10.17
주요뉴스
뉴스홈 > 기획특집
데이터 센터의 보안 열쇠는 ‘암호화’서버, 테입 등 도난 빈번…키 관리 방식 고도화, 솔루션도 속속
지금까지는 대부분의 데이터 센터 보안이 주로 인터넷의 위협에 대처하는 것에 초점이 맞춰져 왔다. 하지만 이제는 더 이상 IT가 물리적인 보안을 무시할 수가 없게 되었다. 매니지드 웹 호스팅 제공 업체인 C I Host의 시카고 데이터 센터에 최근 도둑이 침입해 서버 하드웨어를 훔친 바가 있는데 벌써 네 번째 일어난 일이다.

더욱이, 백업 테이프의 경우 IT의 직접적인 소유가 아니기 때문에 빈번한 목표물이 되기도 한다. 정보보호 감시 단체인 PRC(Privacy Rights Clearinghouse)의 웹 사이트에는 2005년 이후 테이프 도난 사례가 40건이 넘는 것으로 나와 있으며 보고되지 않은 것까지 합칠 경우 이보다 훨씬 많은 테이프가 도난을 당한 것으로 추정되고 있다.

인포메이션위크가 2008년에 전략적인 보안에 관한 주제로 설문조사를 실시한 결과, 컴퓨터와 스토리지 시스템의 도난이 향후 가장 많이 발생할 것으로 우려되는 상위 5가지 중의 하나로 선정된 바 있다.

키 관리가 암호화 프로젝트의 성공요인 = 확실히, 하드 드라이브와 테이프에 대한 암호화는 데이터 보안에 필수적이다. 그렇다면 기업들은 왜 서둘러 도입하지 않을까? 키를 관리하는데 있어 복잡성이 암호화 확산의 가장 큰 걸림돌이다. 결국, 암호화에는 여러가지 방법이 있지만 키 관리가 이러한 프로젝트의 성공을 좌우하는 핵심이다.

다행히도, 키를 관리하는 방법이 진화를 거듭하고 있으며 백업 시스템의 각 단계에서 데이터를 암호화하는 새로운 옵션이 속속 등장하고 있다. 대부분의 벤더들은 현재의 문제점을 인지하고 있으며 이를 해결하기 위한 작업에 주력하고 있는 모습이다. RSA의 키 매니지먼트 스위트(Key Management Suite)의 경우, RSA의 파트너 암호화 제품들과 연동, 모든 암호화 키를 위한 하나의 관리 지점을 제공하고 있다.

또한 암호화 벤더들은 자사의 제품에 키 관리 기능을 탑재하기 시작했다.

보안 분석가들은 데이터가 백업 서버로 보내지기 전 호스트에서 모든 데이터를 암호화하는 방식을 선호한다. 이러한 방법은 엔드 투 엔드 프라이버시를 보장할 뿐만 아니라 실수가 발생할 곳을 줄여주는 장점이 있다. 또한 많은 제품들이 이 기능을 제공하고 있다. 시만텍의 넷백업(NetBackup)이 대표적인 사례로, 키가 생성되면 사용자 인터페이스에 있는 박스를 클릭해 데이터를 암호화할 수 있다. 백업 서버는 클라이언트에게 암호화 진행에 대한 지침을 내린다.

하지만 이러한 방식은 단점이 있다. 호스트에서 데이터를 암호화하기 때문에 복호화는 서버에서 일어난다. 또한 암호화가 서버에 부하를 줄 수가 있어 백업 창을 길게 하거나 성능에 영향을 끼칠 가능성이 있다. 게다가, 암호화된 데이터는 랜덤 데이터와 구별하기가 어렵기 때문에 테이프-드라이브 압축의 효율성이 크게 떨어지게 된다.

백업 벤더들은 이제서야 키 관리 기능을 자사의 소프트웨어에 탑재하기 시작했으며, 대부분은 여전히 관리 업무를 처리하는데 백업 계정에만 의존하고 있는 상황이다.

암호화 벤더, 키 관리 기능 탑재 본격화 = 암호화를 테이프 드라이브에 더 가까이 이동시키는 것은 어플라이언스로, 데이터가 테이프 라이브러리로 이동할 때 암호화한다. 이러한 장비들은 SAN의 파이버 채널 패브릭에 삽입될 수 있으며 테이프 드라이브에 대한 SCSI, 또는 iSCSI 네트워크에 탑재가 가능해 엄청난 유연성을 제공할 수 있다.

어플라이언스는 서버의 프로세스 부하를 덜어주며 여러 백업 소프트웨어와 하드웨어가 공존하는 환경에서 인기가 높다. 또한 설치가 신속히 이루어지고 설정이 쉬운 환경에서도 많이 사용된다. 넷앱(NetApp)의 데크루(Decru) 사업부와 엔사이퍼(nCipher)의 네오스케일 크립토스토어(NeoScale CryptoStor)는 박스에서 압축까지 실행하며 별도의 키 관리 어플라이언스나 소프트웨어 시스템이 키 아카이빙과 보안을 제공한다.

한편, 시스코는 디렉터급 파이버 채널 스위치를 위한 스토리지 미디어 인크립션(Storage Media Encryption) 블레이드를 발표했다.

테이프 암호화에 있어 가장 흥미로운 혁신은 드라이브 자체에 암호화 기능을 추가한 것이다. 썬의 스토리지텍(StorageTek) 10000B와 IBM의 LTO4 Ultrium 드라이브, HP, 퀀텀은 암호화를 하드웨어에 내장시키고 있다. 이러한 방식은 비용을 낮추고 성능에는 거의 영향을 끼치지 않게 한다.

압축은 암호화 바로 직전에 실행될 수가 있어 스토리지 용량도 최소화되며, 무엇보다도 중요한 점은 암호화된 데이터의 경우 쓰여지고 복호화된 직후에 판독되며 에러가 없는지 확인하기 위해 원본과 비교해본다는 것이다.

암호화 솔루션 속속 출시 = 디스크 어레이와 SAN 스토리지를 암호화하는 것은 언뜻 보기에 불필요한 단계인 것처럼 보인다. 특별한 경우를 제외하고는 데이터 센터에서 서버를 도난당하는 것은 매우 드문 일이며 오히려 데이터 센터에서 노후화된 디스크를 제거할 경우에 발생하게 될 문제에 더 민감하다. 기업들은 디스크가 데이터 센터에서 제거될 경우에 디스크를 지우거나 파괴하기 위한 프로그램을 갖추고 있어야 한다. 하지만 이러한 프로세스는 인간의 실수가 일어날 가능성이 늘 존재하며 유지보수가 진행 중인 드라이브에 대한 교체 요구 시에 벤더와의 협력에 의존할 수밖에 없다.

'유비쿼터스' 디스크 암호화의 경우 이러한 우려를 말끔히 해소할 수 있다.

테이프와 마찬가지로, 디스크 스토리지 암호화 역시 상충관계가 있을 수 있다. 데이터 센터로 국한되지는 않는 PGP의 넷셰어(NetShare)는 리서치 그룹이나 신용 부서와 같이 민감한 데이터를 처리하는 사용자들에게 효과가 높다. 이러한 사용자의 컴퓨터에 넷셰어가 탑재되고 암호화된 폴더나 특정 애플리케이션으로 콘텐츠가 쓰여진다면 인증된 사용자의 공중 키로 파일이 암호화된다.

또 다른 옵션은 SAN 업체인 EMC의 파워패스(PowerPath) 스토리지 매니지먼트 소프트웨어가 대표적으로, 서버에서 구동하며 EMC의 스토리지 시스템에 대한 가상화 및 리던던시 기능에 완벽한 액세스를 제공한다. 파워패스에 데이터 암호화를 추가함으로써 EMC는 모든 SAN 클라이언트가 서버 단에서 데이터를 암호화하도록 구현했으며 암호화가 윈도우나 솔라리스, 리눅스 등 OS에 제한되도록 만들었다.

디바이스와 키 관리 SW 통합 = EMC의 접근 방법은 스토리지 관리자들이 어떤 가상 볼륨을 암호화할지 결정할 수 있게 해주며 RSA 사업부의 키 매니지먼트 스위트(Key Management Suite)와 통합된다. 암호화가 스토리지 매니지먼트 소프트웨어에 직접 연동하기 때문에 이러한 방법은 SAN 내부의 스토리지 최적화 기술과 충돌이 발생하지 않는다.

시게이트는 최근에 하드웨어 암호화가 탑재된 엔터프라이즈급 디스크 드라이브를 발표했다. 추가적인 부하 없이 미디어 암호화 기능을 제공할 수 있게 된 것이다. 키 관리가 여전히 이슈이지만 IBM과 같은 벤더는 이러한 디바이스를 자사의 키 관리 소프트웨어와 통합시키고 있다.

이러한 방식은 기업의 서버나 스토리지 아키텍처를 바꾸어야 하지만 RAID와 가상화, 압축, 데이터 중복 제거 등 다른 스토리지의 최적화를 이룰 수 있다는 장점이 있다.

마지막으로, 이더넷 링크 계층의 트래픽을 암호화하는 것도 상상해볼 수 있는데 현재 IEEE 802.1AE 스펙이 여기에 해당된다. 시스코의 TrustSec은 정교한 역할 기반의 액세스 제어 시스템의 토대로 802.1AE를 사용하고 있다.

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오