피드로 돌아가기
Dev.toSecurity
원문 읽기
Crypto-shredding을 통한 Event Sourcing 내 GDPR 삭제 요구사항의 완벽한 해결
You can't delete an event. GDPR says you must. Crypto-shredding is the truce.
AI 요약
Context
Append-only 특성을 가진 Event Sourcing 아키텍처와 데이터 완전 삭제를 명시한 GDPR Article 17의 법적 충돌 발생. 백업 및 Snapshot까지 포함된 모든 지점에서 물리적 데이터 삭제를 수행하는 방식은 운영 오버헤드와 규정 준수 리스크가 매우 높음.
Technical Solution
- Subject별 독립적인 Encryption Key를 부여하여 데이터 자체가 아닌 읽기 권한을 제어하는 Crypto-shredding 구조 설계
- AES-GCM 알고리즘을 활용하여 민감 필드를 Ciphertext로 저장하고 Key 삭제 시 데이터를 복구 불가능한 Noise로 전환
- Tenant ID를 AES-GCM의 Associated Data(AAD)에 포함시켜 Key 유출 시에도 타 테넌트 데이터로의 전이를 수학적으로 차단
- Serialization 경계에서 암호화를 수행하여 메모리 내 Plaintext 유지와 저장소 내 Ciphertext 보존을 분리
- Key Store를 통한 Scope 기반 Key 관리 및 단일 API 호출을 통한 즉각적인 데이터 파기 메커니즘 구현
실천 포인트
1. Event Store 도입 시 민감 데이터 필드에 [EncryptData]와 같은 마킹 체계 도입 검토
2. Key Store 설계 시 Tenant/User 단위의 Scope 정의 및 KEK(Key Encryption Key) 기반의 계층적 키 관리 적용
3. AES-GCM의 AAD 필드에 Tenant ID를 바인딩하여 논리적 격리를 넘어선 물리적 데이터 격리 구현
4. HSM/KMS를 통한 Key Custody 전략 수립 및 Key 자체의 삭제 라이프사이클 정의