1. AI Database
  2. 보안

Oracle AI Database 암호화 로드맵



Oracle AI Database 암호화 로드맵

마지막 업데이트: 2026년 2월

하단에는 Oracle AI Database의 보안 알고리즘 및 관련 정책/설정 변경에 대한 Oracle의 계획과 관련된 정보가 나열되어 있습니다.

본 사이트의 정보는 Oracle에서 현재 Premier Support를 제공하는 릴리스들을 대상으로 합니다(Oracle Technology Products lifetime support policy에 설명된 바와 같습니다).

하단의 알림은 업데이트된 릴리스의 변경 사항을 다루고 있습니다. 신규 기능 릴리스에서는 새로운 보안 알고리즘이 구현되거나 기존 릴리스 버전과 다른 기본 설정이 적용될 수 있습니다. 암호화 변경을 포함하여 신규 기능 릴리스에서 제공되는 변경 사항에 관한 정보는 릴리스 노트에서 확인할 수 있습니다. 단, 중요하고 예외적인 상황이 발생하면 본 사이트에 미래 릴리스 또는 얼리 액세스 버전의 변경 사항에 대한 알림이 포함될 수도 있습니다.

면책 조항

하단의 정보는 Oracle이 현재 계획 중인 사항을 요약한 것입니다. 이는 일반 대중에게 일반적인 정보를 제공하기 위한 것입니다. 하단의 로드맵은 사전 고지 없이 또는 최소한의 고지만으로 변경될 수 있습니다. 그러나 Oracle은 변경 사항에 대한 안내를 사전에 제공하기 위해 노력할 것입니다. 특정 릴리스 또는 릴리스 업데이트가 구현된 이후에만 필요한 변경 사항이 게시될 수 있는 특수한 경우도 존재합니다.


추가 정보 및 참고 자료

Oracle JRE and JDK Cryptographic Roadmap - 데이터베이스 내 Java 기반 저장 프로시저는 Oracle JRE 및 JDK Cryptographic roadmap을 따르며 하단의 세부 사항에는 포함되지 않습니다.

Oracle Technology Lifetime Support 정책 - Oracle AI Database 버전 및 지원 타임라인에 대한 정보를 제공합니다.

블로그: 양자 시대를 위한 Oracle AI Database 26ai 보안 강화

블로그: 둘 다 쓰는 것이 더 낫습니다 - Oracle AI Database 26ai에 추가되는 하이브리드 모드 양자 내성 지원

2025 KuppingerCole Leadership Compass for Data Security Platforms

KuppingerCole이 Oracle을 데이터베이스 보안 부문의 리더로 선정한 이유를 확인해 보세요

계획된 변경 사항

제안된 타임라인

대상 릴리스(들) 및 영향받는 기능(들)

계획된 조치

2026년 하반기

19c / TLS

취약한 암호를 기본적으로 비활성화

현재 SSL_ENABLE_WEAK_CIPHERS 매개변수는 하위 호환성을 보장하기 위해 기본적으로 TRUE로 설정되어 있습니다. 향후 릴리스에서는 기본값을 FALSE로 변경할 계획이며 sqlnet.ora에서 해당 파라미터를 명시적으로 TRUE로 설정하지 않는 한 다음 암호들은 비활성화됩니다.

  1. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  2. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  3. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  4. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  5. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  6. TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  7. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  8. TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  9. TLS_RSA_WITH_AES_256_GCM_SHA384
  10. TLS_RSA_WITH_AES_256_CBC_SHA256
  11. TLS_RSA_WITH_AES_256_CBC_SHA
  12. TLS_RSA_WITH_AES_128_GCM_SHA256
  13. TLS_RSA_WITH_AES_128_CBC_SHA256
  14. TLS_RSA_WITH_AES_128_CBC_SHA
  15. TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  16. TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  17. TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  18. TLS_DHE_RSA_WITH_AES_128_CBC_SHA

2026년 하반기

19c / TLS

TLS 1.0 및 TLS 1.1 지원 제거

현재 TLS 1.0 및 1.1은 SSL_VERSION에서 명시적으로 비활성화하도록 설정하지 않는 한 기본적으로 활성화되어 있습니다. 향후 릴리스에서는 TLS 1.3 지원을 활성화하는 동시에 SSL_VERSION의 기본값을 1.3 및 1.2로 설정할 예정입니다.TLS 1.0 및/또는 1.1을 재활성화하려면 SSL_VERSION 값을 업데이트하여 해당 버전을 포함시켜야 합니다. TLS 1.3을 사용하는 동안에는 TLS 1.0 및 TLS 1.1을 지원할 수 없습니다.

2026년 하반기

19c / NNE, DBMS_CRYPTO

데이터베이스가 FIPS 140-3 모드로 동작할 경우 3DES 암호화 및 MD2, MD4 해싱 비활성화

현재 Oracle Database 19c는 FIPS 140-2를 지원합니다. 향후 릴리스에는 FIPS 140-3 지원이 포함될 예정입니다. 해당 릴리스의 일환으로, 데이터베이스가 FIPS 140-3 모드로 동작할 때 MD2 및 MD4 해싱과 3DES 암호화가 비활성화됩니다.

2027년 상반기

19c / TLS

취약한 타원 곡선 그룹 비활성화 허용

향후 릴리스에서 기본값이 false인 신규 매개변수인 SSL_DISABLE_WEAK_EC_CURVES가 도입될 예정입니다. 이 매개변수를 TRUE로 설정하면 다음을 비롯해 키 길이가 256비트 미만인 ECC 곡선을 비활성화합니다.

sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1

향후 특정 시점부터 이 신규 매개변수의 기본값을 TRUE로 변경할 예정입니다.

2027년 상반기

26ai / TLS

취약한 타원 곡선 비활성화를 기본값으로 설정

현재 SSL_DISABLE_WEAK_EC_CURVES 파라미터의 기본값은 false입니다. 이 값을 true로 설정하면 다음을 비롯해 키 길이가 256비트 미만인 ECC 곡선을 비활성화합니다.

sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1

향후 특정 시점부터 이 신규 매개변수의 기본값을 TRUE로 변경할 예정입니다. SSL_DISABLE_WEAK_EC_CURVES는 더 이상 권장되지 않으며 기본값이 hybrid, ec, weak, ml-kem인 TLS_KEY_EXCHANGE_GROUPS로 대체됩니다. weak 설정은 위에 나열된 취약한 ECC 곡선을 활성화합니다. SSL_DISABLE_WEAK_EC_CURVES의 기본 설정을 변경하는 동시에 TLS_KEY_EXCHANGE_GROUPS의 기본값에서도 weak를 제거할 예정입니다.

릴리스된 변경 사항

릴리스 날짜

해당하는 릴리스

영향받는 기능

알고리즘/프로토콜 및 조치

2026-01-20

23.26.1

TLS(1.3 전용)

하이브리드

하이브리드 키 교환 모드를 사용할 수 있는 옵션이 추가되었습니다. 이는 ECDHE와 ML-KEM을 결합합니다. 이 방식의 이점은 지금 수집하고 나중에 복호화(harvest now/decrypt later)하는 양자 컴퓨팅 위협에 대응해 TLS 키 교환에 대한 추가적인 확신을 제공한다는 것입니다. 하이브리드 키 교환 방식을 적용하면 세션 키가 노출되기 전에 두 교환 알고리즘이 모두 손상되어야 합니다.

TLS_KEY_EXCHANGE_GROUPS를 다음과 같이 업데이트:

  • 새 값 HYBRID 추가
  • 매개 변수에 나열된 값들의 순서 준수
  • 기본값: hybrid, ec, weak, ml-kem

2025-10-15

23.26.0

TLS(1.3 전용)

ML-KEM

키 교환 암호(cipher)로 ML-KEM을 선택할 수 있는 옵션이 추가되었습니다. 이는 TLS 전송 중 데이터에 대한 양자 내성을 제공하기 위한 것입니다. ML-DSA 인증서 지원이 추가되었습니다.

sqlnet.ora에 새 매개변수 TLS_KEY_EXCHANGE_GROUPS가 추가되었습니다. 허용되는 값은 ec(ECDHE), weak, ml-kem입니다. 이는 값이 지정되지 않은 경우 우선 순위 순서입니다.

2025-01-02

23.7

TLS(1.2 전용)

TLS 타원 곡선 그룹

기본값이 FALSE인 "SSL_DISABLE_WEAK_EC_CURVES" 매개변수를 통해 TLS 연결에서 취약한 타원 곡선을 활성화 또는 비활성화하는 옵션을 추가합니다.

RFC8422에 따라 secp256r1, secp384r1, secp521r1, x25519 타원 곡선만 계속 지원됩니다. 해당 RFC에 따라 다음 곡선들은 취약한 것으로 간주됩니다 -

sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1

이상의 곡선들은 기본적으로 활성화되어 있으나 필요 시 새로운 구성 매개변수를 사용하여 비활성화할 수 있습니다.

2024-05-02

23.4

NNE

MD4, MD5, DES, 3DES, RC4

Native Network Encryption(NNE)에서 MD4, MD5, DES, 3DES, RC4 관련 알고리즘이 제거되었습니다.

2024-05-02

23.4

DBMS_CRYPTO

MD4, MD5, DES, 3DES, RC4

DBMS_CRYPTO에서 MD4, MD5, DES, 3DES, RC4 관련 알고리즘을 기본적으로 비활성화합니다.

  • 23.4에서는 RC4 암호화 및 MD4가 완전히 비활성화되었습니다.
  • RC4 복호화와 MD5, DES, 3DES, SHA-1은 PRAGMA DEPRECATE를 사용해 사용 중단 대상으로 지정되었습니다.
  • PL/SQL 경고가 활성화된 경우 개발자는 해당하는 비권장 알고리즘이 사용될 때 경고를 받게 됩니다. 또한 ALLOW_WEAK_CRYPTO 초기화 파라미터가 FALSE로 설정되어 있는 경우(기본값은 TRUE) 해당하는 사용 중단 알고리즘은 동작하지 않습니다.

2024-05-02

23.4

TLS

TLS

ALLOW_MD5_CERTS 및 ALLOW_SHA1_CERTS sqlnet.ora 파라미터는 26ai에서 더 이상 권장되지 않습니다. 대신 Oracle Database 26ai에 새로 추가된 ALLOWED_WEAK_CERT_ALGORITHMS sqlnet.ora 파라미터를 사용해 주세요.

2024-05-02

23.4

TLS

취약한 암호를 기본적으로 비활성화

SSL_ENABLE_WEAK_CIPHERS 매개변수는 2023년 10월 도입되었으며 기본값이 TRUE인 상태에서 취약한 TLS 암호군을 활성화/비활성화할 수 있는 옵션을 제공합니다. 안전한 옵션을 기본값으로 설정하기 위해 23.4부터 SSL_ENABLE_WEAK_CIPHERS의 기본값이 FALSE로 설정됩니다.

2024-05-02

23.4

TLS, NNE

RSA, DH, DSA

FIPS 모드에서 키 길이가 연장되었습니다.

26ai부터는 FIPS 모드에서 RSA, Diffie-Hellman(DH), Digital Signature Algorithm(DSA)의 경우 2048의 최소 키 길이가 지원됩니다. 더 짧은 키 길이는 비FIPS 모드에서만 허용됩니다.

2023-17-10

19.21

TLS

TLS

취약한 암호군 비활성화가 기본값으로 설정됩니다.

SSL_ENABLE_WEAK_CIPHERS 매개변수는 기본값이 TRUE인 상태에서 취약한 TLS 암호군을 활성화/비활성화할 수 있는 옵션을 제공하기 위해 도입되었습니다.

2023-04-19

23.1

TLS

TLS

SSLv3, TLS1.0, TLS1.1 지원 중단

2023-04-19

23.1

TLS

TLS

DH Anon 암호 지원이 중단됩니다.

    아웃바운드 연결과 데이터베이스 클라이언트/서버 연결 모두에서 DH Anon 암호 지원 중단
    • TLS_DH_ANON_WITH_AES_256_GCM_SHA384
  • TLS_DH_ANON_WITH_AES_128_GCM_SHA256
  • SSL_DH_ANON_WITH_3DES_EDE_CBC_SHA

2021-08-13

21c

TLS

TLS

Anonymous RC4 Cipher Suite(SSL_DH_anon_WITH_RC4_128_MD5) 지원 중단

인증되지 않은 TLS 연결에 익명 RC4 암호군을 사용하는 기능은 21c부터 지원 중단되었습니다.

2021-05-13

21c

NNE, DBMS_CRYPTO

SHA1

NNE 및 DBMS_CRYPTO에 대한 SHA-1 사용을 중단합니다.

Oracle 데이터베이스 보안 서비스 시작하기


Advanced Security 체험하기

LiveLabs에서 귀사의 주요 사용 사례를 직접 구성해 Advanced Security를 경험해 보세요. 이 실습 랩은 Transparent Data Encryption(TDE) 및 Data Redaction 등의 Oracle Advanced Security 기능을 중점적으로 다룹니다. 해당 기능들을 설정하여 데이터베이스 및 민감 데이터를 보호하는 방법을 살펴보세요. 본 워크샵은 귀사의 테넌시에서 진행할 수도 있고, LiveLabs 사용 시간을 예약한 뒤 무료로 진행할 수도 있습니다.


지금 체험하기

Key Vault 체험하기

이 실습 랩에서는 로컬 월릿에 TDE로 암호화된 Oracle Database 19c 키 저장소를 Oracle Key Vault로 마이그레이션하여 중앙화된 키 관리를 구현하는 방법을 배울 수 있습니다.. PCI DSS 규제 준수를 위해 TDE 마스터 키를 업로드 및 제거하는 방법, PDB 연결을 더 쉽게 만들어 주는 태그 키 사용 방법, 키 중앙화 및 교체를 위한 반복 가능하고 감사 가능한 워크플로를 구축하는 방법 등을 살펴보세요. 이 워크샵을 자신의 테넌시로 실행하거나 무료로 LiveLabs에서 워크샵을 예약하세요.


지금 체험하기

Key Vault 체험하기

이 워크샵은 Oracle Key Vault의 고급 SSH 키 관리 기능을 심층적으로 다룹니다. 강력한 정책 기반 환경에서 SSH 키를 중앙화하는 방법, 자격 증명 도난 또는 잘못된 구성으로 인한 위험을 최소화하는 방법을 시연합니다. Key Vault에서 SSH 키 쌍을 직접 저장, 제어, 교체하는 방법을 살펴보세요. Key Vault에서는 개인 키를 추출 불가로 설정할 수 있으므로 서버 침해가 발생해도 키는 안전하게 보호됩니다.


지금 체험하기

Data Safe 실습하기

LiveLabs에서 귀사의 주요 사용 사례를 직접 구성하여 Data Safe 를 경험해 보세요.이 실습은 개요 실습입니다. 데이터베이스 구성 및 보안 제어 평가, 사용자 보안 및 권한 평가, 감사 및 알림을 통한 사용자 활동 모니터링, 규제 준수를 위한 민감 데이터 발견 및 마스킹, SQL Firewall을 활용한 SQL 인젝션 및 침해된 계정으로 인한 위험 완화 등을 집중적으로 소개합니다.


지금 체험하기