하드웨어 보안 모듈

하드웨어 보안 모듈(hardware security module, HSM)은 비밀(가장 중요한 디지털 키)을 보호 및 관리하고 디지털 서명, 강력한 인증 및 기타 암호화 기능을 위한 암호화 및 암호 해독 기능을 수행하는 물리적 컴퓨팅 장치이다.^[1] 이러한 모듈은 전통적으로 컴퓨터나 네트워크 서버에 직접 연결되는 플러그인 카드나 외부 장치 형태로 제공된다. 하드웨어 보안 모듈에는 하나 이상의 보안 암호화 프로세서 칩이 포함되어 있다.^[2]^[3]

설계[편집]

HSM에는 변조 또는 로깅 및 경고의 가시적인 징후와 같은 변조 증거를 제공하는 기능, HSM을 작동 불가능하게 만들지 않고 변조를 어렵게 만드는 변조 저항, 변조 감지 시 키 삭제와 같은 변조 대응 기능이 있을 수 있다. 각 모듈에는 변조 및 버스 검색을 방지하기 위한 하나 이상의 보안 암호화 프로세서 칩이 포함되어 있거나 변조 방지, 변조 방지 또는 변조 대응 패키징으로 보호되는 모듈의 칩 조합이 포함되어 있다. 일부 HSM은 안전한 다자간 컴퓨팅을 사용하여 관리하는 키를 보호한다. 기존 HSM의 대다수는 주로 비밀 키를 관리하도록 설계되었다. 많은 HSM 시스템에는 HSM 외부에서 처리하는 키를 안전하게 백업할 수 있는 수단이 있다. 키는 포장된 형태로 백업되어 컴퓨터 디스크나 기타 미디어에 저장되거나 스마트 카드나 기타 보안 토큰과 같은 안전한 휴대용 장치를 사용하여 외부적으로 저장될 수 있다.

HSM은 중요 인프라에서 실시간 권한 부여 및 인증에 사용되므로 일반적으로 클러스터링, 자동화된 장애 조치 및 현장 교체 가능한 중복 구성 요소를 포함한 표준 고가용성 모델을 지원하도록 설계되었다.

시중에서 판매되는 HSM 중 일부는 HSM의 보안 인클로저 내에서 특별히 개발된 모듈을 실행할 수 있는 기능을 갖추고 있다. 이러한 기능은 예를 들어 안전하고 통제된 환경에서 특수 알고리즘이나 비즈니스 로직을 실행해야 하는 경우에 유용한다. 모듈은 기본 C 언어, .NET, Java 또는 기타 프로그래밍 언어로 개발될 수 있다. 또한 곧 출시될 차세대 HSM은 사용자 정의 및 재프로그래밍 없이 전체 운영 체제 및 COTS 소프트웨어를 로드하고 실행하는 등 보다 복잡한 작업을 처리할 수 있다. 이러한 색다른 디자인은 기존 HSM의 기존 디자인 및 성능 한계를 극복하는 동시에 애플리케이션별 코드를 보호하는 이점을 제공한다. 이러한 실행 엔진은 HSM의 FIPS 또는 공통 기준 검증 상태를 보호한다.

인증[편집]

애플리케이션 및 인프라 보안에서 수행하는 중요한 역할로 인해 범용 HSM 및 암호화 모듈은 일반적으로 공통 기준(예: 보호 프로필 EN 419 221-5, "Cryptographic Module for Trust 사용)과 같은 국제적으로 인정된 표준에 따라 인증된다. 서비스") 또는 FIPS 140(현재 세 번째 버전, FIPS 140-3이라고도 함). 획득할 수 있는 FIPS 140 보안 인증의 최고 수준은 보안 레벨 4이지만 대부분의 HSM은 레벨 3 인증을 보유하고 있다. Common Criteria 시스템에서 가장 높은 EAL(Evaluation Assurance Level)은 EAL7이며, 대부분의 HSM은 EAL4 인증을 받았다. 금융 결제 애플리케이션에 사용될 때 HSM의 보안은 결제 카드 산업 보안 표준 위원회에서 정의한 HSM 요구 사항에 따라 검증되는 경우가 많다.

같이 보기[편집]

각주[편집]

↑ Sommerhalder, Maria (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard, 편집., “Hardware Security Module”, 《Trends in Data Protection and Encryption Technologies》 (영어) (Cham: Springer Nature Switzerland), 83–87쪽, doi:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, 2023년 9월 12일에 확인함
↑ Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). 《Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015》. Association of Scientists, Developers and Faculties (ASDF). 9쪽. ISBN 9788192974279.
↑ Gregg, Michael (2014). 《CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002》. John Wiley & Sons. 246쪽. ISBN 9781118930847.

외부 링크[편집]

[1] Sommerhalder, Maria (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard, 편집., “Hardware Security Module”, 《Trends in Data Protection and Encryption Technologies》 (영어) (Cham: Springer Nature Switzerland), 83–87쪽, doi:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, 2023년 9월 12일에 확인함

[2] Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). 《Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015》. Association of Scientists, Developers and Faculties (ASDF). 9쪽. ISBN 9788192974279.

[3] Gregg, Michael (2014). 《CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002》. John Wiley & Sons. 246쪽. ISBN 9781118930847.

[1]

[2]

[3]