암호화의 효과는 확실하다.하지만 암호화를 PC와 데이터베이스, 네트워크에 적용하는 것은 소프트웨어와하드웨어에 계층을 추가하는 것을 의미하며 제품 라이선스와 교육, 지원과 관련된 추가 비용이 발생한다는 것을 뜻한다.
민감한 데이터를 다루는 기업들에게 있어서 암호화가 전부라는 무조건적인 정책이 확산되고 있다. 하지만 암호화는 추가 비용을 감수해야 하며 IT 환경의 복잡성을 초래한다. 미국 보훈부의 정보 도난 사건을 계기로 암호화에 대한 목소리가 높아지고 있지만 전사적인 암호화 정책이 반드시 좋은 것만은 아니다.
PC와 데이터베이스, 네트워크를 위한 암호화에 적극적인 사용자들은 관련 제품의 라이선스와 교육, 지원 업무에 많은 비용을 투자해야만 한다. 소프트웨어와 하드웨어에 계층이 추가되기 때문에 방화벽과 침입 방지 시스템이 검사를 위해 데이터 패킷의 암호화를 해체하는 경우 시스템 성능이 저하될 수도 있다. 모든 암호화된 데이터가 신뢰할 만한 소스에서 생성된다고 가정하고 그러한 패킷이 검사되지 않고 통과되도록 하는 것이 대안이 될 수 있다. 하지만 암호화 키가 분실 또는 도난되거나 너무나 오랫동안 사용되어서 예측 가능할 경우, 민감한 데이터의 안전을 보장할 수가 없게 된다.
현실적이며 저렴하고 실용적이어야
미국 법무부의 최고 정보보안 책임자인 데니스 헤레틱은 "암호화는 현실적이며 저렴하고 실용적이어야 한다"고 밝혔다. 헤레틱은 위험도에 따라 암호화에 우선 순위를 부여하고 있다. 중요한 정보를 담고 있는 착탈식 매체의 경우 암호화되어야 한다는 등의 내용이다. 하지만 그는 법무부 데이터베이스에 있는 모든 정보를 암호화하는 것은 성능 저하로 이어질 수 있다는 것을 깨달았다. 헤레틱이 특정한 데이터 저장 장치에 있어서 암호화가 실용적이지 않다고 판단할 경우 해당 데이터베이스를 네트워크에서 차단하는 것과 같이 다른 보안 수단을 사용하게 된다.
법무부의 경우 오래 전부터 노트북 데이터에 대한 암호화를 적용해왔지만 미국 보훈부(VA)는 그렇지 않아, 지난 5월 한 분석 담당 직원이 노트북을 도난당해 그 안에 담겨있던 전역 군인들의 정보 2,650만 건 역시 분실되는 사고가 발생하면서 암호화의 중요성이 부각되었다. 의회와 퇴역 군인들의 집중 비난을 받은 뒤 보훈부는 지난 8월에 가디언에지 테크놀로지스(GuardianEdge Technologies)와 트러스트 디지털(Trust Digital)의 암호화 소프트웨어를 모든 노트북에 설치하기로 했다. 보훈부의 대변인은 암호화 기술 도입의 완료 시한을 맞추지는 못했지만 현재 원활하게 진행되고 있다고 전했다. 보훈부는 플래시 드라이브와 CD에 저장된 모든 데이터의 암호화를 비롯해 데스크톱에 있는 모든 정보를 암호화할 방침이다.
보훈부처럼 미 육군(U.S. Army)도 포인트섹 모바일 테크놀로지스(Pointsec Mobile Technologies)와 크레던트 테크놀로지스(Credant Technologies), 마이크로소프트의 EFS(Encrypting File System) 등을 사용해 노트북에 대한 암호화 소프트웨어 도입을 의무화하고 있다. 아울러 윈도우 비스타 출시 이후 윈도우 비스타에 탑재되어 있는 암호화 기능도 활용할 방침이다.
실제로, 점점 더 많은 기관과 기업들이 위험을 줄이기 위해 자사의 데이터베이스와 노트북, 네트워크 트래픽, 이메일을 암호화하고 있다. 보훈부의 노트북 도난 사건을 계기로 백악관으로부터 모든 연방 정부 기관에 대한 보안 권고 사항 지침이 송부되었다. 이러한 지침 중 대표적인 것은 중요한 데이터에 대해 노트북과 휴대용 컴퓨터의 모든 데이터를 암호화하도록 하는 것이었다.
하지만 기업들은 암호화에 대한 편향된 시각을 지양해야 한다. 벤더들도 시인하듯이 암호화 기술은 많은 어려움을 내포하고 있다. IT 시간 소비도 많으며 정보 공유를 더욱 어렵게 만든다. 또한 메시지의 암호를 푸는데 사용되는 키를 관리하는데 있어서의 어려움도 있다. 키가 분실되거나 다른 사람의 손에 들어가면 암호화된 데이터의 취약점이 노출된다. 키가 분실될 경우 데이터를 불러올 수 없다. 암호화 전문 업체인 nCipher의 마케팅 총괄 부사장인 리차드 몰드는 "정보를 암호화했을 때 5년이 지난 뒤에 해당 정보를 볼 수 있을 것이라는 확신을 가질 수 있을까? 25년 뒤에는 어떨까?"라고 말했다.
암호화에 대한 편견 지양
암호화는 특정 상황에서만 제한적으로 적용되어야 한다. 암호화는 편지처럼 데이터 주변을 봉인하는 것으로, 봉인을 열 수 있는 키를 가진 사람을 제외하고는 누구도 개봉할 수 없다. 반대로, 암호화되지 않은 데이터는 엽서처럼 누구나 정보를 볼 수 있다.
암호화는 네트워크와 시스템에 정체 현상을 야기한다. 지연 정도는 여러 요인에 따라 달라진다. 시스템이 작은 데이터 패킷을 여러 번 암호화할 경우 대용량의 데이터 패킷을 조금 암호화하는 것보다 더 많은 시간이 걸린다. 사용자들이 암호화를 실행할 때 소프트웨어보다 하드웨어 장비에 의존할 경우 지연은 줄어든다. 여러 암호화된 데이터를 동시에 보내는 것 역시 지연을 줄일 수 있는 방법이다.
솜씨가 좋은 데이터 절도범들은 가능한 모든 키 조합들을 만들어내는 기술을 통해 암호화를 '해제'할 수 있지만 그러한 공격은 시간이 많이 투입되며 암호화 시스템의 작동 방법에 대한 지식도 필요하고 일반적인 노트북이나 데이터 절도의 범위를 넘어선 노하우가 요구된다. 비밀번호를 알아내는 것은 좀더 쉬운 방법이며 지문을 비롯한 사용자 ID를 요구하는 생체인식 장비조차도 하드 드라이브에서 빼내 다른 컴퓨터에 설치할 경우 충분히 '돌파'가 가능하다.
이러한 이유로, 금융이나 개인 정보를 다루는 기업들이 노트북에 잠금 장치를 설정해놓고 있다. 캐피털 블루크로스(Capital BlueCross)는 10월 말까지 자사의 모든 노트북 컴퓨터에 있는 데이터를 암호화할 방침이다. IT 프로세스 담당 이사인 켄트 포드빈은 "암호화를 도입할 경우 하드 드라이브가 유출되더라도 무용지물로 만들 수 있다"고 밝혔다. 캐피털 블루크로스는 또한 PDA와 착탈식 저장장치에 저장된 데이터도 암호화할 계획이다.
데이터 분실에 대한 우려가 높아지고 있지만 실제로 암호화를 도입하고 있는 기업들은 여전히 낮은 비율에 머물고 있다. 지난 5월과 6월 두 달에 걸쳐 액센츄어와 제휴해 실시한 인포메이션위크 리서치의 전세계 보안 설문조사 2006에 따르면 미국의 966개 기업 중 19%만이 규제를 준수하는데 있어 비중이 가장 높은 기술로 암호화를 꼽았다. 응답자들은 문서 및 스토리지 관리 향상을 비롯해 인프라스트럭처와 애플리케이션 보안에 더 높은 비중을 두고 있는 것으로 나타났다. 정보 시스템 보호를 위해 암호화 툴을 사용하고 있는 미국 기업들 가운데 64%가 SSL을 도입하고 있는 반면에 22%가 PGP(Pretty Good Privacy) 암호화를 사용하고 있는 것으로 조사되었다. 이러한 비율은 2004년 이후 거의 변동이 없었다. PGP는 1991년에 개발된 공개 키 암호화 프로그램이며 PC와 서버의 데이터를 암호화할 수도 있지만 주로 표준형 이메일을 암호화하는데 활용되고 있다.
데이터 암호화, "너무 복잡하고 어렵다"
암호화된 데이터는 네트워크를 이동하는 트래픽을 검사하는 네트워크 보안 어플라이언스의 효용성을 감소시킨다. 시스코 시스템즈의 보안 기술 그룹 CTO인 밥 글리처프는 "또한 암호화는 침입 방지/탐지 시스템과 방화벽이 암호화된 데이터를 검사할 수 없게 만들기 때문에 침입자들이 네트워크에 '폭탄'을 심어놓을 수 있는 방법을 제공할 수도 있다"고 밝혔다. 그는 위험을 억제하기보다 규제에 따르기 위해 암호화를 적용하는 것은 잘못된 생각이라면서, "사람들은 암호화가 '만병통치약'인 것처럼 생각하지만 어떻게 관리하느냐에 따라 '독'이 될 수도 있다"고 주장했다.
IT 의사 결정자들은 정보의 중요도와 공격에 대한 취약성, 암호화에 대한 투자 비중, 암호화에 대한 IT 팀의 지식 등을 고려해야 한다.
오라클 데이터베이스 보안 제품 관리 이사인 폴 니드햄은 아직 고객수는 많지 않지만 데이터베이스 암호화의 인기도가 높아지고 있다고 전했다. 한가지 장애 요인은 대부분의 애플리케이션이 암호화와 연동되지 않는다는 점이다. 여기에는 콜센터 직원들이나 유통점의 점원 및 기타 직원들이 필요로 하는 데이터에 액세스할 수 있도록 해주는 레거시 애플리케이션도 포함되어 있다.
오라클은 개발자들이 데이터베이스의 암호화된 정보를 연결시키는데 사용하는 툴인 API로 이러한 문제를 해결하기 위한 시도를 지속해왔다. 지난 2005년 7월에 발표한 오라클 10g 릴리즈 2에서 오라클은 투명한(transparent) 데이터 암호화라 부르는 제품을 공급하기 시작했다. 오라클은 자사의 데이터 정의 언어인 DDL에 암호화를 내장해 데이터베이스 관리자들이 전체 데이터베이스가 아닌 데이터베이스내의 테이블을 암호화할 수 있도록 해준다. 애플리케이션이 데이터를 요청하게 되면 애플리케이션에 전송되기 전에 데이터가 복호화되어야 하는지를 이 새로운 데이터베이스가 판단할 수 있다.
하지만 투명한 암호화도 문제점을 안고 있다. 보안 시장 조사 업체인 레드-데이터베이스-시큐리티의 CEO인 알렉산더 콘브러스트는 오라클의 투명한 데이터 암호화 기능의 경우 마스터 암호화 키를 시스템에서 해제해 저장하고 있는데, 이는 오라클 데이터베이스와 클라이언트 사이의 데이터 전송을 위해 구조적으로 취해온 것이라고 보고한 바 있다. 오라클은 주요 패치 업데이트를 진행하면서 지난 1월 이 버그를 수정했다.
캐피털 블루크로스는 데이터베이스 암호화에 대해 도입 계획이 없다고 밝혔다. IT 부사장인 켄트 화이팅은 "오라클 데이터베이스의 데이터를 암호화는 방안을 고려해보았지만 너무 복잡하고 어려워 포기했다"고 전했다. 캐피털 블루크로스는 암호화대신에 외부 액세스로부터 데이터를 보호하기 위해 방화벽 기술을 사용하고 있다.
암호화는 각 제품마다 제공하는 강점이 다르며 PC와 네트워크, 데이터베이스에 적용될 수 있기 때문에 일반적인 가격을 매기는 것은 쉽지 않다. PGP의 소프트웨어처럼 제품 당 59달러부터 시작하는 데스크톱 암호화 소프트웨어도 있다. PGP 데스크톱 사용자들은 라이선스 가격이 169달러이며 사용자 1명당 연간 69달러인 유니버셜(Universal) 서버를 사용해 데스크톱을 암호화할 수 있다.
도입 비용 다양
하지만 다양한 서비스 비용 역시 존재한다. 키나 디지털 인증서를 교체하는 비용은 250달러에서 많게는 1,000달러가 든다. 비밀번호 변경의 경우 일반적으로 45달러 선에서 이루어진다. 백엔드 암호화 인프라 구축의 경우 훨씬 많은 비용을 감수해야 한다. Ncipher의 nShield 하드웨어 보안 모듈은 어플라이언스당 6,000달러 선이다. 데이터베이스의 암호화에 필요한 KeepSecure 어플라이언스의 경우는 80,000달러이다. 또한 키 관리와 배포 소프트웨어인 keyAuthority를 추가할 경우 최소 10만 달러를 추가로 내야 한다.
만일 벤더들이 고객의 상호 작용을 보호하는데 있어 보다 많은 사용자들로 확장할 수 있는 방법을 알아낸다면 암호화의 비용을 크게 줄일 수 있게 된다. 벤더들이 대량의 이메일을 비용 효과적으로 암호화하는 방법을 찾는다면 금융 서비스 업체들은 매달 고객에게 발송하는 종이 문서 비용을 대폭 절감할 수 있게 될 것이다. 이메일 컨설팅 업체인 페리스 리서치(Ferris Research)의 리치 제닝스 분석가는 "이러한 이메일 암호화 기능의 경우 금융권에서의 피싱(phishing) 위험을 줄여줄 수 있어 킬러 애플리케이션이 될 가능성이 높다"고 밝혔다.
신중한 접근 방법 필요
무엇보다도, 암호화에 대한 적극적인 도입 전략은 중요한 데이터가 노트북에서 보호되지 않은 상태로 노출되어 있다는 뒤늦은 깨달음에서 비롯된 것이다. 하지만 노트북의 파일과 데이터를 암호화하는 것은 쉽지 않은데다 별도의 작업도 요구된다. 일부 암호화 소프트웨어는 PC 애플리케이션의 업데이트를 인식하지 못해 IT 담당자들이 애플리케이션이나 운영 체제를 업데이트하기 전에 암호화 소프트웨어를 설치할 수 없게 만들며 하드 드라이브를 다시 암호화해야 하는 상황이 발생한다.
캐피털 블루크로스는 매주 40대의 노트북을 암호화해왔다. 암호화 기술을 설치하는데 걸리는 시간은 5분이 채 안되며 암호화는 백그라운드에서 이루어지는 동시에 직원들은 자신들의 컴퓨터를 계속해서 사용할 수 있다.
하지만 캐피털 블루크로스의 IT팀은 PC의 성능을 진단하고 유티마코(Utimaco)의 세이프가드 이지(SafeGuard Easy) 풀 디스크 암호화 소프트웨어의 설치를 시험하는데 4시간 가량을 소비하고 있다. 설치가 완료된 다음에는 액티브 디렉토리 보안 컨트롤과 통합된다. IT 담당자들은 지난 2개월 동안 평균적으로 일주일에 한번은 시간외 업무를 수행해야만 했다. 세이프가드 이지는 암호화와 개인용 방화벽, 안티바이러스, 안티 스파이웨어, 자산 관리 기능을 제공하는데 PC당 250달러에 이르는 유티마코 제품의 하나이다.
세이프가드 이지는 사용자들이 컴퓨터를 사용하는데 있어 아무런 영향도 주지 않고 PC의 하드 드라이브에서 구동하는 모든 애플리케이션을 암호화한다. 캐피털 블루크로스는 세이프가드 이지가 PC 이미지 백업과 업그레이드 프로세스에서 백엔드 관리 기능과 통합 가능하기 때문에 세이프가드 이지를 선택했다. 이 회사는 처음에는 고객의 의료 정보를 보호하기 위해 노트북을 암호화했지만 다른 중요한 기업 정보 보호를 위해서도 확장했다는 것이 IT 부사장인 화이팅의 설명이다.
알칸사스 블루크로스 블루실드(Arkansas BlueCross BlueShield)는 정부 규제를 따르기 위해 일부 고객의 데이터를 암호화하고 있다. IT 인프라 담당 부사장인 밥 허드는 "개인의 의료 정보나 비밀 정보에 대한 암호화를 강화해 외부 유출을 적극 차단하고 있다"고 밝혔다.
알칸사스 블루크로스 블루실드는 다른 기업들처럼 암호화와 시간, 비용의 균형을 유지하려 애쓰고 있다. 데이터의 암호화가 필수적이지만 암호화가 모든 분야에 적용되려면 더 많은 소프트웨어와 지원이 요구된다는 점에서 비용이 상승할 수밖에 없다. CIO인 조 스미스는 "암호화는 특정한 데이터에서는 매우 중요하지만 전사적으로 모든 데이터에 적용할 수는 없다"면서, "실제로 보호해야 할 가치가 있는 데이터에만 구현해야 한다"고 밝혔다.
기업들은 때때로 잘못된 방향에서 암호화를 적용하고 있다. 비용이 매우 낮으며 위험성도 없는 부문에 대한 암호화는 적용 가치가 없다. 또한 마그네틱 테이프에 기록될 때 자동으로 암호화되는 데이터의 경우도 별도의 암호화를 적용하지 않아도 된다.
암호화의 가치가 절실히 필요한지 검토해야
신용평가 회사인 초이스포인트(ChoicePoint)는 여러 회사들의 데이터를 암호화해 디스크나 테이프로 보내고 있다. 이 회사는 지난 2004년 고객의 데이터가 유출되면서 2,500만 달러의 벌금을 물고 기술 업그레이드를 단행하게 되었다. 이제는 암호화의 '열성팬'이 된 초이스포인트의 최고 마케팅 책임자인 제임스 리는 "데이터의 중요도에 상관 없이 모든 직원들의 노트북에 암호화를 적용하고 있다"고 전했다.
위험성이 높고 수많은 개인용 데이터를 보유하고 있는 기업들에게 있어서 암호화는 광범위하게 적용되고 있다. 하지만 데이터를 암호화하려는 정책은 비용 대비 효과를 충분히 고려해 이루어져야 한다. 암호화에 대한 투자는 새로운 하드웨어나 소프트웨어를 도입하는 것보다 훨씬 복잡하고 시간 투입이 많다는 것을 기억해야 할 것이다. 암호화는 데이터가 존재하는 한 지속적인 관리가 필요한 새로운 보안 접근 방법이며, 암호화의 가치가 충분한지를 면밀하게 분석 및 검토해야 한다.
Larry Greenemeier
암호화와 관련된 문제점
새로운 비용. 라이선스와 관리, 지원 업무 추가 발생
암호화 키. 해커들의 공격에서 벗어나기 위해 정기적으로 키를 바꿔줘야 함. 암호화에 따라 키의 길이나 알고리즘이 다양하기 때문에 보안 관리자들에게 또 다른 복잡성 야기.
네트워크 보안 시스템. 암호화된 데이터 패킷에 있는 멀웨어를 탐지하기가 어려워짐.
이메일 커뮤니케이션. 소프트웨어에 내장되어 우회하는 형태로 구성되어야 함.
암호화의 도입을 촉진하는 새로운 기술과 규제
노트북의 분실 사고가 잇달아 보고됨에 따라, 데이터 암호화에 대한 법적인 규제가 강화되고 있다. 하지만 암호화는 비용이 높고 복잡하기 때문에 기업들은 현재 제공되고 있는 암호화 기술에 대한 분석 작업과 더불어 도입이 쉽고 효과적인 제품에 대한 평가를 면밀하게 진행해야 한다.
암호화에 가장 큰 변화의 바람이 불고 있는 분야는 데스크톱이다. 윈도우 비스타 비트락커(BitLocker) 드라이브 암호화는 마이크로소프트 사용자를 위한 암호화 기능이다. 이 데이터 암호화 기능은 향후 출시될 윈도우 비스타 운영 체제의 엔터프라이즈 및 얼티메이트(Ultimate) 버전을 비롯해 윈도우 롱혼 서버에서 제공될 예정이다.
비트락커는 데이터가 위치한 하드 드라이브가 원래의 PC에 탑재되어 있는 한 모든 사용자와 시스템 파일을 암호화한다. 이러한 방법을 통해, 절도범은 훔친 하드 드라이브를 자신의 PC에 삽입하더라도 데이터에 액세스할 수 없다. 비트락커는 은행에서 사용하는 PIN처럼 사용자가 PIN을 입력하거나 암호화를 해제하는 키가 있는 USB 플래시 드라이브를 삽입하지 않으면 부팅을 차단시킨다.
마이크로소프트의 보안 기술 사업부 제품 매니저인 스티븐 툴로즈는 로컬 키 저장장치를 실행하는 PC의 마더보드에 부착되는 칩인 트러스티드 플랫폼 모듈(Trusted Platform Module) 1.2를 탑재한 PC의 경우 키를 제공하기 위해 USB 드라이브를 삽입할 필요가 없다고 말했다. 이 방법은 컴퓨터와 마더보드에서 하드 드라이브가 분리될 경우 데이터의 사용이 불가능하게 만든다. TPM은 올해 말에 출시되는 델과 HP를 포함한 PC에 적용될 예정이다.
암호화가 네트워크의 성능을 저하시킨다는 지적에 따라, 사이퍼옵틱스(CipherOptics)는 음성과 스토리지, 기업용 이메일 네트워크에서의 10기가비트 이더넷 접속에 대한 급증하는 수요에 부응하기 위해 10기가비트 IPSec 암호화 제품을 출시할 계획이다. 사이버옵틱스 SG10G-B는 IT 매니저들이 서로 다른 형태의 네트워크 트래픽을 암호화할 수 있도록 대역폭을 할당하게 해준다.
한편, 그 밖의 여러 이론적인 보안 접근 방법이 개발되고 있다. IBM은 해커들이 컴퓨터 네트워크의 정보를 가로채는데 사용하는 패킷 스나이퍼(sniffer)를 차단하기 위해 양자물리학 이론을 사용하는 시스템을 개발하고 있다. 이 시스템은 파이버 옵틱의 데이터 요소들을 광자처럼 가능한 한 아주 작게 만들어 추출해야 한다. 패킷 스나이퍼가 광자 하나를 바꾸게 되면 광자의 상태가 다른 광자에 영향을 미치기 때문에 전체 메시지 망이 차단된다. 노스웨스턴 대학(Northwestern University)은 옵티컬 시스템에서의 알파에타(AlphaEta) 암호화 시스템을 사용해 하나 이상의 광자를 동시에 보냄으로써 전송 속도를 높이는 관련 시스템 개발을 진행 중이다. 미국방부의 ARPA(Advanced Research Projects Agency)와 미국 표준기술연구소(National Institute of Standards and Technology), 아카디아 옵트로닉스(Acadia Optronics)가 공동으로 참여하고 있는 그룹의 경우 최대 1Mbps의 속도에서 작동하는 양자 암호화 시스템을 실험 중이다.
IT 환경에서 암호화를 확산시키는데 있어 가장 중요한 요인은 네트워크 사이에서 키를 안전하게 교환할 수 있는 방법이 쉬워져야 한다는 것이다. 쿨스팬(KoolSpan)은 사용자들에게 USB 토큰을 제공해 PC에 삽입하고 데이터의 암호를 풀 수 있는 키 관리 기능 방안을 개발하고 있다. 쿨스팬의 CEO인 토니 패센다는 "키 교환은 모든 암호화 시스템이 안고 있는 난제"라고 지적했다.
현재 개발중인 암호화 기술
사이퍼옵틱스 SG10G-B. 10Gbps 네트워크에서 구동하는 IPSec 암호화 어플라이언스.
마이크로소프트 비트락커. 윈도우 롱혼 서버오 윈도우 비스타 엔터프라이즈 및 얼티메이트 버전에 탑재될 PC 기반의 암호화.
노스웨스턴 대학. 알파에타(AlphaEta)로 명명된 고속 광자 기반의 암호화 시스템 개발 중.