암호키 관리
1. 암호키 관리 개요
- 레거시스템
- DB암호화, DRM, 파일 암호화,
IC카드발급, 전자서명, 녹취, 녹화, SSL,
대체인증, ATM기, KMIP 디바이스 - 기타 암호화 적용 업무
- IoT
- 스마트워크, 홈네트워크, 스마트헬스
스마트시티 자율자동차
통신사 무인기지국
- BLOCK CHAIN
- 가상화폐 및 의료, 인사관리 법률
부동산 분야 각종 증명서(위조방지) - IoT 기술 접목을 통한 스마트 산업
- CLOUD
- 사진, 문서, 동영상, 음악
영화 및 기타 컨텐츠 서비스
2. 암호키 관리 관련 법령 및 지침
- 개인정보보호법, 시행령
- 제 29조 (안전조치의무)
안전성 확보에 필요한 기술적,관리적 및 물리적 조치 - 제 30조 (개인정보의 안전성확보 조치)
개인정보를 안전하게 저장.전송할 수 있는 암호화 기술의 적용
또는 이에 상응하는 조치
- 제 29조 (안전조치의무)
- 금융보안연구원 암호키 관리
- 암호 키 생성, 분배, 저장, 사용, 백업 및 복구, 교체, 폐기 등의 과정을
상세가이드 내용에 근거하여 관리되어야 한다
- 암호 키 생성, 분배, 저장, 사용, 백업 및 복구, 교체, 폐기 등의 과정을
- 전자금융감독규정
- 31조(암호프로그램 및 키 관리 통제)
② 금융회사 또는 전자금융업자는 암호 및 인증시스템에 적용되는 키에
대하여 주입·운용·갱신·폐기에 대한 절차 및 방법을 마련하여
안전하게 관리하여야 한다.
- 31조(암호프로그램 및 키 관리 통제)
- KISA “암호키 사용 안내서” 가이드라인(2014년 12월 발표)
- NIST SP 800-57(키 관리에 대한 기능)기반으로 안전한 키 관리에 대한
가이드 라인 제시
- NIST SP 800-57(키 관리에 대한 기능)기반으로 안전한 키 관리에 대한
- KISA ISMS인증 암호 키 관리 가이드라인
- 암호 키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고
필요 시 복구 방안을 마련 - 암호화 대상, 암호, 강도(복잡도), 키 관리 암호 사용에 대한 정책을
수립하고 이행하여야 한다
- 암호 키 생성, 이용, 보관, 배포, 파기에 관한 안전한 절차를 수립하고
3. 암호키 관리 보안 강화 필요성
“ 만약 암호키에 대한 관리 소홀로 암호키가 유출된다면 암호화를 통한 정보보호는 의미가 없다. 따라서 암호키에 대한 철저한 관리가 필요하다"
※ 과학기술정보통신부, KISA - "암호키 관리 안내서" 제2장 암호화 키관리시스템
1
- 암호키 관련 사고 유형
- 네트워크 해킹에 의한 암호키 유출, 파손, 삭제, 변경
- 악의적 사용자에 의한 암호키 유출, 파손, 삭제, 변경
2
- 기존 해결책
- IPS / IDS / UTM
- DLP / 웹(방화벽) / ESM
- 악성코드 탐지
- 바이러스 백신
- 기타보안솔루션
3
- 시스템구현
- 암호키
- 관리시스템
- 추가구현
4
- 암호키 키관리 보안 강화
- 실제 사용 암호키의 철저한 수명주기 관리
- 현장의 실제 사용 암호키 실시간 감시 및 알림
