콘텐츠로 바로가기
HY_TECH_BASE

Data at Rest & In Transit

스토리지에 저장된 정적 데이터와 네트워크를 통해 흐르는 동적 데이터를 암호화하여 물리적 탈취로부터 보호하는 전방위적 데이터 보안 물리학을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts7 min read

1. Overview

저장 및 전송 데이터 보안(Data at Rest & In Transit, DRI)은 하드웨어 디스크가 통째로 도난당하거나 광섬유 케이블이 도청되어도 그 안의 논리는 영원히 비밀로 유지하는 '데이터 불투명성 공학'이자, 정보의 모든 상태를 수리적으로 보호하는 '전생애 보안 물리학'입니다.

학습자는 DB나 스토리지에 잠들어 있는 데이터를 지키는 **저장 데이터 암호화(At Rest)**의 물리적 배치와, 인터넷을 날아다니는 데이터를 가두는 **전송 데이터 암호화(In Transit, TLS)**의 수리적 수순을 배웁니다. 특히, 암호화보다 더 중요한 '암호 키'를 어디에 숨기고 어떻게 꺼내 쓸 것인지 결정하는 **KMS(Key Management Service)**의 물리학을 익힙니다. 이를 통해 서비스의 모든 데이터 파이프라인에서 보안 구멍이 단 1비트도 존재하지 않도록 설계하는 하이엔드 데이터 거버넌스 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • Encryption at Rest: TDE(Transparent Data Encryption), 디스크 전체 암호화(Luks 등) 물리 수순
  • Encryption in Transit: SSL/TLS 1.3 프로토콜을 통한 물리적 채널 보호
  • Key Management (KMS): 하드웨어 보안 모듈(HSM) 및 클라우드 키 수리 관리
  • Envelope Encryption: 데이터를 암호화한 키를 다시 암호화하는 이중 물리 방벽
  • Performance Overhead: 암호 연산이 하드웨어 I/O 및 네트워크 지연(LatencyLatency)에 미치는 수리적 영향

Out-of-Scope

  • 특정 암호 알고리즘(AES, RSA)의 수학적 구현 상세 (10-01-01 SAA 영역에서 분담)
  • 데이터의 물리적 백업 및 가용성 확보 기술 (03-04-XX 스토리지 영역으로 위임)

Boundaries

  • DRI vs. SAA: SAA(10-01-01)가 '암호화라는 도구 자체의 강도'에 집중한다면, DRI는 그 도구를 '저장소나 네트워크라는 물리적 환경'에 어떻게 최적으로 배치하여 운영할 것인가에 집중하여 구분합니다.

3. Counterexample

  • 단순히 "HTTPS 적용하기"라 설명하는 것은 DRI 학습이 아닙니다. 왜 전송 중 암호화만 하고 저장 데이터 암호화를 누락했을 때 클라우드 사업자의 물리적 디스크 스냅샷 유출 사고에 속수무책으로 당하게 되는지 수리적으로 증명할 수 있어야 하며, KMS를 쓰면서 '마스터 키'를 서버 소스 코드 옆에 일반 텍스트로 보관하는 물리적 모순이 왜 전체 보안 체계를 수치적으로 0으로 수렴시키는지 논증하지 못한다면 DRI의 실체를 이해하지 못한 것입니다.

4. Prerequisites

  • Symmetric & Asymmetric Algorithms (Basic): 10-01-01의 암호화 기본 개념 이해가 필수입니다.
  • Networking & Communication (Basic): 08-01-XX의 패킷 전송 및 OSI 계층 구조 이해가 필수입니다.

5. Learning Map

  1. Static Fortress: 하드디스크가 물리적으로 해체되어도 정보를 읽을 수 없도록 저장된 데이터를 얼립니다.
  2. The Encapsulated River: 광활한 인터넷을 지날 때 데이터를 암호화라는 튼튼한 캡슐(TLS)에 담아 쏩니다.
  3. Guardians of the Keys: 데이터를 잠근 열쇠를 전문적으로 지키는 물리 금고(HSM/KMS)를 구축합니다.
  4. End-to-End Visibility: 데이터가 태어나서(저장) 이동하고 사라질 때까지 단 한 순간도 평문으로 노출되지 않는 하이엔드 방어선을 완성합니다.

6. Learning Topics

Basic

Core: 저장 데이터 암호화의 유형 (At-Rest Physics)

  • Why to Learn: 서버가 해킹당하거나 물리적 하드웨어를 분실했을 때 고객 정보를 보호하기 위해서입니다.
  • What to Learn:
    • Full Disk Encryption (FDE): OS 레벨에서 하드웨어 전체를 잠그는 물리 기제
    • Transparent Data Encryption (TDE): DB 엔진이 자동으로 수행하는 수리적 암호화
    • Application Level Encryption (ALE): 특정 필드(주민번호 등)만 골라 코드로 직접 암호화하는 법
  • How to Learn:
    • AWS S3나 Azure Storage의 암호화 옵션을 꺼보고, 내려받은 파일이 일반 텍스트로 보이는지 물리 확인 실습
    • 암호화 적용 전후의 디스크 쓰기 속도(MB/sMB/s) 변화를 측정하여 하드웨어 오버헤드 수치 분석
  • Implement: 로컬 파일 시스템을 AES로 암호화하여 저장하고 읽어오는 기초 StationaryVault

Core: TLS 통신과 전송 데이터 보호 (In-Transit Mechanics)

  • Why to Learn: 카페의 공용 와이파이에서 내 아이디와 패스워드가 전파로 물리 탈취되는 것을 막기 위함입니다.
  • What to Learn:
    • TLS 1.2 vs 1.3: Round-trip 감소와 취약한 암호 스택 제거의 수리적 진화
    • Cipher Suites: 암호화 알고리즘들의 조합이 하드웨어 통신 대역폭에 미치는 영향
    • HSTS: 브라우저가 항상 암호화된 채널로만 물리 접근하도록 강제하는 수순
  • How to Learn:
    • Wireshark로 HTTPS 통신을 캡처하고, 메시지 내용이 수리적 난수로 보여 읽을 수 없음을 직접 확인하는 실습
    • 만료된 TLS 버전을 허용했을 때 'BEAST'나 'POODLE' 같은 물리적 공격에 노출되는 경로 연구
  • Implement: 안전한 TLS 설정(TLS 1.3 only, Secure Ciphers)이 가미된 HardenedHTTPSClient

Practical

Core: 키 관리 서비스와 봉투 암호화 (KMS & Envelope Encryption)

  • Why to Learn: 수조 개의 파일을 암호화할 때, 각각의 열쇠를 관리하는 물리적 한계를 극복하기 위함입니다.
  • What to Learn:
    • DEK vs KEK: 데이터 암호화 키와 이를 다시 암호화하는 마스터 키의 수리적 계층
    • Automatic Key Rotation: 사람이 개입하지 않고 키를 수리적으로 순환(Rotate)시키는 주기 설계
    • Hardware Security Module (HSM): 키가 절대로 하드웨어 밖으로 나가지 못하게 하는 물리적 감옥
  • How to Learn:
    • AWS KMS를 사용하여 '암호화된 데이터 키'를 생성하고, 이를 이용해 로컬 데이터를 암호화하는 하이브리드 수순 실습
    • 마스터 키 권한을 회수했을 때, 운영 중인 모든 데이터에 대한 물리적 접근이 즉각 차단되는 가용성 실험
  • Implement: KMS API를 연동하여 '키 생성 - 데이터 암호화 - 키 파기' 생애주기를 관리하는 KeyManager

Advanced

Core: 비밀 관리 및 무지식 증명 (Zero-Trust Data)

  • Why to Learn: 관리자조차 사용자의 데이터를 평문으로 볼 수 없게 하여 물리적인 내부 유출 가능성을 원천 배제하기 위함입니다.
  • What to Learn:
    • Secret Management: 애플리케이션 설정 파일에서 패스워드를 지우고 메모리로 즉시 주입(Injection)하는 물리 기술
    • Zero-knowledge Proofs: 원본 데이터를 물리적으로 전달하지 않고도 "그 데이터를 알고 있음"을 수리적으로 증명하는 법
    • Differential Privacy: 데이터를 익명화하면서도 통계적 수치 가치는 유지하는 하이엔드 수학 암호
  • How to Learn:
    • HashiCorp Vault를 구축하고, 동적 생성된 DB 자격 증명을 통해 애플리케이션이 하드웨어에 접속하는 과정 구현 실습
    • 사용자 정보를 마스킹(MaskingMasking) 처리했을 때의 데이터 효용성과 보안성 점수 연산 연구
  • Implement: 설정 파일에서 민감 정보를 분리하여 Vault로 격리하는 인프라 구조 SecretShield

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
Encryption at Rest 서버나 스토리지의 물리적 매체에 저장된 상태의 데이터를 암호화하여 보호하는 물리 수순입니다. 기본 저장 보안 Disk / TDE In-Transit 백업 파일도 암호화 대상 P3:CyBOK core
TLS 전송 계층에서 통신 보안을 제공하기 위해 설계된 전 세계 표준 무선/유선 암호 규약입니다. 기본 전송 보안 Handshake / SSL HTTPS SSL은 구버전을 의미함 Industry core
KMS 암호 키의 발급, 저장, 폐기 등 전체 생애 주기를 수리적으로 제어하는 중앙 집중식 관리 시스템입니다. 추천 거버넌스 HSM / Master Key Vault 키 저장소 이상의 제어 기능 P5:SFIA core
Envelope Encryption 데이터 암호화용 키(DEK)를 상위 키(KEK)로 다시 암호화하여 물리적 키 관리를 용이하게 하는 기법입니다. 실무 계층 보안 DEK / KEK Wrap 봉투(Envelope) 같은 물리 구조 Industry core

8. References

Primary

Secondary

  • [Defending Database Servers] — Practical At-Rest security.
  • [High Performance Browser Networking] Ilya Grigorik — TLS performance physics.

Industry

  • [PCI DSS Requirement 3: Protect Stored Cardholder Data] — Compliance standard.
  • [OWASP: Transport Layer Protection Cheat Sheet] — Practical In-Transit guide.

9. Final Checklist

Primary

  • '저장 데이터 암호화'가 하드웨어 도난 시나리오에서 어떻게 '기밀성'을 수리적으로 수호하는지 설명 가능한가? (P3)
  • 'TLS 1.3'이 이전 버전인 1.2보다 핸드쉐이크 단계에서 물리적으로 왜 더 빠른지 수치적으로 기술할 수 있는 가? (P2)

Secondary

  • 'KMS'의 마스터 키 유출 시 발생하는 물리적 전체 붕괴 과정을 'Blast Radius' 관점에서 소통 가능한가?
  • Envelope Encryption 방식이 대량의 파일 암호화에서 하드웨어 HSM 부하를 어떻게 수리적으로 경감시키는지 논증할 수 있는 가?

Industry

  • 실무 서비스에서 '클라이언트 인증서'를 활용한 하드웨어 기기 수준의 전송 보안 강화 방안을 제안할 수 있는 가? (SFIA)
  • HashiCorp Vault를 활용해 '정적 패스워드'를 '동적 수명 자격 증명'으로 물리적으로 전환하는 절차를 분석할 수 있는 가?

Concepts & Tags

#data-security#encryption-at-rest#encryption-in-transit#tls#disk-encryption#kms#confidentiality