바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

RSA 깨는 양자컴퓨팅 대비해야

2016-06-30김종락 서강대 수학과 교수, 이나리 …



지난 1월 스위스에서 열린 다보스포럼의 주제, ‘제4차 산업혁명의 이해’는 우리에게 큰 반향을 일으켰다. 4차 산업혁명이란 인간과 기계가 어우러지는 세상을 말한다. 이 혁명의 주역은 인공지능, 3D프린팅, 자율주행차, 사물인터넷(IoT), 바이오 기술 등이다.

이 기술이 꽃피려면 한 가지 선행돼야 할 것이 있다. 바로 암호 혹은 보안 분야에 대한 투자다. 국내 기업들의 암호에 대한 이해 및 구현은 선진국에 비해 한참 뒤떨어져 있다. 4차 산업혁명의 주요 기술에 필요한 암호와 양자컴퓨터에 적합한 ‘후 양자 암호(post quantum cryptography)’에 대해서 알아보자.

IoT는 우리 생활과 밀접한 가전제품, 몸에 탈·부착할 수 있는 의료기기, 다양한 데이터를 생성해 내는 건물이나 가정, 차량 등에 널리 적용된다. 대부분의 정보가 작은 센서를 통해 전달된다. 따라서 소프트웨어 용량이 크지 않고 전력소비가 적은 센서를 만들기 위한 경쟁이 치열하다.

이런 디바이스에는 우리가 흔히 접하는 RSA(Rivest Shamir Adleman, 공개키와 개인키를 세트로 만들어 암호화와 복호화를 하는 인터넷 암호화 및 인증 시스템) 암호나 암호 인증 같이 많은 계산을 요구하는 무거운 암호는 장착하기 어렵다. 다양한 센서의 특징을 반영하면서 보안패치와 모니터링 체계도 갖춰야 한다.

각각의 센서가 획득한 데이터는 와이파이, 블루투스 등 무선네트워크를 통해 전송되는데, 이 같은 네트워크가 일정한 보안 수준을 유지하고 있는지 모니터링과 감시가 필요하다.

IoT는 대부분 공개 플랫폼을 이용하는데, 이 과정에서 악의적인 데이터가 전송될 경우 오작동을 초래할 수 있다. 또 IoT를 통해 수집한 정보가 무단 유출돼 프라이버시 문제나 2차 피해가 발생할 가능성도 있다. 이를 해결하기 위해서는 디바이스와 사용자를 상호 인증하고 키관리, 신뢰관리, 기기의 개인정보 수집, 추적 방지, 개인 식별정보 필터링 등의 기술이 필요하다는 지적이다.

스마트카, 총체적 관리가 핵심

최신 스마트 자동차에는 3가지 통신이 가능하다.

첫 번째는 자동차와 자동차간(V2V) 통신이다. 각 자동차에 내장된 통신제어장치(CCU)를 통해 다른 자동차와 교신, 교통흐름을 파악할 수 있다. 두 번째는 자동차와 기반시설 간(V2I)의 통신이다. 도로 외곽 장치와 도로 상의 자동차가 서로 통신을 해 교통체증을 줄이고 운전자가 더 신속한 주행을 하도록 도와준다. 마지막은 자동차와 모바일 기계(V2M)의 통신이다. 스마트폰이나 태블릿을 사용해 자동차를 원거리에서 조정할 수 있다. 이를 다 포함해 ‘V2X’라고 한다.



해킹 대상이 되는 차량 디지털 I/O 신호

(해킹 대상이 되는 차량 디지털 I/O 신호)


이처럼 다양한 환경에 노출돼 있는 자동차의 안전은 승객들의 안전과도 직결되므로 제3자에 의한 해킹이나 공격에 대비해야 한다.

지금까지 알려진 구체적인 위협이나 공격은 ▲무선 스마트키에 대한 공격 ▲타이어 공기압 감시 장치 공격 ▲자동차 엔진이나 구동기능 위협 ▲에어백 오작동 유발 ▲도난 방지장치의 무력화 ▲냉난방 및 공조장치에 대한 공격 ▲차량 출입제어장치 및 시스템에 대한 공격
▲V2X 보안 및 인증기술에 대한 취약점 공격 ▲차량 안의 CD, DVD, 아이팟 등을 통한 개인정보 유출 등을 들 수 있다.



자동차 보안은 일시적이 아닌, 장기적인 방어기술을 적용해야 하고 자동차 제어 소프트웨어 역시 쉽게 공격대상이 되므로 철저한 보안이 필수다. 생산자, 운전자, 각종 부품 납품자는 물론 정비자까지 유기적으로 합심해야 하는 것이다.

클라우드, 새 알고리즘 개발해야

최근 늘어나는 데이터를 처리하는 방법으로 클라우드 서비스가 각광을 받고 있다. ‘드롭박스’, ‘구글 드라이브’, ‘원드라이브’, ‘아이클라우드’ 등 글로벌 서비스는 물론 국내 기업들도 ‘네이버 클라우드’, ‘T클라우드’ 등의 이름으로 서비스를 제공하고 있다.

하지만 클라우드는 일반 PC나 서버보다 더 많은 보안위협에 노출돼 있다.

개인 사용자의 관점에서 본다면 개인정보 노출, 개인에 대한 감시, 개인 데이터에 대한 상업적 목적의 가공 등이 우려되는 상황이다. 서비스 제공 기업의 관점에서는 서비스 중단이나 장애, 기업이나 고객 정보 유출 또는 훼손, 법·규제 준수 등을 고려해야 한다. 따라서 클라우드 서비스에서는 이 모든 우려를 예방할 수 있는 보안체계를 만들어야 한다.



클라우드에서의 가상화 보안 취약점

 

 

 

(클라우드에서의 가상화 보안 취약점)

 

클라우드 컴퓨팅에서 대용량 데이터를 암호화하면 가용성이 떨어질 수 있어 새로운 암호 알고리즘을 개발해야 한다. 데이터암호표준(DES)이나 고급암호표준(AES)처럼 속도가 빠른 대칭 암호가 대표적인 예다. 키가 저장돼 있는 서버에 사고가 나면 여러 사용자가 데이터에 접근할 수 없으므로 보다 효율적인 키 분배 알고리즘도 필요하다.

아마존웹서비스(AWS)의 전자서명에서 취약점이 발견된 사례가 있다는 점을 고려하면 인증 프로토콜에 대다양한 사례별 검증이 필요하다. 클라우드 컴퓨팅은 사용자의 요청을 받아 자원을 할당하므로 분산서비스거부(DDoS) 공격을 피할 수 없다. 따라서 클라우드 환경을 가정한 공격 모델을 정립해 공격에 안전한 클라우드 환경을 제공해야 할 것이다.




양자컴퓨터가 완성되면…

현존하는 컴퓨터는 0과 1이라는 비트로 계산을 하지만 양자컴퓨터는 0과 1외에도 이들의 중첩(superposition)과 얽힘(entanglement)이 가능한 큐비트를 기본 단위로 한다. n개의 큐비트가 계산할 수 있는 양은 기하급수적으로 증가해 2n가지가 된다. 이 쯤 되면 양자컴퓨터의 계산능력이 얼마나 빠른지 놀라게 된다.

피터 쇼어는 이렇게 빠르게 계산을 할 수 있다면 자연수 N을 쉽게(흔히들 ‘다항식 시간’이라고 한다) 소인수분해할 수 있지 않을까 하고 생각했다. MIT에서 응용수학으로 박사학위를 받은 쇼어는 벨연구소에서 부호론과 양자물리에 대해 연구했으며 현재 MIT 수학과에 재직하고 있다.

1994년 쇼어는 양자 알고리즘(양자컴퓨터로 구현되는 알고리즘)을 이용할 경우 자연수 N의 소인수분해도 빨리 할 수 있다는 것을 증명했다.(정확히 말하면 다항식 시간(O((logN)2(loglogN)(logloglogN))이면 가능하다는 것을 증명했다.)





또 한 시대의 천재가 태어나는 순간이었다.

쇼어의 증명으로 가장 급하게 된 사람들은 암호학자들이었다. 20여 년 동안 잘 유지돼 온 RSA 공개키 암호의 위상이 흔들리게 됐기 때문이다. RSA 암호는 자연수를 소인수 분해하는 것은 매우 어렵다는 수학적 지식에 바탕을 둔 알고리즘이다.

그런데 양자컴퓨터가 만들어진다면 RSA가 쉽게 깨진다는 사실은 모두를 놀라게 했다. 전문가들은 10년 혹은 20년 안에 양자컴퓨터가 완벽하게 구현될 것이라고 전망한다. 이 때가 되면 앞에서 언급한 IoT, 차량, 그리고 클라우드에 사용되는 모든 암호와 보안체계는 무용지물이 될 수 있는 것이다. 이에 대비해 지금부터 양자컴퓨터를 이용한 알고리즘에도 쉽게 풀리지 않는 후 양자 암호를 만들어야 하는 것이다.

현재까지 알려진 후 양자 암호로는 해시(Hash) 기반 암호, 부호(Code) 기반 암호, 격자(Lattice) 기반 암호 등 크게 3종류가 있다. 이 중 부호 기반 암호와 격자 기반 암호는 공개키 암호로 좀 더 활발한 연구가 진행되고 있다.

국내 암호학계에서도 좀 늦은 감이 있지만 후 양자 암호에 대한 연구를 시작했다. 전 세계에 양자 관련 연구소는 총 269개가 있는데 우리나라에는 한국전자통신연구원(ETRI), 한국과학기술연구원(KIST) 나노양자정보연구센터, 한국과학기술원(KAIST), SK텔레콤 퀀텀연구소 등 4개가 있다.

미국은 CIA, NAS, NASA, ARDA 등 정보기관과 연구소를 중심으로 공개·비공개 연구를 진행하고 있는 반면, 한국은 이제 막 연구를 시작하는 후발 그룹에 속한다. 지금은 후발 그룹에 속하지만 점차 양자 암호에 관한 기술(특허의 질)을 높여 리딩그룹으로 도약해야 할 것이다.

<본 기사는 테크M 제38호(2016년6월) 기사입니다>

 

 

 

뉴스