HSM (Hardware Security Module)

HSM (Hardware Security Module)

암호화 키를 안전하게 생성·저장·관리하고 암호 연산을 하드웨어 내부에서 수행하는 물리적 보안 장치로, 키 유출 방지와 FIPS 140-2/3 인증을 통해 금융·정부·CA에서 사용

목적: 암호화 키 보호, 안전한 암호 연산, 규정 준수(FIPS), 키 유출 방지

특징: 하드웨어 기반, Tamper-Resistant(변조 저항), FIPS 140-2/3 인증, 키 비노출, 고성능 암호 연산

구성요소: 보안 프로세서, 키 저장소(NVRAM), 난수 생성기(TRNG), 변조 감지 센서, 관리 인터페이스(PKCS#11, CNG)

주요 기능: 키 생성(RSA, ECC, AES), 디지털 서명, 암호화/복호화, 해시, 난수 생성, 키 백업·복구

FIPS 140-2 레벨: Level 1(소프트웨어) ~ Level 4(물리적 침입 시 키 자동 삭제), Level 3-4가 HSM

Tamper-Resistant: 물리적 변조 시도 탐지, 키 자동 삭제, 케이스 봉인, 전압·온도 모니터링

키 비노출: 키는 HSM 외부로 나가지 않음(평문), 암호 연산만 HSM 내부에서 수행

클라우드 HSM: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM, 물리 HSM의 클라우드 버전

장점: 최고 수준 키 보호, 규정 준수, 변조 저항, 고성능, 키 수명주기 관리

단점: 높은 비용(수천만~수억원), 복잡한 관리, 성능 병목(네트워크), 단일 장애점(이중화 필요)

적용사례: PKI/CA(루트 키), 금융(카드 암호화, HSM 결제), 블록체인(키 관리), SSL/TLS(인증서 키)

비교: HSM(하드웨어/최고보안/비쌈) vs 소프트웨어 키 저장(저렴/보안 약함) vs TPM(저비용/제한적)

연관: 암호화 키, PKI, FIPS 140-2, Tamper-Resistant, 클라우드 HSM