본문 바로가기
PROGRAM

암호 알고리즘과 키 생성 기준이 있을까? KISA 기준을 따라보자

by ojava 2020. 12. 13.
반응형

보안이야 중요하지 않은 적이 없었지만, 날이 갈 수록 전산화와 비대면으로의 전환 속도가 무섭다.

또한 IoT 시대에 모든 것은 인터넷과 연결되고 통신하고 데이터로 저장되고 이용하게 되니
보안 측면에서는 어떤 데이터를 어떤 암호 알고리즘으로 암복호화 할 건지, 이 암호화 방식에는 키 생성할 때 어느 정도를 기준으로 해야 적당한지를 정해야 하는 고민이 있을 것이다.

 

암호화 방식을 정리하는 포스팅을 쓰면서 해당 내용에 대해서도 찾게되었는데
KISA에서 운영하는 암호 이용 활성화 사이트에서 안내서를 작성한 내용이 있어 가져와 봤다.

 

 


한국인터넷진흥원(KISA)에서는 SEED, HAS-160, KCDSA 등의 국산 암호 알고리즘을 포함해 보안강도에 따라 선택 가능한 암호 알고리즘의 종류와 키 길이, 유효기간에 대한 '암호 알고리즘 및 키 길이 이용 안내서'를 배포하고 있습니다.

제정 : 2009년 4월
개정 : 2013년 1월
          2018년 12월

내용
 - 보안강도별 권고 암호 알고리즘
 - 암호 알고리즘 및 키 길이 선택 기준
 - 암호 알고리즘 및 키 길이 이용 안내서 활용 예 


 

위와 같은 항목으로 암호 알고리즘 및 키 길이 이용 안내서를 배포하고 있어서 들어가보니, 국외에서 암호 알고리즘 및 키 길이에 대한 가이드라인이 있는데 반면 국내는 해당 사항이 없었던 점을 보완하기 위해 이를 배포했고 국산 암호 알고리즘에 대해서도 다양하게 안내하고 있다.

 

  • 국내외 권고 암호 알고리즘
  • 보안강도별 권고 암호 알고리즘 (대칭키, 해시함수, 공개키)
  • 암호 알고리즘 및 키 길이 선택 기준
  • 암호 알고리즘 및 키 길이 이용 안내서 활용 예

 

읽어보니 잘 알고 계시듯이 비밀번호 저장 시, SHA-256, SHA-512 등 그 이상의 암호화 방식을 이용해야 안전하게 저장할 수 있고 보안강도별로 사용하는 알고리즘에 따라 어느정도 길이의 키 값을 사용해야 하는지도 적혀있다.

일단 KISA (한국인터넷진흥원) 에서 배포했기 때문에 정부기관 등에서는 해당 기준에 맞춰서 개발하는 게 좋을 듯 하고 일반 기업에서도 사내에서 정해진 규율이 해당 내용보다 더 강도가 높지 않다면 KISA 기준에 맞춘다면 향후 시큐어 코딩 딩 시에도 큰 변경 없이 마무리 할 수 있지 않을까 싶다. 

 

https://seed.kisa.or.kr/

 

KISA 암호이용활성화

 

seed.kisa.or.kr

 

KISA 암호이용활성화 사이트에 흥미로운 내용이 많아서 링크도 추가한다.
국내 암호 알고리즘을 이용하려는 경우, 암호 알고리즘 소스코드를 이용해도 되겠다. 

찾다보니 내 블로그가 나왔는데 2017년에도 랜섬웨어로 인해 이래저래 암호 알고리즘을 수정 변경하면서 많이 참고했던 사이트더라.

과거의 나도 열심히 살았군!

 

 

아 그냥 KISA 사이트에는 다양한 법령 등이 있는데 가끔 법령 궁금할 때 찾아보면 유익한 내용들도 많이 있다.

KISA 기준 항목이 어떤지 궁금하거나 무언가 대응 논리가 필요할 때 아주 그럴싸하게 먹힐 수 있는게 정부기관에서 제시한 기준이니 적재적소에 잘 활용하시길.

반응형