입력 : 1998.12.01 20:40
## 미의존 벗어나 독자 암호체계 개발… 2000년 세계시장 500억불 ##.
♧ 지난 10월 29일, 정보통신부 산하 기관중 이름도 생소한 한국정보
보호센터(원장 이철수)는 전자상거래용으로 쓰일 국내 첫 정부 공식의
표준 암호 알고리듬 '시드'(Seed)를 발표했다. 하지만 이 소식은 그다
지 주목을 받지 몰했다. 불과 수백명을 헤아리는 국내 암호학자와 업
계 관계자들에게만 음료업계에 '콜라독립 815'가 등장한 것만큼 반가
운 뉴스였을 뿐이다. "미국산 암호들이 판치는 한국 암호 산업계에 한
줄기 빛과도 같은 독립 선언이었다"는 얘기다.
암호 알고리듬(Algorithm)이란 암호를 생산해내는 복잡한 수학공식
이다. 이를테면 `ABC'라는 글자가 이 알고리듬을 거치면 `#@$ZO'같은
괴상한 문자덩어리로 바뀐다. 암호키가 없으면 이 문자덩어리는 결코
`ABC'로 복구되지 않는다.
암호는 그동안 국가의 전유물이었다. 군사, 외교 등의 안보 분야에
서나 쓰이는 기밀 보존을 위한 장치. 당연히 어떻게 암호가 만들어지
는지는 국가의 1급 비밀이었고 암호를 만들고 해독하는 국가간 경쟁도
스파이들의 정보전쟁 양상을 띠었다.
하지만 금융거래 등에 전산망이 도입되고 최근 들어 인터넷 전자상
거래가 활성화되면서 민간에서도 암호수요가 폭발하고 있다. 지난 6월
부터 인터넷을 통한 주식 홈트레이딩 서비스를 시작한 대신증권이 최
근까지 매달 1조원 이상의 약정을 올리자 각 증권사들이 앞다퉈 인터
넷 주식거래 시스템을 도입하는 것이 좋은 예. IMF 환란을 겪은 한국
은행도 최근 한국은행과 각시중은행을 잇는 외환거래망의 암호화를 고
려하고 있다고 한다. 외부로 활짝 열려있는 인터넷 주식 거래, 전산망
을 이용한 금융 거래와 신용카드 등 각 분야에서 암호는 거래 내용을
보호하는 필수 장치이다. 이 때문에 시장도 날로 팽창해 오는 2000년
에는 전세계적으로 500억달러가 넘을 것으로 추산되고 있다.
●전자상거래, 금융거래, 각종 카드에 필수.
그동안 이런 수요는 대부분 미국 업체들이 채워왔다. 대신증권만
해도 소프트웨어 공급 업체는 국내 벤처기업 이니텍(대표 권도균)이지
만 암호 알고리듬은 블로피시(Blowfish)라는 미국산 제품. 국내 업계
에 따르면 금융기관등 국내 공공기관의 암호수요의 80%를 미국 업체가
공급하고 있다. 그러나 이같은 상황은 단순히 미국업체가 시장을 독점
하는 수준을 넘어 향후 국가간 정보 전쟁에서 심각한 문제를 낳을 수
있다는 게 국내 학자들의 지적이다.
이들은 철저하게 자국의 정보우위전략를 고집하는 미국의 암호정책
을 첫번째 문제로 든다. 미국은 77년 IBM이 개발한 데스(DES·Data En-
crytion Standards)를 민간부문에서 쓰는 국가 표준으로 지정했다. 미
국업체들은 그동안 이 데스를 이용해 세계 암호 시장의 60% 이상을 점
유해 왔다. 전세계 암호 제품의 44%가 데스를 쓰고 있을 정도. 상황은
국내도 마찬가지이다.
하지만 이 데스에는 중요한 함정이 있다는 의혹이 지난 20여년 동
안 미국 내부에서조차 지속적으로 제기돼 왔다. 내부에 정보기관만이
알 수 있는 함정(Trap Door)이 있어 언제든 암호를 풀 수 있을 것이라
는 의혹이었다.
그 근거의 하나가 데스 개발이 도청, 위성사진 등을 통해 세계의
첩보를 수집하는 미 국가기관인 국가보안국(NSA)이 깊숙이 개입한 가
운데 비공개로 진행됐다는 점. 미 메릴랜드주 포트미드에 있는 NSA는
'전세계 암호학자의 반 이상이 모여 있다'는 암호 해독에 관한 한 세
계 최고 기관으로 연간예산만 100억달러에 이른다고 한다.
만약 이런 의혹이 사실이라면 이 데스를 채용한 국가·공공기관의
정보는 결국 미국의 손바닥 안에 들어있게 되는 셈이 된다. 한국정보
보호센터의 박성준 박사(38)는 "데스 내부에는 암호 전문가로서는 납
득할수 없는 부분이 적잖아 의혹을 사고 있다"고 말했다. 국내 암호관
련 정책을 총괄하는 국가정보원도 공공기관의 암호시스템으로 데스는
'절대불가'라는 입장인 것으로 알려지고 있다.
● 미, DES 국내 시장 80% 점유.
미국이 지난 수년간 128비트 암호 알고리듬의 수출을 강력히 통제
하는 것도 결국은 암호기술과 정보 전쟁에서 우위를 유지하고자 하는
정책이다.
보통 암호를 푸는 열쇠는 클수록 안전하다. 외부인이 가상할 수 있
는 열쇠의 조합 수가 그만큼 늘어나기 때문. 128비트 암호는 슈퍼컴퓨
터가 20년을 계산해야 풀린다고 한다. 56비트 암호인 데스가 지난 97
년부터 개인용 컴퓨터(PC)로도 수시간 내에 풀려버리자 미국에서는 최
근 128비트 암호 기술이 주류를 이루고 있다.
현재 미국은 128비트 암호 제품 수출을 극력 통제하고 있다. 세계
시장 점유율 하락을 우려하는 기업체들의 주장에도 불구하고 FBI, CIA
등 수사·정보기관은 "이 첨단 기술이 테러국가에 유출될 경우 극도로
위험하다"는 입장을 고수하고 있다.
실제로 암호 기술이 민간에 공급되기 시작하면서 각국 정부는 곤혹
스러운 입장에 처해 있다. 민간의 정보도 암호의 보호막 속에 쌓여 정
부기관의 접근이 차단될 수밖에 없게 된 것이다. 미 정부도 발달한 미
국의 암호제품이 민간과 외국에 수출되면서 정보 수집에 곤혹스러움을
겪고 있는 것으로 알려지고 있다.
이런 문제에 대처하기 위해 미 정부가 93년 내놓은 묘안이 이른바
키 복구(Key Recovery). 클리퍼(Clipper)라는 이름을 가진 이 정책은
민간기업의 암호제품 판매 및 수출을 자유화하는 대신 국가가 언제든
그 제품으로 암호화된 정보를 해독해볼 수 있는 마스터 키를 갖겠다는
정책이다. 미국 정부가 최근 돈세탁 방지협약에 가입한 전세계 48개국
에 휴렛 팩커드사의 128비트 암호 알고리듬 버시큐어(Versecure)를 수
출하는 데 동의한 것도 이런 마스터 키를 장착한다는 조건을 달고서였
다. 결국 이 암호를 이용하는 상대국 정보를 언제든 미 정부가 필요할
때 꺼내볼 수 있다는 얘기가 된다.
이런 위험 때문에 유럽은 지난 92년 독자적인 128비트 암호 알고리
듬인 IDEA를 개발하는 등 선진국들은 국가기관은 물론 민간 기업의 암
호까지 독자적인 표준을 마련하는 쪽으로 방향을 잡고 있다.
시드가 '암호 주권 선언'에 비유되는 것도 이런 민간의 암호 체제
로 미국의 데스를 대신할 유력한 후보이기 때문. 앞으로 국내 공공기
관 등이 시드를 표준 암호로 채택하면 결국 암호관련 제품을 공급하는
미국 기업들도 시드를 장착하지 않을 수 없게 되는 것이다.
시드가 선보일 수 있었던 것은 국내 암호기술 수준이 세계적이라고
할 만큼 급속도로 발전하고 있기 때문이기도 하다.
● 국산 크립톤, 미국의 차세대 암호 후보로.
94년부터 생겨난 국내 암호기업은 현재 80여개를 헤아리고 있다. 이
중 80% 이상은 미국 등 외국산 제품 수입 업체. 하지만 일부 벤처기업
을 중심으로 미국과 경쟁할 만한 뛰어난 제품도 나오고 있다. 퓨처시
스템(대표 김광태)의 임채훈 박사(34)가 개발한 크립톤(Crypton)도 그
런 제품. 크립톤은 현재 데스를 대신할 미 정부의 차세대 128비트 표
준 암호 AES(Advanced Encrytion Standards)의 유력 후보중 하나로 올
라있다. 지난 8월 미 정부의 산업기술표준국(NIST)의 AES 후보 선발
과정에서 미국, 이스라엘 등 10개국 14개사 제품과 함께 당당히 1차심
사를 통과해 공개 테스트를 받고 있다.
이 외에 국내 민간 벤처기업이 개발한 이지스(IGIS), 키트27(KEET27)
등도 이미 데스를 뛰어넘었다고 한다. 전자 서명 등에 쓰는 암호 알고
리듬으로 수학적으로 고난도의 기술을 요하는 비대칭 알고리듬에서도
포항공대 이필중교수(47)가 이미 KCDCA라는 국산 알고리듬을 개발했다.
하지만 업체들은 그동안 정부의 암호정책이 명확하지 않아 기업 활
동에 적잖은 지장을 받아왔다. 가장 큰 수요를 형성하고 있는 공공기
관이 암호 제품을 구입해 쓰기 위해서는 국가정보원의 보안성 심의를
받아야 하는데 거의 대부분이 보류되고 있다는 것.
퓨처시스템만 해도 97년 금융결제원과 시중은행 본·지점 사이를
연결하는 비공개 금융 결제라인을 암호화하는 제품을 개발하고도 국가
정보원의 보안 심사가 나오지 않아 제품 판로가 1년째 막혀있다. 국가
정보원은 그동안 비공식적으로 꼭 필요한 금융기관 등의 암호 사용을
묵인해오면서도 공식적으로는 '공공기관의 민간 암호 사용 불가' 입장
을 고수해 오고 있다.
하지만 국가정보원 국내파트에 있는 암호 담당 부처의 젊은 실무자
들을 중심으로 최근 들어 암호산업 육성을 위해 국내 민간업체에 길을
터줘야 한다는 입장을 가진 사람들이 늘고 있다는 게 업계의 전언. 전
기통신연구원(ETRI), 국방과학연구원(ADD) 등이 함께 만든 것으로 알
려진 시드도 실제로는 국가정보원이 내부 평가 과정에 깊숙이 관여했
다고 한다.
업계의 한 인사는 "앞으로 시드와 호환되지 않는 데스 등 미국계
암호 알고리듬은 점점 설 자리를 잃어갈 것"이라면서 "세계 시장 진출
에도 전기가 마련됐다"고 말했다.
-------------------------------
암호란?
-------------------------------
암호는 키를 가진 관계 당사자들만이 알아볼 수 있도록 정보를 변
형, 가공하는 것을 의미한다.
신용카드로 미국 인터넷백화점에서 물건을 구입한다고 하자. 이때
구입자가 보내는 카드번호, 만기일 등의 데이터는 모두 암호로 바뀌게
된다. 수많은 해커들이 득실대는 통신망의 어디에서 언제 자신의 거래
정보가 유출될 지 모르기 때문이다.
기밀을 다루는 팩스나 전화 같은 것도 마찬가지. 눈에는 보이지 않
지만 중간에 새나가더라도 알아볼 수 없도록 보내는 쪽에서 암호화를
하고 받는 쪽에서는 이를 풀어내는 숨겨진 과정이 들어있다.
최근 복제 문제가 불거진 각종 신용카드에도 암호시스템을 갖춘 스
마트 카드 도입이 논의되고 있다.사용자의 정보가 손톱만한 크기의 칩
안에 암호로 저장돼 있어서 도난을 당하더라도 해독이 불가능하다.
-----------------------------------------
마스터 키 국가 귀속 논란
정부 본격 검토, 도입땐 논란 일듯
-----------------------------------------
지난 95년 미 오클라호마 폭파테러사건과 일본 옴진리교의 도쿄 지
하철 독가스 살포 사건은 암호의 역기능이 잘 드러났다는 점에서 공통
점이 있다.두 사건 모두 수사기관이 테러 첩보를 입수하고도 속수무책
으로 당했다. 테러 감행 시기에 관한 첩보가 암호문으로 돼 있어 해독
을 못한 탓이다.
민간의 암호기술이 급속히 발전하면서 각국는 암호 통제수단 마련
에 부심하고 있다. 그 단적인 예가 민간업체가 암호제품을 만들어 팔
되 그 암호를 푸는 별도의 키를 정부에 맡기라는 '키 복구'론. 정부는
언제든 위험 요소가 있을 때 암호를 풀 수 있도록 마스터키를 가져야
겠다는 얘기이다.
우리 정부도 올 들어 이같은 키복구 문제를 비롯한 암호 정책의 문
제를 외부에 의뢰해 본격적인 검토에 들어갔다. 동국대학교 국제관계
대학원의 신재호 교수팀이 정보통신부의 발주를 받아 내년 3월까지 정
책과제를 연구하고 있다는 것. 여기에는 민·관의 전문가 20여명이 참
여하고 있다고 한다.
하지만 클린턴 정부가 지난 93년부터 키복구 정책인 '클리퍼'를 들
고 나온 미국에서도 이 문제는 뜨거운 감자 중의 하나이다. 사생활 노
출의 위험을 우려하는 시민단체들이 극력 반대하고 있기 때문. 미의회
에서도 상원과 하원의 입장이 엇갈려 입법이 교착상태에 빠져있다.
그러나 암호학자들은 대체로 긍정적인 입장. 포항공대 이필중 교수
는 "국가의 권한 남용을 막을 다양한 기술이 이미 개발돼있는 데다 키
복구 요건을 법률로 엄밀히 제한한다면 우려하는 문제는 막을 수 있을
것"이라고 말했다.
경제협력개발기구(OECD)도 지난해 중반 논란 끝에 "키 복구를 의미
하는 국가의 합법적 접근권(Lawful Access)을 인정할 수 있다"는 암호
정책 지침을 내놓았다. 우리 정부도 키 복구 정책 도입은 필수적이라
는 입장이어서 국내에서도 시민단체의 반발이 예상된다.
-------------------------------------
정보보호센터 박성준 팀장
"정부가 암호산업 발전 위해 큰 양보"
-------------------------------------
박성준 한국정보보호센터 기반기술팀 팀장은 이번 시드개발의 산파
역을 맡은 인물. 그에게 시드 개발의 의미를 물어보았다.
- 얼마나 걸렸나.
▲3년 정도 걸렸다. 국내 암호 기술 수준이 높아 개발이 순조로웠다.
- 시드 개발로 암호산업의 큰 걸림돌이 제거됐다는데.
▲암호기술이란 국가 안보에 중요하기 때문에 그동안 국내 암호 업
체들이 공공기관에 제품을 팔 때 제약이 많았다. 이를테면 널리 쓰이
는 미국산 데스를 채택하면 국가 정보 누출의 위험 때문에, 국내 민간
업체의 암호를 쓸 경우 안전성이 검증되지 않았다는 이유로 국가정보
원의 보안성 심의를 통과하기가 불가능했다.
- 어떤 기관이 개발에 참여했나.
▲현재로서는 밝힐 수 없다. 다만 정부 내 여러 기관이 참여했으며
정부로서도 통제에만 연연하지 않고 암호기술을 민간에 공개적으로 공
급하기로 했다는 점에서 큰 양보를 했다고 본다.
- 앞으로 일정은.
▲내년 3월까지 공개 검증을 받을 예정이다. 누구나 인터넷을 통해
알고리듬을 입수해볼 수 있다.
<* 최유식 주간부기자·finder@chosun.com *>