데이터베이스에서 민감 데이터 보호를 위한 아키텍처 솔루션
카드 번호(PAN)나 개인정보(PII) 같은 민감 데이터는 데이터베이스 백업이나 관리자 접근을 통한 유출로부터 강력한 보호가 필요합니다. 주요 과제는 암호화된 데이터를 저장하면서도 검색이 가능하게 하는 것, 안전한 키 관리, 유출 위험 최소화입니다. 분석 결과 PAN은 PCI DSS, PII는 152-FZ나 GDPR 같은 법규로 나뉘는데, 요청 시 전체 데이터 삭제 같은 요구사항 차이 때문입니다.
카드 번호는 완전한 비밀이 아닙니다. 첫 6~8자리는 은행 BIN, 마지막은 체크섬으로 7~9자리만 무차별 대입(각 BIN당 1천만~10억 조합) 대상입니다. 데이터베이스에 소금(salt) 처리된 PAN 해시를 저장하면 소금이 노출되면 GPU 공격에 취약합니다.
데이터 암호화와 HSM 옵션
HSM(Hardware Security Module)은 키를 안전하게 저장하고 암호 연산을 수행하는 장치입니다. 하드웨어 HSM은 키를 물리적으로 추출로부터 보호하고, 소프트웨어 HSM은 접근 제어에 의존합니다.
소프트웨어 HSM은 Shamir의 비밀 공유 방식을 사용합니다. 마스터 키를 N개 조각으로 나누고 N개 중 K개(K < N)로 재구성합니다. 예: 5개 조각, 3개로 활성화. 이는 위험을 조직으로 옮기지만 비용을 절감하는 트레이드오프입니다.
암호화된 데이터 검색 옵션:
- TDE (Transparent Data Encryption): 디스크 파일을 암호화하지만 메모리에서는 평문입니다. 도난당한 드라이브는 막지만 DBA는 막지 못합니다.
- 소금 처리 해시: HSM에서 소금을 가져와 PAN + 소금 해시를 저장하고 해시로 인덱싱합니다. 소금은 DB 밖에 두어 무차별 대입을 막습니다.
- 결정론적 암호화: IV 없음, 동일 평문은 동일 암문. 인덱싱 가능하지만 키 유출 시 위험합니다.
최적 접근: DB에 암호화된 PAN, 암호 해시, 키 ID(회전을 위해)를 저장합니다. 해시로 검색하고 서비스는 해시만 봅니다. PCI DSS는 카드 소유자 데이터 환경에서 해시 제한—별도 저장소에 토큰 사용하세요.
키 관리: Vault와 한계
HashiCorp Vault, Azure Key Vault, AWS Secrets Manager 같은 도구는 비밀 관리에 좋지만 암호 키에는 부족합니다. 다음은 보호:
- git 커밋된 비밀.
- 환경 변수 유출.
- 무단 읽기.
보호 안 함:
- Vault 관리자.
- 서버 관리자(메모리 덤프).
- mTLS 인증서 소유자.
mTLS에 하드웨어 키 사용, 속도 제한, 감사로 강화하세요. Vault는 HSM이 아닙니다. Azure Key Vault Premium은 Microsoft 데이터센터 HSM을 활용해 비추출 키와 API 연산을 제공합니다.
Kubernetes Secrets: 컨테이너화 위험
Kubernetes Secrets는 etcd에 base64 인코딩(암호화 아님)됩니다. API 서버 접근으로 모든 비밀이 노출됩니다. 컨테이너는 다음에 취약:
- 루트 호스트가 컨테이너 FS 읽기.
- nsenter로 프로세스 진입.
- 메모리 덤프.
- 네트워크 트래픽 스니핑.
암호 서비스에 부적합합니다. gVisor, Kata Containers, Confidential Computing 같은 완화책은 있지만 복잡성을 더합니다.
클라우드 솔루션과 공유 책임
AWS, Azure 같은 클라우드는 인프라(데이터센터, 디스크 암호화)에 PCI DSS 인증이지만 키와 접근은 사용자 책임입니다. 클라우드 트래픽은 가상 네트워크로—제공자 관리자가 엿볼 수 있습니다. 권장: 물리 격리(별도 케이블링) 전용 암호 서비스; 클라우드에서는 격리 HSM 사용.
합의된 아키텍처
- 컨테이너 밖 전용 암호 서비스, 최소 인터페이스.
- HSM(하드웨어/소프트웨어/클라우드)에 비추출 키.
- 하드웨어 HSM 없는 Shamir 방식.
- 검색용 암호 해시, HSM 소금.
- PAN/PII 별도 처리.
- 전체 감사.
- 키 로테이션.
주요 요약:
- 소금/키를 DB 밖에—HSM 사용.
- 암호 해시나 토큰으로 검색; 결정론적 암호화 피함.
- 조직 트레이드오프(Shamir)로 비용 절감.
- 비밀은 Vault, 키는 HSM.
- PCI DSS와 PII를 규정별 분리.
— Editorial Team
아직 댓글이 없습니다.