AWS에서는 데이터 암호화를 위한 다양한 키 관리 옵션을 제공한다. 그 중에서도 대표적인 서비스가 KMS (Key Management Service)와 CloudHSM이다. 이 두 서비스는 모두 하드웨어 보안 모듈(HSM, Hardware Security Module)을 기반으로 하며, 보안 수준은 높지만 운영 방식과 사용 목적이 크게 다르다.
1. KMS란?
KMS는 AWS가 제공하는 완전관리형 키 관리 서비스이다. 사용자는 AWS 콘솔이나 API를 통해 손쉽게 키를 생성하고, 해당 키를 이용해 데이터를 암호화하거나 복호화할 수 있다. 내부적으로는 HSM을 사용해 키를 안전하게 저장하고 있지만, 고객은 해당 HSM이나 키 저장 위치에 직접 접근할 수 없다.
KMS는 S3, RDS, EBS, Lambda 등 AWS 주요 서비스와 통합되어 있어 사용이 간편하고, 암호화/복호화 요청을 API로 호출하는 방식으로 동작한다. 주로 일반적인 보안 요건을 충족하면서 운영의 복잡도를 낮추고 싶은 경우에 적합하다.
2. CloudHSM이란?
CloudHSM은 AWS가 제공하는 전용 HSM 장비를 고객이 직접 운영할 수 있도록 해주는 서비스이다. 고객은 이 HSM에 직접 키를 생성하거나 외부 키를 업로드(BYOK)할 수 있고, OpenSSL, PKCS#11, Java JCE 등의 인터페이스를 통해 HSM과 통신하고 암호 연산을 수행할 수 있다.
CloudHSM은 AWS도 접근할 수 없으며, 키에 대한 완전한 제어권이 고객에게 있다. 따라서 FIPS 140-2 Level 3 같은 고급 보안 인증을 요구하는 환경이나, 전자서명·인증기관(CA) 구축, 특수한 암호 알고리즘 구현이 필요한 경우에 사용된다.
3. 선택 기준
- KMS를 선택할 경우
- AWS 서비스와 간편하게 통합하고 싶을 때
- 운영 부담을 줄이고 싶을 때
- 일반적인 보안 수준이면 충분할 때
- CloudHSM을 선택할 경우
- 법적·규제 요건이 까다로운 환경
- FIPS 140-2 Level 3 인증이 필요한 경우
- 인증기관, 전자서명, 커스텀 암호 알고리즘이 필요한 경우
- 키에 대한 완전한 제어가 필요한 경우
두 서비스 모두 HSM을 기반으로 하지만 운영 방식과 제어 수준은 크게 다르다. KMS는 추상화된 방식으로 쉽게 사용할 수 있는 보편적 솔루션이며, CloudHSM은 고객이 완전히 제어하는 고보안 특화 서비스이다. 시스템 요구사항과 보안 규정을 고려하여 적절한 서비스를 선택하는 것이 중요하다.
'AWS' 카테고리의 다른 글
| Auto Scaling 그룹의 EC2 인스턴스에서 유지 보수 작업할 때 권장되는 처리 방식 (0) | 2025.05.25 |
|---|---|
| Amazon MQ란? SNS, SQS와의 차이와 선택 기준 정리 (0) | 2025.05.24 |
| VPC 내부 EC2 인스턴스 간 통신 구조와 보안 설정 이해하기 (0) | 2025.05.22 |
| AWS KMS와 S3 서버 측 암호화 방식 정리 (0) | 2025.05.21 |
| S3 객체 소유권과 액세스 제어 (0) | 2025.05.20 |