이성만
◇88년 서울대학교 수학과 졸업
◇94년 포항공과대학교 정보통신대학원 졸업
◇94∼96년 포항공대 정보통신연구소 연구원
◇97∼97년 펜타컴퓨터 연구개발실장
◇현재 펜타시큐리티시스템 최고기술책임자(CTO)
통신·거래·회사업무 등 막대한 정보가 흘러다니는 인터넷은 그 영향력 확대와 함께 새로운 위험요소가 등장하고 있다. 인터넷 성장과 활용의 최대 장애요인은 바로 정보보호 문제다.
정보보호란 각종 정보자산에 대해 허용된 사람·방법·범위 외에는 접근과 행위를 제한하는 것을 의미한다. 정보보호에는 물리적·관리적·기술적 측면이 존재하고 이중 기술적인 측면의 중요성이 점차 증대되고 있다.
전산망 정보보호는 다음 몇가지 차원에서 고려돼야 한다. 첫째, 개인적 차원의 정보보호다. 컴퓨터 사용자의 정보자산은 자신이 가공한 정보나 프로그램, 구입한 소프트웨어, 전산망에서 자신의 사용권한 등이다. 따라서 개인은 컴퓨터내에 보관된 유형의 자산이 침해되지 않도록 보호해야 하며 자신의 권한이 불법적으로 이용되지 않도록 해야 한다.
특히 전산망상에서 사용자 접근권한의 판별은 개인인증데이터에 의존하므로 이는 가장 핵심적인 문제라 할 수 있다. 개인의 인증데이터가 노출됐을 때 자신의 모든 권한이 공격자에게 넘어가 버리기 때문이다.
현대인은 금융거래·전산망 접근·통신서비스·지불 등 상황에서 자신의 기밀데이터를 사용하고 있으며 이들은 전산망을 통해 전달된다. 만일 흘러다니는 개인정보가 도중에 상실되거나 불법 유출되면 개인에게는 경제·사회적인 피해가 상상을 초월할 수 있다.
따라서 개인은 자신의 인증데이터와 개인정보, 자신의 소유데이터, 전산망을 통한 행위 등에 대해 확실한 보안을 보장받아야 한다. 최근 발생한 모지방은행 신용카드 복제사건은 금융관련 개인정보가 얼마나 무방비 상태에 놓여 있는가를 여실히 보여준 사건이었다.
둘째, 기업 차원의 보안을 들 수 있다. 최근 들어 기업업무의 전산망 의존도는 갈수록 증가하고 있다. 기업의 전산망 활용도는 곧 기업경쟁력으로 간주되기 때문이다. 따라서 전산망의 안정적 운용과 정보자산의 보호는 기업이 갖춰야 할 필수요소로 등장하고 있다.
기업업무를 수행하는 전산망이 정지되거나 정보자산이 공격당했을 때 해당 기업이 입는 피해는 심각하다. 때문에 인터넷에 연결되어 있는 기업전산망은 외부의 수많은 잠재적 해커들에 대비해야 하며 내부직원에 대한 공격에도 적절한 대책이 있어야 한다.
셋째, 사회적 측면의 보안이다. 컴퓨터와 통신망의 발달로 현대사회에 이르러서는 원격지거래가 일상화됐다. 전자상거래(EC)·전자금융의 급속한 확산이 이를 증명한다.
온라인으로 「돈」이 오가는 지금은 사회구성원에 대한 개인정보의 유출여부는 곧바로 「돈」과 직결된다. 그만큼 위험이 증가하고 개인정보 도용을 통한 범죄도 항상 도사리고 있는 것이다. 사회 전반이 거미줄같은 전산망으로 구성돼 있는 상황에서 신뢰가 기본적 토대지만 이는 인간성에 기댈 수 있는 문제가 아니다.
이러한 신뢰는 전산시스템에서 기술적으로 해결해야 할 부분이다. 한마디로 사회의 신뢰도는 「사람」이 아닌 「보안시스템」에 의해 결정되는 시대가 온 것이다. 따라서 시스템의 신뢰도가 곧 사회의 신뢰도가 되며 신뢰도가 높을수록 사회구성원들의 거래 및 경제행위를 촉진, 안정적인 투자도 가능할 것이다.
넷째, 국가적 차원의 보안이다. 정부·기업에 예외없이 정보화가 적용되는 요즘, 정보보호는 개인이나 개별 기업, 지역사회의 차원을 넘어 국가적 생존의 문제로까지 거론된다. 국가기관이 해킹을 당해 정보유출·전산시스템 마비 등 비상사태 수준의 사고가 발생되는가 하면 자국내 기업의 기밀정보가 경쟁국 기업에 유출되는 국가적 손실도 생길 수 있다.
특히 사이버테러 등의 무기로도 활용할 수 있는 정보보호기술·산업은 국가적 인프라로 볼 수 있다. 현재 선진국들은 정보보호기술을 군사무기로 분류, 해외로의 유출이나 심지어 수출까지도 제한하고 있다.
또한 선진국들은 선진 보안기술·제품을 수출해 경제적 이득을 취하면서도 보안수준을 낮게 조절하거나 트랩도어 등을 설치, 언제든지 뚫을 수 있는 여지를 남겨놓은 게 아니냐는 민간단체들의 반발을 사고 있다. 이같은 상황은 각국으로 하여금 정보보호 기반기술을 스스로 개발할 수밖에 없도록 충동하고 있다.
하지만 앞으로 급부상할 EC·전자금융 등은 지구촌의 상거래 메커니즘이므로 국경을 초월해야 한다. 한마디로 통일된 통신·보안메커니즘이 필요하다는 지적이다.
정보보호기술은 수학·전자·전산분야의 지식기반이 모두 필요한 첨단분야다. 구조상으로 볼 때 기반기술·암호이론·응용기술·기타기술로 구별될 수 있으며 최근 떠오르는 핵심분야를 중심으로 살펴보면 다음과 같다.
우선 공개키 기반구조(PKI)와 인증기관(CA)을 들 수 있다.
인터넷을 통해 안전한 기업업무·상거래·금융지불을 구현하기 위해서는 공개키 암호시스템이 필수 불가결한 요소다. 이때 PKI는 사용자에 대한 키관리와 CA간의 인증구조를 지칭한다. 인터넷을 통한 기업업무나 상거래가 세계적인 범위에서 다뤄지게 되므로 공개키 CA의 상호인증구조도 세계적인 틀을 갖춰야 한다. 이와 관련, 미국은 「KMI(Key Management Infrastructure)」를, 캐나다는 「PKI」를, 유럽연합은 「ICE-TEL」을 각각 진행하고 있다. 이들 선진국은 2000년을 기점으로 국가별 PKI구축을 추진할 것으로 보인다.
암호알고리듬 및 키복구시스템에 대한 연구도 매우 중요한 문제다.
데이터 암호화의 안전성은 암호알고리듬과 키길이에 의존한다. 현재 각국에서 암호알고리듬에 대한 연구는 정부의 지원 아래 민간 주도로 이뤄져 왔으며 전략적으로 자국 고유의 알고리듬을 개발, 사용하고 있다. 대칭키 암호알고리듬의 경우 키길이가 1백28비트 이상 돼야 안전하다고 평가된다.
각국의 정보기관들은 암호알고리듬의 범죄악용 소지를 막기 위해 키복구시스템의 필요성을 주장하고 있다. 키복구시스템은 프라이버시 보호와 상치되는 개념이지만 수사를 위한 영장기능으로 사용할 수 있을 것이다.
시야를 기업 내부전산환경으로 좁히면 침입탐지 및 통합관리 콘솔기능이 차세대 보안기술로 각광받고 있다. 침입탐지기술은 내·외부인의 서버공격에 대비코자 하는 것으로 네트워크상의 접근상황을 실시간으로 탐지, 대응한다.
내부시스템의 보안은 중앙집중적으로 관리돼야만 완벽하다고 볼 수 있다. 보안통합콘솔은 여러 보안서비스의 이행상황·침입상황·대응조치 등을 통합 관리한다. 올해 중에는 이같은 보안통합콘솔의 개발과 인식이 확산될 것으로 보인다.
타원곡선암호체계(ECC)는 떠오르는 차세대 암호기술이다. 기존 대표적인 공개키 암호시스템인 「RSA」 등에 비해 ECC는 훨씬 짧은 키길이로 동일한 암호시스템 구현이 가능한 장점이 있다. 공개키 암호시스템의 속도를 획기적으로 줄일 수 있는 ECC기술은 현재 각국에서 활발한 연구개발이 진행되고 있으며 상용화된 제품들이 속속 나오고 있다. 특히 이 기술은 IC카드에 암호기술을 적용할 경우 효과적인 대안될 것으로 보인다.
현재 인터넷을 통해 제공되는 다양한 부가서비스들은 보안인프라를 필수적으로 요구하고 있다. EC·EDI·인트라넷·전자화폐·사이버뱅킹·가상사설망(VPN) 등 대부분의 서비스가 최상의 보안수준을 갖춰야 하는 분야다.
사용자인증·디지털서명·비밀통신 등 각종 보안서비스는 공개키 암호시스템을 통해 구현할 수 있다. 공개키 암호시스템에서는 사용자마다 비공개키와 공개키를 갖고 있고 공개키는 공개하게 된다. 그런데 공개키는 비공개키와 수학적인 쌍으로 만들어졌기 때문에 변경되지 않아야 한다.
공개키 암호시스템에서 가장 중요한 것은 안전한 키쌍의 생성과 공개키에 대한 인증이라 할 수 있다. 현재 진행중인 PKI에 대한 연구는 CA간의 상호인증 메카니즘과 서명방법·인증서 표준 등의 과제를 해결하는 데 집중되고 있다.
IC카드분야의 중요성도 배제할 수 없다. 현재로서는 사용자들이 자신의 비공개키와 비밀정보를 안전하게 보관할 수 있는 가장 유력한 수단이 IC카드이기 때문이다. IC카드 구현을 위한 기술은 메모리확장·CPU 성능향상·고속연산을 위한 알고리듬개발 등이다.