키 버전 관리

Prev Next

Classic/VPC 환경에서 이용 가능합니다 .

키 버전 관리

암호화 키는 다양한 보안 위협에 대비하여 키 용도별로 권장되는 유효 사용 기한이 정의되어 있습니다. 일반적으로 암호문 생성 용도(암호화)에는 최대 2년, 복호화 용도에는 최대 5년까지 동일한 키를 사용하는 것이 권장됩니다. 암호학적 보안 위협을 최소화하기 위해서는 권장 사용 기한이 만료되기 전에 새로운 키로 갱신하는 것이 바람직합니다.

키 Tag로 식별되는 키 리소스는 실제 암호 키 비트 데이터인 '원시 키(Raw Key)' 가 버전 단위로 구분되어 구성되며, 최대 100개의 버전을 가질 수 있습니다. 키를 회전하여 새로운 버전으로 갱신하면 새로운 원시 키가 추가되며, 이는 키를 완전히 교체한 것과 동일한 보안 효과를 기대할 수 있습니다.

키 회전

kms-gov_ko_6

키 버전을 갱신하려면 키 회전(Rotation) 기능을 사용합니다. 최초 생성된 키의 버전은 1이며, 이후 회전이 수행될 때마다 버전이 증가하여 최대 100개의 버전을 유지할 수 있습니다. 키 회전이 100회 수행된 이후에는 해당 키에 대해 더 이상 회전을 수행할 수 없으므로, 새로운 키로 교체해야 합니다. 키 회전은 수행 방식에 따라 다음과 같이 구분됩니다.

  • 자동 회전: 설정된 회전 주기마다 자동으로 회전을 수행합니다.
  • 수동 회전: 사용자가 필요에 의해 수동으로 회전을 수행합니다. 수동 회전은 다음 자동 회전 스케줄에 영향을 주지 않습니다. 예를 들어 90일의 자동 회전 주기를 가진 키가 다음 회전일까지 10일이 남아있는 상태에서 수동 회전을 수행한다 하더라도 10일 후에는 예정대로 자동 회전이 실행됩니다.
주의
  • 자동 회전이 설정되지 않은 키는 수동 회전을 수행하지 않는 한 갱신되지 않습니다. 이 경우 장기간 동일한 키가 사용되어 보안상 취약해질 수 있으므로, 주기적인 키 갱신 및 관리는 사용자 책임 하에 수행되어야 합니다.
  • 키 회전 후에는 다음 사항에 유의해야 합니다.
    • 암호화는 항상 최신 버전의 키로만 수행할 수 있습니다. 키가 회전되어 버전이 갱신되면, 이전 버전의 키는 암호화에는 사용할 수 없으며 복호화에만 사용됩니다.
    • 키가 새로운 버전으로 갱신된 경우, 이전 버전의 키를 사용하던 데이터는 가능한 한 빠르게 최신 버전의 키로 재암호화하고, 이전 버전의 키는 비활성화하는 것을 권장합니다. 재암호화를 위한 API 사용 방법은 Re-encrypt를 참고하시기 바랍니다.
    • 복호화 시에는 암호문에 포함된 키 버전 정보를 정확히 사용해야 합니다. 암호문에 포함된 prefix (예: ncpkms:v1)를 임의로 변경할 경우, 복호화가 정상적으로 수행되지 않을 수 있습니다.

수동 회전

키에 대한 보안 위협이 발생했거나 갱신 기한이 경과한 경우 등, 사용자의 판단에 따라 수동 회전을 통해 키를 즉시 갱신할 수 있습니다. 수동으로 키를 회전하여 새로운 버전으로 갱신하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔에서 Menu > Services > Security > Key Management Service > Key 메뉴를 차례대로 클릭해 주십시오.
  2. 수동 회전할 키의 기본 정보 탭에서 [키 회전] 버튼을 클릭해 주십시오.
  3. 지금 회전 팝업 창이 나타나면 [확인] 버튼을 클릭해 주십시오.
  4. 현재 버전에서 갱신한 버전 정보를 확인해 주십시오.

자동 회전 설정

키가 일정 주기마다 새로운 버전으로 자동 갱신되도록 자동 회전을 설정하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔에서 Menu > Services > Security > Key Management Service > Key 메뉴를 차례대로 클릭해 주십시오.
  2. 자동 회전할 키의 기본 정보 탭에서 자동 회전을 클릭하여 설정을 변경 해 주십시오.
  3. 자동 회전 주기를 설정하기 위해 회전 주기(다음 회전일)[Edit] 버튼을 클릭해 주십시오.
    kms-gov_ko_7
  4. 회전 주기 변경 팝업 창이 나타나면 회전 주기를 입력해 주십시오.
    • 1~730일 사이로 입력(기본값: 90일)
    • 변경 즉시 다음 회전일 변경
  5. [확인] 버튼을 클릭해 주십시오.

버전 관리

kms-gov_ko_8

키의 상태와는 별도로, 키 버전 단위로도 상태를 관리할 수 있습니다. 키 버전의 상태는 활성화 또는 비활성화 두 가지로 구분됩니다. 가장 최신 버전의 키는 항상 활성화 상태를 유지해야 하므로, 해당 버전에 대해서는 버전 상태를 변경할 수 없습니다. 비활성화된 키 버전은 복호화 요청에 더 이상 사용할 수 없습니다. 앞서 설명한 바와 같이, 복호화 용도의 키는 최대 5년 이내로 사용하는 것이 권장되므로, 권장 사용 기한이 경과한 키 버전은 비활성화하여 관리할 수 있습니다. 따라서 키가 회전되어 새로운 버전이 생성된 경우에는, 이전에 사용하던 키 버전을 비활성화하는 것을 권장합니다.