맨위로가기

하드웨어 보안 모듈

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

하드웨어 보안 모듈(HSM)은 변조 방지, 변조 증거, 변조 대응 기능을 제공하여 보안을 강화하는 하드웨어 장치이다. 주로 비밀 키를 관리하도록 설계되었으며, 중요 인프라에서 실시간 인증 및 권한 부여에 사용된다. HSM은 국제 표준에 따라 인증되며, 금융 결제, PKI 환경, SSL 연결, DNSSEC, 블록체인 및 암호화폐 등 다양한 분야에서 활용된다. HSM은 온보드 보안 암호 키 생성, 키 관리, 암호화 및 데이터 삭제 등의 기능을 수행하며, 특히 디지털 키를 사용하는 모든 응용 프로그램에서 중요한 역할을 한다.

더 읽어볼만한 페이지

  • 암호 하드웨어 - SIM 카드
    SIM 카드는 이동통신 장치에서 가입자 정보를 저장하고 네트워크를 인증하는 스마트 카드로, 가입자 식별 정보, 인증 정보, 전화번호부 등을 저장하며, 최근에는 내장형 eSIM으로 발전하고 있다.
  • 암호 하드웨어 - 유비키
    유비키는 2007년에 설립된 보안 키 회사로, 다양한 인터페이스와 보안 표준을 지원하며, 보안 강화를 위해 ModHex 문자를 사용하지만, 코드의 폐쇄 소스화 이후 보안 문제가 발생하기도 했다.
  • 은행업 기술 - 모바일 뱅킹
    모바일 뱅킹은 모바일 기기를 통해 은행 및 금융 서비스를 제공하고 이용하는 것으로, 시간과 장소에 제약 없이 다양한 금융 업무를 처리할 수 있지만, 핀테크 기술 발전과 함께 보안 문제 및 디지털 격차 등의 과제도 안고 있다.
  • 은행업 기술 - 암호학
    암호학은 평문을 암호문으로, 암호문을 평문으로 변환하는 기술을 연구하며, 기밀성, 무결성, 가용성, 부인 봉쇄를 목표로 다양한 암호 시스템 및 기술을 개발하고 법적, 윤리적 문제와도 관련된다.
하드웨어 보안 모듈
기본 정보
하드웨어 보안 모듈 블록 다이어그램
하드웨어 보안 모듈 블록 다이어그램
유형물리적 컴퓨팅 장치
용도암호화 키 보호 및 관리
기능
주요 기능암호화 키 생성 및 저장
암호화 연산 수행
보안 감사 로그 생성
특징
보안물리적 보안
논리적 보안
변조 방지 기능
규격FIPS 140-2
Common Criteria
연결 방식PCIe
USB
네트워크
응용 분야
사용 분야PKI
데이터베이스 보안
신용 카드 처리
디지털 서명
코드 서명
블록체인
클라우드 컴퓨팅
IoT 장치
추가 정보
참고 자료Sommerhalder, Maria (2023). "Hardware Security Module". Trends in Data Protection and Encryption Technologies. Cham: Springer Nature Switzerland. pp. 83–87
Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF). p. 9
Gregg, Michael (2014). CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons. p. 246

2. 설계

하드웨어 보안 모듈(HSM)은 변조 방지, 변조 대응 등의 보안 기능을 갖추고 있어 변조가 어렵고, 변조 시도가 감지되면 키를 삭제한다.[4] HSM은 대부분 비밀 키 관리를 위해 설계되었으며, HSM 외부에서 처리하는 키를 안전하게 백업하는 기능을 제공한다. 중요 인프라에서 실시간 인증 및 권한 부여에 사용되기 때문에 일반적으로 클러스터링, 자동 장애 조치, 현장 교체 가능 구성 요소 등 고가용성 모델을 지원한다. 일부 HSM은 보안 인클로저 내에서 특별히 개발된 모듈을 실행할 수 있는 기능을 갖추고 있어, 특수 알고리즘이나 비즈니스 로직을 안전하고 통제된 환경에서 실행할 수 있다. 이러한 모듈은 C, .NET, Java 등 다양한 프로그래밍 언어로 개발 가능하다.

2. 1. 보안 기능

HSM은 변조 시 눈에 띄는 흔적을 남기거나 로그 및 경고를 통해 알려주는 변조 증거, HSM을 작동 불능 상태로 만들지 않고는 변조를 어렵게 만드는 변조 방지, 변조 감지 시 키를 삭제하는 변조 대응 기능을 갖출 수 있다.[4] 각 모듈에는 변조 및 버스 프로빙을 방지하기 위해 하나 이상의 보안 암호 프로세서 칩이 포함되거나, 변조 증거, 변조 방지 또는 변조 대응 패키징으로 보호되는 모듈 칩 조합이 포함된다.

2. 2. 키 관리

기존 HSM의 대다수는 주로 비밀 키를 관리하도록 설계되었다. 많은 HSM 시스템은 HSM 외부에서 처리하는 키를 안전하게 백업할 수 있는 수단을 가지고 있다.[4] 키는 래핑된 형태로 백업되어 컴퓨터 디스크 또는 기타 매체에 저장되거나, 스마트카드 또는 기타 보안 토큰과 같은 보안 휴대용 장치를 사용하여 외부적으로 백업될 수 있다.

2. 3. 고가용성

HSM은 중요 인프라에서 실시간 인증 및 권한 부여에 사용되므로 일반적으로 클러스터링, 자동 페일오버, 중복 현장 교체 가능 구성 요소를 포함한 표준 고가용성 모델을 지원하도록 설계된다.[4]

2. 4. 확장성

일부 HSM은 보안 인클로저 내에서 특별히 개발된 모듈 실행을 지원한다. 이러한 기능은 특수 알고리즘이나 비즈니스 로직을 안전하고 통제된 환경에서 실행해야 하는 경우에 유용하다. 모듈은 C, .NET, Java 등 다양한 프로그래밍 언어로 개발될 수 있다.[4]

3. 인증

범용 HSM은 공통 평가 기준(CC) 또는 FIPS 140과 같은 국제 표준에 따라 인증된다.[5] FIPS 140 보안 인증의 최고 수준은 보안 레벨 4이지만, 대부분의 HSM은 레벨 3 인증을 보유하고 있다. 공통 평가 기준 시스템에서 가장 높은 EAL(Evaluation Assurance Level)은 EAL7이며, 대부분의 HSM은 EAL4 인증을 받았다.

3. 1. 인증 등급

범용 HSM 및 암호화 모듈은 애플리케이션 및 인프라 보안에 중요한 역할을 수행하므로, 일반적으로 공통 평가 기준(예: 보호 프로파일 EN 419 221-5, "신뢰 서비스를 위한 암호화 모듈") 또는 FIPS 140(FIPS 140-3이라고도 함)과 같은 국제적으로 인정된 표준에 따라 인증을 받는다.[5] FIPS 140 보안 인증의 최고 수준은 보안 레벨 4이지만, 대부분의 HSM은 레벨 3 인증을 보유하고 있다. 공통 평가 기준 시스템에서 최고 EAL(평가 보증 레벨)은 EAL7이며, 대부분의 HSM은 EAL4+ 인증을 받았다. 금융 결제 애플리케이션에서 사용될 경우, HSM의 보안은 종종 Payment Card Industry Security Standards Council에서 정의한 HSM 요구 사항에 따라 검증된다.[5]

3. 2. 금융 결제 HSM 인증

금융 결제 애플리케이션에 사용될 때, HSM의 보안은 PCI SSC에서 정의한 HSM 요구 사항에 따라 검증된다.[5]

4. 활용 분야

하드웨어 보안 모듈(HSM)은 디지털 키를 사용하는 모든 응용 프로그램에 사용될 수 있다. 일반적으로 키는 높은 가치를 가지며, 키가 손상될 경우 키 소유자에게 상당한 부정적 영향을 미칠 수 있다.[6]

4. 1. 주요 기능

하드웨어 보안 모듈(HSM)은 다음과 같은 기능을 제공한다.[6]

  • 보안 암호화 키 생성 (온보드)
  • 최상위 및 가장 민감한 키(마스터 키)를 위한 보안 암호화 키 저장 (온보드)
  • 키 관리
  • 암호화 및 민감한 데이터 자료 사용 (예: 복호화 또는 디지털 서명 기능 수행)
  • HSM에서 관리하는 암호화 및 기타 민감한 데이터 자료의 안전한 삭제 (온보드)


HSM은 투명한 데이터 암호화 키와 데이터베이스, 디스크 또는 테이프와 같은 저장 장치에 대한 키를 관리하기 위해 배포되기도 한다.

일부 HSM 시스템은 하드웨어 암호화 가속기이기도 하다. 일반적으로 대칭 키 연산에 대한 하드웨어 전용 솔루션의 성능을 능가할 수 없지만, 초당 1~10,000개의 1024비트 RSA 서명 범위의 성능으로 HSM은 비대칭 키 연산에 대한 상당한 CPU 오프로드를 제공할 수 있다. 미국 국립표준기술연구소(NIST)에서 2010년부터 2,048비트 RSA 키의 사용을 권장함에 따라, 더 긴 키 크기에서의 성능이 더 중요해졌다. 이 문제를 해결하기 위해 대부분의 HSM은 이제 더 짧은 키 길이로 더 강력한 암호화를 제공하는 타원 곡선 암호(ECC)를 지원한다.

4. 2. PKI 환경 (CA HSMs)

PKI 환경에서 HSM은 인증 기관(CA)과 등록 기관(RA)에서 비대칭 키 쌍을 생성, 저장 및 처리하는 데 사용될 수 있다. 이러한 경우, 장치는 다음과 같은 몇 가지 기본적인 기능을 갖춰야 한다.

  • 논리적 및 물리적 고급 보호
  • 다중 사용자 인증 체계(비밀 공유 참조)
  • 전체 감사 및 로그 추적
  • 보안 키 백업


반면, PKI 환경에서 장치 성능은 등록 기관 절차가 인프라의 성능 병목 현상을 나타내므로 온라인 및 오프라인 작업 모두에서 일반적으로 덜 중요하다.

4. 3. 카드 결제 시스템 (은행 HSMs)

특화된 HSM은 카드 결제 산업에서 사용된다. HSM은 일반적인 기능과 거래를 처리하고 산업 표준을 준수하는 데 필요한 특수 기능을 모두 지원한다. 일반적으로 표준 API를 갖추고 있지 않다.

일반적인 응용 분야는 거래 승인 및 결제 카드 개인화이며, 다음과 같은 기능이 필요하다.

  • 사용자가 입력한 PIN이 카드 발급자가 알고 있는 참조 PIN과 일치하는지 확인
  • 카드 보안 코드를 확인하거나 ATM 제어기 또는 POS 단말기와 함께 EMV 기반 거래의 호스트 처리 구성 요소를 수행하여 신용/직불 카드 거래 확인
  • 스마트 카드 (예: EMV)를 사용하여 암호화 API 지원
  • PIN 블록을 재암호화하여 다른 승인 호스트로 전송
  • 안전한 키 관리 수행
  • POS ATM 네트워크 관리 프로토콜 지원
  • 호스트-호스트 키 | 데이터 교환 API의 사실상의 표준 지원
  • "PIN 메일러" 생성 및 인쇄
  • 자기 띠 카드용 데이터 생성 (PVV, CVV)
  • 카드 키셋을 생성하고 스마트 카드의 개인화 프로세스 지원


은행 시장에서 HSM에 대한 표준을 생산하고 유지 관리하는 주요 기관은 결제 카드 산업 보안 표준 위원회, ANS X9, ISO이다.

4. 4. SSL 연결 (SSL 가속)

HTTPS (SSL/TLS)을 사용해야 하는 성능이 중요한 애플리케이션은 호스트 CPU에서 HSM 장치로 RSA 연산을 이동하여 SSL 가속 HSM을 사용하는 것이 도움이 될 수 있다. RSA 연산은 일반적으로 여러 개의 큰 정수 곱셈이 필요하다. 일반적인 HSM 장치는 초당 약 1~10,000개의 1024비트 RSA 연산을 수행할 수 있다.[7][8] 더 긴 키 크기에서 성능 향상이 점점 더 중요해지고 있다.

4. 5. DNSSEC

OpenDNSSEC는 DNS 존 파일 서명을 관리하는 오픈 소스 도구이다. 점점 더 많은 수의 레지스트리가 대규모 존 파일 서명에 사용되는 키 자료를 저장하기 위해 HSM을 사용하고 있다.[9]

4. 6. 블록체인 및 암호화폐

블록체인 기술은 암호화 작업에 의존하며, 비대칭 암호화를 사용하는 블록체인 과정의 보안을 유지하기 위해서는 개인 키를 보호하는 것이 필수적이다. 개인 키는 주로 암호화폐 지갑 (하드웨어 지갑)에 저장된다.[11][12]

HSM과 블록체인의 결합은 여러 연구에서 언급되며, 특히 블록체인 기반 모빌리티 솔루션 등에서 개인 키 보호와 신원 확인에 HSM이 중요한 역할을 한다는 점이 강조된다.[11][12]

5. 한국의 HSM 활용 현황 및 정책

한국은 정보 보안 강화를 위해 다양한 분야에서 하드웨어 보안 모듈(HSM)을 적극적으로 도입하고 있다.

5. 1. 블록체인 및 암호화폐 분야

블록체인 기술은 암호화 작업에 의존한다. 비대칭 암호화를 사용하는 블록체인 프로세스의 보안을 유지하려면 개인 키를 보호하는 것이 필수적이다. 개인 키는 하드웨어 지갑과 같은 암호화폐 지갑에 저장되는 경우가 많다.[11][12]

HSM과 블록체인의 시너지 효과는 여러 논문에서 언급되며, 블록체인 기반 모빌리티 솔루션 등에서 개인 키를 보호하고 신원을 확인하는 HSM의 역할을 강조한다.[11][12]

참조

[1] 간행물 Hardware Security Module Springer Nature Switzerland 2023
[2] 서적 Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015 https://books.google[...] Association of Scientists, Developers and Faculties (ASDF) 2015
[3] 서적 CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002 https://books.google[...] John Wiley & Sons 2014
[4] 웹사이트 Electronic Tamper Detection Smart Meter Reference Design http://www.freescale[...] freescale 2015-05-26
[5] 웹사이트 Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards https://www.pcisecur[...] 2018-05-01
[6] 웹사이트 Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths https://csrc.nist.go[...] NIST 2011-03-29
[7] 웹사이트 Hardware Security Modules http://secappdev.org[...] Atos Worldline 2015-05-26
[8] 웹사이트 Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt https://letsencrypt.[...] 2021-05-19
[9] 웹사이트 ICANN Begins Public DNSSEC Test Plan for the Root Zone http://www.circleid.[...] 2015-08-17
[10] 문서 Root DNSSEC http://www.root-dnss[...]
[11] 서적 2021 IEEE International Conference on Blockchain and Cryptocurrency (ICBC) http://orbilu.uni.lu[...] 2023-08-13
[12] 서적 2021 IEEE 5th International Conference on Cryptography, Security and Privacy (CSP) https://zenodo.org/r[...] 2021-01
[13] 간행물 Hardware Security Module https://doi.org/10.1[...] Springer Nature Switzerland 2023-09-12
[14] 서적 Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015 https://books.google[...] Association of Scientists, Developers and Faculties (ASDF) 2015
[15] 서적 CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002 https://books.google[...] John Wiley & Sons 2014


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com