2.5 암호키 관리

2.5 암호키 관리

1. 보안약점 항목

• 하드코드된 중요정보
• 주석문안에 포함된 시스템 주요 정보

2. 설명

• 암호키 생성, 분배, 접근, 파기 등 암호키 생명주기별 암호키 관리방법을 안전하게 설계한다.

3. 보안대책

• DB데이터 암호화에 사용되는 암호키는 한국인터넷진흥원의 「암호이용안내서」에서 정의하고 있는 방법을 적용해  한다.
• 설정파일(xml, Properties)내의 중요정보 암호화에 사용되는 암호키는 암호화해서 별도의 디렉토리에 보관해야 한다.

4. 진단기준

• 암호키를 관리하기 위한 정책이 수립되어 있으며, 안전하게 암호키를 관리하기 위한 방법이 설계에 반영되어 있는가?
• 암호키가 안전하게 관리되는지 점검하는 테스트 계획이 수립되어 있는가?

 

사례1 : 하드코드된 암호키
코드 내부에 암호화 키를 하드코딩하여 사용하여 암호화를 수행하면 암호화된 정보가 유출될 가능성이
높아진다.

 

사례2 : 주석문 안에 포함된 암호키
주석문 안에 암호키에 대한 설명이 포함된 경우 공격자가 소스코드에 접근할 수 있다면 아주 쉽게
암호키가 노출될 수 있다.