키 버전 관리

Prev Next

Classic/VPC 환경에서 이용 가능합니다 .

키 버전 관리

암호화 키에 대한 다양한 보안 위협에 대비해, 키 용도별로 권장되는 유효 사용 기한이 있습니다. 일반적으로 암호문 생성 용도(암호화)에는 최대 2년, 복호화에는 최대 5년까지 동일한 키를 사용할 수 있습니다. 따라서 암호학적 보안 위협을 방지하려면 사용 기한이 만료되기 전에 새로운 키로 갱신하는 것이 좋습니다. 키 Tag로 식별되는 키 리소스는 실제 원시 키(Raw key)가 버전으로 구분되어 구성되며, 최대 100개의 버전을 가질 수 있습니다. 키를 회전하여 새로운 버전으로 갱신하면 새로운 원시 키가 추가되며, 이는 키를 완전히 변경하는 것과 동일한 효과를 기대할 수 있습니다.

키 회전

kms-version_01_ko

키 버전을 갱신하려면 키 회전 기능을 사용합니다. 최초 생성된 키의 버전은 1이며, 이후 회전할 때마다 갱신되어 최대 100개의 버전을 유지할 수 있습니다. 100번의 키 회전 후에는 더 이상 회전할 수 없으므로 새로운 키로 교체해야 합니다. 키 회전에는 정해진 주기에 따라 자동으로 수행되는 자동 회전과, 사용자가 필요에 따라 수동으로 수행하는 수동 회전이 있습니다. 각각의 설명은 다음과 같습니다.

  • 자동 회전: 설정된 회전 주기마다 자동으로 회전을 수행합니다.
  • 수동 회전: 사용자가 필요에 의해 수동으로 회전을 수행합니다. 수동 회전은 다음 자동 회전 스케줄에 영향을 주지 않습니다. 예를 들어 90일의 자동 회전 주기를 가진 키가 다음 회전일까지 10일이 남아있는 상태에서 수동 회전을 수행한다 하더라도 10일 후에는 예정대로 자동 회전이 실행됩니다.
주의
  • 자동 회전이 적용되지 않은 키는 수동 회전을 하지 않는 한, 회전되지 않으므로 보안상 취약해질 수 있습니다. 주기적인 키 갱신 및 관리는 사용자에게 모든 책임이 있습니다.
  • 키 회전 후 주의해야 할 사항은 다음과 같습니다.
    • 암호화는 항상 최신 버전의 키로만 가능합니다. 키가 회전되어 버전이 갱신되면 이전 버전의 키는 암호화에 사용할 수 없으며 복호화에만 사용할 수 있습니다.
    • 키가 회전되어 새로운 버전으로 갱신되면, 이전 버전의 키를 사용하던 사용자들은 가능한 빠른 시일 내에 새로운 버전의 키로 재암호화를 하고, 이전 버전의 키는 비활성화할 것을 권장합니다. 재암호화를 위한 API 사용 방법은 Re-encrypt를 참조해 주십시오.
    • 복호화 시 정확한 버전을 설정해야 올바른 결과를 얻을 수 있습니다. 암호문에 포함된 prefix (ex. ncpkms:v1)을 임의로 변경하면 복호화가 올바르게 처리되지 않습니다.

수동 회전

키에 대한 보안 위협이 발생했다고 판단되거나 또는 갱신 기한이 지난 경우 등, 사용자의 판단에 따라 수동 회전을 통해 즉시 키를 갱신할 수 있습니다. 수동으로 키를 회전하여 새로운 버전으로 갱신하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔에서 i_menu > Services > Security > Key Management Service > Key 메뉴를 차례대로 클릭해 주십시오.
  2. 수동 회전할 키의 기본 정보 탭에서 [키 회전] 버튼을 클릭해 주십시오.
  3. 지금 회전 팝업 창이 나타나면 [확인] 버튼을 클릭해 주십시오.
  4. 현재 버전에서 갱신한 버전 정보를 확인해 주십시오.

자동 회전 설정

키가 일정 주기마다 새로운 버전으로 자동 갱신되도록 자동 회전을 설정하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔에서 i_menu > Services > Security > Key Management Service > Key 메뉴를 차례대로 클릭해 주십시오.
  2. 자동 회전할 키의 기본 정보 탭에서 자동 회전을 클릭하여 설정을 변경 해 주십시오.
  3. 자동 회전 주기를 설정하기 위해 회전 주기(다음 회전일)[Edit] 버튼을 클릭해 주십시오.
    kms-version_02_ko
  4. 회전 주기 변경 팝업 창이 나타나면 회전 주기를 입력해 주십시오.
    • 1~730일 사이로 입력(기본값: 90일)
    • 변경 즉시 다음 회전일 변경
  5. [확인] 버튼을 클릭해 주십시오.

버전 관리

kms-version_03_ko

키의 상태와는 별개로, 키 버전 단위로도 상태를 설정할 수 있습니다. 키 버전의 상태는 활성화 또는 비활성화 두 가지입니다. 가장 최신 버전의 키는 항상 활성화 상태여야 하므로 버전 상태를 설정할 수 없습니다. 비활성화된 버전은 더 이상 복호화에 사용할 수 없습니다. 앞서 설명한 대로, 복호화 용도의 키는 최대 5년까지만 사용하는 것이 좋다는 권고 사항을 따르려면 버전을 비활성화하면 됩니다. 따라서 키가 회전되어 새로운 버전이 생성되면, 이전에 사용하던 키는 비활성화하는 것이 좋습니다.