Key4C Kubernetes Resource Security Service

Key4C Kubernetes Resource Security Service는 쿠버네티스 환경에서 핵심 리소스인 Secret의 보안을 강화해주는 클라우드 HSM 기반 키 관리 서비스입니다. 기본적으로 Secret은 Base64 인코딩 방식으로 etcd에 저장되기 때문에 누구나 디코딩이 가능하며, 민감 정보 유출 위험이 존재합니다. 이를 보완하기 위해 사용하는 DEK 역시 별도의 보호 없이 평문으로 관리되면 또 다른 보안 취약점이 발생합니다. 일부 환경에서는 외부 KMS를 사용하여 보안을 강화하지만, 이 또한 인증·전송·보관 과정에서의 구조적 취약점이 존재할 수 있습니다. Key4C는 HSM 기반으로 생성된 상위 키(KEK)를 통해 DEK를 암호화하고, 인증 기반 안전 채널로 통신함으로써 DEK의 유출을 원천적으로 차단하여 Secret 보안을 강화합니다. 웹 콘솔과 Agent만으로 간편하게 연동할 수 있으며, ISMS-P 및 CSAP 등 국내외 보안 인증에서 요구하는 암호화 키 관리 관련 요건에 충족하여 인증 획득 및 규제 대응에 용이합니다.

지금 바로, Secret을 안전하게 보호하여 안전한 쿠버네티스의 환경을 구축해보세요.

1. 서비스 개요

쿠버네티스 환경의 핵심 리소스 Secret ConfigMap, 안전하게 보호되고 있나요? 민감 정보(인증서, 비밀번호, 토큰, API 키)를 담은 Secret ConfigMap은 쿠버네티스의 기본 저장 방식으로는 안전하게 보호할 수 없습니다.

  • Base64 인코딩으로 저장되는 Secret --> 기본 난독화 수준, 보안 취약

  • K8S KMS Plugin 사용 시, Secret 보호용 DEK를 감싸는 KEK의 보안성 확보 필요 --> KEK 탈취 시 Secret 보안 무력화 가능

KEK는 탈취 불가한 방식으로 안전하게 저장해야 하며, KEK를 통해 DEK를 전달받을 때 안전한 채널 구성 필수

2. 서비스 소개

1

클라우드 환경에 최적화된 간편 도입

클라우드 환경에서 SaaS 형태로 서비스를 제공하여 보안 업데이트 및 유지보수 부담이 줄고, 쉽고 빠른 도입이 가능합니다.

2

안전한 채널로 DEK 암복호화 통신

Agent(Plugin)을 통해 인증된 요청만 암복호화 수행. HSM에서 발급한 안전한 인증서로 Agent와 Key4C 서비스 사이에 안전한 통신 채널 보장

3

HSM 기반 키로 Secret 보호

데이터 암호화를 위해 생성한 DEK 키를 HSM에서 생성한 KEK로 안전하게 암호화합니다. KEK는 외부로 노출되지 않아, DEK 탈취 시에도 복호화 불가

4

ISMS-P, CSAP 등 보안 인증 요건 충족

규제 대상 분야 기업에서 쿠버네티스 환경 사용하는 경우 암호화 키 관리, 키 분리 보관, 복호화 요청에 대한 검증 등 엄격한 암호화 및 키 관리에 대한 규정과 요건 준수 필요

ISMS-P / CSAP 인증 획득을 준비하고 계신가요? HSM 기반의 암호키 생성·보관·폐기 절차를 지원하여 인증에서 요구하는 암호정책 수립과 안전한 암호키 관리 요건을 충족할 수 있도록 설계되었습니다. 직접 키를 생성·보관하지 않아도 높은 수준의 키 관리 체계를 갖춘 인증 시스템을 구축할 수 있습니다

ISMS-P 인증(2.7.2 암호키 관리) / CSAP 인증(12.3.2 암호키 관리)

3. 서비스 도입 전·후 비교

쿠버네티스의 유용함과 편리함 속에 감춰진 보안 위험을 해결해야 합니다. 키 관리와 암호화 체계를 통해 보안의 빈틈을 채우고, 쿠버네티스를 더욱 안전하게 사용하세요.

3-1. 서비스 도입

  • 기본 Base64 인코딩 형식으로 etcd에 저장 > 디코딩으로 평문 노출

  • DEK 또는 KEK를 로컬에 저장 > 암호화 키 탈취하여 복호화

  • KEK TLS 및 인증 미적용 > 중간자 공격 및 위·변조 위험

  • 보안 인증 요건 충족 어려움 > 보안 인증 및 규제 대응 불가

3-2. 서비스 도입

  • DEK로 암호화 후 etcd 저장 > 평문 노출 방지, Secret 보안 강화

  • HSM 내 KEK 생성 및 저장 > 키 유출 원천 차단 및 보안성 강화

  • HSM 인증서 기반 안전 통신 채널 구축 > 중간자 공격 방지

  • HSM 내 키 분리보관 > 안전한 키 관리, 요건 충족

  • 안전하게 저장된 KEK를 통한 DEK 사용 > DEK 노출 최소화

4. 주요 기능 소개

4-1. 키 생성

웹 콘솔 GUI를 통해, 키 생성부터 관리까지 쉽고 빠르게 진행하실 수 있습니다.

키 유출 걱정 없는, HSM 기반 DEK 암호화 키(KEK) 생성

  • 암호화 키(DEK)를 암·복호화 하는데 사용되는 상위 키(KEK)를 웹 콘솔을 통해 직접 쉽고 빠르게 생성하고 중앙에서 안전하게 관리 할 수 있습니다.

  • KEK는 HSM 내부에서 생성되어 외부 위험이 없고, 생성된 키는 DEK를 암복호화 시 사용됩니다.

  • DEK는AES-GCM 방식으로 암호화하여 저장합니다.

  • DEK는HSM 내에서 자동으로 생성하거나 수동으로 생성할 수 있습니다. 외부 키를 가져와서 결합(Combine)할 수 있고, KCV 체크를 통해 키 유효성을 검증합니다.

4-2. 안전한 DEK 사용

간단한 Agent 연동으로, DEK 사용 최소화 및 보안성 극대화합니다.

인증서 기반 안전 통신

  • HSM에서 발급된 인증서를 기반으로 Agent와 Key4C 간 상호 인증을 수행하여 안전 통신 채널을 자동으로 구축합니다.

  • 요청자를 검증하고 인증된 요청만 수행하기 때문에 중간자 공격 및 위·변조를 원천 차단합니다. DEK는 외부에 노출되지 않습니다.

  • DEK의 암호화, 복호화 연산은 HSM 내부에서 안전하게 수행되며, Agent에 결과값을 안전하게 전달합니다.

  • API Server는 암호화된 Secret만 etcd에 저장하고, Secret 요청 시 안전하게 복호화하여 Worker Node로 전달합니다.

DEK 보안을 강화하는 KEK

  • KEK 키는 HSM 내부에서 생성되고 저장되어 외부 유출이 원천적으로 차단됩니다.

  • 모든 암호화, 복호화 연산은 HSM 내부에서 처리되기 때문에 KEK 키가 메모리나 디스크에 남지 않습니다.

  • 필요 시 암호화된 DEK를 복호화 하여 사용합니다.

  • DEK는 KEK로 암호화된 상태로만 etcd에 저장되며, 암호화된 DEK가 유출되더라도 복호화가 불가능하여 무의미합니다.

  • ISMS-P, CSAP 등 국내외 인증 요건에 충족하여 인증 획득에 용이합니다.

5. 서비스 사용 흐름도

5.1 Secret 저장 시

5.2 Secret 사용 시