보안의 가장 큰 이슈

  • Post Author:
  • Post Category:칼럼
  • Post Comments:0 Comments
  • Post last modified:January 20, 2017

Hashicorp의 Vault 도입을 2, 3년부터 관련 이슈가 있을 때마다 검토했는데 결국 기술보다는 실제 서비스를 관리하는 주체인 사람과 정책 그리고 시스템이 문제였다.

하지만 더 현실적으로 생각해 보자. 이런 작업을 한두 번 해보는 게 아니지 않은가! 5명이 이 키를 나누어 가진 뒤 어떻게 보관하게 할 것이냐 하는 문제를 제쳐놓고 지금까지의 경험으로 보건대 초기화를 하고 이 5개의 키를 한꺼번에 관리할 가능성이 훨씬 크다. 탈취당하는 경우보다 운영하면서 unseal 하는 경우가 많을 텐데 어떻게 이 5명 중 3번을 매번 찾겠는가.

그래서 Vault는 초기화를 PGP로 암호화하는 방법을 제공하고 있고 사용상의 편의를 위해서 keybase.io를 직접 이용할 수 있도록 해놓았다. 다음과 같이 -pgp-keys로 keybase의 계정명을 제공하면 이 공개키로 초기화를 하게 되고 unseal을 할 때는 이 사람들의 비밀키를 제공하면 unseal을 할 수 있다.

출처HashiCorp의 비밀정보 관리 도구 Vault의 구성

키 관리 이슈에 국한해서 생각해보더라도 keybase.io와 PGP를 이용하면 상황은 조금 개선될 뿐이다. PGP를 무엇인지 아는 사람이 적고 PGP가 뭔지 잘 알더라도 불편함을 감수하고 이를 실생활에서 계속  쓰려는 사람도 적다. 게다가 vault에서 credentials을 제공받도록 서비스의 모든 구성요소를 수정하자고 설득하는 것도 보통 일이 아니다.

모든 불편함과 자원 소모를 고려하더라도 보안이 압도적으로 중요한 이슈임을 합의하고 정책으로 이를 뒷받침할 때에야 의미 있는 결과를 성취해내지 싶다.

Kubernetes, DevSecOps, AWS, 클라우드 보안, 클라우드 비용관리, SaaS 의 활용과 내재화 등 소프트웨어 개발 전반에 도움이 필요하다면 도움을 요청하세요. 지인이라면 가볍게 도와드리겠습니다. 전문적인 도움이 필요하다면 저의 현업에 방해가 되지 않는 선에서 협의가능합니다.
follow me
  • RT @not_unot_u: 네 번째 올리신 청원글이에요. 너무 고생하고 계시는데 동의 한 번 씩 부탁드립니다. 거의 다 왔습니다! 7월 11일 마감인데 이제 2만명만 채우면 청와대 답변 받을 수 있어요. https://t.co/3mVDM3jsrP
    15 hours ago
  • 그런데 전화를 받은 윤석열 검찰총장이 박 장관에게 ‘(조국 후보자가) 이제 그만 물러나라는 뜻으로 제가 (압수수색을) 지시했습니다’ 이렇게 말했다는 거지. 윤석열을 대통령으로 뽑은 기억은 없는데 희안하구만 https://t.co/yEEQXfey4g
    20 hours ago
  • 훌륭한 시스템을 체험하지 못한 사람이 시스템의 부재로 야기되는 문제를 인식할 수 있을까? “난 잘하고 있는데 왜 너는 자꾸 불평하느냐?”라고 생각하지 않을까?
    2 days ago
Buy me a coffeeBuy me a coffee
×
Kubernetes, DevSecOps, AWS, 클라우드 보안, 클라우드 비용관리, SaaS 의 활용과 내재화 등 소프트웨어 개발 전반에 도움이 필요하다면 도움을 요청하세요. 지인이라면 가볍게 도와드리겠습니다. 전문적인 도움이 필요하다면 저의 현업에 방해가 되지 않는 선에서 협의가능합니다.
Latest Posts