[보안] 중요 정보 노출

(아이패드에 필기가 있었는데, 아이패드가 충전하다가 망가지는 바람에 소실되어, 이후 글은 따로 저장해둔 요약본을 참고합니다.)

---

중요 정보

중요 정보의 기준을 먼저 정해야 한다. 중요 정보는 우선 개인 정보와 같이 법적으로 강제되는 항목들을 반드시 포함해야 하고, 보안등급 분석을 통해 중요 정보를 구분하여 해당 정보의 관리 정책을 수립해야 한다.

네트워크를 통한 중요 정보 노출

- 중요 정보는 서버를 떠나지 않도록 해야 한다.
- 부득이하게 전송해야 하는 경우, 반드시 암호화가 필요하다.

중요 정보 암호화

중요 정보를 암호화하기 위해 정책을 수립해두어야 하고, 암호화 구현 시 안전한 키 관리를 해야 한다.
또한 관리되는 데이터에 따라 적절한 암호화 모듈을 적용해야 하고, 각 알고리즘에서 사용되는 암호키의 길이 정책도 적용되어야 한다.

암호 키 관리

암호화하는 데에 있어서 가장 중요한 부분으로, 키가 노출되면 아무리 안전한 알고리즘을 적용한다 해도 무용지물이 되므로 관리가 중요하다.
이러한 키는 웹 서버나 DB 서버와 물리적으로 분리된 안전한 시스템에서 관리하는 것이 권장된다.