KMS 암호키관리 개념, 주요기능 및 솔루션 알아보기

KMS 시스템은 암호화 키를 안전하게 보호 및 관리하기 위해 설계된 전용 장비로 HSM 모듈의 기능을 겸할 수 있는 보안솔루션입니다. 이를 통해 암호화키를 외부에 노출시키지 않고 시스템 내부에서 안전하게 암호화 키를 관리할 수 있습니다. 또한 중앙집중식 관리 형태로 비용을 절감하며 로그 및 감사를 통한 사후 모니터링 및 분석이 가능합니다.

KMS 암호키관리

개념

KMS 시스템은 WAS, Database, Application 서버와 같은 내부 서버의 접근에 필요한 암호키 및 클라우드, 블록체인 등 외부 서비스에서 사용하는 암호화키를 통합적으로 관리합니다.

KMS 시스템의 동작개념을 나타낸 이미지
KMS 시스템 개념도

또한 최근에는 IoT 기기에도 경량 암호화 알고리즘을 통한 데이터 보호의 필요성이 증가하고 있습니다. KMS 시스템은 이러한 다양한 서비스와 기기에 접근하기 위한 암호키를 사용자 권한 및 키 생명주기에 따라 중앙집중식으로 간편히 관리할 수 있도록 도와주는 솔루션입니다.

암호화 키 생명주기

암호화 키 관리는 단순히 암호키를 안전한 장소에 보관하는 것으로 오해하기 쉽습니다. 하지만 암호화 키의 생성, 저장, 폐기, 갱신, 백업 및 사용시 키의 라이프사이클에 기반한 관리가 필요합니다. 

가령, 사용이 끝난 Password나 암호키를 메모리에 남겨두지 않고 초기화를 하거나, 사용 연한이 지난 암호키는 사용자에게 만료 알림을 주어 갱신하도록 관리할 수 있습니다. 또한, 폐기시에는 지정된 담당자에 의해 안전한 방법으로 삭제 처리되어야 합니다. 

KMS 주요 기능

KMS (Key Management System)은 독립된 HW로 구현된 어플라이언스나 또는 SW 라이브러리 형태로 구현될 수 있습니다. 이러한 유형에 상관없이 KMS 시스템은 기본적으로 다음과 같은 주요 기능을 제공합니다.

1. 키의 통합관리

DB 서버, WAS 서버, 파일서버 등 내부적으로 사용하는 서버의 접근이나 클라우드 서비스, IoT, 블록체인 등 외부의 서비스에서 사용하는 암호키를 통합하여 관리할 수 있습니다. KMS 솔루션에 따라 관리할 수 있는 키의 범위가 다를 수 있습니다.

2. 접근제어

소규모 기업의 경우 데이터베이스 관리자 DBA가 암호키를 함께 관리하는 경우도 있습니다. 하지만, 기본적으로 보안관리자와 서버 관리자는 분리되어야 안전합니다. 시스템 별 접근할 수 있는 사용자(객체)와 보호대상을(주체) 구분하여 접근제어 기능을 제공합니다. 

3. 키 관리 기능

Common Criteria (CC) 인증이나 GS 인증에서 명시하는 요구사항을 충족하는 수준의 다양한 암호화 알고리즘(SEED, ARIA, AES, LEA 등)을 지원합니다. 그리고 암호화키를 자동 및 수동으로 생성하고 접근 가능한 Agent 생성 기능을 지원할 수 있습니다.

4. 감사기능

키의 사용을 요청하는 사용자의 접속 로그를 조회하거나 KMS 하드웨어 및 소프트웨어의 사용량 조회합니다. 그리고 암호키의 수, 암호화키의 사용량, 암호화키 만료 기한 등을 중앙집중식으로 모니터링할 수 있는 감사 기능을 제공합니다. 

KMS 키관리 솔루션

1. 펜타시큐리티: 디아모 KMS

자사 암호화 솔루션뿐만 아니라 오라클이나 Pos 단말, IoT 기기까지 다양한 시스템을 통합하여 암호화 키를 관리할 수 있는 특징이 있습니다. 하드웨어나 SA 형태의 시스템을 제공하는데 HW KMS 솔루션의 경우 저장장치나 메모리에 따라 사양에 따른 시스템을 제공합니다.

2. UNET: TrustKMS

중앙집중식 암호키 관리 시스템으로 Hardware Appliance 형태로 제공되며, 다양한 암호 모듈 및 IoT 환경에서도 사용할 수 있는 경량 알고리즘을 탑재하였습니다. 추가로 WEB 기반의 UI 제공으로 한눈에 서버의 상태 파악이 가능한 특징이 있습니다.

3. AWS KMS

아마존 클라우드 서비스의 형태로 간단히 암호화키를 생성, 관리하여 AWS 내의 다양한 서비스를 제어할 수 있도록 구성되었습니다. AWS 키관리는 크게 다음 3가지 유형의 서비스를 제공합니다.

키 관리 유형설명
AWS Managed KeyAWS 클라우드 서비스의 접근시 내부적으로 자동으로 일어나는 방식으로 사용자의 접근이 불가능하다.
Customer Managed Key사용자가 직접 암호화키를 생성하고 관리하는 방식으로 IAM 접근제어 방식으로 권한을 받아 접근이 가능하다.
Custom Key 저장Cloud HSM 방식으로 키를 관리하는 것으로 FIS 140-2 기준 Level 3까지 지원하는 HSM 기술을 기반으로 사용자가 직접 키를 저장 관리할 수 있다.

이상으로 KMS 암호화 키 관리 시스템의 개념과 주요 기능들에 대해서 살펴보았습니다. 암호화에 대한 다른 글들은 다음을 참고하시기 바랍니다.

Leave a Comment