2013.06.25

데이터가 암호화의 보호를 받지 못할 때, '로그인하고 있는 동안'

Tony Bradley | PCWorld
노트북 컴퓨터와 태블릿, 스마트폰에 많은 데이터와 중요한 정보를 가지고 다닐 것이다. 통상 데이터에 접근할 수 없도록 처리하는 암호화를 통해 이런 정보를 보호하곤 한다.

그러나 가장 뛰어난 암호화 소프트웨어일지라도 기기에 로그인하는 순간 정보에 접근해 이용할 수 있게 된다.

이들 기기에는 친구와 가족, 고객, 직장 동료의 이름, 주소, 이메일 주소, 전화번호, 당신의 이동 장소와 시간, 개인적인 사진 같은 정보가 들어있다. 뿐만 아니라 회사와 고객의 지적 재산적 정보, 비밀 유지 계약 조건 아래 보유하고 있는 정보, 기타 안전하게 보관해야 할 중요한 정보도 있다.


허가없는 접근으로부터 보호를 해주는 데이터 암호화

이런 데이터 보호에 비밀번호가 사용된다. 암호화를 하면 인가받지 못한 사용자에게 이런 데이터는 알아볼 수도 없고, 쓸모도 없는 정보가 된다.

암호화는 큰 도움이 된다. 그러나 스스로에게 물어볼 부분이 있다. "몇 단계를 거쳐 데이터를 해독하는가?" 암호화는 데이터 보호에 목적이 있다.

그러나 이와 동시에 사용자가 간편하게 사용을 할 수 있어야 한다. 자신이 암호호환 데이터를 이용하면서 힘들지 않도록 자동으로 해독이 돼야 한다. 그리고 이 부분이 시사하는 부분이 있다.

로그인 되어 있는 상태의 노트북 컴퓨터, 스마트폰, 태블릿의 데이터는 보호해주지 못한다는 사실이다.

원격 잠금과 지우기, 보안이나 프라이버시의 '만병통치약'이 될 수 없다 
법무부와 NSA(모든 데이터를 무작위적으로 입수한 것으로 알려진 바로 그 NSA)는 iOS에 '불만'을 표시했다. 암호화 기법이 사실상 침투가 불가능했기 때문이다.

이를 우회하는 방법이 있다. 애플만이 알고 있는 방법이다. 그리고 애플은 이와 관련, 법 집행 기관들로부터 많은 요청을 받은 것으로 알려지고 있다.

iOS에는 기기를 원격 지우기 하는 기능을 수행하는 일반 암호화 계층도 있다. 모든 데이터를 지우는 방식이 아니다(데이터 분량에 따라 다소 시간이 걸릴 수 있다). 암호화 키를 재설정해 데이터를 쓸모 없게 만드는 기능이다. 그러나 편리하지만 완벽한 기능은 아니다.

iOS 기기들은 이메일과 첨부 파일 등 데이터를 보호해주는 하드웨어 기반의 암호화 기능 또한 보유하고 있다. 그러나 이 암호화 기능은 비밀번호와 관련이 있다. 데이터를 보호하기 위해 기기에 비밀번호를 설정, 사용해야 한다는 의미다.

마이크로소프트 윈도우에서는 비트락커(BitLocker) 암호화 기술이 같은 역할을 수행한다. TPM(Trusted Platform Module) 칩은 하드웨어에 기반의 암호화 요소다. 그리고 사용자 로그인은 암호화를 해제해 사용자가 데이터를 사용할 수 있도록 해준다.

모든 인기 있는 암호화 툴들이 데이터를 잠궈, 허가 받지 않은 접근을 방지한다. 그러나 사용자가 로그인을 하면 데이터를 풀도록 설계되어 있다. 이 상태에서는 암호화가 전혀 되어 있지 않는 것처럼 데이터를 사용할 수 있다는 의미다. 사용자는 다른 단계를 밟지 않고도 암호화된 정보를 이용할 수 있다.

이미 로그인이 되어있다면 어떻게 해야 할까?
어떤 문제가 있는지 알겠는가? 암호화를 더 편리하게 만들어 주는 기능들이 로그인 상태에서는 데이터 보호 기능을 무력화시키고 있다는 것이다.

트립와이어(Tripwire) 보안담당 이사 앤드류 스톰스는 "만약 도둑이 암호화가 해지된 상태의 기기를 훔쳤다면, 그 기기에 저장된 데이터 또한 입수할 수 있다는 의미"라고 말했다.

데이터 보호를 위한 최고의 방법은 기기를 사용하지 않으면 금방 비밀번호가 필요하도록 설정하는 것이다.

'사실상 침투가 불가능한' iOS 암호조차도 비밀번호를 이용해 기기를 잠그도록 되어 있다. iOS의 경우 즉시, 1분, 5분, 15분, 1시간 단위로 비밀번호를 입력해 기기를 해지하도록 설정을 할 수 있다.

1시간은 설정하지 말기 바란다. 무려 60분 동안 데이터를 무방비 상태로 노출시키는 셈이기 때문이다.

데이터 보호에 있어 최고의 방법은 기기를 사용하지 않으면 금방 비밀번호를 요구하도록 설정하는 것이다. 이 시간이 너무 짧으면 수시로 비밀번호를 다시 입력해야 하는 번거로움이 있다. 그러나 이 시간이 너무 길면 '도둑'들에게 암호화된 데이터 전부를 입수할 수 있는 충분한 시간을 주는 셈이다.

트립와이어 CTO 드웨인 멜란콘은 "기업의 경우 사용자 그룹 정책을 이용해 이를 보완할 수 있다. 웨이크업시 비밀번호, 화면 잠금을 하도록 의무화하고, 자동 잠금 시간을 단축시키고, 노트북 컴퓨터를 닫았을 때 자동으로 잠금 기능이 실행되도록 하는 것 등을 예로 들 수 있다"고 말했다.

iOS를 비롯한 모바일 기기들, 그리고 많은 암호화 툴들이 데이터 원격 잠금이나 지우기 기능을 제공하고 있다. 그러나 이는 기기를 잃어버리거나 도난 당했다는 사실을 알고 나서야 사용할 수 있는 툴이다.

노트북 컴퓨터, 태블릿, 스마트폰의 잠금이 풀려있는 동안에는 암호화 기능이 데이터를 보호하지 못한다.

트립와이어의 스톰스는 원격 지우기와 잠금이 '만병통치약'은 되지 못한다고 지적한다. 스톰스는 "모바일 기기의 경우, 똑똑한 도둑들이라면 네트워크 접속을 즉시 무력화 시켜, 기업망 관리자가 원격 지우기나 잠금 기능을 실행시키지 못하도록 할 것"이라고 말했다.

더 나은 대안은 블루투스, NFC(Near Field Communication), 기타 근거리 무선 기반 기술을 노트북 컴퓨터, 태블릿, 스마트폰과 연동시켜 사용하는 것이다. 기기가 사용자로부터 멀리 떨어질 경우 자동으로 잠금 기능이 실행되어 허가받지 않은 접근을 방지하는 것이다. editor@itworld.co.kr


2013.06.25

데이터가 암호화의 보호를 받지 못할 때, '로그인하고 있는 동안'

Tony Bradley | PCWorld
노트북 컴퓨터와 태블릿, 스마트폰에 많은 데이터와 중요한 정보를 가지고 다닐 것이다. 통상 데이터에 접근할 수 없도록 처리하는 암호화를 통해 이런 정보를 보호하곤 한다.

그러나 가장 뛰어난 암호화 소프트웨어일지라도 기기에 로그인하는 순간 정보에 접근해 이용할 수 있게 된다.

이들 기기에는 친구와 가족, 고객, 직장 동료의 이름, 주소, 이메일 주소, 전화번호, 당신의 이동 장소와 시간, 개인적인 사진 같은 정보가 들어있다. 뿐만 아니라 회사와 고객의 지적 재산적 정보, 비밀 유지 계약 조건 아래 보유하고 있는 정보, 기타 안전하게 보관해야 할 중요한 정보도 있다.


허가없는 접근으로부터 보호를 해주는 데이터 암호화

이런 데이터 보호에 비밀번호가 사용된다. 암호화를 하면 인가받지 못한 사용자에게 이런 데이터는 알아볼 수도 없고, 쓸모도 없는 정보가 된다.

암호화는 큰 도움이 된다. 그러나 스스로에게 물어볼 부분이 있다. "몇 단계를 거쳐 데이터를 해독하는가?" 암호화는 데이터 보호에 목적이 있다.

그러나 이와 동시에 사용자가 간편하게 사용을 할 수 있어야 한다. 자신이 암호호환 데이터를 이용하면서 힘들지 않도록 자동으로 해독이 돼야 한다. 그리고 이 부분이 시사하는 부분이 있다.

로그인 되어 있는 상태의 노트북 컴퓨터, 스마트폰, 태블릿의 데이터는 보호해주지 못한다는 사실이다.

원격 잠금과 지우기, 보안이나 프라이버시의 '만병통치약'이 될 수 없다 
법무부와 NSA(모든 데이터를 무작위적으로 입수한 것으로 알려진 바로 그 NSA)는 iOS에 '불만'을 표시했다. 암호화 기법이 사실상 침투가 불가능했기 때문이다.

이를 우회하는 방법이 있다. 애플만이 알고 있는 방법이다. 그리고 애플은 이와 관련, 법 집행 기관들로부터 많은 요청을 받은 것으로 알려지고 있다.

iOS에는 기기를 원격 지우기 하는 기능을 수행하는 일반 암호화 계층도 있다. 모든 데이터를 지우는 방식이 아니다(데이터 분량에 따라 다소 시간이 걸릴 수 있다). 암호화 키를 재설정해 데이터를 쓸모 없게 만드는 기능이다. 그러나 편리하지만 완벽한 기능은 아니다.

iOS 기기들은 이메일과 첨부 파일 등 데이터를 보호해주는 하드웨어 기반의 암호화 기능 또한 보유하고 있다. 그러나 이 암호화 기능은 비밀번호와 관련이 있다. 데이터를 보호하기 위해 기기에 비밀번호를 설정, 사용해야 한다는 의미다.

마이크로소프트 윈도우에서는 비트락커(BitLocker) 암호화 기술이 같은 역할을 수행한다. TPM(Trusted Platform Module) 칩은 하드웨어에 기반의 암호화 요소다. 그리고 사용자 로그인은 암호화를 해제해 사용자가 데이터를 사용할 수 있도록 해준다.

모든 인기 있는 암호화 툴들이 데이터를 잠궈, 허가 받지 않은 접근을 방지한다. 그러나 사용자가 로그인을 하면 데이터를 풀도록 설계되어 있다. 이 상태에서는 암호화가 전혀 되어 있지 않는 것처럼 데이터를 사용할 수 있다는 의미다. 사용자는 다른 단계를 밟지 않고도 암호화된 정보를 이용할 수 있다.

이미 로그인이 되어있다면 어떻게 해야 할까?
어떤 문제가 있는지 알겠는가? 암호화를 더 편리하게 만들어 주는 기능들이 로그인 상태에서는 데이터 보호 기능을 무력화시키고 있다는 것이다.

트립와이어(Tripwire) 보안담당 이사 앤드류 스톰스는 "만약 도둑이 암호화가 해지된 상태의 기기를 훔쳤다면, 그 기기에 저장된 데이터 또한 입수할 수 있다는 의미"라고 말했다.

데이터 보호를 위한 최고의 방법은 기기를 사용하지 않으면 금방 비밀번호가 필요하도록 설정하는 것이다.

'사실상 침투가 불가능한' iOS 암호조차도 비밀번호를 이용해 기기를 잠그도록 되어 있다. iOS의 경우 즉시, 1분, 5분, 15분, 1시간 단위로 비밀번호를 입력해 기기를 해지하도록 설정을 할 수 있다.

1시간은 설정하지 말기 바란다. 무려 60분 동안 데이터를 무방비 상태로 노출시키는 셈이기 때문이다.

데이터 보호에 있어 최고의 방법은 기기를 사용하지 않으면 금방 비밀번호를 요구하도록 설정하는 것이다. 이 시간이 너무 짧으면 수시로 비밀번호를 다시 입력해야 하는 번거로움이 있다. 그러나 이 시간이 너무 길면 '도둑'들에게 암호화된 데이터 전부를 입수할 수 있는 충분한 시간을 주는 셈이다.

트립와이어 CTO 드웨인 멜란콘은 "기업의 경우 사용자 그룹 정책을 이용해 이를 보완할 수 있다. 웨이크업시 비밀번호, 화면 잠금을 하도록 의무화하고, 자동 잠금 시간을 단축시키고, 노트북 컴퓨터를 닫았을 때 자동으로 잠금 기능이 실행되도록 하는 것 등을 예로 들 수 있다"고 말했다.

iOS를 비롯한 모바일 기기들, 그리고 많은 암호화 툴들이 데이터 원격 잠금이나 지우기 기능을 제공하고 있다. 그러나 이는 기기를 잃어버리거나 도난 당했다는 사실을 알고 나서야 사용할 수 있는 툴이다.

노트북 컴퓨터, 태블릿, 스마트폰의 잠금이 풀려있는 동안에는 암호화 기능이 데이터를 보호하지 못한다.

트립와이어의 스톰스는 원격 지우기와 잠금이 '만병통치약'은 되지 못한다고 지적한다. 스톰스는 "모바일 기기의 경우, 똑똑한 도둑들이라면 네트워크 접속을 즉시 무력화 시켜, 기업망 관리자가 원격 지우기나 잠금 기능을 실행시키지 못하도록 할 것"이라고 말했다.

더 나은 대안은 블루투스, NFC(Near Field Communication), 기타 근거리 무선 기반 기술을 노트북 컴퓨터, 태블릿, 스마트폰과 연동시켜 사용하는 것이다. 기기가 사용자로부터 멀리 떨어질 경우 자동으로 잠금 기능이 실행되어 허가받지 않은 접근을 방지하는 것이다. editor@itworld.co.kr


X