[클라우드 보안 실무 #10] AWS KMS, 실전 암호화 시나리오 정리

AWS KMS는 다양한 암호화 요구사항을 충족할 수 있는 범용 도구입니다.
이번 글에서는 실무에서 자주 마주치는 암호화 시나리오 4가지를 정리하고, 각각에 어떤 방식으로 KMS를 활용하면 좋은지 구체적으로 살펴봅니다.

---

🔐 S3 객체 암호화 – 기본 중의 기본

가장 대표적인 시나리오입니다.
S3에 저장하는 파일(Object)을 서버 측에서 암호화(SSE: Server-Side Encryption)하는 방식이며, 크게 세 가지 유형으로 나뉩니다:

• SSE-S3: AWS가 관리하는 키(AES-256)
• SSE-KMS: 고객이 KMS에서 생성한 CMK(Key ID 또는 Alias)
• SSE-C: 고객이 직접 제공한 키(비추천)

SSE-KMS는 로깅 및 키 접근 제어(Policy, Grants)가 가능하다는 장점이 있어 규제가 적용되는 기업 환경에서 널리 사용됩니다.

---

🧾 DynamoDB 필드 단위 암호화

비정형 데이터가 많거나, 필드 단위로 민감 정보가 구분되는 경우에 적합한 시나리오입니다.
DynamoDB 자체는 암호화 옵션을 제공하지만, 필드 단위의 세밀한 제어는 KMS와 연동한 클라이언트 측 암호화(Client-Side Encryption)이 필요합니다.

AWS Encryption SDK를 활용하여 각 필드를 암호화하고, KMS는 데이터 키(Data Key)를 안전하게 생성하고 보호하는 역할을 담당합니다.

---

📦 EBS 볼륨 및 RDS 저장소 암호화

스토리지 계층에서 암호화를 일괄 적용하는 방식입니다.
EBS, RDS, Aurora 모두 KMS 키를 지정하여 디스크 수준의 암호화를 수행할 수 있습니다.

일반적으로 CMK를 하나 생성한 후, 이를 여러 리소스에 재사용함으로써 키 관리 부담을 줄이고 중앙 통제를 강화할 수 있습니다.

---

📨 데이터 송수신 시 암호화 – Envelope 방식

외부 시스템과 암호화된 데이터를 주고받는 경우, KMS의 Envelope Encryption이 효과적입니다.

1. KMS를 통해 데이터 키(Data Key)를 생성
2. 평문 키로 데이터를 암호화
3. 평문 키는 폐기하고, 암호화된 데이터 키와 암호문만 저장

이 방식은 암복호화 성능을 확보하면서도, 중앙 키 관리를 안전하게 수행할 수 있다는 장점이 있습니다.

---

💡 실무 팁 – 시나리오별 설계 포인트

• S3는 Lifecycle + S3 Object Lock과 함께 설계 시 효과 극대화
• DynamoDB는 데이터 조회 성능 저하에 유의 (필드 단위 암호화 시)
• EBS와 RDS는 복제본 및 백업 암호화 연동 여부 꼭 확인
• Envelope Encryption은 키 보관 위치(S3, DB 등) 설계가 핵심

---

AWS KMS는 단순히 '키를 저장하는 곳'이 아니라, 암호화 전략을 실행하는 핵심 도구입니다.
오늘 소개한 시나리오들을 바탕으로, 조직의 데이터 보호 체계를 보다 체계적으로 구성해보세요.

---

도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏