피드로 돌아가기
Dev.toSecurity
원문 읽기
Fragmentation을 통한 암호화 스토리지 Metadata Leakage 최소화 설계
Beyond Encryption: Reducing Metadata Leakage with Fragmentation
AI 요약
Context
일반적인 One-file-one-object 암호화 모델에서 발생하는 파일 크기, 생성 시점 등 구조적 메타데이터 노출 문제 분석. 데이터 내용은 보호되나 스토리지 레이아웃 분석을 통한 정보 유출 가능성이 잔존하는 한계점 식별.
Technical Solution
- 암호화된 Ciphertext를 독립적인 여러 Fragment로 분할 저장하여 파일과 객체 간 1:1 관계 해제
- Fixed Number 분할 방식을 통한 초기 구조 은닉 시도 및 Fragment 크기를 통한 원본 파일 크기 추론 가능성 확인
- Fixed-size Block 분할 도입으로 Fragment 크기 기반의 메타데이터 유출 차단
- Block 크기 최적화를 통한 분할 효율성과 객체 생성 오버헤드 사이의 Trade-off 조절
- 분산 저장된 Fragment의 복원을 위한 별도의 Reconstruction Map 및 재조립 로직 설계
- 파일 시스템 수준의 Inode 소모 및 인덱싱 부하를 고려한 아키텍처 복잡도 관리
실천 포인트
1. 메타데이터 유출 방지가 필요한 경우 Fixed-size Block 분할 방식 검토
2. Block 크기 설정 시 소형 파일의 1:1 매핑 회귀 가능성과 대형 파일의 객체 수 폭증 간 균형점 산출
3. 분할 스토리지 도입 시 Reconstruction Map의 별도 보안 저장 및 무결성 보장 방안 수립
4. OS 파일 시스템의 Inode 제한 및 디렉터리 트래버스 성능 저하 가능성 사전 벤치마크 수행