알고리즘 정책, 무엇을 보호하느냐의 관점으로 변해야
개인정보보호법이 시행되면서 기업들의 암호화에 대한 관심이 높아지고 있다. 특히 어떤 암호화 알고리즘을 사용해야 안전할지, 그리고 어떤 암호화 솔루션을 도입해야 할지 기업 입장에서는 막막하기만 하다. 또 한정된 예산으로 개인정보보호법 대응 준비를 해야 하는 중소기업 입장에서는 뭔가 정부에서 대책마련을 해줬으면 하고 내심 기대하고 있다. 이에 김승주 고려대학교 교수를 만나 자세히 들어봤다.김승주 교수는 “개인정보보호법을 만들 때 참여했기 때문에 법과 관련해 자주 문의를 받고 있다. 개인정보보호법 모든 조항에는 기업이 최대한 보호조치를 하라는 대전제가 깔려있다”며 “개인정보 폐기시 복원이 불가능한 방법으로 하라고 돼 있다. 불가능이란 단어는 강력한 것이다. 법안 만들 때도 너무 강한 것 아닐까란 생각했지만, 기업이 처한 상황에서 최대한 보호조치를 하라는 의미로 받아들이면 되고 법정에서도 그렇게 해석할 것이다. 암호화 문제도 그러한 맥락에서 이해하면 된다”고 설명했다.
◇한국과 미국의 암호화 알고리즘 차이=암호화 알고리즘은 어떤 것이 있을까. 한국은 모두 정부주도로 개발된 알고리즘들이다. SEED와 ARIA, 비공개암호알고리즘이 있다. 민간 및 대국민 행정업무 표준은 SEED 또는 ARIA, 공공에는 비공개암호알고리즘이 사용되고 있다.
미국은 정부주도하에 만든 SKIPJACK이 있고 민간에서 만든 3DES, AES 등이 있다. 모두 미국 표준이면서 국제 표준이다.
미국과 한국의 정책적 차이에 대해 김 교수는 “한국은 누가 사용하느냐에 따라 알고리즘이 지정되고 있고 미국은 무엇을 보호하느냐를 기준으로 알고리즘을 지정하고 있다”며 “민감한 국가기밀정보를 취급하는 곳에는 정부가 만든 알고리즘을 사용하고 나머지 일반적인 정보에 대해서는 민간에서 만든 알고리즘을 자유롭게 사용하라는 것이 미국이다. 미국 정책이 타당하다”고 강조했다.
즉 한국은 누가 사용하는가란 관점에서 알고리즘 표준을 정했기 때문에 중요 정보든 일반 정보는 거기에 따라야 하는 이상한 상황이 발생한다는 것이다. 정보의 중요도에 따라 사용하는 알고리즘 표준이 정해져야 한다는 주장이다.
◇암호화 기술, 8등급으로 업그레이드 필요=김 교수는 많은 기업들이 유효기간이 충분하지 않은 암호화 알고리즘을 사용하고 있다고 지적했다. SK컴즈를 예를 들면, 싸이월드와 네이트는 비밀번호 암호화를 MD5를 사용했다. 이는 총 8단계 보안등급에서 2단계에 불과하며 외국에서는 폐기하라는 수준이다.
또 주민번호에 대해 SK컴즈는 AES-128로 암호화했다. 김 교수는 “주민번호 암호화에 있어 AES-128은 충분하지 않다. 어떤 암호화 기술을 사용할 것이냐는 보호해야 할 문서의 보존 연한이 기준이 돼야 한다”며 “AES-128같은 경우는 유효기간이 2040년이다. 하지만 SK컴즈가 유출 당한 3,500만명 정보 중에는 2040년 이상 생존하는 사람들이 많을 것이다. 즉 AES-128로는 부족하고 더 높은 등급으로 업그레이드 해야 한다”고 강조했다.
현존 최고 수준의 기술은 AES-256이다. 김 교수에 따르면 “국내는 대부분 AES-128을 주로 사용하고 있다. 해외에서는 많은 기업들이 AES-256과 SHA-2를 많이 사용하고 있다. 8등급으로 업그레이드를 해야 보안성을 확보할 수 있을 것”이라고 설명했다.
또 암호화 솔루션이 대중화 되지 못하는 이유 중에 하나가 바로 속도 문제다. 많은 기업과 기관들이 암호화 솔루션을 도입하면 속도가 너무 떨어진다는 불만을 가지고 있다. 암호화 솔루션 확산에 비용문제와 함께 큰 저해요인이다.
김 교수는 “암호가 일정 속도를 내려면 하드웨어 칩으로 구현해야 한다. 소프트웨어로는 한계가 있다. 우리나라는 보안칩 생산안한다. 대부분 대만에서 수입해 온다”며 “대만칩에는 거의 국제 표준인 미국 암호화 알고리즘이 내장돼 있다. 문제는 국내 사용을 위해 승인을 받기 위해서는 국산 알고리즘이 들어가야 하기 때문에 대부분 칩에 국산 알고리즘을 이미지 떠서 하드웨어에 넣고 돌린다. 결국 소프트웨어로 돌리는 것이기 때문에 속도가 느리다는 불만이 나오고 있는 것”이라고 설명했다.
그래서 최근 민간 부분은 국산 알고리즘에만 규정하지 말고 자유롭게 미국 알고리즘을 사용해도 무방하지 않을까란 이야기가 나오고 있다고 한다. 국가 안보와 관련도 없는 상황에 굳이 한국 알고리즘만 고집할 필요가 없기 때문이다. 또 편법으로 많은 기업들이 심의만 국산 SEED로 받고 후에는 속도 문제로 AES 등 미국 알고리즘을 사용하고 있기 때문이기도 하다. 금융 쪽은 현재 AES 사용에 긍정적 반응을 보이고 있다고 한다.
그렇다면 보안예산이 턱없이 부족한 중소기업들은 암호화 이슈를 어떻게 극복해야 할까. 김 교수는 “중소기업들도 전혀 예산 투자를 하지 않으려고 하면 안된다. 최소 비용으로 암호화를 하기 위해서는 IDC나 클라우드 서비스 센터에 위탁하면 된다”며 “위탁업체에 맡기고 위탁항목에 개인정보를 추가하면 문제가 발생하더라도 위탁업체에 책임이 전가되기 때문에 저 비용으로 안전하게 사용할 수 있을 것”이라고 제안했다.
◇암호화, 개선되어야 할 3가지 과제=김 교수는 또 암호화와 관련해서 3가지 개선방향을 제시했다. 그 첫번째가 기업에서 암호 전문가를 채용하라는 것이다. “기업에서 보안인력을 채용할 때 대부분 암호전문가를 뽑지 않는다. 최근에는 해킹 기술자를 많이 채용하는데 해커들이라고 해서 암호전문가는 아니다. 그래서 암호를 모를 경우 인터넷 검색을 통해 아무 알고리즘이나 갖다 사용하는 경우도 많다”며 “잘못 사용하게 되면 문제가 발생할 수 있기 때문에 기업에서 암호전문 인력을 채용하면 보다 안전한 암호화 정책을 가져갈 수 있다”고 말했다. 하지만 국내 암호화 전문 인력이 부족하기도 하고 대기업 이외에는 실효성이 없어 보인다.
또 하나는 공공기관의 적극적인 개입이 있으면 어떨까란 의견이다. “정부에서 민간시장 교란이 되지 않는 수준에서 암호화 솔루션을 직접 만들어 배포하는 방법이다”라며 하지만 김 교수도 “SEED와 ARIA 같은 경우 소스코드를 준다. 그런데 문제는 소스코드 줄려면 개발자가 쉽게 알 수 있게 여러 플랫폼 별로 다양하게 소스코드를 줘야 하는데 정부가 이러한 유지보수 대응까지 할 수 있을지 미지수”라고 말했다.
마지막으로 표준을 만들면 그것으로 끝나는 것이 아니라 알고리즘이 나오면 분야별로 일반 개발자가 쉽게 알 수 있도록 해줘야 한다는 것이다. 김 교수는 “우리나라는 개발자 구현과 관련된 표준은 엉터리”라며 “세부적으로 어떻게 활용해야 할지 구현 표준이 거의 안돼있다. 구현 형태를 개발자가 쉽게 할 수 있도록 해야 한다”고 강조했다.
김 교수는 “데프콘과 같은 해외 보안 컨퍼런스에서도 암호화 관련 발표들이 최근 늘고 있다. 또 해킹과 암호커뮤니티가 만나기 시작했다”며 “한국에서도 해커들과 암호전문가들의 활발한 교류가 필요하다. 우리는 문제가 발생하면 DDoS, 개인정보보호, 웹 취약점 등 이슈에만 집중하고 있다. 하나만 보지 말고 보안의 여러 분야가 융합되는 방향으로 가야 한다”고 당부했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지