개인정보 철벽 보안, 4세대 암호시스템에 답이 있다

  • 동아일보
  • 입력 2014년 2월 7일 03시 00분


코멘트

수학계 ‘완전동형암호’ 대안 제시

더 안전한 암호체계는 없을까 신용카드에는 기본적으로 RSA 암호가 사용된다. RSA 암호는 큰 수를 두 소수의 곱으로 나타내는 것이 어렵다는 점에서 착안됐다. 이 암호의 문제는 암호화된 상태에서는 연산이 불가능하기 때문에, 유의미한 분석을 위해선 암호를 푸는 과정이 추가된다. 그 과정에서 많은 사람이 개인정보를 열람할 수 있게 돼, 올해 1월의 사례처럼 대규모 정보 유출 사태가 발생할 우려가 커지는 것이다. 수학동아 제공
더 안전한 암호체계는 없을까 신용카드에는 기본적으로 RSA 암호가 사용된다. RSA 암호는 큰 수를 두 소수의 곱으로 나타내는 것이 어렵다는 점에서 착안됐다. 이 암호의 문제는 암호화된 상태에서는 연산이 불가능하기 때문에, 유의미한 분석을 위해선 암호를 푸는 과정이 추가된다. 그 과정에서 많은 사람이 개인정보를 열람할 수 있게 돼, 올해 1월의 사례처럼 대규모 정보 유출 사태가 발생할 우려가 커지는 것이다. 수학동아 제공
2014년 연초부터 전 국민을 경악하게 하는 사건이 발생했다. 바로 KB국민카드, NH농협카드, 롯데카드의 대규모 고객정보 유출 사건이다. 고객들의 개인정보 접근 권한을 가진 외주 직원이 1억400만 건에 달하는 고객정보를 팔아넘긴 이번 사건으로 ‘내 정보도 혹시’라는 불안감과 함께 정보 관리와 보호에 대한 관심도 고조되고 있다.

보안업계에서는 개인정보 관리 체계가 바뀌지 않는 이상 이번 사건과 유사한 사건이 언제든지 일어날 수 있다고 지적하고 있지만 정부는 아직까지 뚜렷한 재발 방지 대책을 내놓지 못하고 있다.

○ 철벽 보안, 완전동형암호가 ‘답’

이 같은 상황에서 국내 수학계에서는 ‘완전동형암호’라는 4세대 암호 시스템을 대안으로 제시하고 나섰다. 현재 사용하고 있는 암호 시스템과 전혀 다른 완전동형암호를 이용하면 개인정보에 접근할 수 있는 사람의 수를 최소화할 수 있다.

기존의 암호체계는 암호가 걸린 상태에서는 정보 검색이나 연산을 할 수가 없다. 이 때문에 개인정보가 암호화됐다고 하더라도 이를 분석하거나 활용하기 위해서는 암호를 풀어 원래 데이터로 되돌려 놔야 한다. 이 과정에서 고객의 개인정보는 여러 사람에게 노출될 수밖에 없다.

하지만 완전동형암호는 암호화된 상태에서도 다양한 작업이 가능하다는 장점이 있다. 만약 카드사 A팀에서 고객의 연령대별 카드 사용 패턴을 분석하고 싶다면, 기존처럼 암호를 풀어 원본 데이터로 되돌린 뒤 계산할 필요 없이 암호화된 상태 그대로 통계 분석을 하면 된다. 분석 결과는 극소수의 인원으로 이뤄진 통제센터로 보내진다. 그러면 통제센터에서 연산된 암호를 풀어서 그 결과를 A팀에 보내 준다. 즉, 통제센터 직원이 아니면 고객의 개인정보는 알 수가 없기 때문에 개인정보 유출의 가능성이 확 낮아지게 되는 것이다. 이것이 가능한 이유는 완전동형암호에서는 개인정보를 담은 원본 데이터를 연산한 값과 암호가 걸린 상태에서 연산한 값을 해독한 결과가 같기 때문이다.

완전동형암호는 2009년 IBM 크레이그 젠트리 연구원이 암호가 걸린 상태로도 연산이 가능하다는 것을 밝혀내면서 연구가 시작됐다. 2011년에는 매사추세츠공대(MIT)가 뽑은 10대 미래기술에도 선정된 이 기술에 대해 우리나라 수학자들도 관심을 갖고 연구를 진행하고 있다. 지난해 1월 서울대 수리과학부 천정희 교수팀은 암호를 풀지 않고도 사칙연산과 다항식 연산이 가능한 완전동형암호를 개발해 세계적으로 주목을 받기도 했다.

천 교수는 “완전동형암호를 당장 상용화하기는 쉽지 않지만 국내 대기업들이 완전동형암호의 상용화에 관심을 갖고 있는 만큼 머지않아 실제 정보 시스템에 적용할 수 있을 것”이라고 밝혔다.

○ 대기업들 “수학 배우자”

암호는 전통적으로 수학자들의 활약이 두드러진 분야로, 가장 잘 알려진 것이 공인인증서나 e메일 등에 널리 쓰이고 있는 RSA 암호다. RSA 암호는 큰 수를 두 소수의 곱으로 나타내는 것이 어렵다는 원리를 이용한 것으로, 개발자인 로널드 라이베스트, 아디 샤미르, 레오나르드 아델만은 1982년 RSA라는 회사를 설립했다. 이 회사는 지난해에만 9억8700만 달러(약 1조644억 원)의 매출을 올렸다.

천 교수는 “수학을 기초로 한 암호 연구는 많은 시간과 비용을 투자해야 하기 때문에 국내 산업현장에서는 아직 많은 연구가 진행되지 않고 있다”며 “개인정보를 철저히 관리하기 위해서는 암호 연구가 꼭 필요한 만큼 암호이론의 산업화에 주목할 필요가 있다”고 강조했다.

실제 지난해 삼성전자 첨단기술연수소는 천정희 교수를 초청해 보안과정 교육을 받는 직원들을 대상으로 정수의 성질을 다루는 수학의 한 분야인 정수론 강의를 요청했다. 암호 관련 첨단 기술을 개발하기 위해서는 반드시 수학을 알아야 한다는 판단에서다.

수업을 들은 조재익 삼성전자 시스템LSI사업부 SOC개발실 대리는 “스마트폰에 사용되는 보안 방식이 정수론에 기초하고 있어 강의가 새로운 기술을 개발할 때 도움이 된다”고 말했다. 이종호 삼성전자 영상디스플레이사업부 개발실 선임도 “디스플레이 제품의 보안성을 높이기 위해 정수론을 적극 활용하고 있다”고 귀띔했다.

조가현 gahyun@donga.com
최영준 동아사이언스 기자
#개인정보보안#암호시스템
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스