암호화 `키(Key)` 전 생애주기를 통합 관리하는 키 관리 솔루션(KMS) 시장이 확대된다. 암호·인증시스템에 적용되는 키를 단순히 안전하게 보관하는 것을 넘어 생성부터 이용, 보관, 배포, 파기에 이르는 모든 절차를 관리하는 시스템이다. 지난해 개인정보보호법 개정 등으로 컴플라이언스 이슈가 제기되면서 솔루션 도입 수요가 증가했다.
16일 업계에 따르면 최근 금융권과 공공기관 등에서 발주하는 차세대 시스템 구축 사업, 비정형 데이터 암호화, 개인정보 암호화 사업 등에 KMS 항목이 별도 항목으로 기본 포함됐다.
암호 키는 원문(데이터)을 암호화해 보호하는데 필수 요소다. 키가 유출되면 암호화된 데이터라도 안전하지 않다. 주기적으로 교체하고 세밀한 키 관리가 필요하지만 과거에는 주로 보관에만 주의를 기울였다. 일부 DB암호화 솔루션은 키 변경 자체가 어렵도록 설계돼 키 교체 주기가 다가오면 `고도화`라는 명목으로 새 솔루션을 도입해야만 했다.
KMS는 지난해 9월 개인정보보호법이 일부 개정되면서 개인정보 안전성 확보조치 기준 대응방안으로 주목받기 시작했다. 개정 법안에서는 `개인정보의 암호화를 위해 안전한 암호 키 생성, 이용, 보관, 배포, 파기 등에 관한 절차 수립·시행`을 의무화하도록 규정했다. 금융감독원 전자금융감독규정에도 키 관리 절차와 방법을 마련·시행하는 내용이 포함됐다.
최근 잇달아 발생한 코드서명 탈취 사건 방지 대책으로도 떠올랐다. 코드서명 인증서는 보안솔루션이나 소프트웨어 개발 업체에서 프로그램을 배포할 때 공식적인 정상 제품이라는 인감도장 역할을 한다. 개발자 PC나 빌드서버 등에 보관하는 대신 물리적으로 안전한 키 관리 서버에 보관하고 체계적 관리가 필요하다는 주장이다.
해외에서는 5년여 전부터 암호화 키 노출 위협을 줄이고 통합 관리하기 위해 KMS 개념이 논의됐다. 다양한 업체가 자체 관리 기법 개발해 시장에 선보이다 OASIS라는 국제 표준화기구에서 제시하는 기준으로 통일화되는 추세다.
국내에서도 한컴시큐어와 펜타시큐리티가 KMS 솔루션을 개발해 시장 수용에 대응한다. 이니텍과 이글로벌시스템도 후발주자로 관련 제품 개발에 뛰어든 것으로 알려졌다.
지난해 국내기업 중 OASIS 회원사로 첫 가입한 한컴시큐어는 OASIS에서 제시한 키 관리 상호운용 프로토콜(KMIP) 표준을 준수해 `제큐어 키 매니저`를 개발했다.
펜타시큐리티도 디아모 KMS로 적극적인 시장 개척 활동을 펼친다. 지난해 개인정보보호법 개정에 맞춰 고객을 위한 다양한 프로모션을 진행했다. 양자난수 생성기와 하드웨어 보안모듈(HSM)을 추가한 보안성 강화 패키지도 선보였다. KMIP도 일부 준용했다.
업계는 문서보안(DRM)과 내부정보유출방지(DLP) 솔루션 등 암호화 기술이 적용된 대부분 보안 솔루션 역시 키 관리 필요성이 커질 것으로 내다본다.
업계 관계자는 “2년여 전 KMS 시장이 먼저 열린 해외에서는 각 업체가 서로 다른 키 관리 체계를 개발해 보급하면서 중복 비용 지출이나 솔루션 충돌 문제 등이 불거졌다”면서 “국제 표준 준용으로 사회적 비용 지출을 예방할 필요가 있다”고 말했다.
박정은기자 jepark@etnews.com