대칭 암호화란 무엇인가요?

암호화는 권한이 없는 사용자로부터 민감한 데이터를 보호하기 위해 읽을 수 있는 일반 텍스트를 읽을 수 없는 암호 텍스트로 변환하는 프로세스입니다. IBM 데이터 유출 비용(CODB)보고서에 따르면 암호화를 사용하는 조직은 데이터 유출로 인한 재정적 영향을 20만 달러 이상 줄일 수 있습니다. 

사람들이 컴퓨터, 전화 및 IoT 디바이스에서 수행하는 거의 모든 작업은 데이터를 보호하고 통신을 보호하기 위해 암호화에 의존합니다. 저장된 데이터, 전송 중인 데이터 및 처리 중인 데이터를 보호할 수 있으므로 거의 모든 조직의 사이버 보안 태세에 매우 중요합니다.

대칭 키 암호화 또는 비밀 키 암호화라고도 하는 대칭 암호화는 비대칭 암호화와 함께 암호화의 2가지 주요 방법 중 하나입니다. 대칭 암호화는 민감한 데이터를 암호화하고 해독하는 단일 공유 키를 생성하는 방식으로 작동합니다. 대칭 암호화의 가장 큰 장점은 데이터 보안이 간단하고 효율적이라는 것입니다.

그러나 대칭 암호화는 보안 키 교환과 세심한 키 관리에 의존하기 때문에 비대칭 암호화보다 덜 안전한 것으로 간주되는 경우가 많습니다. 대칭 키를 가로채거나 얻은 사람은 누구나 데이터에 액세스할 수 있습니다.

이러한 이유로 조직과 메시징 앱은 보안 키 배포를 위해 비대칭 암호화를 사용하고 후속 데이터 교환을 위해 대칭 암호화를 사용하는 하이브리드 암호화 방법에 점점 더 의존하고 있습니다.

또한 인공 지능(AI)과 양자 컴퓨팅의 발전으로 인해 기존 암호화 방식이 뒤처질 위기에 처함에 따라 많은 조직이 민감한 데이터를 보호하기 위해 통합 암호화 솔루션에 의존하고 있습니다.

두 가지 암호화 유형은 서로 다른 특징과 사용 사례를 가지고 있습니다. 비대칭 암호화는 공개 키와 개인 키라는 두 개의 키를 사용하여 데이터를 암호화하고 해독하는 반면, 대칭 암호화는 하나의 키만 사용합니다.

두 개의 서로 다른 키를 사용하면 일반적으로 비대칭 암호화(공개 키 암호 방식 및 공개 키 암호화라고도 함)가 더 안전하고 다용도로 사용할 수 있습니다.

비대칭 키 암호화는 디지털 서명 생성을 용이하게 하고 무결성, 인증 및 부인 방지와 같은 핵심 정보 보안 원칙을 보장할 수 있습니다. 무결성은 권한이 없는 당사자가 데이터를 변조하지 못하도록 보장하고, 인증은 데이터 출처를 검증하며, 부인 방지는 사용자가 정당한 활동을 부인하지 못하도록 합니다.

그러나 비대칭 암호화의 단점은 작동하는 데 더 많은 처리 능력이 필요한 경우가 많아 많은 양의 데이터에 대해 상대적으로 실현 불가능하다는 것입니다.

이러한 이유로 조직은 일반적으로 대량의 데이터를 암호화하거나 폐쇄된 시스템 내에서 내부 통신을 보호하는 것과 같이 효율성이 중요한 경우 대칭 암호화를 선택합니다. 그들은 민감한 데이터를 암호화하거나 개방형 시스템 내에서 통신을 보호하는 것과 같이 보안이 가장 중요한 경우 비대칭 암호화를 선택합니다.

대칭 암호화는 모든 관련 당사자가 기밀로 유지해야 하는 단일 비밀키를 생성하는 키 생성으로 시작됩니다.

암호화 프로세스 중에 시스템은 일반 텍스트(원본 데이터)와 비밀키를 데이터 암호화 알고리즘에 공급합니다. 이 프로세스는 수학 연산을 사용하여 일반 텍스트를 암호 텍스트(암호화된 데이터)로 변환합니다. 암호 해독 키가 없으면 암호화된 메시지를 해독하는 것이 불가능합니다.

그런 다음, 시스템은 암호 텍스트를 수신자에게 전송하고, 수신자는 동일한 비밀키를 사용하여 암호 텍스트를 다시 일반 텍스트로 해독하여 암호화 프로세스를 되돌립니다.

대칭 암호화에는 두 가지 주요 유형의 대칭 암호화, 즉 블록 암호와 스트림 암호가 포함됩니다.

• 고급 암호화 표준(AES)과 같은 블록 암호는 고정 크기 블록의 데이터를 암호화합니다.
  
  
• RC4와 같은 스트림 암호는 한 번에 한 비트 또는 바이트씩 데이터를 암호화하므로 실시간 데이터 처리에 적합합니다.

사용자는 대량의 데이터에 대한 데이터 무결성과 보안을 보장하기 위해 블록 암호를 자주 선택합니다. 또는 실시간 통신과 같은 더 작고 연속적인 데이터 스트림을 효율적으로 암호화하려면 스트림 암호를 선택합니다. 

조직은 보안과 효율성을 위해 대칭 및 비대칭 암호화를 점점 더 많이 결합하고 있습니다. 이 하이브리드 프로세스는 비대칭 암호화를 사용하여 대칭 키를 안전하게 교환하는 보안 키 교환으로 시작됩니다.

예를 들어, 웹 브라우저 및 웹 서버는 SSL/TLS 핸드셰이크를 통해 보안 통신을 설정합니다. 이 프로세스에는 서버의 공개 키를 사용하여 해당 세션 키를 암호화하고 양 당사자 간에 공유하는 세션 키라고 하는 공유 대칭 키를 생성하는 작업이 포함됩니다.

인증 기관(CA)이라고 하는 신뢰할 수 있는 제3자는 서버의 공개 키의 유효성을 확인하고 디지털 인증서를 발급하여, 서버의 진위성을 보장하고 중간자 공격을 방지합니다.

공유된 대칭 키는 모든 데이터 암호화와 해독을 효율적으로 처리합니다. 예를 들어, 라이브 비디오 스트리밍 서비스에서는 키 교환을 보호하기 위해 비대칭 암호화를 사용하고 실시간 데이터 암호화를 위해 대칭 스트림 암호를 사용할 수 있습니다. 대칭 키를 효율적으로 사용할 수 있다는 점이 이 결합된 암호화 접근 방식의 중요한 장점입니다.

보안 키 교환에 사용되는 두 가지 일반적인 방법은 디피-헬먼과 리베스트-샤미르-애들먼(RSA)입니다.디피-헬먼은 발명가들의 이름을 딴 비대칭 알고리즘입니다. 둘 다 보안 키 교환을 설정하고 대칭 키가 기밀로 유지되도록 하는 데 도움이 됩니다.

• 디피-헬먼을 사용하면 두 당사자가 사전에 공유된 시크릿 없이 보안이 취약한 채널을 통해 대칭 키와 같은 공유 시크릿을 생성할 수 있습니다. 이 방법은 공격자가 교환을 가로채더라도 복잡한 수학 문제를 풀지 않고는 공유 시크릿을 해독할 수 없도록 합니다.
• 또는 RSA는 공개 키와 개인 키 쌍을 사용합니다. 발신자는 수신자의 공개 키를 사용하여 대칭 키를 암호화하며, 수신자만 자신의 개인 키를 사용하여 이를 해독할 수 있습니다. 이 방법은 오직 의도된 수신자만이 대칭 키에 액세스할 수 있도록 보장합니다.

앨리스가 밥에게 기밀 문서를 보내려고 한다고 상상해 보세요. 이 시나리오에서 대칭 암호화는 다음과 같이 작동합니다.

1. 앨리스와 밥은 비밀키를 공유하기로 합의하거나, 비대칭 암호화를 사용하여 안전하게 키를 교환합니다.
2. 앨리스는 비밀키를 사용해 문서를 암호화하고 읽을 수 없는 암호 텍스트로 바꿉니다.
3. 앨리스는 암호 텍스트를 밥에게 보냅니다.
4. 밥은 암호화된 문서를 받으면 동일한 비밀 키를 사용해 원래 형식으로 다시 해독하고, 전송 전반에 걸쳐 기밀성을 보장합니다.

암호화 키 관리는 암호화된 데이터의 보안을 보장하기 위해 암호화 키를 생성, 교환 및 관리하는 프로세스입니다.

모든 암호화 방법에서 효과적인 키 관리는 매우 중요합니다. 그러나 단일 공유 키를 사용하고 안전한 키 교환이 필요하다는 점에서, 많은 전문가들이 보안성이 낮다고 보는 대칭 암호화의 경우 특히 중요합니다.

암호화 프로세스가 민감한 정보에 대한 금고로 작동하는 경우 암호화 키는 금고를 여는 데 필요한 잠금 코드입니다. 이 코드가 잘못된 사람에게 넘어가거나 전송 중에 탈취되면, 귀중품에 대한 접근 권한을 잃거나 도난당할 위험이 있습니다. 마찬가지로 조직이 암호화 키를 제대로 관리하지 않으면 암호화된 데이터에 대한 액세스 권한을 잃거나 데이터 유출에 노출될 수 있습니다.

예를 들어, Microsoft는 최근 중국의 지원을 받는 해킹 그룹이 자사 시스템에서 중요한 암호화 키를 훔쳤다고 밝혔습니다.¹ 해커는 이 키를 사용하여 합법적인 인증 토큰을 생성하고 여러 미국 정부 기관을 포함한 25개 조직의 클라우드 기반 Outlook 전자 메일 시스템에 액세스할 수 있었습니다.

이와 같은 공격으로부터 보호하기 위해 조직은 종종 키 관리 시스템에 투자합니다. 이러한 서비스는 조직이 암호화 키의 복잡한 네트워크를 자주 관리하고 많은 위협 행위자들이 그들을 찾을 수 있는 위치를 알고 있다는 점을 고려할 때 매우 중요합니다. 

암호화 키 관리 솔루션에는 다음과 같은 기능이 포함되어 있는 경우가 많습니다.

• 암호화 및 암호화 키 정책과 구성을 위한 중앙 집중식 관리 콘솔

• 파일, 데이터베이스 및 애플리케이션 수준의 암호화를 통해 온-프레미스 및 클라우드 데이터를 보호할 수 있습니다.

• 규정 준수 문제를 해결하는 데 도움이 되는 역할 및 그룹 기반 액세스 제어 및 감사 로깅

• 자동화된 주요 라이프사이클 프로세스

• AI와 같은 최신 기술과의 통합으로 분석 및 자동화를 통한 키 관리 개선

조직은 키 생성, 배포 및 순환을 포함한 키 관리 프로세스를 자동화하기 위해 AI 시스템을 점점 더 많이 사용하고 있습니다.

예를 들어, AI 기반 키 관리 솔루션은 실시간 데이터 사용 패턴과 위협 평가를 기반으로 암호화 키를 동적으로 생성하고 배포할 수 있습니다.

AI는 키 관리 프로세스를 자동화하여 인적 오류의 위험을 크게 줄이고 암호화 키가 정기적으로 업데이트되고 안전하도록 보장할 수 있습니다. 또한 자동 키 로테이션은 위협 행위자가 탈취에 성공한 키를 이용하는 것을 어렵게 만듭니다.

대칭 암호화는 현대 데이터 보안 관행에 매우 중요합니다. 효율성과 단순성으로 인해 다양한 응용 분야에서 선호하는 경우가 많습니다. 일반적인 대칭 암호화에는 다음이 포함됩니다.

• 데이터 보안(특히 대용량 데이터의 경우)

• 안전한 통신 및 웹 브라우징

• 클라우드 보안

• 데이터베이스 암호화

• 데이터 무결성

• 파일, 폴더 및 디스크 암호화

• 하드웨어 기반 암호화

• 규정 준수 관리

대칭 암호화는 가장 중요하고 널리 사용되는 데이터 보안 도구입니다. 실제로 TechTarget의 최근 보고서에 따르면 데이터 손실의 주요 원인은 암호화 부족이었습니다. ²

암호화는 일반 텍스트를 암호 텍스트로 인코딩함으로써 조직이 랜섬웨어 및 기타 멀웨어를 포함한 다양한 사이버 공격으로부터 데이터를 보호하는 데 도움이 될 수 있습니다.

특히, IBM X-Force Threat Intelligence Index에 따르면 민감한 데이터를 유출하는 인포스틸러 멀웨어의 사용이 증가했습니다. 암호화는 해커가 데이터를 사용할 수 없게 만들어 데이터를 훔치려는 목적을 무력화함으로써 이러한 위협에 대처하는 데 도움이 됩니다.

대칭 암호화는 계산 효율성이 높고 많은 양의 데이터를 빠르게 처리할 수 있기 때문에 많은 양의 데이터를 암호화하는 데 효과적입니다.

조직에서는 통신 채널을 보호하기 위해 대칭 암호화를 광범위하게 사용합니다. 전송 계층 보안(TLS)과 같은 프로토콜은 대칭형 암호화를 사용하여 이메일, 인스턴트 메시징, 웹 브라우징 등 인터넷을 통해 전송되는 데이터의 무결성과 기밀성을 효율적으로 보호합니다.

SSL/TLS 핸드셰이크 중에 클라이언트는 SSL/TSL 인증서에서 웹사이트의 공개 키를 얻어 보안 세션 키를 설정하고 웹사이트는 개인 키를 비밀로 유지합니다.

초기 핸드셰이크는 보다 효율적인 데이터 전송을 위해 대칭 암호화로 전환하기 전에 비대칭 암호화를 사용하여 정보를 교환하고 보안 세션 키를 설정합니다. 이 조합은 민감한 데이터가 비공개로 유지되고 전송 중에 변조되지 않도록 합니다.

클라우드 서비스 제공업체(CSP)는 클라우드 보안에 대한 책임이 있지만, 고객은 모든 데이터 보안을 포함하여 클라우드 보안에 대한 책임이 있습니다.

기업 전체의 데이터 암호화는 조직이 온프레미스와 클라우드 환경에서 민감한 데이터를 보호하고, 데이터 유출이 발생하더라도 암호화 키 없이는 도난된 데이터에 접근할 수 없도록 보장합니다.

최근 연구에 따르면 오늘날 대부분의 조직은 클라우드 기반 및 온프레미스 암호화 솔루션을 통해 하이브리드 암호화 인프라를 사용하고 있습니다.²

데이터베이스에는 개인 정보에서 재무 기록에 이르기까지 방대한 양의 민감한 정보가 저장되는 경우가 많습니다. 대칭 암호화는 이러한 데이터베이스 또는 데이터베이스 내의 특정 필드(예: 신용 카드 및 사회 보장 번호)를 암호화하는 데 도움이 될 수 있습니다.

미사용 데이터를 암호화함으로써 조직은 데이터베이스가 손상된 경우에도 중요한 데이터가 계속 보호되도록 할 수 있습니다.

대칭 암호화 알고리즘은 기밀성뿐만 아니라 금융 거래의 중요한 요소인 데이터 무결성도 보장합니다. 대칭 키는 메시지 인증 코드(MAC)를 생성하여 전송 중에 아무도 데이터를 변경하지 않았음을 확인하는 데 도움이 될 수 있습니다.

또한 해시 함수는 데이터 무결성을 검증하는 데 중요한 역할을 합니다. 해시 함수는 입력 데이터에서 고정 크기 해시 값을 생성합니다. 이러한 "디지털 지문"은 전송 전후를 비교할 수 있습니다. 해시가 변경된 경우 누군가가 해시를 변조했다는 의미입니다.

조직에서는 대칭 암호화를 사용하여 로컬 시스템, 공유 드라이브 및 이동식 미디어에 저장된 파일을 보호하는 경우가 많습니다.

파일을 암호화하면 저장 매체를 분실하거나 도난당한 경우에도 중요한 데이터를 기밀로 유지할 수 있습니다. 전체 디스크 암호화는 전체 스토리지 디바이스를 암호화하여 이러한 보호를 확장하고 랩톱 및 모바일 디바이스와 같은 엔드포인트의 민감한 데이터를 보호합니다.

특히 소프트웨어 기반 암호화로는 충분하지 않을 수 있는 민감한 데이터를 추가로 보호하기 위해 조직에서는 암호화 칩이나 모듈과 같은 특수 하드웨어 구성 요소를 사용하는 경우가 많습니다. 이러한 하드웨어 기반 암호화 솔루션은 일반적으로 스마트폰, 노트북, 스토리지 디바이스에서 찾을 수 있습니다.

많은 산업 및 관할 구역에는 조직이 민감한 데이터를 보호하기 위해 특정 종류의 암호화를 사용하도록 요구하는 규정 요구 사항이 있습니다. 이러한 규정을 준수하면 조직은 법적 처벌을 피하고 고객의 신뢰를 유지할 수 있습니다.

연방 정보 처리 표준(FIPS)은 미국 비군사 정부 기관 및 계약업체에서 사용하는 컴퓨터 시스템을 위해 미국 국립표준기술연구소(NIST)에서 개발한 일련의 표준입니다. 이 표준은 데이터 및 암호화 프로세스의 보안과 상호 운용성을 보장하는 데 중점을 둡니다.

가장 잘 알려진 대칭 키 알고리즘은 다음과 같습니다.

• 데이터 암호화 표준(DES) 및 트리플 DES(3DES)

• 고급 암호화 표준(AES)
  

• Twofish

• Blowfish

IBM은 1970년대 데이터 암호화 표준(DES)을 처음 소개하여, 그 역할을 오랜 시간 수행했습니다. 그러나 상대적으로 짧은 키 길이(56비트) 때문에, 위협 행위자가 가능한 모든 키를 하나씩 시도해 올바른 키를 찾아내는 무차별 대입 공격에 취약했습니다.

트리플 DES는 보안을 향상시키기 위해 개발된 기술로, 각 데이터 블록에 DES 알고리즘을 3번 적용합니다. 이로 인해 키 크기와 전체 보안 수준이 크게 증가합니다.

결국 더 안전한 대칭 알고리즘이 DES와 트리플 DES를 모두 대체했습니다.

AES는 최고의 대칭 암호화 알고리즘 표준으로 간주됩니다. 미국 정부를 포함하여 전 세계 조직 및 정부에서 일반적으로 채택하고 있습니다. AES는 128비트, 192비트 또는 256비트의 키 길이로 강력한 보안을 제공합니다. 키 길이가 길수록 암호를 깨기가 더 어렵습니다.

256비트 키를 사용하는 AES-256은 보안 수준이 높은 것으로 알려져 있으며 매우 민감한 상황에서 자주 사용됩니다. 또한 AES는 소프트웨어와 하드웨어 구현 모두에서 매우 효율적이기 때문에 다양한 애플리케이션에 적합합니다.

Twofish는 속도와 보안으로 유명한 대칭 키 블록 암호입니다. 블록 크기가 128비트인 데이터 블록에서 작동하며 128, 192 또는 256비트의 키 길이를 지원합니다.

Twofish는 오픈 소스이며 암호화 분석에 강하므로 보안 애플리케이션을 위한 신뢰할 수 있는 선택입니다. 유연성과 성능은 소프트웨어 및 하드웨어 구현에 적합하며, 특히 보안과 성능이 중요한 경우에 적합합니다.

Blowfish는 소프트웨어에서 우수한 암호화 속도를 제공하고 데이터 암호화를 보호하도록 설계된 대칭 키 블록 암호입니다. 32비트에서 448비트까지의 키 길이를 지원하므로 유연하며 다양한 애플리케이션에 적합합니다.

Blowfish는 속도와 효율성으로 잘 알려져 있으며 소프트웨어 암호화에 널리 사용됩니다. 또한 간단하고 빠른 암호화 알고리즘이 필요한 애플리케이션에서 인기가 있지만, 대부분의 사용 사례에서 Twofish나 AES와 같은 최신 알고리즘이 이를 대체하고 있습니다.