Invisible Safety,
Proven by Intelligence
보이지 않는 안전을 인텔리전스로 증명하다.
기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
기술 인사이트를 만나보세요.
사이버 보안 & 암호화
[NeoKeyManager-AUTO] KDF란 무엇인가⑵ │ KDF의 활용
2026년 05월 22일
1편에 이어서
이제 KDF의 원리를 이해했다면, 실제 시장에서는 “어떻게”, “왜”, “어디서” 쓰이는지가 중요합니다.
KDF는 이미 자동차, 금융, IoT, 클라우드, 보안모듈(HSM) 등 대부분의 산업 보안 설계에 내장되어 있습니다.
즉, KDF를 모르면 현대 암호 인프라의 뼈대를 이해하기 어렵다고 해도 과언이 아닙니다.
즉, KDF를 모르면 현대 암호 인프라의 뼈대를 이해하기 어렵다고 해도 과언이 아닙니다.
1. 자동차 보안 (Automotive Security)
- 사용 목적
자동차는 수십 개의 ECU(Electronic Control Unit)가 통신하며 동작합니다.
이 ECU 간 통신을 보호하기 위해 AUTOSAR SecOC (Secure Onboard Communication) 프로토콜이 KDF를 사용합니다.
· ECU 간 암호화 키 생성
· Flash 업데이트 / Secure Boot 키 파생
· Vehicle-to-X(V2X) 통신용 세션키 생성
- 구조 예시
Overview SecOC. Author: AUTOSAR
· Label/Context를 통해 ECU별·세션별 고유 키 생성
· CMAC 기반 PRF → 하드웨어(AES) 최적화, 경량 MCU에 적합
· 대부분 FIPS 인증 모듈을 사용
2. 금융 단말기 / 결제 환경 (PCI PTS)
- 주요 용도
1) 비밀번호 기반 인증
· 사용자가 입력한 비밀번호를 KDF로 처리 후 해시 저장
· 로그인 시 동일한 KDF로 검증
2) 세션 키 생성
· 결제마다 고유 세션키 생성 → 전송 데이터 암호화
3) 데이터 암호화용 DEK 생성
· Master Key로부터 DEK를 파생해 사용
특징
· PCI DSS / PCI PTS 규정상 키 재사용 금지
· HSM 내부 KDF 적용으로 키 분리·복구 효율화
· 공격 발생 시 한 세션만 노출, 전체 시스템은 안전
3. TLS / SSL / DTLS 보안 라이브러리
- 사용 예
· Master Secret으로부터 key_block 또는 Traffic Secret 파생
· TLS 1.3에서는 HMAC 기반 HKDF 표준 채택
· 그러나 FIPS 140-3 인증 모드에서는 CMAC 기반 KBKDF가 요구될 수 있음
예: 미국 정부기관용 OpenSSL FIPS 모드 → HKDF 대신 KBKDF 사용
4. IoT 디바이스 / 보안 엣지 장치
- 용도
· 제조 단계에서 Root Key(eFuse, OTP)로부터 기능별 서브키 유도
· Secure Boot, OTA 암호화, 인증서 서명, 데이터 암호화용 키 분리
· 하드웨어 내 AES 엔진을 활용 → 메모리 절약 및 성능 극대화
· OTA(Over-the-Air) 업데이트 시 매 버전별 키를 분리하여 Replay 공격 방지
5. HSM (Hardware Security Module)
- 핵심 역할
· 내부에 하나의 루트 키(MK/KEK)만 저장
· KDF로 각 서비스용, 사용자용 키를 파생
· 외부 저장 없이 온디맨드(On-demand) 방식으로 키 생성
| 용도 | KI | Fixed Input Data |
|---|---|---|
| 관리자 인증서 | HSM_ROOT_KEY | "AdminCert" |
| 세션 키 | HSM_ROOT_KEY | "SessionKey" |
| 테넌트 분리 | TENANT_KEY | "TenantA" |
6. 산업별 KDF 활용 정리
| 분야 | 사용 예 / 설명 |
|---|---|
| HSM / 보안 모듈 | 마스터 키로 세션키·사용자키 파생 |
| IoT / Embedded | Secure Boot, OTA, 인증 세션 키 생성 |
| 자동차 ECU | ECU 간 통신, Secure Diagnostics |
| 모바일 보안 | FIDO2, TrustZone 기반 키 분리 |
| TPM | TPM2_DeriveKey로 NIST 800-108 Counter Mode 지원 |
| 스마트카드 / SE | 카드 내 파일 접근 키 파생 |
| 클라우드 KMS | 내부적으로 KDF 활용 (노출 X) |
| 정부·군사 시스템 | FIPS 140-3 규격, 계층형 키 파생 |
| 암호화 파일 시스템 | 볼륨·사용자·토큰 키 분리 |
| 인증 시스템(PKI) | Kerberos, TLS client auth |
| 무선통신 | WPA3 SAE, ZigBee, LoRaWAN |
| DRM | 콘텐츠·디바이스·사용자 키 분리 (Widevine 등) |
정리
KDF는 단순히 “키를 만드는 도구”가 아닙니다. 보안 아키텍처의 중심 축이자, “하나의 키로 모든 걸 하지 않는다”는 원칙을 실현하는 핵심 기술입니다.
KDF는 HMAC/CMAC에서 KMAC(SHA-3)으로 확장되고, PBKDF2를 넘어 Argon2로 진화하며, 하드웨어(HSM, TPM)에서부터 클라우드까지 폭넓게 적용되고 있습니다.
NeoKeymanager는 PBKDF2, HMAC, NIST800-108-C/F/DPI, HKDF 등 다양한 키 유도 함수와 키를 관리할 수 있습니다.
📧 nkm_biz@mdsit.co.kr ✍️ 문의남기기
