앞으로 EC 보안의 결정체는 타원곡선암호체계(Elliptic Curve Cryptosystem)의 상용화라고 해도 과언이 아니다. 현재 전 세계 정보보호 분야의 전문가들이 내고 있는 한결같은 목소리다.
이유는 명확하다. 기존 공개키 암호 알고리듬의 대명사격인 RSA의 단점을 보완할 수 있는 유일한 솔루션으로 주목받고 있기 때문이다.
원래 공개키 암호는 EC 환경의 확산과 밀접한 관련이 있다. 즉 1 대 1 통신에서 데이터의 기밀성이 절대적이던 이전에는 소수의 통신 당사자가 각각의 비밀키를 보유하고 이를 통해 데이터의 암·복호화만 보장할 수 있으면 안전한 통신이 보장됐던 것이다.
하지만 통신환경이 급속도로 발전되면서 불특정 다수와 안전한 통신을 위해서는 효율적인 키 관리와 분배기법 필요성이 대두하게 됐다. 적은 수의 키로 다수의 상대방과 안전한 암호통신을 가능하게 하고 전자서명 용도로도 활용할 수 있는 효율적 암호기법이 필요하게 된 것이다. 이같은 배경에서 등장하게 된 암호기법이 공개키 방식이다.
그동안은 RSA가 검증된 안전성으로 공개키 암호방식의 터줏대감 역할을 해왔다. 그러나 RSA는 암·복호화를 위해 막대한 계산량이 필요한 것은 물론 처리속도가 느리다는 단점이 꾸준히 지적돼 왔다. 한마디로 EC 환경에서 RSA를 이용해 공개키 암호시스템 구축에는 CPU·메모리 등 하드웨어의 엄청난 진보를 전제로 해야 하는 것이다. 더욱이 앞으로 개인이 하나씩의 공개키를 취득하게 될 공개키 기반구조(PKI)하에서는 처리 용량·속도 개선은 불가피한 것이다.
이 가운데 주목받게 된 것이 ECC다. 실제로 키 길이가 1백60비트인 ECC는 1천24비트인 RSA암호와 똑같은 안전성을 구현한다. 키 길이가 메모리·CPU 속도와 직결되는 점을 감안하면 속도가 비교 할 수 없을 정도로 빠르다는 것이 입증된다.
이와 관련, ECC의 원천기술을 보유하고 있는 캐나다 서티콤사는 최근 주목할 만한 성능 비교 테스트 결과를 내놓았다. 동일한 시스템 환경에서 RSA와 ECC를 비교한 결과 전자서명·인증·암호화·복호화에 필요한 전체 소요시간은 ECC가 RSA에 비해 최고 1천2백40배나 빠른 것으로 나타났다.
ECC의 이같은 장점 때문에 결국 IC카드·이동전화·PDA 등 휴대형 정보단말기에 암호 알고리듬을 하드웨어적으로 구현하기 쉽다는 결론이 난다. 특히 차세대 금융수단인 스마트카드에 이를 구현할 수 있게 되면 전자화폐와 EMV(IC칩 기반의 신용·직불카드) 카드의 상용화도 한단계 앞당길 수 있는 것이다.
이밖에 ECC를 활용하면 전자서명 속도도 크게 향상시킬 수 있어 EC환경에서도 실제 서명과 마찬가지로 사용자들에게 편리함을 제공할 수 있다. 신용카드 기반의 EC 지불결제 프로토콜로 자리잡고 있는 SET의 경우도 조만간 등장할 차세대 버전에 ECC를 포함시킬 예정이다.
이에 따라 세계적인 보안업체들은 ECC 원천기술 확보와 상용화에 열을 올리고 있다. 여기에는 캐나다 서티콤사를 비롯, 유럽 각국과 일본 등이 적극적이다. 특히 일본의 경우 통산성이 주관하는 「EC실증실험」에 ECC를 채용하는 등 정부차원에서 강력한 드라이브를 걸고 있다. 이 결과 일본에서는 현재 히타치제작소·일본전신전화(NTT)·도시바·NEC·미쓰비시전기·후지쯔 등이 잇따라 연구성과물을 발표하고 있다.
국내에서는 ECC 기반기술과 관련 포항공대·고려대 등이 주도하는 국책, 또는 산학 연구과제가 진행중이다. 최근 정보보호 전문업체인 켁신시스템은 고려대 임종인 교수팀과 공동으로 타원찾기 알고리듬, 기본고속연산 알고리듬 등 ECC 기반기술 확보에 성공했다. 특히 이들 연구팀은 국내 표준 전자서명 알고리듬인 「KCDSA」에 ECC를 적용, 「KCDSA」를 국내 최초로 선보이는 등 이 분야의 세계 기술흐름을 주도할 만한 고무적인 현상이 일어나고 있다.
이와 함께 포항공대, 펜타시큐리티시스템, LG EDS시스템 등도 ECC 알고리듬의 상용화에 박차를 가하고 있어 아직은 미미한 수준이지만 곧 국내에도 기술 기반의 확산이 기대된다.
EC 기반기술 확보를 위한 국제사회의 이같은 노력에도 불구하고 당장에 상용화를 눈앞에 둔 것은 아니다. 무엇보다 이제 겨우 10여년의 역사밖에 되지 않은 ECC의 해독법에 대한 철저한 검증이 이뤄지지 않았다는 점이다. 암호체계는 결국 해독법과 병존하는 것이므로 앞으로 다소 시일이 걸릴 것이라는 게 일반적인 견해다.
이와 함께 국내의 경우 선진 외국업체가 이미 보유하고 있는 기술특허권을 피하면서 독자적인 분야를 개척해야 한다는 중차대한 과제가 남아 있다.
<서한기자 hseo@etnews.co.kr>