2025.5.10., [2025 암호화 솔루션 리포트] SKT가 유심 정보만 암호화했다면... 주목받는 ‘암호화 솔루션’

데이터 보호 최후의 보루 ‘암호화 솔루션’
암호화 솔루션에 대한 사용자 선호도 설문조사
암호화 솔루션 전문기업 집중분석: 펜타시큐리티

[보안뉴스 원병철 기자] 전 국민의 관심사가 SKT의 해킹 사건에 쏠려있는 지금, 보안전문가들은 무엇보다 가장 중요한 ‘유심 정보’를 암호화하지 않는 이유에 대해 궁금해하고 있다. 보안에 100%라는 것은 없다는 것을 잘 알고 있기에 공격 당한 것은 이해한다고 해도, 그토록 중요한 유심 정보를 암호화하지 않고 보관하고 있다는 사실은 이해하기가 어렵다는 거다.

이에 대해 SKT는 ①개인정보보호법상 유심 정보는 암호화 의무대상이 아니고, ②유심 정보가 인증될 때 암호화가 되어 있으면 지연 시간이 발생할 수 있으며, ③국제이동통신표준화기구(3GPP) 등에서도 유심 정보는 암호화가 필수가 아니기 때문이라고 답변하고 있다. 하지만 KT와 LG유플러스는 이번 사건 이전부터 이미 암호화해 보관 중이라고 밝혀 SKT의 답변을 무색하게 했다.

[자료: Gettyimagesbank]

기원전부터 사용된 암호
그렇다면 암호란 무엇일까? 우리가 흔히 암호라고 하면 Password를 생각하는데, 엄밀히 말하자면 Password는 암호가 아닌 ‘비밀번호’를 의미한다. 암호는 숫자 제로(0)를 뜻하는 아랍어 ‘صفر (sifr)’에서 시작됐으며, 중세 라틴어 ‘cifra’와 중세 프랑스어 ‘cifre’를 거쳐 영어 ‘Cipher’가 됐다. 아랍어는 숫자 0을 뜻했지만, 중세 시대에 0이란 개념(로마 숫자에는 0이 없다)이 없었기 때문에 ‘어려운 것’이라는 의미가 됐고, 결국 암호란 의미가 됐다.

암호는 기원전부터 시작한 시작된 수천 년 된 기법중 하나다. 기원전 1900년부터 고대 이집트 벽화에서 비표준 상형문자를 사용한 암호화 사례가 발견된 바 있으며, 기원전 1500년전 메소포타미아에서 발견된 점토판에 도자기 유약의 비밀 레시피가 암호화된 형태로 기록돼 있었다, 로마 시대 율리우스 카이사르(줄리어스 시저)가 ‘카이사르 암호(Caesar Cipher)’를 사용한 것도 유명하다.

현재 암호에서는 ‘사이퍼(Ciper)’란 단어와 ‘크립토(Crypto)’란 단어를 혼용해 쓰는데, 사이퍼는 알고리즘을 사용해 데이터를 암호화하거나 복호화하는 것을 말하며, 크립토는 암호학(Cryptography)의 줄임말로 데이터를 보호하는 기술과 개념을 말한다. 이 때문에 사이퍼는 암호화 알고리즘을 의미하며, 크립토는 암호학 전반을 포함하는 개념으로 본다.

암호화 기술은 처음 군사 및 외교 분야에서 사용됐다. 특히 세계 1~2차대전에서 암호화 기술이 급격하게 발전했으며, 독일군의 암호기계 에니그마(Enigma)와 앨런 튜닝과 같은 수학자 이슈가 퍼지기도 했다. 특히 당시의 암호 연구는 향후 정보보안 분야 발전의 단초가 되기도 했다. 1970년대 미국 정부가 ‘DES(Data Encryption Standard)’를 개발하면서 민간 분야에도 암호화 기술이 퍼지기 시작했고, 1990년대 인터넷이 등장하면서 발전하기 시작한 전자상거래와 금융, 개인정보보호에 암호화 기술이 필수적으로 사용되면서 급격하게 성장했다.

이러한 변화와 발전을 거쳐 등장한 것이 바로 암호화 솔루션이다. 암호화 솔루션은 데이터를 암호화해 저장하거나 전송할 때 혹은 사용할 때도 안전하게 사용할 수 있도록 지원하는 기술을 말한다. 좀 더 자세하게 설명하면, 데이터의 기밀성, 무결성, 인증성을 보장하기 위해 다른 형식인 암호 데이터로 변환해 권한이 있는 사용자만 평문 데이터에 액세스할 수 있는 기술이라고 할 수 있다.

일각에서는 암호화가 데이터 탈취로부터 중요 데이터를 보호하기 위해 알아볼 수 없는 형태로 바꿈으로써 공격의 목적을 파괴하는 보안기술이라고 정의하며, 다른 보안기술과는 다른 근본적이며 원천적인 최후의 보루라고 강조했다.

암호화 솔루션의 종류와 암호화 기술
데이터는 시스템 각 계층에 다양한 형태로 존재한다. 따라서 각각에 맞는 암호화 솔루션을 적용하는 것이 매우 중요하다. 암호화 솔루션은 암호화하고자 하는 데이터의 형태와 암호화를 수행하는 시스템의 위치에 따라 종류가 구분된다.

암호화 솔루션은 크게 △DB 암호화 △디스크 암호화 △네트워크 암호화 △애플리케이션 암호화 △암호 키 관리(KMS) 등으로 구분할 수 있다. DB 암호화는 저장된 데이터베이스를 암호화해 보호하며, 디스크 암호화는 개별 파일이나 폴더 단위에 대한 파일 암호화를 말한다. 네트워크 암호화는 전송 구간에서 데이터를 보호하며, SSL/TLS나 VPN 등이 포함된다. 애플리케이션 암호화는 프로그램 레벨에서 암호화를 적용하는 것을 말하며, API 암호화 등이 포함된다. 암호 키 관리는 암호화에 사용된 키를 안전하게 관리하는 솔루션을 말한다.

또한 기술로 구분하면 △대칭 암호화 △비대칭 암호화 △하이브리드 암호화로 구분할 수 있다. 대칭 암호화는 동일한 키를 사용해 데이터를 암호화하고 복호화하는 방식이다. 빠른 처리 속도가 장점이지만, 안전한 키 공유가 문제가 될 수 있다. 대표적인 알고리즘으로는 AES(Advanced Encryption Standard), DES(Data Encryption Standard), 3DES 등이 있다. 비대칭 암호화는 공개 키와 개인 키 쌍을 사용하는 방식으로, 한 키로 암호화한 데이터는 다른 키로만 복호화 할 수 있다. 키 관리가 쉽지만, 처리 속도가 느린 편이다. RSA, ECC(Elliptic Curve Cryptography), DSA(Digital Signature Algorithm) 등이 대표적이다. 하이브리드 암호화는 대칭 암호화와 비대칭 암호화의 장점을 결합한 방식으로, 대용량 데이터는 대칭 암호화로 처리하고 대칭 키는 비대칭 암호화로 보호한다. TLS/SSL 프로토콜이 이 방식을 활용한다.

제품 형태와 사용 방식에 따라서는 API(주로 WAS, APP 서버 등에서 암·복호 처리할 때 사용), Plug-In(주로 DB 서버 내에서 암·복호 처리할 때 사용), 커널 방식(OS의 파일 시스템 단에서 모든 입출력에 대해 암·복호 처리할 때 사용) 등으로 나눌 수 있다.

▲국내외 대표 암호화 솔루션 [자료: 각 사, 정리: 보안뉴스]

컴플라이언스 강화와 클라우드, 양자 컴퓨터의 대두로 뚜렷한 성장세
이처럼 현재 암호화 솔루션은 뚜렷한 성장세를 보이고 있다. 그렇다면 그 이유는 무엇일까? 우선 데이터의 암호화를 강제하는 컴플라이언스를 들 수 있다. 그리고 앞서 꼽은 클라우드와 양자 컴퓨터의 등장도 주목해야 한다.

우선 컴플라이언스를 살펴보면, △개인정보보호법 △정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) △전자금융거래법 △의료법 그리고 △ISMS-P 인증을 들 수 있다.

개인정보보호법은 제15조와 제17조에서 개인정보처리자가 암호화 등 안전성 확보에 필요한 조치를 했는지와 함께 제24조에서 고유식별정보(주민등록번호 등)의 처리 제한 및 암호화 의무를 강조하고 있다. 그리고 시행령에서 개인정보 보호를 위한 암호화 적용 기준을 강조한다.

정보통신망법에서는 제23조에서 ‘이용자의 주민등록번호를 비가역적으로 암호화한 정보’를 언급했으며, 제58조에서 필요할 때에는 과기정통부 장관이 정하는 암호 기술을 적용할 것이라고 명시했다.

또한 의료법에서는 제21조에서 진료기록 전송지원 시스템이 보유한 정보의 누출, 변조, 훼손 등을 방지하기 위해 암호화 소프트웨어를 활용할 것을 강조한다.

이외에도 정보보호 관리체계 인증(ISMS)과 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에서도 보호대책 요구사항에서 암호화 적용에 대한 내용이 담겨 있다.

주요 컴플라이언스 외에도 최근 활성화된 클라우드와 암호 분야의 핵심 이슈인 양자컴퓨터도 암호화 솔루션 시장에 큰 영향을 미칠 것으로 보인다.

라온시큐어도 “클라우드에서는 데이터가 항상 외부에 존재하므로 암호화는 선택이 아니라 필수”라면서, “특히 ‘Bring Your Own Key(BYOK)’, ‘Hold Your Own Key(HYOK)’ 같은 키 관리 주권이 핵심 이슈가 되고 있다”고 설명했다. 아울러 “클라우드 환경에 구축 및 구성된 애플리케이션에서 송수신되는 정보 데이터에 대한 구간 암호화와 입력 정보에 대한 보호 및 암호화 처리 등도 추가로 고려하고, 클라우드 사용자 접근 통제 관련 인증 시 사용되는 생체인증 부분도 FIDO 방식을 이용하면 생체인증 암호화 이슈에 대한 부담을 최소화할 수 있는 점도 고려해야 할 것”이라고 덧붙였다.

신시웨이는 “특히 DB 암호화는 법과 규제의 영향을 크게 받는 산업이기 때문에 관련 법령을 지속적으로 모니터링하고 대응해야 한다는 부담이 있다”면서, “게다가 기술적으로 시스템 구조가 복잡하고, 암호화 적용시 성능 저하와 애플리케이션 수정, 서비스 전환의 어려움이 있다”고 지적했다. 아울러 “현재 실질적인 이슈는 암호화 키의 주기적 변경과 그에 따른 운영 리스크”라면서, “보안을 위해 키의 정기적 교체는 필수지만 실제 운영 상에서 쉬운 일이 아니기 때문에, 이를 해결하기 위한 자동 키 교체 스케줄러와 기존 암호화 키 호환성 유지, 그리고 키 변경 이후의 성능 안정성 확보 등이 필요하다”고 덧붙였다.

▲암호화 솔루션 사용자 선호도 조사 [자료: 보안뉴스]

사용하면서 불편한 점은 무엇인지 물어봤다. 사용자들이 가장 불편해 하는 점은 32.2%의 사용자가 꼽은 ‘설치 및 유지관리 비용 문제’였다. 이어 24.4%는 ‘시스템 성능 저하’를 꼽았고, 21.0%는 ‘번거로운 키 관리’를 선택했다. 또한 13.2%는 ‘복잡한 규제 준수’를 7.8%는 ‘사용상 어려움’을 골랐다.

암호화 솔루션의 선택 기준은 어떨까? 이에 대해 30.2%는 ‘보안 성능’이라고 답했고, 23.4%는 ‘다양한 구축사례와 레퍼런스’라고 답했다. 또한 17.1%는 ‘사내 IT 인프라 및 설비와의 호환성’을 선택했고, 13.7%는 ‘도입 비용’을 골랐다. ‘기업 브랜드 인지도 및 성장 가능성’과 ‘유지보수, 컨설팅 등 기술지원 및 전문인력 수’를 고른 응답자는 각각 7.3%였으며, 특허 등 각종 인증 취득 이력도 1.0%가 선택했다.

SKT 해킹으로 관심 높아진 암호화 솔루션, 재도약할 기회 잡았다
최근 전 국민적 관심사인 SKT 해킹 사건만 봐도, 중요한 데이터의 암호화는 그 어떤 보안 솔루션 보다 효과적일 수 있다. 문제는 암호화 솔루션의 가장 큰 단점인 사용상 불편하다는 점이 성장의 발목을 잡고 있다는 것이다. 실제로 사용자들은 △자동화와 관리의 편의성과 △성능 저하의 최소화를 요구하고 있다고 업계에서는 말하고 있다. 이에 따라 성능(속도)과 보안성 사이의 균형을 잘 유지하는 것과 암호화 솔루션의 적용 범위 확대에 따른 복잡성 증가를 어떻게 해결하느냐가 산업 발전의 관건으로 꼽히고 있다. 여기에 클라우드 환경의 증가와 양자컴퓨터의 대두는 또 다른 고민을 던지고 있다.

https://www.boannews.com/media/view.asp?idx=137203

[2025 암호화 솔루션 리포트] SKT가 유심 정보만 암호화했다면... 주목받는 ‘암호화 솔루션’