Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
사이버 보안 & 암호화
[NeoKeyManager] 국제 표준과 암호키 관리 ⑶ - ISO/IEC 27001 인증을 위한 암호화 준비
2026년 02월 20일

지난 포스팅에서 정보보호관리체계에 대한 국제 표준인 ISO/IEC 27001에서 말하는 정보 보호를 위한 암호화의 중요성과 키 관리의 중요성에 대해 알아보았다면 이번 포스팅에서는 ISO/IEC 27001 인증을 위한 암호화 준비 사항에 대하여 알아보도록 하겠습니다.

ISO/IEC 27002에서 암호화 평가

아래 표는 ISO/IEC 27001 평가 리포트 중 “A.10 암호화” 항목의 평가 결과입니다.

결과는 암호 제어에 대한 정책/문서 없음, 디스크 암호화 규칙에 대한 정책 없음, 키 관리 프로세스 없음으로 나와있습니다.

이에 대한 권고로 키 생성, 배포, 사용, 저장 및 취소에 대한 관리 그리고 정책과 프로세스를 수립 하라고 합니다.


[표 1] 'A.10 암호화' 항목의 평가 결과 │ 출처: ISO/IEC 27001 평가 리포트


 리포팅을 요약하자면, "암호화를 해야 한다, 키 관리를 해야 한다."입니다.

“A.10 암호화” 조건(기밀성, 무결성/진정성, 부인방지, 인증)을 만족하기 위해서 민감 데이터 암호화, 적절한 암호화 강도(복잡도), PKI, SFTP, SCP, 또는 VPN 사용, 통신 구간 암호화, HTTPS 사용, 이메일 암호화, DRM, DB 암호화 등을 들 수 있겠습니다.

ISO/IEC 27002에서 암호화 키는 ISO/IEC 11770 [2],[3],[4] 에 암호화 키에 대하여 표준이 설명되어 있습니다. (키 관리에 대한 설명, 대칭키, 비대칭키, PKI에 대한 메커니즘을 설명)

그리고 지적사항 중 Key Management(키 관리)요건이 있으며 이는 KMS(Key Management System) 사용이 필요하다고 되어있습니다.

키 관리는 키의 생명주기 관리 및 보호를 해야 합니다. OASIS에서 국제 표준으로 나온 KMIP(Key Management Interoperability Protocol)를 준수하는 것이 최선이겠으나 구현 및 유지의 어려움이 있습니다.


키 관리 솔루션으로 인증을 쉽게

암호화에는 많은 알고리즘이 있으며 AES는 가장 널리 사용하는 알고리즘 중 하나입니다. 암호화 관리자는 적용할 제어 정책뿐만 아니라 암호화 알고리즘도 정의 해야 합니다.

예) 암호 알고리즘 - AES, 키 길이 -128 ~ 256, 키 만료 일자, key lifecycle 관리, 사용 범위 등등

그리고 중요 정보를 암호화 하려면 암호화 키가 필요합니다. 암호화 복호화가 같으면 대칭 키, 암호화 복호화 키가 다르면 비대칭키 등 이러한 여러 알고리즘에 대한 키를 안전하게 저장 및 관리 하기 위한 메커니즘이 필요합니다.

NeoKeyManager(네오키매니저)는 키 생명주기 관리 체계인 KMIP(Key Management Interoperability Protocol)를 제공하고 FIPS 140-2 level 3 인증을 받은 HSM(Hardware Security Module)을 사용하여 키의 안전한 보호를 함으로 ISO/IEC 27002의 10. 암호화 요건을 충족할 수 있습니다.

📖 참고

HSM만 사용한다면 관리가 어렵습니다. HSM를 이용한 KMS를 사용하는 것이 현명합니다.


🔑 키 생명주기 관리 (Key Lifecycle Management)

NeoKeyManager(네오키매니저)는 국제 표준 KMIP(Key Management Interoperability Protocol)를 준수함으로써 복잡한 암호 키의 생명주기를 정책에 따라 키 생성부터 폐기에 이르기까지 자동화 관리 하실 수 있습니다.

ISO/IEC 27002의 10.1.2 키 관리(키 생명주기 관리 지원, 각종 알고리즘 및 키 길이 지원, 안전한 장비 등) 요건을 충족 할 수 있습니다. KMIP는 국제 표준임으로 상호 운용성 또한 보장 받을 수 있습니다.(KMIP를 지원하는 모든 솔루션에 대해 암호 키 통합 관리 가능)



[그림 1] 암호 키 생명주기 프로세스 관리 지원

📖 참고

PCI DSS(Payment Card Industry Data Security Standards), “신용카드업계 데이터 보안 표준”에서 KMS(Key Management System)와 HSM(Hardware Security Module)을 이용하여 대칭키 및 비대칭키의 안전한 저장, 생성, 배포, 변경, 폐기등 키 생명주기(Key Life Cycle)를 관리하길 요구합니다.

PCI DSS는 ISO 27001와 관리 요건이 중복되는 부분이 있으나 보다 더 세부적이며 강제적인 요건을 정의합니다. (v3.1 R96~R119)





😃 맺음말

지금까지 3편의 포스팅을 통해 여러 산업 분야(자동차, 산업제어시스템, 클라우드, 의료 등)에서 필요한 27001 인증과 대처 방안에 대하여 간략히 살펴보고 스마트기기, 스마트 카 등 IoT에서 키 관리가 중요한 이유에 대하여 알아봤습니다.

NeoKeyManager(네오키매니저)인증과 암호화의 핵심 제품이며 대량의 인증서 및 키를 안전하게 관리할 수 있는 엔터프라이즈 솔루션입니다. NeoKeyManager를 통해 쉽고 안전하게 관리하세요!