암호화의 환상
2026년 업데이트
2022년 12월, LastPass는 사용자들에게 침해 사실을 알렸습니다. 메시지는 차분했습니다. 비밀번호는 "암호화"되었고, 볼트 내용은 "보호"되어 있다고 했습니다.
2025년까지 LastPass 사용자들로부터 4억 3,800만 달러 이상이 도난당했습니다. 탈취는 바로 그 "보안" 볼트에서 이루어졌습니다.
어떻게 가능했을까요? LastPass가 키를 보유하고 있었기 때문입니다.
클라우드 도구를 선택하기 전에 보안팀이 반드시 알아야 할 사실입니다. 민감한 파일을 다루는 모든 도구, PII 익명화 플랫폼 포함 이 모두에 적용됩니다.
서버 측 암호화 vs 제로 지식 암호화
대부분의 클라우드 도구는 "파일을 암호화합니다"라고 말합니다. 하지만 실제로는 **서버 측 암호화(SSE)**를 사용합니다. 이것이 의미하는 바는 다음과 같습니다:
| 속성 | 서버 측 암호화 | 제로 지식 아키텍처 |
|---|---|---|
| 암호화 위치 | 벤더 서버 | 사용자 기기(브라우저/데스크톱) |
| 키 보유자 | 벤더 | 사용자만 |
| 벤더의 콘텐츠 열람 가능 여부 | 가능 | 불가능 |
| 서버 침해 시 파일 노출 | 예 | 아니오(암호문만) |
| 법적 강제에 의한 콘텐츠 제공 | 가능 | 불가능(보유하지 않음) |
| 법 집행 기관 접근 | 벤더를 통해 | 키 없이는 불가능 |
LastPass가 키를 보유했다는 것이 치명적 결함이었습니다. 공격자들은 침입하여 암호문과 해독 도구를 모두 확보했습니다. 사회공학적 수법, 취약한 비밀번호 무차별 대입, 오래된 계정 메타데이터를 활용했습니다.
GDPR 제25조와의 연관성
GDPR 제25조(설계에 의한 개인정보보호)는 명확합니다. 컨트롤러는 처음부터 "적절한 기술적·조직적 조치"를 시행해야 합니다.
유럽 데이터 보호 이사회(EDPB)는 이것이 암호화적 데이터 최소화를 포함한다고 덧붙였습니다. 시스템 자체가 기록 접근을 차단해야 합니다. 접근 제어만으로는 충분하지 않습니다.
키를 보유한 벤더는 엄격한 의미에서 제25조를 충족할 수 없습니다. 이유는 다음과 같습니다:
- 시스템 침해 시 기록이 노출될 수 있습니다.
- 벤더에 대한 소환장이 콘텐츠를 제출하게 할 수 있습니다.
- 악의적인 직원이 파일을 열람할 수 있습니다.
- 공급망 공격으로 모든 것이 노출될 수 있습니다.
독일 연방 개인정보보호 위원회(BfDI)가 이에 대한 지침을 발표했습니다. 오스트리아 데이터 보호청도 마찬가지입니다. 양 기관 모두 고위험 처리에는 제로 지식이 최선의 기술적 선택이라고 말합니다.
SaaS 침해의 현실
AppOmni / 클라우드 보안 얼라이언스 2024 보고서에 따르면 2022년부터 2024년까지 SaaS 침해가 300% 증가했습니다. 주요 수치:
- 침해 소요 시간: 9분 (과거에는 몇 시간이 걸렸음)
- 침해에서 제3자의 역할: 전년 대비 두 배 증가 (Verizon DBIR 2025)
- Conduent 침해: 2,590만 건 노출 (주민등록번호, 의료 파일)
- NHS 벤더 침해: 900만 환자 노출
정책 문구만으로는 더 이상 충분하지 않습니다. 강력한 아키텍처가 최소 기준입니다. 고위험 처리 전반에 적용됩니다.
진정한 제로 지식 아키텍처
진정한 제로 지식 시스템에는 다음과 같은 명확한 특성이 있습니다:
1. 클라이언트 측 키 파생 키는 사용자의 비밀번호에서 생성됩니다. 메모리 집약적 KDF(Argon2id, bcrypt, 또는 scrypt)가 사용자 기기에서 실행됩니다. 키는 기기를 벗어나지 않습니다.
2. 클라이언트 측 암호화 콘텐츠는 브라우저나 앱을 떠나기 전에 암호화됩니다. 서버는 암호문만 받습니다. 키 없이는 암호문이 무용지물입니다.
3. 서버 측 키 저장 없음 벤더는 키, 키 조각, 키 백업을 전혀 보관하지 않습니다. 사용자는 자신의 복구 문구로 접근권을 복원합니다.
4. 암호화 검증 가능성 시스템은 잘 문서화되고 감사에 열려 있어야 합니다. 기술적 세부 사항 없는 모호한 "종단간 암호화" 주장은 위험 신호입니다.
anonym.legal의 제로 지식 구현
anonym.legal의 제로 지식 로그인은 다음을 사용합니다:
- Argon2id 키 파생: 64MB 메모리, 3회 반복 — 고보안 앱을 위한 OWASP 권장 방식
- AES-256-GCM 암호화: 콘텐츠 전송 전 브라우저 또는 데스크톱 앱에서 완전히 실행
- 24단어 BIP39 복구 문구: 접근권 복원의 유일한 방법 — anonym.legal에 저장되지 않음
- 서버 측 키 접근 없음: anonym.legal 서버는 복호화할 수 없는 AES-256-GCM 암호문만 수신
anonym.legal 서버가 완전히 침해되더라도 암호화된 블롭만 노출됩니다. 각 사용자의 키 없이는 — 키는 사용자 기기에만 존재합니다 — 이 블롭들은 무용지물입니다.
자세한 내용은 보안 및 컴플라이언스 개요와 컴플라이언스 문서를 참조하세요.
벤더 평가 체크리스트
민감한 기록을 위한 클라우드 도구를 선택할 때 다음 질문을 하세요:
아키텍처 질문:
- 암호화가 어디서 이루어집니까 — 사용자 기기에서인가요, 벤더 서버에서인가요?
- 누가 키를 생성합니까?
- 키는 어디에 저장됩니까?
- 벤더가 소환장을 받으면 콘텐츠의 평문 사본을 제공할 수 있습니까?
- 벤더가 인수될 경우 파일은 어떻게 됩니까?
침해 복원력 질문:
- 벤더 시스템이 완전히 침해된다면 어떤 기록이 노출됩니까?
- 벤더 직원이 악의적으로 행동하면 어떤 콘텐츠를 볼 수 있습니까?
- 공급망 공격이 벤더를 강타하면 무엇이 노출됩니까?
규제 질문:
- 벤더가 GDPR 제25조 관련 문서를 제공할 수 있습니까?
- 외부 감사자가 시스템을 검토했습니까?
- 암호화를 포함하는 ISO 27001 또는 SOC 2 인증이 있습니까?
침해 관련 질문에 "없음 — 콘텐츠는 기기를 떠나기 전에 암호화됨"이라고 답하지 못하는 벤더는 서버 측 암호화를 사용하고 있습니다. 더 많은 용어는 FAQ와 용어집을 확인하세요.
사례: 독일 의료보험사 실사
대형 독일 의료보험사(Krankenkasse)의 컴플라이언스 담당자는 클라우드 익명화 도구가 필요했습니다. 과제: 보험 가입자 민원 로그 처리. DPO에게는 네 가지 요건이 있었습니다:
- 벤더가 보험 가입자 기록에 접근 불가
- 독일 외 처리 금지
- GDPR 제32조 기술적 조치 문서화
- DPA 보고 대상 침해 위험 최소화
대형 미국 익명화 SaaS는 첫 번째 항목에서 탈락했습니다. 지원팀이 사용자 볼트를 초기화할 수 있었는데, 이는 서버 측 키 접근의 증거였습니다. 두 번째 도구는 "감사 추적" 목적으로 30일간 처리된 텍스트를 보관했습니다 — 역시 서버 측 접근이었습니다.
anonym.legal은 네 가지 기준을 모두 충족했습니다. DPO는 이렇게 기록할 수 있었습니다: "벤더가 완전히 침해되더라도 사용 가능한 보험 가입자 기록은 없습니다 — 키는 당사 워크스테이션에만 존재합니다." GDPR 제32조 문서화는 4시간 만에 완료되었습니다.
더 많은 실제 사례는 케이스 스터디를 참조하세요.
ICO 집행 선례
2025년 12월, 영국 정보감독원(ICO)은 LastPass 영국 법인에 120만 파운드의 과징금을 부과했습니다. 이유: "적절한 기술적·조직적 보안 조치 시행 실패."
과징금은 침해 자체 때문이 아니었습니다. 침해를 그토록 피해가 크게 만든 아키텍처 선택 때문이었습니다. 불량한 KDF 설정, 노출된 메타데이터, 서버 측 키 저장 모두가 역할을 했습니다.
규제 당국은 이제 묻습니다: 시스템이 침해 영향을 제한했는가? 제로 지식 아키텍처는 이에 명확하게 답합니다. 이것이 그 의도를 증명하는 최선의 방법입니다.
제로 지식 아키텍처가 적합하지 않은 경우
제로 지식 암호화에는 트레이드오프가 있습니다. 일부 사용 사례에서 중요합니다:
복구 복잡성: 사용자가 키를 잃으면 파일도 영구적으로 사라집니다. 뒷문이 없습니다. 직원 이직률이 높거나 키 관리 습관이 취약한 경우 현실적인 위험입니다.
협업 마찰: 암호화된 콘텐츠는 상대방이 올바른 복호화 도구를 가진 경우에만 공유할 수 있습니다. 표준 클라우드 앱의 단순 링크 공유보다 느립니다.
규제 예외 사례: 일부 지역은 법원 명령에 의한 법 집행 기관의 기록 접근을 요구합니다. 제로 지식 시스템은 설계상 이를 차단합니다. 금융 서비스나 통신 분야에서 법적 문제가 생길 수 있습니다.
연산 오버헤드: Argon2id 키 파생과 AES-256-GCM 암호화 모두 지연 시간을 추가합니다. 실시간 대용량 처리에서 가장 두드러집니다.
하루 수백만 건의 문서를 처리하는 팀이라면 하이브리드 접근법이 더 적합할 수 있습니다. 가장 민감한 필드만 암호화하고 메타데이터는 개방 상태로 유지합니다. 볼륨 티어는 요금제를 참조하세요.
결론
"파일을 암호화합니다"는 보안 약속이 아닙니다. 꼼꼼히 살펴봐야 할 마케팅 문구입니다.
실제 질문은 간단합니다. 누가 키를 보유합니까? 암호화는 어디서 이루어집니까? 벤더 시스템이 침해된다면 무엇이 노출됩니까?
GDPR, HIPAA 또는 유사한 규정 하에 민감한 기록을 처리하는 팀에게, 이러한 아키텍처 선택은 법적 위험과 실제 침해 노출 모두를 결정합니다.
LastPass는 사용자 콘텐츠를 암호화했습니다. 제로 지식 아키텍처였다면 2022년 침해는 아무 일도 아니었을 것입니다. 사용자로부터 도난당한 4억 3,800만 달러는 아키텍처 지름길의 대가였습니다.
anonym.legal은 PII 익명화에 제로 지식 아키텍처를 사용합니다. Argon2id 키 파생은 브라우저 또는 데스크톱 앱에서 실행됩니다. AES-256-GCM 암호화는 콘텐츠가 기기를 떠나기 전에 이루어집니다. anonym.legal 서버는 복호화할 수 없는 암호문만 저장합니다. 소개 페이지에서 더 알아보거나 토큰 시스템을 살펴보세요.