기업들이 점점 더 온프레미스에서 하이브리드 데이터 플랫폼으로 전환함에 따라 엄격한 보안 프로토콜의 중요성은 아무리 강조해도 지나치지 않습니다. 국내에서는 많이 안알려져있지만, 미정부의 표준으로 사용되고 있는 FIPS 140-2에 대해서 공유하고자 합니다.

< FIPS 140-2란 무엇인가요? >

• FIPS 140-2

  • 연방 정보 처리 표준 간행물 140-2는 민감한 정보를 보호하는 암호화 모듈의 보안 요구사항을 명시하는 미국 정부 표준

  • 미국 국립표준기술연구소(NIST)에서 발행한 FIPS 140-2는 IT 시스템에 사용되는 암호화 모듈의 설계, 구현 및 평가에 대한 엄격한 지침

• 주요 내용

  • 암호화 알고리즘: 안전하고 승인된 알고리즘의 사용 보장. 예를 들어 MD5와 같은 약한 암호화 알고리즘의 사용은 미지원

  • 키 관리: 암호화 키의 생성, 저장 및 파기 처리. 예를 들어, 더 약한 비대칭 키 길이(예: 1024비트 미만의 키 길이를 사용하는 RSA 디지털 서명 작업)의 사용은 미지원

  • 물리적 보안: 물리적 변조 및 무단 액세스로부터 보호

  • 운영 환경: 안전하고 통제된 운영 환경 유지.

< FIPS 140-2 규정 준수와 검증의 차이점 >

• FIPS 140-2 규정 준수

  • 관련 FIPS 표준에 명시된 지침 및 요구사항을 준수

  • FIPS 140-2 표준만 준수하고 제품의 다른 구성 요소는 FIPS 검증을 받았을 수 있지만 제품 전체가 테스트를 통과하지 못했거나 테스트 또는 인증을 전혀 받지 않았음을 의미

  • FIPS 140-2 준수 여부는 해당 제품을 담당하는 조직에서 자체적으로 선언하며, 일반적으로 FIPS 요건을 충족하는 방법을 자세히 설명하는 문서 첨부

• FIPS 140-2 검증

  • 요구 사항 및 인증에 따른 보다 엄격하고 공식적인 절차 포함

  • 암호화 모듈의 경우, FIPS 140-2 검증은 NIST에서 인증한 암호화 모듈 검증 프로그램(CMVP) 실험실에서 수행하는 제3자 평가

  • 검증 프로세스에는 모듈의 설계, 구현 및 보안 기능에 대한 상세한 검토와 광범위한 테스트 포함.

  • 평가를 통해 암호화 모듈이 관련 FIPS 표준에 명시된 보안 요구 사항을 충족하는지 확인

  • 제품은 독립적인 전문가들의 엄격한 평가를 통과해야만 엄격한 FIPS 보안 표준 준수를 보장하는 'FIPS 검증' 지위를 획득 가능

    
    

< FIPS 140-2 규정 준수 수준 >

FIPS 140-2 표준에는 레벨 1부터 레벨 4까지 4단계의 보안 레벨이 있으며, 각 레벨은 점점 더 높은 수준의 보안을 제공합니다.

• FIPS 140-2 보안 레벨 1

  • 가장 낮은 수준의 보안 제공

  • FIPS 승인 알고리즘 사용과 같은 기본적인 보안 요구 사항 나열

  • 이 수준의 모듈은 평가되지 않은 운영 체제 환경에서도 사용 가능

• FIPS 140-2 보안 레벨 2

  • 위변조 방지 기술 또는 모듈에 대한 무단 물리적 액세스를 더 어렵게 만들면서도 쉽게 감지할 수 있는 기술을 사용하여 모듈의 물리적 보안 강화

• FIPS 140-2 보안 레벨 3

  • 레벨 2의 모든 요건에 변조 방지 장치, 시스템에 출입하는 '중요한 보안 매개변수'가 있는 논리적 인터페이스와 물리적 인터페이스의 분리, ID 기반 인증 추가

• FIPS 140-2 보안 레벨 4

  • 가장 높은 수준의 보안 제공

  • 이 수준의 물리적 보안 메커니즘은 모든 무단 물리적 공격을 탐지하고 이에 대응하기 위한 완벽한 보호 범위 제공

• source: https://medium.com/engineering-cloudera/what-is-fips-140-2-and-why-does-it-matter-on-cdp-on-premises-14be19d940cb