Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

암호화

유럽연합, “양자 암호화 위성 쏜다”…기밀 통신 시험용으로 2024년 발사

유럽연합은 오는 2024년 안전한 통신을 위해 양자 암호화를 사용하는 저궤도 위성 이글 1(Eagle-1)을 발사할 예정이다. 이글 1은 유럽의 첫 번째 우주 기반 양자 키 배포 시스템이 될 예정이다.   양자 컴퓨터는 전통적인 슈퍼컴퓨터보다 기존 암호화 알고리즘을 더 빨리 깰 수 있기 때문에 기밀 커뮤니케이션의 위협이 될 것으로 평가된다. 일부 양자 기술 전문가는 기존 RSA 암호화 기술은 조만간 구식 기술이 될 것으로 전망하기도 한다. 양자 컴퓨팅이 확산되면, 이 문제를 해결하는 방법 중 하나는 양자 기술 자체를 이용하는 것이다. 대칭형 암호화를 보호하기 위한 기술인 양자 키 배포(Quantum Key Distribution, QKD)가 대표적인 예다. SPACE.com의 보도에 따르면, 유럽연합은 양자 암호화 기술이 실전에서 어떻게 동작하는지 확인하기 위한 인공위성을 발사할 계획이다. 2024년 발사 예정인 이글 1 위성은 최초의 우주 기반 QKD 시스템으로, 유럽우주국은 이 위성이 미래에 극도로 안전한 커뮤니케이션을 구현할 것으로 기대한다.   유럽우주국은 이번 프로젝트를 위해 상용 인공위성 운영 전문업체인 SES(Société Européenne des Satellites)와 협력하고 있으며, SES는 이번 프로젝트를 위해 20여 곳의 유럽 업체와 컨소시엄을 구성했다. 실질적인 이글 1 인공위성 플랫폼은 이탈리아 업체인 SITAEL이 제공하며, 양자 키 페이로드는 독일 업체인 테사트 스페이스컴이 구축하고 SES가 운영한다. 이외에도 오스트리아, 벨기에, 체코, 스위스 업체도 프로젝트에 참여하고 있다.  이글 1은 소형 저궤도 위성으로 개발되고 있다. 하지만 무게 300kg으로, 크기에 비해 무거운 편이다. 2024년 발사 후 3년 동안 궤도에 머무르며 차세대 보안 커뮤니케이션에 필요한 기술을 시험할 예정이다. 유럽우주국에 따르면, 이글 1은 “양자 역학 원리를 사용하는 QKD 기술의 실현 가능성”을 시연할 계획이다...

양자컴퓨팅 유럽연합 암호화 2022.10.18

데이터 덮어씌우는 윈도우 11 암호화 오류 대책은 "PC를 항상 최신 상태로 유지하기"

마이크로소프트가 윈도우 11에 비트로커를 사용하는 암호화 드라이브에 데이터를 덮어 씌우는 등 특정 좋건에서 데이터 손상을 일으키는 오류가 있다고 밝혔다. 수정 픽스가 있기는 하지만 1개월가량 성능을 늦춘다는 점에서 우려가 된다. 이번에 밝혀진 오류에서 문제가 되는 것은 아마도 일반 사용자에게는 매우 낯설 2가지로, AES XEX 기반 조정된 코드북 모드 및 암호문 도난, 그리고 AES와 갈로이스/카운터 모드(CGM)(AES-GCM)다. PC 관련 매체인 톰즈하드웨어에서는 인텔 10세대 아이스 레이크와 11세대 로켓 레이크, AMD의 젠4 기반 라이젠 7000 시리즈가 이번 오류의 영향권 내에 있다고 보도했다.   문제는 데이터 암호화와 AES-XTS에 사용되는 두 기능이 비트로커 암호화를 위해 윈도우 10에 특별히 추가된 것이라는 점이다. 비트로커는 PC의 TPM의 암호화와 드라이브 보호 등을 담당한다. 노트북이 도난당할 경우에도 윈도우 헬로의 얼굴 인식 데이터나 지문, PIN이 없으면 접근할 수 없는 것이다. 같은 기능이 플래시 드라이브 암호화 보호에도 사용된다. 현 시점에서 안심할 수 있는 사용자는 그동안 계속 PC를 최신 상태로 업데이트했던 사람일 것이다. 일례로 마이크로소프트 보안 공지에서는 맨 처음 배포된 오리지널 윈도우 11 버전이 취약하고, 지난 6월에 이미 관련 보안 업데이트가 되었다고 밝혔다. 그러나 다른 우려는 업데이트 적용 후 1개월가량 성능이 저하된다는 것이다. 마이크로소프트는 정확한 원인이나 1개월을 언급한 이유를 명시하지 않았다. 성능 저하의 대상인 애플리케이션은 비트로커, 엔터프라이즈 로드 밸런서, 엔터프라이즈 PC 디스크 처리량 등을 말한다. 1개월 후라면 7월 중순을 말한다. 대략 7월 중순쯤 성능 저하 기간이 끝났다고 볼 수 있는데, 만일 PC를 최신 상태로 유지했다면 두 오류의 영향을 받지 않았다고 판단할 수 있다.   PC가 비트로커를 사용하는지는 어떻게 알 수 있나? 마이크로소프트는 비트로커가 ...

비트로커 TPM 암호화 2022.08.10

“보안 역량 강화한다” 줌, 암호화 기술 줌 폰과 소회의실에 확대

줌이 엔드 투 엔드 암호화(End-to-End Encryption, E2EE) 기술을 클라우드 전화 시스템 ‘줌 폰’과 회의를 여러 개로 분리하는 ‘소회의실(Breakout Rooms)’에 적용하겠다고 21일 밝혔다.    줌 폰 사용자는 ‘더보기’ 메뉴를 통해 E2EE 기능을 바로 활성화할 수 있다. E2EE는 발신자와 수신자 기기만 알 수 있는 암호화 키를 사용해 통화 내용을 암호화하며, 통화 당사자는 서로에게 고유 보안 코드를 제공하고 E2EE 적용 여부를 확인할 수 있다.  줌 폰에 E2EE를 적용하려면 관리자 계정이 필요하며, 통화는 관리 권한을 가지고 있는 계정에서만 걸 수 있다. 전화는 일대일 형태만 지원되며, 데스크톱이나 모바일 앱을 이용해야만 E2EE를 적용한 통화를 할 수 있다. 또한 자동 통화 녹음 기능은 이용할 수 없으며, 일반 유선 전화는 지원되지 않는다. 일반 화상 회의에서 이미 E2EE를 제공하는 줌은 회의 참가자를 여러 방으로 분리하는 소회의실에서도 기존 회의 수준의 높은 보안성을 제공할 예정이다. 소회의실의 E2EE 기능은 중요하고 민감한 회의 내용을 보호하거나, 특정 사람만 참여하는 화상 회의를 진행할 때 적용하면 좋다.  계정 소유자나 관리자라면 누구나 회의에서 E2EE 기능을 활성화할 수 있으며, 대신 회의 참여자는 데스크톱 앱, 모바일 앱, 줌 룸스를 통해 접속해야 한다. E2EE가 활성화된 회의에서는 라이브 스트리밍, 라이브 트랜스크립션(transcription), 설문조사(polling) 같은 기능은 이용할 수 없다.  줌은 과거 화상 회의 기술에 E2EE 기술을 적용했다고 밝혔으나 2020년 줌의 보안 기술이 업계에서 사용하는 수준보다 낮고, 여러 결함이 존재한다는 사실이 발견되면서 비난받은 바 있다. 줌 CEO 에릭 유안은 이를 해결하기 위해 90일간 신규 기능 개발을 중지하고 보안 기술에 집중하겠다고 발표했으며, 2020년 10월부터 E2EE 기술을 ...

암호화 2022.07.25

"믿기 어렵지만 작동한다" 양자 컴퓨팅은 어떻게 암호화를 위협하는가

양자 컴퓨팅은 여전히 이론적 추정과 실제 응용 사이의 모호한 영역에 머물고 있지만 실제 구현 쪽으로 조금씩 다가가고 있다. 양자 컴퓨터에서 많은 관심을 끄는 사용 사례 중 하나는 현대 인터넷 암호화다.     양자 컴퓨팅과 큐비트 양자 컴퓨팅이라는 이름은 이 기술이 거시 세계에 익숙한 보통 사람에겐 생소한 법칙으로 움직이는 아원자 입자의 속성에 의존한다는 데서 비롯됐다. 특히 양자 컴퓨터는 전통적인 컴퓨터 시스템의 2진 숫자(비트)가 아닌 큐비트(quantum bit의 줄임말)를 사용한다. 결정적 속성을 갖는 비트와 달리 큐비트는 확률적이다. 비트는 최종적으로는 물리적 스위치가 된다(나노미터 단위로 측정되는 매우 작은 스위치이긴 하지만). 비트는 2진이다. 즉, 온 또는 오프, 참 또는 거짓, 0 또는 1이다. 큐비트는 그렇지 않다. 큐비트의 물리적 기반은 전자의 회전, 광자의 편광과 같은 수많은 현상이 될 수 있다. 이것은 대단히 흥미로운 주제로, 상상과 현실 사이를 잇는 선형 방정식의 영역이다. 양자 역학은 기반 현실에 대한 설명이 아닌 해석으로 간주하며 그 계산 복잡도는 극한에 이른다. 큐비트의 상태는 가능한 두 상태의 선형적 중첩으로 설명된다. 이 상태가 관찰되면 참 또는 거짓으로 해석된다. 그런데 같은 입력이 항상 같은 출력으로 해석되지는 않으며, 관찰되지 않은 시점의 상태는 확률적 관점에서만 설명할 수 있다. 전통적인 물리학 관점에서 더 놀라운 점은 양자 컴퓨터의 큐비트는 동시에 여러 상태를 지닐 수 있다는 것이다. 컴퓨터가 큐비트의 상태의 표본을 뽑으면 상태는 하나의 either/or(이것 아니면 저것)로 해석된다(파동 함수 붕괴라고도 함).   암호에서의 양자 컴퓨팅 과학과 철학적 관점에서는 매우 재미있는 이야기다. 예를 들어 양자 컴퓨터가 기능한다는 것은 입자에 대한 관찰의 효과를 입증하며 신이 우주로 주사위 놀이(확률 게임)를 하고 있을지도 모른다는 생각이 들게 한다. 그러나 우리의 관심사는 일상의 실질적인 ...

양자컴퓨팅 암호화 2022.05.24

마이크로소프트, 엣지 브라우저에 유사 VPN 기능 추가

마이크로소프트가 엣지 브라우저에 무료 VPN 기능을 추가 중인 것으로 알려졌다. 하지만 좀 더 자세히 들여다보면, 사이트와 사이트를 연결하는 전통적인 의미의 VPN은 아니다. 오히려 사용자의 ID나 위치를 위장하는 프록시 메커니즘에 가깝다.   마이크로소프트는 협력업체인 클라우드플레어(Cloudflare)와 함께 구현한 “시큐어 네트워크(Secure Network)” 기능을 자사 지원 페이지에서만 소개하고 있다. 기본적으로 엣지를 사용할 때 인터넷 접속을 암호화해 공공 무선 LAN을 이용한 웹 서핑 등을 더 안전하게 만들어 주며, 온라인 추적도 한층 더 어렵게 만든다. 특히 사용자가 가상 IP 주소를 사용하고 위치를 특정할 수 없기 때문에 타깃 광고가 어려워진다.  하지만 실제 VPN 서비스와 비교하면 제약이 많다. 우선 엣지 브라우저를 사용할 때만 이용할 수 있다. 다른 애플리케이션의 인터넷 액세스는 보호하지 않는다. 무료 서비스이지만, 데이터 용량은 월 1GB로 제한된다. 지역적으로 차단된 스트리밍 세션 역시 이 서비스로는 이용할 수 없다.   또한 이 서비스를 이용하려면, 마이크로소프트 계정으로 로그인해야 한다. 익명성을 유지한 채 웹을 이용하고자 하는 목적과 충돌되는 부분으로, 좀 더 지켜봐야 할 부분이다.  서비스는 현재 프리뷰 기능으로 이용할 수 있으며, 엣지 브라우저의 설정 메뉴에서 활성화할 수 있다. 마이크로소프트는 추후 보안 업데이트를 통해 정식 기능으로 배포할 예정이지만, 정확한 일시는 밝히지 않았다. editor@itworld.co.kr

마이크로소프트 엣지 VPN 2022.05.03

암호화된 윈도우 11 PC의 복구 키를 찾는 방법

비트로커(BitLocker) 기기 암호화는 윈도우 11 설치 과정에서 별도의 알림 없이 자동으로 활성화되는 보안 기능이다. 마이크로소프트 계정으로 이 기능을 지원하는 PC에 로그인하면 곧바로 사용할 수 있다. 실제로 많은 윈도우 11 사용자가 PC가 암호화됐다는 것조차 모른다. 복구 키가 자동으로 마이크로소프트 계정에 저장되는 것도 알아차리기 힘든 이유 중 하나다. 이 키는 윈도우 암호를 잊어버리거나 TPM에 저장된 데이터에 문제가 생겼을 때 필요하다. 복구 키를 이용해 드라이브에 저장된 데이터의 암호화를 해제하지 않으면 PC 자체가 무용지물이 된다.   다행히 복구 키를 보는 방법은 간단하다. 마이크로소프트 웹사이트(account.microsoft.com/devices/recoverykey)에서 확인할 수 있다. 더 확실히 하려면 복구 키의 백업을 만드는 것도 좋은데, 매우 민감한 정보로 다루는 것이 중요하다. 예를 들면 복구 키 정보를 패스워드 매니저 내에 항목을 만들어 저장하면 더 안전하게 보관할 수 있다. 마이크로소프트 웹사이트에서 키가 보이지 않는다면, 정확한 계정으로 로그인했는지 먼저 확인한다. 계정이 하나뿐이고 누군가 다른 사람이 PC를 설정해 줬다면 복구 키가 그의 계정에 연동됐을 가능성이 있다. 혹은 윈도우 11 프로 사용자라면 비트로커가 마이크로소프트 계정을 통해 활성화되지 않았을 수도 있다. PC를 초기에 설정해 준 것이 누구든 상관없이 로컬 계정을 만든 후 비트로커를 활성화했을 것이다. 이런 경우를 대비해서라도 반드시 복구 키를 별도로 저장해 둬야 한다. 제어판 > 비트로커 드라이브 암호화 > 복구 키 백업 메뉴를 이용하면 된다. '마이크로소프트 계정에 저장하기'를 선택하는 것이 가장 좋다.   물론 이렇게 복구 키를 관리하는 것은 번거로운 일이다. 암호화 기능을 꺼버릴까 고민이 생길 것이다. 하지만 그래서는 안 된다. 차라리 데이터를 여러 곳에 백업해 두고 암호화를 그대로 유지하는 것이 더 낫다....

복구키 윈도우11 윈도우 2022.03.25

"암호화란 무엇인가" 암호화의 의미와 작동 방식

지난 몇 년동안 ‘암호화(Encryption)’라는 용어가 많이 회자되고 있다. 간단한 개념이지만, 실제 사용은 매우 복잡하다. 암호화가 기기에서 어떻게 사용되고 있는지 설명하려면 우선 암호화가 무엇인지부터 설명해야 한다.    암호화의 기본  가장 기초적인 수준에서의 암호화는 정보를 즉시 접근할 수 없도록 감추는 방법이다. 암호화는 정보화 시대가 도래하기 훨씬 이전인 수천 년 동안 민감하거나 귀중한 지식을 보호하기 위해 사용되어 왔다. 암호화, 코드, 그리고 정보를 보호하거나 숨기는 수단들을 사용하고 연구하는 것을 암호학(Cryptography)이라고 한다.  가장 간단한 암호화 버전은 기본 대체 암호(cipher)다. A=1, B=2 등으로 알파벳 문자를 숫자로 나타낼 경우, 해당 코드로 메시지를 보낼 수 있다. 즉시 인식할 수는 없지만, 코드를 아는 사람은 누구나 메시지를 빠르게 해독할 수 있다.  따라서 20 8 5 16 1 19 19 23 15 18 4 9 19 19 23 15 18 4 6 9 19 8와 같은 이 숫자는 겉보기에는 임의의 숫자 열 같지만, 이를 읽을 수 있는 사람에게는 중요한 정보가 될 수 있다. T h e p a s s w o r d i s s w o r d f i s h 이는 아주 간단한 암호화의 기본적인 예이며, 고전적인 디코더 링(decoder ring) 장난감에서도 찾을 수 있을 정도다. 고고학자들은 수천 년 전 기록에서 암호화한 사례를 발견했다. 메소포타미아 도공들은 새로운 유약을 만드는 방법을 경쟁자들에게 알리지 않고 친구에게 전달하기 위해 서로에게 점토로 암호화된 메시지를 보냈다. 고대 그리스의 폴리비오스 암호표(Polybius square)는 다중 알파벳 치환 암호화의 또 다른 예다. 메시지를 잠금 해제하기 위해서는 키가 필요하다. 이는 유럽 중세 시대에도 여전히 사용됐다.    전시의 암호학 암호학은 정보를 보호하는 데 사용되었는데, 전쟁보다 ...

암호화 encryption 암호학 2021.10.06

IDG 블로그 | “의도만 좋았다” 애플의 도를 넘은 CSAM 대응

최신 소식에 따르면, 애플은 남아도는 역량을 CSAM(Child Sexual Abuse Material)과 싸우는 데 사용하고자 한다. 언제나 그렇듯이, 애플의 의도는 좋고, 원대한 목표로 나아가고자 한다. 그리고는 이런 과유불급으로 사람들이 반대할 이유를 수십 개씩 만들어 낸다. 오랜 속담을 인용하자면, 지옥으로 가는 길은 선의로 포장되어 있고, 이번 경우에는 원 애플 파크 웨이(One Apple Park Way, 애플 본사 주소)에서 시작됐다. 쿠퍼티노는 좋은 아이디어가 끔찍한 처형이 되는 곳인 것 같다. 이번 소동은 지난 주 애플이 CSAM을 방지할 수 있는 뭔가를 할 것이라고 발표하면서 시작됐다. 이때까지는 좋았다. 애플의 전술에는 아이들이 누드 사진이나 기타 성적인 이미지를 다운로드하면 부모에게 알려주는 것도 포함되어 있다. 애플 전술의 기술적인 측면을 자세히 들여다보지 않더라도, 이런 방식이 잘못될 수 있는 가능성은 거의 무한대라는 것을 알 수 있다. 그래서 애플 본사가 인피니티 루프라는 이름을 지었는지도 모른다. 자신의 감정을 잘 모르는 청소년은 자신의 욕구와 생각을 이해하고자 노력할 것이다. 그런데, 이런 청소년의 검색 내용이 즉각 부모와 공유된다면? 청소년이 자신의 감정을 원하는 사람과 원하는 시간에 이야기할 수 있는 권리를 보장하는 방법이 아니지 않은가? 많은 사람이 지적했듯이, 일부 가정에서는 아이들의 이런 행동은 심각한 처벌로 이어질 수 있다. 스마트폰 검색 결과로 아이들의 마음을 알 수 있다고 생각하는 것일까? 부모의 입장에서도 과연 이런 조처가 아이를 위한 옳은 일인지 의심하지 않을 수 없다. 하지만 옳건 그르건, 필자는 애플 엔지니어의 전화는 받고 싶지 않다. 애플 알고리즘의 전화는 더더욱 싫다. 이외에도 프라이버시 침해에 대한 지적은 무수히 많다. 잊지 말아야 할 것이 있다. 정책 상 애플은 일정한 방식으로 지역 법률과 규제를 따른다. 일부 국가는 이 문제를 어떻게 볼 것인지 생각해야 한다. 애플의 문구처럼 이 변화는 “자...

애플 뉴럴해시 CSAM 2021.08.11

애플 아이클라우드 사진 검사 계획으로 정부 데이터 접근에 대한 새로운 우려 확산

애플이 새롭게 발표한 ‘어린이를 위한 확장된 보호(Expanded Protections for Children)’를 두고 촉발된 논란이 주말 내내 이어졌다. 어린이를 위한 확장된 보호는 애플 플랫폼 전반에서 아동 성적 학대 자료(CSAM)를 강력하게 단속하기 위한 일련의 조치다. 새로운 보호 조치는 부모를 위한 커뮤니케이션 툴과 시리 업데이트, 어린이와 부모가 안전하지 않은 상황에 대처하는 데 도움이 되는 검색을 포함한 세 가지 영역으로 구성된다.    암호화 전문가, 사이버 보안 전문가, 프라이버시 옹호자가 논쟁을 벌이는 부분은 “새로운 암호화를 적용해 사용자 프라이버시를 보호하면서 온라인에서 CSAM의 확산을 억제한다”는 애플의 계획이다. 이 계획은 사용자의 사진 라이브러리를 스캔한 다음 새로운 형식의 암호화를 적용해 기존 CSAM 라이브러리의 이미지와 비교한다.  애플은 iOS와 아이패드OS의 새로운 암호화 애플리케이션을 통해 사용자의 전체 사진 라이브러리를 스캔해서 애플 디바이스에서 아이클라우드 사진으로 업로드된 알려진 CSAM 이미지를 찾은 다음, 이를 국립 실종 및 착취 아동 센터(NCMEC)에 보고할 수 있다. 애플은 “뉴럴해시(NeuralHash)라는 해시 기술은 이미지를 분석해 고유한 숫자로 변환하고, 이를 통해 시스템은 “NCMEC 및 기타 어린이 안전 기관이 제공한 알려진 CSAM 이미지 해시의 데이터베이스를 사용해서 디바이스에서 바로 대조할 수 있다”고 설명했다.  이에 대해 유명 암호화 전문가인 매튜 그린이 트위터에 “아주 나쁜 아이디어”라는 글을 올렸고, 이를 시작으로 격렬한 논쟁이 이어졌다. 문제는 이 시스템이 미국을 비롯한 여러 국가의 정부가 1990년대부터 원했던 암호화 백도어를 제공하는 시발점이 될 수 있다는 부분이다. 그린은 “이와 같은 종류의 툴은 사용자 휴대폰에서 아동 포르노물을 찾는 데 유용하겠지만, 독재 정권의 손에서 그 툴이 어떻게 이용될지 상상해 보라”고 지적했다. ...

애플 아이클라우드 암호화 2021.08.11

노트북을 도난당했을 때 해야 할 일과 이를 대비하는 방법

노트북을 도난당하면 많은 돈을 들여 이를 교체해야 하는 것은 물론, 자신의 디지털 보안에 위협을 초래한다. 다행히 노트북을 잃어버리기 전, 그리고 후에 자신을 보호하기 위해 취할 방법들이 있다.   노트북 컴퓨터를 도난당했을 때를 대비하는 방법, 노트북 컴퓨터를 도난당했다면 이에 대해 보고, 신고하는 방법, 도둑의 손에 들어갔을 때 자신의 데이터를 보호하는 방법을 소개한다.  노트북을 도난당했을 때를 대비하는 방법 노트북을 도난당할 것이라고 생각하는 사람은 없다. 그러나 이런 일은 누구에게나 일어날 수 있다. 노트북을 갖고 있을 때 자신과 민감한 데이터를 보호하는 조치를 취하는 것이 중요하다. 노트북 도난에 따른 피해 회복이 훨씬 더 쉬워지기 때문이다. 특히 다음이 중요하다. - 데이터를 암호화한다 하드 드라이브를 암호화하면 물리적으로 노트북에 접근할 수 있는 경우를 포함, 자신의 비밀번호와 신용카드 정보 등 민감한 정보에 접근하지 못하도록 만들 수 있다 컴퓨터에 윈도우가 실행되고 있을 때 몇 분 정도 투자해 드라이브를 암호화할 수 있는 비트로커(BitLocker)를 설치한다. 자신의 데이터에 접근할 비밀번호를 선택해야 한다. 비밀번호 관련 모범 사례를 바탕으로 비밀번호를 선택한다(무엇보다 포스트잇에 적어 노트북에 붙여놓지 않는 것이 중요하다). 서드파티 소프트웨어 사용에 거부감이 없다면 앱솔루트 홈 앤 오피스(Absolute Home & Office, 기존 노트북 컴퓨터용 로우잭)를 다운로드할 수 있다. 드라이브를 암호화하는 것에 더해, 이번 기사에서 설명할 다른 방법들을 통해 더 쉽게 할 수 있다. 노트북의 위치를 추적해 원격으로 데이터를 삭제하는 방법 등을 예로 들 수 있다. - 정기적으로 백업한다 정기적으로 자신의 데이터를 백업해야 한다. 그래야 노트북 컴퓨터를 도난당해도 파일을 영원히 잃어버리는 문제에 대비할 수 있다. 노트북 컴퓨터 도난에 대해 걱정하지 않는 사람들도 이렇게 해야 한다. 여러 이유 때문에 데이터를...

노트북 도난 암호화 2021.07.29

데이터베이스 보안을 향상시키는 11가지 기술

데이터베이스에는 매우 민감한 내용을 포함한 방대한 양의 개인정보가 저장되므로 책임이 있는 기업이라면 관리에 신경쓸 수밖에 없다. 이제 데이터베이스 개발자는 정교한 도구와 기술을 사용해 정보를 안전하게 지키면서 원하는 작업을 할 수 있다. 비유하자면 살찔 걱정 없이 케이크를 먹을 수 있는 셈이다.   이와 같은 솔루션에는 정교한 수학이 적용된다. 가장 간단한 메커니즘은 현대판 비밀 코드, 즉 고전적인 디코더 휠의 디지털 버전이라고도 할 수 있다. 더 깊은 수학으로 들어가 높은 유연성과 책임성을 제공하는 더 복잡한 확장 형태도 있다. 연구실에서 수십년 전부터 존재했지만 이제서야 신뢰할 만큼의 안정성에 이른 아이디어를 실제로 구현한 버전이 많다. 이 알고리즘들은 비즈니스 관계를 접합하고 정확한, 사기로부터 안전한(fraud-free) 워크플로우를 보장하기 위한 기반이 되고 있다. 이런 접근 방식은 기업에서 고객의 비밀을 보호하면서 더 간편하게 개인화된 서비스를 제공할 수 있게 해준다. 또한 서비스 제공에 지장을 초래하지 않으면서 데이터 흐름에 대한 규정도 더 철저히 준수할 수 있게 해준다. 데이터베이스 신뢰를 간편하게 해주는 11가지 도구와 기술을 소개한다. 1. 기본 암호화(Basic encryption) 가장 간단한 솔루션으로 충분할 때도 있다. 현대 암호화 알고리즘은 하나의 키로 데이터를 잠가 그 키를 소유한 사람만 데이터를 읽을 수 있도록 한다. 많은 데이터베이스가 AES와 같은 표준을 사용해 데이터를 암호화할 수 있다. 이 솔루션은 절도와 같은 하드웨어 분실에 대비한 가장 강력한 보호 수단이다. 올바른 암호화 키가 없으면 데이터를 열어볼 수 없기 때문이다. 그러나 가동 중인 컴퓨터에 공격자가 침입하는 경우, 대칭 암호화 알고리즘이 보호할 수 있는 범위에는 한계가 있다. 데이터베이스의 정상적인 작업을 허용하는 키를 공격자가 찾아낼 수 있기 때문이다. 많은 데이터베이스는 “미사용(at rest)” 상태의 정보를 암호화하는 옵션을 제공한다. ...

데이터베이스 암호화 Basic encryption 2021.07.14

IDG 블로그 | 클라우드 보안은 여전히 진화 중

클라우드 아키텍트로서 필자는 클라우드 보안이 여전히 어렵다는 것에 놀라곤 한다. IDAM(Identity Access Management)을 사용한 지가 10년도 더 됐으며, 여기에 심화된 암호화 서비스와 키 관리, 가장 최근에는 제로 트러스트와 SASE까지 등장했다. 제로 트러스트와 SASE는 각각 포레스터와 가트너가 이름 붙인 것으로, 보안 솔루션 업체가 만든 용어도 아니다.   이 모든 보안 기술에도 불구하고, 클라우드 배치 자체가 더 복잡해지면서 보안 솔루션은 점점 더 복잡하고 운영하기 어려워졌다. 새로운 기술과 SASE 같은 새로운 기술 개념, 많은 훌륭한 아이디어가 더해지고 있지만, 클라우드와 IoT, 엣지 컴퓨팅의 성장, 그리고 이제는 재택 및 원격 근무의 확산이 동작 가능하고 비용 효과적인 보안을 제공할 수 있는 우리의 역량을 훌쩍 넘어서 버린 것이다. 클라우드 배치 환경은 점점 덜 안전해지고 있다. 오해 말기 바란다. 필자는 충분한 시간과 자금만 있으면 모든 보안 문제를 해결할 수 있다는 입장이다. 하지만 어떤 기업도 무제한의 시간과 돈을 가지고 있지는 않다. 과제는 비용 효과적이고 거의 최적화된 보안 솔루션을 제공할 수 있는 기술 프레임워크를 정의하는 것이다. 물론 완전한 최적화는 불가능하다는 사실도 받아들여야 한다. 이 프레임워크는 또한 유연하고 운영의 복잡성도 없어야 한다. SASE를 비롯한 여러 좋은 아이디어는 현재로서는 개념적인 것에 불과하다. 보안 솔루션 업체는 SASE를 해법으로 홍보하지만, 실질적인 솔루션은 여전히 진화 중이며, 실제 구현된 솔루션은 드물다. 가트너의 애널리스트 냇 스미스에 따르면, SASE는 기능 체크리스트보다는 철학에 가깝다. 그렇다면 SASE는 무엇이고, 우리를 어떻게 구원할 것인가? SASE는 SD-WAN 역량과 보안을 결합해 온디맨드 방식으로 제공한다. 보안 정책은 각 사용자 세션에 시행되고, 연결된 주체와 맥락, 컴플라이언스 정책을 기반으로 조정되며, 각 세션은 지속적인 위험 평가를 받...

클라우드보안 SASE IDAM 2021.06.28

“문서 공유부터 협업까지” PDF에 관한 모든 것

모든 사람이 PDF를 사용한다. 그렇지만, PDF에 관해 상세히 알고 있는 사람은 많지 않다. PDF 포맷으로 어떤 것을 할 수 있는지, PDF/A, PDF/X 등의 변형 포맷은 무엇인지, 그리고 PDF는 법적으로도 안전한지 알아본다. PDF 파일을 모르는 사람도, 사용하지 않는 사람은 없다. 우리는 매일같이 이 파일 형식으로 청구서, 주문서, 티켓을 받는다. 이는 우연이 아니다. PDF(Portable Document Format)의 가장 큰 장점은 원래의 애플리케이션, 운영체제, 기기에 관계없이 원본 문서와 똑같이 복제된다는 것이다. 플랫폼과 무관한 파일 포맷이고, 맥 및 윈도우 PC 상에서, 그리고 인쇄물에도 동일한 모습을 갖는다. 1993년 처음 도입되었을 당시, 문서 공유의 획기적인 돌파구였다.     27년이 지난 지금, 일각에서는 PDF 포맷이 낡은 것이 아니냐는 의문을 제기하곤 한다. 전혀 그렇지 않다. PDF도 발전을 거듭했기 때문이다. 디지털 시대에 상이한 애플리케이션 사이에서 콘텐츠를 주고받을 수 있는 범 세계적으로 적용할 수 있는 파일 포맷은 필수적이다. 원래 ‘전자 문서’로서 개발된 PDF는 이제 광범위한 용도로 쓰인다. 양방향 PDF 문서는 다양한 기능을 가지고 있고, 멀티미디어와 3D 콘텐츠를 추가할 수 있는 선택지가 있다. 다시 말해 PDF는 만능 파일 포맷이라고 할 수 있다.     수많은 애플리케이션에서 읽기 가능   PDF가 등장하자마자 PDF 문서를 읽을 수 있는 다수의 PDF 리더를 무료로 이용할 수 있게 됐다. 오늘날 다운로드하여 이용할 수 있는 PDF 리더는 수없이 많다. 또한 보편적인 브라우저와 이메일 서비스는 쉽게 PDF를 열고 읽을 수 있는 PDF 기술이 포함되어 있다. 진입 장벽이 낮고 운영체제와 플랫폼의 영향을 받지 않기 때문에 PDF는 대량 정보 교환에 이상적이다.   ISO 표준   PDF는 발송자가 의도한 대로 정보가 수신되는 것을 보장한...

PDF 표준 암호화 2021.06.16

"RSA 알고리즘이 깨졌을 때" 암호화의 미래

인터넷의 보안 계층에 갑자기 큰 균열이 생긴다면 어떻게 될까? 이 균열이 암호 알고리즘의 수학적 토대에까지 도달한다면 어떻게 될까? 3월 초, '이는 RSA 암호화 시스템을 파괴한다'는 결론이 담긴 논문이 발표되면서 이런 일이 발생했다.     이 주장이 맞다면, 보관 또는 이동 중인 암호화된 데이터가 안전하지 않을 수도 있다. 첫 번째 문제는 저자의 주장이 옳은지 여부를 아는 사람이 아무도 없다는 것이다. 두 번째, 더 큰 문제는 저자의 주장이 맞다면 어떻게 대처해야 할지 확신하는 사람이 아무도 없다는 것이다. 이 기사를 쓰는 시점에 수학자들은 여전히 첫 번째 문제를 고민하고 있다. 그러나 두 번째 문제를 다루고, 갑자기 아주 큰 취약점이 출현했을 때 무엇을 할지 계획을 세우기 시작한 사람들도 있다. 이들은 스위칭을 더 단순하게 만드는 프로토콜로 구현한 여러 알고리즘에서 더 강력한 토대를 만들려 시도하고 있다. 일부 암호학자들은 RSA 대체재를 찾고 있다. 이 알고리즘은 전자 분야에서 양자 효과를 활용하는 새로운 머신들에 취약할 수 있는 단일 암호 알고리즘이기 때문이다. 이들은 세상이 더 민첩해져야 한다고 주장한다. 균열이 많이 나타날 가능성이 있기 때문이다. 큰 수의 인수 분해 이 논문의 제목은 ‘SVP 알고리즘을 이용한 빠른 정수 인수 분해(Fast Factoring Integers by SVP Algorithms)’이다.  저자는 2011년 요한 볼프강 폰 괴테 대학에서 은퇴한 존경받는 암호학자인 클라우스 슈노르다. 이 사람의 이름이 붙은 디지털 서명 체계가 있을 정도로 슈노르는 저명한 암호학자이다.  1988년 처음 특허를 받았고, 이후 일부 디지털 화폐들이 효율성과 짧은 서명이라는 장점 때문에 이를 변형해 하용하고 있다. 펄카닷(Polkadot), 쿠사마(Kusama), 질리카(Zilliqa) 블록체인이 대표적인 사례 3가지이다. DLP(Discrete Log Problem)에서 가정되는 난해함이 강점...

RSA 암호화 클라우스슈노르 2021.04.09

'DNSSEC부터 DoH·DoT까지' DNS 트래픽 암호화의 이해

인터넷 백본인 DNS(Domain Name System) 프로토콜은 그동안 여러 차례 개선됐다. 예를 들어 최초 DNS 사양에는 엄격한 보호 수단이 없었지만, 이후 카민스키(Kaminsky) 버그와 같은 보안상 취약점이 발견되면서 2010년 DNSSEC(Domain Name System Security Extensions)이 탄생했다.    DNSSEC은 디지털 서명 기반의 암호화로 보안을 강화한다. 전 세계 DNS 클라이언트는 이를 이용해 DNS 응답이 정상적인 DNS 서버에서 왔으며 전송 과정에서 변조되지 않았음을 확인한다. 그런데 이후 DNS 오버 HTTPS(DNS over HTTPS, DoH)와 DNS 오버 TLS(DNS over TLS, DoT)가 등장했다. DNSSEC이 충분한 보안을 제공한다면 이들이 왜 필요한 것일까. 이유는 DNSSEC가 DNS 응답의 진정성과 데이터 무결성을 보장하지만 개인정보는 보호하지 않기 때문이다. 반면 DoH와 DoT) 같은 프로토콜은 종단간 암호화를 제공하므로 데이터의 기밀성이 보장된다. 즉, DNS 트래픽도 HTTPS 사이트 간의 웹 트래픽과 같은 종단간 암호화의 이점을 얻게 된다.   DoH란?  DNS는 전송 제어 프로토콜(Transmission Control Protocol, TCP)에서 사용할 수도 있지만 기본적으로 DNS 프로토콜은 전송 계층 프로토콜인 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)에서 동작한다. DoH는 더 빠른 UDP가 아닌 HTTPS를 통해 암호화된 DNS 메시지를 전송한다. HTTPS는 전송 계층 보안(Transport Layer Security, TLS)에서 실행되는 HTTP 프로토콜이므로 DoH는 사실상 DNS 오버 HTTP 오버 TLS(DNS over HTTP over TLS)라고 할 수 있다.  DoH에서 DNS 질의와 DNS 응답은 모두 HTTPS를 통해 전송되며 포트 443을 사용하므로 ...

DNSSEC DoH DoT 2021.04.01

"지금 사용 중인 VPN은 과연 안전한가" VPN 암호화의 이해

가상 사설망(Virtual Private Network, VPN)에서는 잠재 사용자를 끌어들이기 위해 화려한 마케팅 용어를 사용하지만, 이를 조목조목 검토하고 분석하는 것은 상당히 어렵다. 암호화 방법을 설명하는 언어는 약자와 기술 전문용어로 가득하기 때문에 ‘군용 암호화’와 같은 문구를 검색하면 일반적으로 답변보다 질문이 더 많이 나타난다.    그러나 암호화의 세부 사항이 처음에는 혼란스러울 수 있지만, 정보를 분류하는 방법을 알게 되면 상황이 매우 명확해진다. TLS와 RSA 인증서, 키, AES 암호화 등과 같은 개념은 훨씬 덜 낯설고, VPN이 얼마나 유용한지 평가하는 것은 생각보다 간단하다. 방법은 다음과 같다.  VPN 암호화 동작 방식 일반적으로 암호화는 데이터를 코드로 변환(인코딩)하는 프로세스로 승인된 당사자만 디코딩할 수 있다. 컴퓨터가 VPN에 연결되면, 다단계 암호화 프로세스가 수행된다. 각 단계의 보안 수준은 사용되는 프로토콜에 따라 다르다. 각 프로토콜은 설정된 연결의 인증, 키 교환, 암호화 같은 요소를 각각의 방식으로 처리한다.  일반적으로 최신 VPN 암호화 프로토콜은 다음과 같이 4부분으로 나눌 수 있다.  1. 연결이 처음 시작되는 방법(핸드셰이크(Handshake)) 2. 연결에 세션 중에 데이터를 암호화하고 해독하는 데 사용되는 코드(키)를 생성하는 방법(키 교환이라고도 함) 3. 암호화 키가 유지되는 기간 4. 설정된 연결을 보호하는 데 사용되는 암호화 방법 VPN에서 지원하는 프로토콜은 일반적인 암호화 강도 수준을 나타내지만, 취향에 맞게 구성할 수 있다. 결과적으로 VPN 서비스는 같은 프로토콜을 사용할 수 있지만, 다른 수준의 보안을 제공한다. 한 기업은 더 빠른 속도를 자랑하기 위해 업계 기본값에 더 가깝게 맞추고, 다른 기업은 보안을 극대화하기 위해 암호화에 사용하는 키 길이/크기를 늘릴 수 있다.  VPN 암호화의 세부 사항을 이해하는 방법 V...

VPN 암호화 2021.03.26

클라우드에서 민감한 데이터를 보호하는 3가지 베스트 프랙티스

최근 베터클라우드(BetterCloud)의 설문에 따르면, 기업은 협업, 통신, 개발, 계약 및 인사 관리, 서명 인증, 기타 민감한 데이터를 처리하고 저장하는 비즈니스 기능을 지원하기 위해 평균 80가지 서드파티 클라우드 애플리케이션을 사용하는 것으로 나타났다. 또한 애플리케이션과 전체 비즈니스를 PaaS나 IaaS에서 구동하는 기업도 증가하고 있다. 2020년에만 기업의 76%가 AWS에서, 63%가 마이크로소프트 애저에서 애플리케이션을 실행했다.    캐피털 원(Capital One)의 고문이자 전 CISO인 마이클 존슨은 이런 퍼블릭 클라우드 서비스는 모두 필요하고 생산적이며 전통적인 데이터센터보다 더 안전한 환경까지 약속한다고 말했다. 그러나 이렇게 클라우드에서 처리하고 저장하는 민감한 데이터에는 위험이 따르게 되는데, 대부분의 위험은 서비스 설정 및 관리 과정에서 사용자의 실수로 발생한다.  존슨은 2019년 8,000만 명의 개인 기록이 유출된 사고 당시 캐피털 원의 대응을 이끌었다. 당시 사고에서 공격자는 잘못 구성된 서드파티 클라우드 환경을 이용했다. 존슨의 팀은 침해의 확산을 막는 한편, 강력한 대응 계획, 이사회 및 경영진과의 투명한 소통, 이전부터 유지해온 사법 당국과의 관계에 힘입어 데이터가 악용되기 전에 신속하게 범인을 체포하도록 지원했다.  클라우드에 민감한 데이터를 저장하는 데 따르는 위험에 대처하는 대응 계획은 모든 클라우드 보안 정책에 기본적으로 포함되어야 한다. 퍼블릭 클라우드를 위한 데이터 보호 정책을 시작하려면, 퍼블릭 서드파티 클라우드 서비스의 데이터가 어떻게 노출 또는 도난될 수 있는지 아는 것이 중요하다.    클라우드의 데이터는 어떻게 취약해지는가  클라우드 보안 연합(Cloud Security Alliance, CSA)의 연간 위협 보고서에 따르면, 서드파티 클라우드 서비스에서 데이터 침해나 유출이 발생하는 가장 일반적인 원인은 과도한 권한, 기...

클라우드보안 IAM 암호화 2021.03.17

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.