이 글은 데이터가 생성, 전송, 소비되는 놀라운 속도를 고려할 때 데이터 암호화의 중요성에 대한 인식을 제고하는 것을 목표로 합니다. 데이터 보호의 필요성, 규제 및 몇 가지 암호화 모범 사례에 대해 설명합니다.

전 세계 모든 규모의 조직 는 개인 식별 정보(PII)부터 보호 대상 건강 정보(PHI), 재무 기록, 그리고 제대로 관리하지 않으면 금방 통제 불능 상태가 될 수 있는 기타 민감한 정보에 이르기까지 엄청난 양의 데이터를 처리하고 있습니다.

데이터 개인정보 보호는 개인, 조직, 정부 모두에게 우선순위가 되고 있습니다. 각국 정부가 데이터 프라이버시 권리를 보호하기 위해 노력함에 따라 조직은 개인 정보를 수집, 저장, 처리하는 방법을 재고하고 있습니다. 데이터 암호화는 조직이 위험을 완화하고 데이터 확산과 사이버 공격을 사전에 차단하는 데 도움이 될 수 있는 방법 중 하나입니다.

데이터 암호화란 무엇인가요?

데이터 암호화 암호화는 권한이 있는 당사자만 이해할 수 있는 비밀 키라는 암호화 모듈을 사용하여 일반 텍스트 정보를 암호 텍스트라고 하는 이해할 수 없는 텍스트로 스크램블하는 프로세스입니다. 반면 복호화는 동일한 비밀 키를 사용하여 암호 텍스트를 다시 일반 텍스트 데이터로 변환하는 프로세스입니다.  

데이터 암호화 표준에는 대칭형과 비대칭형의 두 가지 주요 유형이 있습니다.

Arrows pointing left and right towards documents with a key in between, signifying the way symmetric encryption works

대칭 암호화에서 개발자는 암호화와 복호화 모두에 하나의 비밀 키만 사용합니다.

Two arrows pointing different directions and a key above each one, representing how asymmetric data encryption works

비대칭 암호화에서 개발자는 공개 키와 개인 키의 두 가지 키를 사용합니다. 누구나 사용할 수 있는 공개 암호화 키와 비밀로 유지해야 하는 비공개 암호 해독 키가 있습니다. 개발자는 일반적으로 SSL 및 TLS와 같은 프로토콜을 사용하여 '전송 중 데이터 암호화'라고도 하는 유선보다 비대칭 암호화를 선호합니다.

데이터 암호화가 필수적인 이유

다음과 같은 기간 동안 발생한 몇 가지 데이터 유출 사례를 살펴보겠습니다. 2020.

1월 22일: 2억 8천만 개가 넘는 Microsoft 고객 기록을 보유한 고객 지원 데이터베이스가 웹에 보호되지 않은 채로 방치되어 있었습니다. Microsoft의 노출된 데이터베이스 이메일 주소, IP 주소, 지원 사례 세부 정보가 공개되었습니다. Microsoft는 데이터베이스에 다른 개인 정보는 포함되지 않았다고 밝혔습니다.

2월 11일: 다섯 번째 세 번째 은행미국 10개 주에 1,150개 지점을 보유한 금융 기관인 뱅크오브호프는 전직 직원이 고객 이름, 주민등록번호, 운전면허 정보, 어머니의 결혼 전 이름, 주소, 전화번호, 생년월일, 계좌 번호가 유출된 데이터 유출 사건의 책임이 있다고 주장하고 있습니다. 영향을 받은 직원과 은행 고객의 총 수는 아직 공개되지 않았습니다.

4월 6일: 디지털 지갑 앱입니다, 열쇠고리는 1,400만 사용자의 고객 데이터를 보안되지 않은 데이터베이스에 저장했습니다. 이 앱을 통해 사용자는 멤버십 및 포인트 카드의 스캔본과 사진을 모바일 디바이스의 디지털 폴더에 쉽게 업로드하고 저장할 수 있습니다. 노출된 데이터에는 이름, 전체 신용카드 세부 정보(CVV 번호 포함), 이메일 주소, 생년월일, 주소, 회원 ID 번호, 리테일 클럽 및 포인트 카드 회원, 정부 ID, 기프트 카드, 의료 보험 카드, 의료용 마리화나 ID, IP 주소 및 암호화된 비밀번호가 포함되었습니다.

6월 23일 A 트위터의 보안 취약점 이메일 주소, 전화번호, 신용카드 번호 마지막 네 자리 등 공개되지 않은 다수의 비즈니스 사용자 계정 정보가 노출되었습니다.

이 목록은 포괄적인 목록은 아니지만 조직의 규모, 위치, 유형에 관계없이 데이터 유출이 발생할 수 있는 규모를 파악할 수 있습니다.

에 따르면 IBM 데이터 유출 비용 보고서 2020에 따르면 미국에서만 데이터 유출로 인한 평균 비용은 $8.64M에 달합니다. 이러한 공격의 대부분은 고객 PII를 노출시켜 도난당한 레코드당 평균 $150의 비용이 발생합니다. 여기에 다음과 같은 간접 비용이 추가됩니다. 홍보에 악영향을 미치고 소비자 신뢰를 잃을 수 있습니다. 데이터 유출은 향후 수년간 매출에 영향을 미칠 수 있습니다.

압도적이라고요? 바로 이 부분에서 데이터 암호화가 차이를 만들 수 있습니다.

강력한 암호화:
  • 보장 데이터 개인 정보 보호 - 정당한 데이터 소유자 외에는 누구도 실제 데이터를 볼 수 없습니다. 암호화된 암호 텍스트는 권한이 없는 사용자에게는 횡설수설에 불과합니다.
  • 제공 데이터 보안 - 적절한 암호화는 전송 중인 데이터(유선)와 미사용 데이터를 보호합니다. 이는 네트워크가 손상되거나 물리적 스토리지 디스크가 도난당한 경우에 매우 중요합니다.
  • 유지 관리 데이터 무결성 - 다음과 같은 경우 중간자 공격암호화는 (다른 보안 조치와 함께) 데이터가 변조되지 않도록 보장합니다.
  • 인증 데이터의 출처를 확인하여 발신자 확인을 지원합니다.

이 모든 것을 알아두면 좋지만 암호화는 필수인가요? 거버넌스가 있나요? Do 데이터 개인정보 보호법, 규정 그리고 표준에서 명시적으로 암호화를 요구하고 있나요? 이러한 질문에 대한 답을 얻기 위해 오늘날 가장 널리 통용되는 데이터 개인정보 보호법과 표준을 살펴보겠습니다. 

1996년 건강 보험 이동성 및 책임에 관한 법률(HIPAA)는 민감한 환자 건강 정보(PHI)가 환자의 동의나 모르게 공개되지 않도록 보호하기 위한 국가 표준을 마련하도록 요구하는 미국 연방법입니다. HIPAA는 조직과 적용 대상 기관이 모든 환자의 PHI를 보호할 것을 요구합니다. 규제 당국은 조직에 다음을 요구합니다. 암호화를 구현할 수 없는 이유를 정당화하고 동등한 대안을 제시할 수 없다면 데이터를 암호화하지 않는 것이 좋습니다.

결제 카드 산업 데이터 보안 표준(PCI DSS)는 전체 결제 카드 생태계를 보호하고 보안을 유지하기 위해 개발되었습니다. 이 표준에 따라 기업은 전송 중 및 미사용 중인 결제 카드 데이터를 암호화해야 합니다.

일반 데이터 보호 규정(GDPR)는 유럽연합 및 유럽 경제 지역의 데이터 보호 및 개인정보 보호에 관한 법률입니다. 이 법의 주요 목표는 개인이 자신의 개인 데이터를 제어하고 EU 규제 환경을 간소화하는 것입니다. GDPR에 따라 조직은 암호화를 도입하여 데이터 유출과 관련된 위험을 완화해야 합니다.

캘리포니아 소비자 개인정보 보호법(CCPA)는 전 세계 기업이 캘리포니아 주민의 개인 정보(PI)를 처리하는 방법을 규제하는 주 전역의 데이터 개인정보 보호법입니다.

규제 기관은 특히 '암호화되지 않거나 수정되지 않은 개인정보'가 포함된 사고의 경우 데이터 유출에 대해 조직에 벌금을 부과할 의향이 있는 것으로 나타났습니다. 규제 기관은 조직이 암호화를 사용하기 위해 노력하는 경우 책임을 면제할 가능성이 높습니다. 또한 영향을 받은 데이터가 암호 해독 키 없이는 사용할 수 없는 경우에도 면책될 수 있습니다.

데이터 암호화 모범 사례:

이제 암호화가 무엇인지, 어떻게 작동하는지, 어떻게 피해를 완화할 수 있는지, 그리고 암호화와 관련된 다양한 규정을 알아보았으니 이제 조직을 데이터 유출에 취약하게 만드는 사고와 허점을 피하기 위해 데이터 암호화를 구현하는 가장 좋은 방법입니다. 

다음은 몇 가지 권장 사례입니다:

  • 이해 관계자와의 협력 모든 이해관계자, 특히 실제 데이터 액세스 권한이 있는 이해관계자를 파악하고 데이터 보안을 위한 각자의 역할을 정합니다. 다음으로 어떤 정보를 보호해야 하는지 파악하세요. 이는 데이터 보안을 위한 매우 중요한 단계입니다.
  • 암호화 도구 식별 어떤 비밀 키/암호화 알고리즘을 선택하든 다음과 같은 확립된 표준 및 프레임워크를 따라야 합니다. FIPS, ISO/IEC 27000또는 NIST를 사용하여 제 3자가 다음과 같은 방법으로 암호 텍스트를 해독할 수 없도록 합니다. 무차별 대입.  
  • 안전한 암호화 키 권한이 없는 사용자의 손에 들어가지 않도록 키를 보호하는 것은 매우 중요합니다. 다음은 키를 보호하는 몇 가지 기본 단계입니다:
      • 암호화된 데이터와 키를 분리합니다.
      • 키를 일반 텍스트 파일에 저장하지 마세요.
      • 권한이 부여된 사용자에게만 권한을 제공하세요.
      • 정기적으로 키를 돌리세요.
  • 항상 데이터 보호 조직은 전송 중인 데이터와 미사용 데이터를 보호할 계획을 세워야 합니다. 미사용 데이터 암호화를 사용하려면 중요한 파일을 저장하기 전에 암호화하거나 저장 미디어 자체를 암호화하세요. 전송 중인 데이터를 보호하기 위해 서버에 SSL/TLS 인증서를 설치할 수 있습니다.
결론 

데이터 암호화는 정보 보안의 중요한 부분입니다. 데이터 유출의 결과는 규제 처벌부터 경제적 손실에 이르기까지 광범위할 수 있습니다. 암호화를 모범 사례로 채택하는 것은 조직이 이러한 영향을 완화할 수 있는 가장 간단하고 효과적인 방법입니다.이 글이 암호화의 중요성과 이와 관련된 거버넌스에 대한 정보를 제공하고 정보 보안에 대한 중요한 결정을 내리는 데 도움이 되었기를 바랍니다.

참조

https://www.identityforce.com/blog/2020-data-breaches

https://securityboulevard.com/2020/03/understanding-data-encryption-requirements-for-gdpr-ccpa-lgpd-hipaa/

https://www.securitymetrics.com/blog/what-are-12-requirements-pci-dss-compliance

작성자

게시자 아룬 비제이라가반

아룬 비제이라가반은 카우치베이스의 SDK 및 커넥터 부문 수석 제품 관리자입니다. 고객에 집착하는 제품 리더인 그는 성능, 기능, 출시 기간 사이에서 중요한 결정을 내리는 등 제품의 미래를 설계하기 위해 노력하고 있습니다. 그는 제품의 비즈니스 가치를 극대화한다는 단일 비전을 달성하기 위해 개발자 플랫폼과 신제품 출시를 위한 전략적 지침을 기업에 제공하는 데 있어 20년이 넘는 기간 동안 입증된 능력과 탄탄한 실적을 보유하고 있습니다. 아룬은 물리학 및 정보 기술 분야의 복수 석사 학위를 보유하고 있습니다.

모든 게시물 웹사이트

댓글 남기기