검색 가능한 암호화는 오랫동안 미스터리였습니다. 모순입니다. 모든 사이버 보안 전문가의 실현 불가능한 꿈입니다.
조직은 데이터 도난과 침해를 방지하기 위해 가장 가치 있고 민감한 데이터를 암호화해야 한다는 것을 알고 있습니다. 또한 조직 데이터는 사용되기 위해 존재한다는 것을 알고 있습니다. 검색, 보기, 수정하여 비즈니스를 계속 운영하기 위해 존재합니다. 안타깝게도 당사의 네트워크 및 데이터 보안 엔지니어는 수십 년 동안 암호화된 상태에서는 데이터를 검색하거나 편집할 수 없다는 것을 배웠습니다.
그들이 할 수 있는 최선은 그 평문의 암호화되지 않은 데이터를 복잡한 하드웨어, 소프트웨어, 정책, 통제 및 거버넌스의 고치 속에 싸는 것이었습니다. 그리고 지금까지 그것이 어떻게 작동했습니까? T-Mobile 침해, United Healthcare 침해, Uber, Verizon, Kaiser Foundation Health Plan, Bank of America, Prudential… 그리고 목록은 계속됩니다. 그 침해로 도난당한 모든 데이터는 일상적인 운영을 지원하기 위해 암호화되지 않은 상태로 유지되었습니다.
우리가 그 데이터를 보호하는 방식이 효과가 없다는 결론을 내리는 것은 안전합니다. 우리의 생각과 접근 방식을 발전시키는 것이 중요합니다. 모든 데이터를 저장 중, 전송 중, 사용 중에 암호화할 때입니다. 그렇다면 사용해야 하는 데이터를 효과적으로 암호화하려면 어떻게 해야 할까요?
암호화 도전
언급했듯이, 대부분의 데이터가 암호화되지 않는다는 것은 잘 알려진 사실입니다. 사이버 범죄 활동의 잘 문서화된 지속적인 성장률만 봐도 알 수 있습니다. 간단히 말해서, 모든 데이터 침해와 데이터 몸값 사건에는 하나의 뚜렷한 공통점이 있습니다. 모든 대상이 수백만 개의 개인적이고, 민감하고, 기밀 기록을 암호화되지 않은 상태로 유지한다는 것입니다. 운영 사용 사례를 지원하기 위해 읽기 쉬운 일반 텍스트로 완전히 색인화되고, 구조화되고, 암호화되지 않은 데이터 저장소. 이 과제는 “허용 가능한 위험”의 범주에 속합니다.
조직에 좋은 사이버 위생이 있다면 그 조직은 휴면 상태(저장, 보관 또는 백업)의 데이터와 전송 또는 이동 중(예: 이메일 암호화 또는 한 지점에서 다른 지점으로 데이터 전송)의 데이터를 암호화한다고 종종 여겨집니다. 그리고 많은 사람들이 그것으로 충분하다고 생각하거나 그것이 그들이 할 수 있는 최선이라고 생각할 수 있습니다. 결국 휴면 상태와 이동 중 암호화는 현재 규정 준수 및 거버넌스 기관이 데이터베이스 암호화를 다루는 유일한 암호화 초점입니다.
사실, 대부분의 컴플라이언스에는 강력한 데이터베이스 암호화로 간주될 수 있는 것에 대한 실제 정의가 없습니다. 안타깝게도 많은 사람의 사고방식은 여전히 ’컴플라이언스에서 해결하지 못한다면 그렇게 중요하지 않을 텐데, 맞죠?’입니다.
이것을 조금 풀어봅시다. 왜 데이터를 암호화하지 않을까요? 암호화는 복잡하고, 비용이 많이 들고, 관리하기 어렵다는 평판이 있습니다.
휴면 상태의 데이터(아카이브 및 정적 데이터)의 기존 암호화만 살펴보면, 이러한 암호화 솔루션은 일반적으로 데이터베이스를 휴면 상태의 암호화 솔루션으로 완전히 “리프트 앤 시프트”하는 것을 포함합니다. 이 연습에는 종종 네트워크 아키텍트, 데이터베이스 관리자, 자세한 매핑 및 시간.
암호화되고 AES 256과 같은 긴 문자열 암호화가 사용된다고 가정하면 데이터는 필요한 지점까지만 안전합니다. 데이터는 결국 고객 서비스, 판매, 청구, 금융 서비스, 의료, 감사 및/또는 일반 업데이트 작업과 같은 비즈니스 기능을 지원하는 데 필요합니다. 그 시점에서 전체 필수 데이터 세트(전체 데이터베이스 또는 세그먼트)를 해독하여 취약한 일반 텍스트로 데이터 저장소로 이동해야 합니다.
이는 또 다른 복잡성 계층을 가져옵니다. DBA 또는 데이터베이스 전문가의 전문성, 암호 해독 시간, 일반 텍스트 데이터 저장소를 모니터링하고 “보안”하도록 설계된 복잡한 솔루션의 보안 인클레이브 구축. 이제 이 복잡한 솔루션 인클레이브에는 각 보안 도구의 기능에 대한 지식이 있는 전문가로 구성된 전문 팀이 필요합니다. 효과를 유지하기 위해 각 보안 도구를 패치하고 새로 고칠 필요성을 추가하면 매일 많은 데이터가 손상되는 이유를 이제 이해하게 됩니다.
물론, 데이터 세트가 활용되면 암호화된 상태로 다시 옮겨야 합니다. 그래서 복잡성(과 비용)의 사이클이 다시 시작됩니다.
이러한 복잡성의 순환으로 인해 많은 경우 이러한 민감한 데이터는 전혀 암호화되지 않은 취약한 상태로 남아 있어 항상 손쉽게 사용할 수 있습니다. 위협 행위자의 100%는 암호화되지 않은 데이터가 쉽게 액세스할 수 있는 가장 좋은 데이터라는 데 동의합니다.
이 예시는 저장 중인 데이터의 암호화에 초점을 맞추고 있지만, 전송 중에 암호화된 데이터도 거의 동일한 프로세스를 거친다는 점에 유의하는 것이 중요합니다. 즉, 전송 중에만 암호화되지만, 거래의 양쪽에서 사용하려면 암호를 해독해야 합니다.
훨씬 더 나은 접근 방식이 있습니다. 기본 암호화를 넘어서는 것입니다. 현대적이고 보다 완전한 데이터베이스 암호화 전략은 세 가지 상태, 즉 정지 상태, 동작 중, 현재 사용 중인 중요한 데이터베이스 데이터의 암호화를 고려해야 합니다. 검색 가능 암호화, 즉 Encryption-in-Use는 해당 데이터를 사용 가능한 동안 완전히 암호화된 상태로 유지합니다. 구식 암호화, 복호화, 사용, 재암호화 프로세스를 지원하는 데 관련된 복잡성과 비용을 제거합니다.
더 나은 암호화를 위한 기술 병합
그렇다면 왜 이제 검색 가능 암호화가 갑자기 중요한 개인 데이터, 민감하고 통제되는 데이터 보안의 황금 표준이 되고 있는 것일까요?
Gartner에 따르면 “데이터 기밀성을 보호하고 데이터 유용성을 유지해야 하는 필요성은 대량의 데이터를 다루는 데이터 분석 및 개인 정보 보호 팀의 최우선 관심사입니다. 데이터를 암호화하고 안전하게 처리할 수 있는 능력은 데이터 보호의 성배.”
이전에 사용 중인 데이터 암호화의 가능성은 성능이 매우 느리고, 정말 비싸고, 엄청난 양의 처리 능력이 필요한 동형 암호화(HE)의 약속을 중심으로 돌았습니다. 그러나 검색 가능한 대칭 암호화 기술을 사용하면 암호화된 상태로 “사용 중인 데이터”를 처리하고 거의 실시간, 밀리초 쿼리 성능을 유지할 수 있습니다.
IDC 분석가 제니퍼 글렌은 “디지털 혁신으로 인해 데이터가 비즈니스의 모든 부분에서 더 쉽게 휴대하고 사용할 수 있게 되었지만, 동시에 더 많이 노출되었습니다. 검색 가능한 암호화는 데이터를 안전하고 비공개로 유지하면서도 가치를 잠금 해제하는 강력한 방법을 제공합니다.”라고 말했습니다.
글렌은 “검색 가능한 암호화와 같은 기술은 조직이 데이터의 무결성과 보안을 보장하는 동시에 데이터를 사용 가능한 상태로 유지하는 데 필수적인 요소가 되고 있습니다.”라고 말했습니다.
30년 이상 된 데이터 관리 회사인 Paperclip은 한때 ‘데이터 보호의 성배’로 불렸던 사용 중인 데이터 암호화를 달성하기 위한 솔루션을 만들었습니다. 데이터 저장 및 검색 가능한 대칭 암호화에 사용되는 특허받은 분쇄 기술을 활용하여 기존 데이터 보안 및 암호화 전략에 내재된 복잡성, 지연 및 위험을 제거하는 솔루션이 탄생했습니다.
SAFE 암호화 솔루션
필요성이 모든 발명의 어머니라는 것을 깨달은 Paperclip은 1991년 콘텐츠 공급망 혁신 기업으로 설립되어 고객이 신뢰하는 민감한 데이터 집단을 보호하기 위해 더 많은 노력을 해야 한다는 것을 깨달았습니다. 증가하는 데이터 침해 및 데이터 랜섬 공격 수를 분석할 때 한 가지 현실이 매우 분명해졌습니다. 위협 행위자는 암호화된 데이터를 손상시키거나 훔치지 않습니다.
그들은 핵심 운영 활동을 지원하는 데 사용되는 방대한 양의 암호화되지 않은 일반 텍스트 데이터에 집중하고 있습니다. 그들이 가장 큰 피해를 입힐 수 있는 곳이 바로 여기입니다. 인질로 잡을 수 있는 최고의 데이터입니다. 해결해야 할 중요한 데이터는 바로 이 데이터였습니다. 데이터베이스 계층에서 가장 활발한 데이터를 암호화하는 방식을 발전시킬 때가 되었습니다.
SAFE는 처음에는 솔루션으로 시작했지만, 나중에는 상업 시장에 출시하기 위해 고안되었습니다.
물론, 과제를 파악하는 것은 쉬웠습니다. 모든 조직에는 보호해야 할 민감한 데이터가 있으며, 모든 조직에는 핵심 운영을 실행하는 데 의존하는 민감한 데이터가 있습니다. 다음 단계는 실용적인 솔루션을 구축하는 것이었습니다.
Paperclip SAFE는 완전히 암호화되고 검색 가능한 데이터 암호화를 실용적인 현실로 만드는 SaaS 솔루션입니다. 암호화, 복호화, 사용, 재암호화의 전체 프로세스와 이러한 작업을 수행하는 데 필요한 리소스가 더 이상 필요하지 않습니다. 더 중요한 것은 SAFE가 수백만 개의 레코드가 지금 당장 데이터 도난 및 랜섬 공격에 완전히 노출되어 있는 이유와 관련된 변명을 제거한다는 것입니다.
SAFE Searchable Encryption은 일반적으로 Privacy Enhancing Technology(PET) 플랫폼이라고 합니다. PET로서 SAFE는 핵심 데이터베이스 계층에서 데이터가 보안되는 방식을 발전시킵니다. SAFE는 다음과 같은 기능을 제공하기 때문에 다른 모든 암호화 솔루션과 다릅니다.
- 데이터 소유자 및 데이터 보유자 키 볼트를 지원하는 전체 AES 256 암호화 – 위협 행위자는 두 개의 다른 키를 모두 손상시켜야 합니다. 그래도 데이터에 액세스할 수 없습니다.
- 특허받은 페이퍼클립 분쇄 데이터 저장소(SDS) – 복잡한 암호화인 AES 256으로 데이터가 암호화되기 전에도 데이터가 조각으로 분쇄되고, 솔팅되고, 해싱됩니다. 이렇게 하면 모든 맥락이 깨지고 엔트로피가 생성됩니다. 위협 행위자가 두 암호화 키를 모두 손상시킨다고 상상해 보세요. 그들이 하는 일은 마이크로 크로스컷 분쇄기를 가지고 100만 개의 문서를 실행하고, 분쇄된 조각의 1/3을 버리고, 그 1/3을 분쇄된 오래된 백과사전으로 바꾸고, 흔들어서 마치 병들고 미친 퍼즐처럼 바닥에 던지는 것과 같습니다. 현재 기술로는 그 모든 조각을 다시 조립하는 데 약 6,000년이 걸릴 것입니다.
- 항상 암호화된 데이터 세트는 완전한 생성, 읽기, 업데이트, 삭제(CRUD) 기능을 지원합니다. – 본질적으로 데이터가 사용되지 않을 때는 휴면 상태이며 여전히 완전히 암호화됩니다. 더 이상 암호화, 암호화되지 않음이 없습니다… 항상 암호화됩니다.
- 빠른 암호화된 화합물 검색 (
- 지속적인 머신 러닝 및 AI 위협 탐지 및 대응(TDR) – SAFE는 Zero Trust를 기반으로 하므로 솔루션은 사용자 추세를 모니터링하고 학습합니다. 모든 대역 외 활동은 차단되고 관리 조치가 필요합니다. 이 솔루션은 SQL 주입, 데이터 퍼징 및 기타 위협 행위자 활동도 모니터링합니다. 솔루션의 일부로 SAFE는 클라이언트의 SOC 모니터링 서비스에 공급할 수 있는 많은 원격 측정을 생성합니다.
- 간단한 JSON API 통합. 약간의 개발이 필요하지만, 결과적으로 최종 사용자에게는 중단이 없고 항상 사용 가능하고 항상 암호화된 데이터 세트가 제공됩니다.
- 구현 유연성 – SAFE는 SaaS 솔루션이지만 가벼운 온프레미스 솔루션으로 구현되도록 설계되었습니다. 또한 SAFE는 타사 애플리케이션에 통합될 수 있으며, 해당 타사가 클라이언트를 대신하여 민감한 데이터를 유지 관리합니다(인사, 급여, 뱅킹 플랫폼, 의료 EMR 및 PHR 등과 같은 아웃소싱 애플리케이션). 민감한 데이터를 타사 공급업체에 아웃소싱하는 경우 해당 데이터를 어떻게 암호화하는지 물어봐야 합니다. 해당 공급업체가 침해되면 어떻게 될까요? 데이터가 암호화되나요?
우리는 경쟁에 뛰어들었고, 위협 행위자들이 승리하고 있는 것 같습니다. 더 나은 암호화 엔진을 구축할 때입니다. SAFE의 시간입니다.
오늘날의 사이버 중심 비즈니스 환경에서 검색 가능한 암호화에 대한 필요성은 금융 서비스, 의료, 은행, 제조, 정부, 교육, 중요 인프라, 소매, 연구 등 여러 산업과 사용 사례에 걸쳐 있습니다. 데이터가 더 안전할 필요가 없는 분야는 없습니다.
SAFE as a SaaS 솔루션은 최종 사용자나 네트워크 아키텍처를 방해하지 않고 30일 이내에 구현할 수 있습니다. SAFE 검색 가능 암호화에 대해 자세히 알아보려면 paperclip.com/safe를 방문하세요.
메모: 이 기사는 2022년 6월부터 Paperclip의 최고 매출 책임자로 근무하며 영업 및 마케팅 이니셔티브를 이끌고 있는 Chad F. Walter가 전문적으로 작성하고 기고한 것입니다. 그는 사이버 보안과 기술 분야에서 20년 이상의 경험을 가지고 있습니다.