루션뿐만 아니라 오라클이나 Pos 단말, IoT 기기까지 다양한 시스템을 통합하여 암호화 키를 관리할 수 있는 특징이 있습니다. 하드웨어나 SA 형태의 시스템을 제공하는데 HW KMS 솔루션의 경우 저장장치나 메모리에 따라 사양에 따른 시스템을 제공합니다.
2. UNET: TrustKMS
중앙집중식 암호키 관리 시스템으로 Hardware Appliance 형태로 제공되며, 다양한 암호 모듈 및 IoT 환경에서도 사용할 수 있는 경량 알고리즘을 탑재하였습니다. 추가로 WEB 기반의 UI 제공으로 한눈에 서버의 상태 파악이 가능한 특징이 있습니다.
3. AWS KMS
아마존 클라우드 서비스의 형태로 간단히 암호화키를 생성, 관리하여 AWS 내의 다양한 서비스를 제어할 수 있도록 구성되었습니다. AWS 키관리는 크게 다음 3가지 유형의 서비스를 제공합니다.
| 키 관리 유형 | 설명 |
| AWS Managed Key | AWS 클라우드 서비스의 접근시 내부적으로 자동으로 일어나는 방식으로 사용자의 접근이 불가능하다. |
| Customer Managed Key | 사용자가 직접 암호화키를 생성하고 관리하는 방식으로 IAM 접근제어 방식으로 권한을 받아 접근이 가능하다. |
| Custom Key 저장 | Cloud HSM 방식으로 키를 관리하는 것으로 FIS 140-2 기준 Level 3까지 지원하는 HSM 기술을 기반으로 사용자가 직접 키를 저장 관리할 수 있다. |
이상으로 KMS 암호화 키 관리 시스템의 개념과 주요 기능들에 대해서 살펴보았습니다. 암호화에 대한 다른 글들은 다음을 참고하시기 바랍니다.