규제 감독이 강화되는 시대에 기업은 암호화 인프라가 적절한 보안 및 규정 준수 기준을 충족하는지 확인해야 합니다. 미국의 주요 표준 중 하나는 연방 기관 및 계약업체에서 사용하는 암호화 모듈에 대한 요구 사항을 정의하는 연방 정보 처리 표준인 'FIPS 140-3'입니다. 시크릿 관리 및 데이터 보호 분야의 리더인 HashiCorp Vault가 이제 버전 1.19.4에서 FIPS 140-3 레벨 1을 지원합니다. 이러한 향상된 기능을 통해 기업은 최신 규정 준수 요건을 충족하는 동시에 보안 태세를 현대화할 수 있습니다.

☑️ FIPS 140-3이란 무엇입니까?

FIPS 140-3은 미국 국립표준기술원(NIST)에서 개발한 암호화 모듈 보안 검증을 위한 최신 미국 정부 표준으로, FIPS 140-2를 대체합니다. 140 시리즈는 연방 기관 및 의료 , 금융 , 국방 등 규제 대상 산업을 위한 표준입니다 . 이 표준은 민감한 데이터를 보호하는 데 사용되는 암호화 모듈이 엄격한 보안 요건을 충족하도록 보장합니다. FIPS 140-3은 표준의 현대화와 국제적 공조 강화를 위한 한 걸음입니다. ISO/IEC 19790:2012를 기반으로 하며, 미국 표준을 국제적 관행에 부합하도록 합니다.

☑️ 주요 차이점: FIPS 140-2 대 FIPS 140-3

FIPS 140-2와 140-3은 근본적으로 동일한 목적을 가지고 있지만 보안 기대치의 발전을 강조하는 몇 가지 중요한 차이점이 있습니다.

• · 국제 표준 준수: FIPS 140-3은 ISO/IEC 19790과 일치하여 여러 관할권에서 운영되는 조직이 국제 규정 준수 요구 사항을 충족하기가 더 쉬워졌습니다.
• · 강화된 테스트 및 검증: 140-3은 물리적 보안, 사이드 채널 저항성, 오류 주입에 대한 보다 엄격한 테스트를 도입하여 암호화 모듈이 최신 공격 벡터에 대한 회복력을 갖도록 보장합니다.
• · 더욱 명확한 정의와 용어: 업데이트된 언어와 구조 덕분에 FIPS 140-3을 이해하고 구현하기가 더 쉬워졌습니다. 특히 보안 모듈을 만드는 공급업체와 개발자에게는 더욱 그렇습니다.
• · 수명 주기 관리 요구 사항: FIPS 140-3은 모듈의 개발, 유지 관리 및 폐기 방법에 더 많은 중점을 두어 장기적 보안 관행을 개선하도록 장려합니다.

☑️ FIPS 140-3에 대한 Vault의 지원

HashiCorp Vault는 오랫동안 FIPS 140-2를 지원해 왔습니다. 이제 Vault는 FIPS 140-3 레벨 1까지 지원 범위를 확대하여 조직이 변화하는 규정 준수 기준을 충족할 수 있도록 합니다. FIPS 모드에서 Vault는 시크릿 관리, 데이터 암호화 또는 사용자 인증 등 모든 암호화 작업에 대해 FIPS 140-3 요구 사항을 준수하는 검증된 암호화 라이브러리를 사용합니다. 이러한 지원은 특히 연방기관, 정부계약자, 규제 산업의 기업, FedRAMP, HIPAA, PCI-DSS 또는 이와 유사한 규정 준수 체제에 따라 운영되는 조직과 같은 경우에 유용합니다.

☑️ Vault를 통한 FIPS 140-3 준수의 이점

• · 강화된 보안 보증: FIPS 140-3의 향상된 검증 프로세스를 통해 Vault의 암호화 구성 요소가 물리적 변조, 사이드 채널 공격 및 기타 정교한 위협에 대한 더 엄격한 표준을 충족합니다.
• · 간소화된 규정 준수: 연방 또는 업계별 규정을 준수해야 하는 조직은 Vault가 NIST에서 요구하는 최신 암호화 표준을 충족한다는 사실을 알고 안심하고 사용할 수 있습니다.
• · 국제적 준비성: ISO/IEC 19790, FIPS 140-3에 부합하므로 Vault는 특히 ISO 표준 준수를 인정하거나 요구하는 관할권에서 글로벌 배포에 더욱 적합합니다.
• · 장기 지원: FIPS 140-2가 단계적으로 폐지됨에 따라 지금 140-3 호환 솔루션을 도입하면 향후 규제 감사 및 조달 요구 사항에 대비할 수 있습니다.

☑️ 규제 요구 사항: 알아야 할 사항

FIPS 140-3으로의 전환은 단순한 제안이 아니라, NIST와 CMVP(암호화 모듈 검증 프로그램)가 관리하는 규제된 전환입니다. 조직에서 알아야 할 사항은 다음과 같습니다.

주요 전환 날짜 및 정책

• · FIPS 140-3은 2019년 3월에 140-2의 공식 후속 버전으로 승인되었습니다.
• · 2021년 9월 22일, NIST는 새로운 FIPS 140-2 제출을 중단했습니다. 모든 신규 암호화 모듈은 FIPS 140-3을 준수해야 합니다.
• · 기존 FIPS 140-2 인증서는 만료일까지 유효합니다.
• · 공급업체는 정부 환경에서 사용할 새 암호화 제품이나 업데이트된 암호화 제품에 대해 FIPS 140-3 검증을 받아야 합니다.

누가 영향을 받나요?

• · 연방 기관 : 법률(FISMA)에 따라 검증된 암호화 모듈을 사용해야 하며, 새로운 시스템은 FIPS 140-3을 사용해야 합니다.
• · 계약자 및 공급업체 : 앞으로도 정부 기관에 제공하는 제품과 서비스가 FIPS 140-3 표준을 충족하는지 확인해야 합니다.
• · 규제 산업 : FIPS 140-3을 즉시 사용해야 하는 법적 요구 사항은 아니지만 감사원과 고객의 기대치가 높아질 가능성이 높습니다.

조직에서는 무엇을 해야 할까?

• · FIPS 140-2 모듈을 사용하여 기존 시스템을 평가하고 만료 일정을 결정합니다.
• · FIPS 140-2 인증이 만료되기 전에 FIPS 140-3 검증 모듈로의 마이그레이션을 계획합니다 .
• · 나중에 재작업이나 불이행을 방지하기 위해 새로운 조달 항목에 FIPS 140-3 규정 준수 사항이 명시되어 있는지 확인하세요.

Vault는 FIPS 140-3을 지원하므로 이러한 전환이 간소화되고 조직은 보안 스택을 재설계하지 않고도 규정을 준수하는 플랫폼을 도입할 수 있습니다.

☑️ 마지막 생각

FIPS 140-2에서 FIPS 140-3으로의 전환은 암호화 보안 표준에 있어 중요한 발전을 의미합니다. 이는 보안 수준을 높이고, 국제적인 모범 사례를 준수하며, 오늘날의 위협 환경의 현실을 반영합니다.

Vault는 FIPS 140-3을 지원하여 조직이 멀티/하이브리드 클라우드 환경에서 기밀 정보를 중앙 집중화하고 안전하게 보호하는 동시에 현재 및 미래의 규정을 준수할 수 있도록 지원합니다. 연방 기관, 계약업체 또는 엄격한 규정 준수가 필요한 기업 등 어떤 조직이든 Vault는 기밀 정보를 안전하고 확실하게, 그리고 완벽한 가시성을 바탕으로 관리할 수 있도록 지원합니다.

▶ 하시코프 볼트(HashiCorp Vault) : 자세히보기

HashiCorp Vault는 인증과 인가를 기반으로 민감한 정보를 안전하게 관리하는 ID 기반의 시크릿 및 암호화 관리 시스템입니다. 토큰, API 키, 비밀번호, 암호화 키, 인증서 등 민감 정보를 통합된 인터페이스에서 일관되게 관리할 수 있으며, 접근 제어와 감사 로그 기능을 통해 보안을 강화합니다. 시크릿은 플랫폼별로 분산되어 관리되기 쉬우며, 누가 어떤 정보에 접근하는지 파악하기 어렵고, 키 순환이나 안전한 저장, 상세한 로깅 등의 기능을 자체적으로 구현하기는 쉽지 않습니다. Vault는 이러한 문제를 해결하기 위해 사용자, 애플리케이션, 시스템 등의 클라이언트를 검증하고 인가한 후에만 민감한 데이터에 접근할 수 있도록 지원합니다.

클라우드네트웍스는 전담팀을 통해 테라폼, 볼트를 포함한 하시코프 제품군의 구축 및 기술지원 서비스를 제공합니다. 하시코프에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다.