정보보호는 초기에 ‘암호=정보보호’였던 시기를 지나 현재는 사이버 보안과 디지털 수사의 범위까지 포괄한다. 암호 1세대로, 암호의 세대별 진화과정을 직접 참여한 정보보호대학원 임종인 원장을 만나 정보보호의 역사, 현황 그리고 나아갈 방향에 대해 물었다.

한국 암호학, 정보보호의 역사
- 암호학과 어떻게 인연을 맺었는가

▲ 임종인 교수.

“암호키와 해독키가 같아 컴퓨터로 쉽게 분석되는 고전 암호와 달리, 현대에서 소위 ‘안전한’ 암호는 최신 슈퍼컴퓨터로 암호를 해독하기까지 100년 가까이 걸린다. 수학적 분석은 암호 제작과 해독에 필요한 계산량을 파악할 때 필수적이다. 특히 1976년에 공개키 암호시스템이 등장하고, 이를 구현한 RSA암호 시스템이 나오면서 수학과 암호학이 정면으로 마주했다. 현대암호에서는 정수론, 대수학, 확률통계 등을 이용한 수학적 분석이 주로 쓰인다.
암호학 전공으로 바꾸게 된 계기는 국가정보원(이하 국정원)과의 인연 덕이다. 수학과 석사과정 때, 국정원측에서 암호생성에 도움을 청한 적이 있다. 수학을 계속한다고 해서 일류 수학자가 될 자신은 없었고, 암호학을 공부하면 그 분야의 선구자가 되는 동시에 교육구국을 달성할 수 있다고 생각했다. 이후 석사과정을 마치고, 유학준비를 하다가 전공을 암호학으로 바꿨다.”

- 한국 정보보호의 역사는 어떻게 서술되고 있는가
“80년대 까지만 해도 암호는 곧 정보보호였다. 하지만 월드와이드웹(WWW)이 등장하고, 90년대 윈도우 시리즈가 민간에 널리 퍼지며 전자상거래가 시작됐고, 전자상거래가 성행하면서 사이버 범죄도 등장했다. 이후 정보보호는 더 이상 암호만을 의미하지 않게 됐다. 대표적인 사이버 범죄로 해킹이 성행했는데, 해킹을 막기 위한 백신과 사이버 범죄 처벌법 등이 만들어졌다. 1997년에는 사용자 신분을 확인하는 전자서명법과 인터넷 신분증인 공인인증서 관련 법안이 만들어졌다.
최근에는 글로벌화가 진행되면서 사이버 정보보호는 국제적 성격을 띠고 있다. 2000년대 이후해커들이 국가적 단위로 특정 국가를 공격하는 사이버 테러가 발발했다. 2009년 미국이 세계최초로 사이버사령부 창립을 선언했고, 우리나라도 2010년 사이버사령부를 설립했다.
또한 정보와 관련해 국제협력도 커지며 상업적 이용이 증대돼 2000년대에는 개인정보 보호문제가 대두됐다. 개인정보 보호관련 법안은 EU에서 시작했고, 우리나라는 이 법안이 2011년에 만들어졌다. 또한 대통령 산하 ‘개인정보보호위원회’가 발족돼 나를 비롯한 정보보호 전문가들이 활동하고 있다.”

-현대 암호시스템의 현황과 차세대 암호 시스템에 대해 말해 달라.
“1978년 RSA 암호 시스템 이후 공개키 암호시스템은 계속 발전하고 있다. 그러나 최근 양자컴퓨터가 등장하면서, 기존 계산량에 의존한 알고리즘이 안전성을 보장받지 못하게 됐다. 슈퍼컴퓨터로 100년 동안 걸리는 암호를 양자컴퓨터는 천 배 더 빨리 해독할 수 있기 때문이다. 이에 대응해 최근에는 래티스(lattice, 격자) 기반 알고리즘의 새로운 공개키 암호 연구가 진행되고 있다. 그러나 상용화 문제 때문에 RSA RSA는 1977년 론 리베스트(Ron Rivest)와 아디 셰미르(Adi Shamir), 레오나르드 아델만(Leonard Adleman) 등 3명의 수학자에 의해 개발된 공개키를 기반으로 한 암호 알고리즘이다.
 ECC (Elliptic Curve Cryptography)는 타원 곡선암호이다. 타원곡선의 한 점 Q와 P의 관계가 ‘Q= dP'라 할 때, d를 알아내기 어렵다는 것을 이용한 공개키 암호이다. 타원곡선 암호는 전자상거래의 전자결제, 휴대단말기의 본인확인 등 멀티미디어 기반기술로 폭넓게 사용된다.
 미래의 암호로는 도청이 불가능한 ‘양자암호’가 있는데, 하이젠베르크의 ‘불확정성의 원리’를 착안해 만든 것이다. 우리가 사물을 관측할 때, 사실은 광자가 당구공처럼 물체가 가서 부딪히기 때문에 사실상 사물의 위치는 이동한다. 이렇게 광자들한테 45도, 90도의 각도로 빛을 쏴 보내는 과정에서, 관측자가 몰래 도청을 하면 사물의 위치가 이동해 원래의 각도가 흐트러져서 수용자에게 오지 않는다. 수용자는 잃어버린 광자를 통해 중간에 도청이 된 것을 파악할 수 있다. 아직 속도가 느리고, 경제적 비용이 많이 들어 비효율적이지만 이론적으로는 안전한 암호시스템이어서 NSA(미 국가안보국) 같은 특수기관에서 쓰고 있다.

개인정보 유출, 무엇이 문제인가
- 최근 은행 3사 개인정보유출이 화제가 됐는데.
“보안이 뚫리면 우리조직이 망한다는 위기의식이 없다. 사이버 보안 분야에서의 ‘안전 불감증’ 때문이다. IT산업은 그 특성상 아웃소싱을 하는데, 협력업체와 프로젝트를 장기간 같이 진행하다보면 밥도 먹고 술도 마시며 ‘정(情)’이 들면서 보안을 느슨히 한다. 개인정보는 곧 돈이 되기에, 협력업체 직원이 본사의 느슨한 보안을 틈타 정보를 USB에 넣어서 파는 것이다.
이를 방지하기 위해선 철저한 원칙준수가 필요하다. 개인정보가 유출된 KB, 농협, 롯데카드 등 은행 3사와 달리, 삼성· 신한카드는 전자금융감독 규정을 철저히 지켜 정보유출을 피할 수 있었다. 삼성·신한카드는 협력업체에서 FDS(카드부정사용방지) 시스템이 제대로 작동하는지 알기 위해 사용내역을 요구했을 때, 개인들을 식별할 수 없게 번호를 ‘*’ 표시해서 정보를 제공했다. 특히 삼성은 협력업체에서 실 데이터를 계속해서 요구하자, 규칙을 준수해야한다며 협력업체의 담당자를 바꿨다.
안보가 생명이라는 인식 역시 중요하다. 해외 사례를 보면, 2007년 미국 금융서비스 회사인 서티지 체크 서비스(Certegy Check Services)에서 한 직원이 850만 명의 고객정보를 팔아넘긴 사건이 있다. 당시 피해자들은 막대한 집단 소송을 제기했고, 법원의 중재를 통해 회사가 1인당 2만 불까지 물어줬다. 결국 그 회사는 파산했다. 고객 정보가 유출되면 회사는 망한다. 이렇게 개인정보 유출 사건을 사과만으로 어물쩍 넘기는 것은 아직 우리나라가 정보 후진국으로 성장통을 겪는 것으로 볼 수 있다.”

- 개인정보 보호를 위해서 '보안등급 공시제'가 필요하다고 했다
“기업을 신용 평가하듯이, 보안등급 공시제는 특정 기관이 개인정보를 취급하는 회사를 평가하고 그것을 공개하는 것을 의미한다. 이것을 통해 소비자에게 개인정보를 제공할 회사가 믿을 만한지 선택권을 줄 수 있다.
필요성이 큰 만큼 보안등급 공시제 도입과 관련해 2월 13일 입법청문회 자리에서 강력히 주장했다. 미래부는 올해 안에 시행할 것을 약속했다. 이뤄진다면 전 세계 최초가 될 것이다.”

- 개인정보 2차 유출의 가능성을 언급하면서 '주민번호를 13자리 난수형태'로 바꾸자고 했다
“개인정보 유출 이후, 일각에서 ‘주민번호를 왜 암호화하지 않았느냐’고 지적이 있었다. 그러나 주민번호를 암호화하게 되면, 개인정보를 검색할 때, 암호화된 주민번호를 다시 평문으로 복호화해서 대조해야해 시간이 오래 걸린다.
기존 주민번호는 고정된 13자리여서 유출돼도 수정할 수 없다는 문제가 있다. 주민번호 앞의 여섯 자리는 생년월일이고, 뒤의 여섯 자리는 각각 △성별 △출생지역 △등록순서 △체크넘버로 이뤄져있다. 주민번호는 개인 식별번호로 필요하지만, 개인의 신상정보를 포함하지 않도록해야 한다. 최근의 주소 제도 개편과 더불어 주민번호를 13자리 임의의 수, 난수 형태로 변경할 필요가 있다.”

-스마트 폰의 보안 시스템 또한 궁금하다
“스마트 폰은 기본적으로 보안이 취약할 수밖에 없다. PC와 달리 24시간 내내 켜있고, 사용빈도가 높기 때문이다. 여러 사이트에 들어가서 무료 어플리케이션을 다운받는 경우가 많은데, 그것이 다 감염경로이다. 특히 스마트 폰에는 사진, 약속, 대화를 다 저장해 한 번 감염되면 사생활에 극심한 피해를 입게 된다.”

한국의 정보보호 산업
- 미국 국가안보국(NSA)의 '도청'으로 전 세계가 경악했다. 이에 대항하는 우리나라의 정보보호 산업의 실태는
“예전에는 수학과에서 암호를 공부하는 사람이 많았는데, 최근에는 현저하게 줄었다. 암호는 소재산업처럼 정보보호의 가장 기본이다. 그러나 사회가 지금 조급증에 빠져있어 이에 대한 투자가 부족하다. 암호는 핵심소재 산업이어서 경제적 측면만을 고려하면 안 된다고 생각한다.
결국 국가가 개입할 수밖에 없는 상황이다. 기업의 입장에서도 수지타산이 안 맞아 정보보호 산업을 육성하기 힘든 실정이기 때문이다. 따라서 사이버 보안 산업 육성과 법 제도 도입이 시급한데, 그 중에서도 제일 중요한 건 ‘인재’ 육성이다. 사이버 보안 인재는 사이버 세상의 문제를 해결하는 유능한 ‘의사’라고 볼 수 있다.”

(임종인 원장은 본교 수학과를 졸업해 암호학을 전공하고, △디지털수사자문위원회 위원장 △한국정보보호학회 회장 △국가정보원 사이버보안 자문위원 △대검찰청 사이버수사 자문위원장 △대통령 직속 개인정보보호 위원 등을 역임하고 있다.)

저작권자 © 고대신문 무단전재 및 재배포 금지