보안

매스매티컬 메시 알파 버전 출시, 엔드투엔드 암호화 개선 전망

Cynthia Brumfield Z | CSO 2020.08.06
인터넷과 관련된 가장 큰 과제 가운데 하나는 방대하게 얽힌 퍼블릭 및 프라이빗 네트워크 전반의 통신을 안전하게 보호해야 한다는 점이다. 보안 전문가들은 민감한 정보를 노출할 수 있는 도청 또는 침해로부터 사용자를 보호하는 최선의 수단은 엔드투엔드 통신 암호화(end-to-end communication encryption)라고 입을 모은다.



그러나 엔드투엔드 암호화는 지금까지 현실보다는 꿈에 가까웠다. 특히 구글, 페이스북, 아마존과 같은 거대 기업의 주도에 따라 “울타리로 둘러싼 정원” 형태가 부상하면서 그 꿈은 더욱 멀어졌다. 이들 각 기업은 어떤 형태로든 항상 사용자의 통신에 액세스할 수 있는 수단을 유지한다.

저명한 암호화 전문가인 필립 할람-베이커는 올해 HOPE(Hackers of Planet Earth) 컨퍼런스에서 매스매티컬 메시(Mathematical Mesh)라는 새로운 엔드투엔드 암호화 방식을 발표했다. 할람-베이커는 현재 코모도(Comodo)의 수석 과학자이며 과거 월드와이드웹(WWW)을 설계한 CERN(Conseil Europeean Pour La Researehe Nucleaire) 팀의 일원이었으며 많은 업적으로 유명하다.


임계 암호화란 무엇인가 

할람-베이커는 현재 엔드투엔드 암호화의 주된 수단을 구성하는 암호화 시스템에 사용되는 디지털 인증서를 생성, 배포, 저장하기 위한 인프라에 대해 “PKI(Public Key Infrastructure)는 충분하지 않다”면서, “한 걸음 더 나가서 임계 암호화(Threshold cryptography)를 적용해야 한다. 임계 키 인프라가 필요하다”라고 말했다.

임계 암호화는 비밀 또는 키를 더 작은 비트로 쪼갠다. 암호화된 통신의 수신자는 비트의 “임계(threshold)’ 수준을 소유해야 통신을 해독할 수 있다. 임계 인프라는 1990년대부터 군사 및 정부 분야에서 사용됐지만 현재 서서히 일반 대중 시장으로도 보급되고 있다. 예를 들어 미국표준기술연구원(NIST)은 최근 임계 암호화 보급을 목표로 표준 임계 암호화 체계를 구축하기 위한 로드맵을 제안했다.


모두가 스파이, 목표는 정보

할람-베이커는 인터넷 보안을 위해서는 몇 가지 기본적인 사실부터 파악해야 한다면서, “첫째, 보안은 지역에 좌우되지 않는다. 중국이 유일한 보안 위협도 아니고, 스파이 행위를 하는 유일한 국가도 아니며, 컴퓨터를 팔고 사는 유일한 국가도 아니다. 러시아도 컴퓨터를 사용해 스파이 행위를 하며 최근 몇 개월 사이 두 국가 모두 미국의 서버를 해킹했다. 그것은 부정할 수 없는 사실이다. 또한 사람들은 어느 시점이 되면 미국 역시 같은 행위를 할 것이라고 생각한다”라고 말했다.

할람-베이커는 또 다른 현실은 “돈이 곧 동기다. 대부분의 경우 위협 행위자는 돈을 훔칠 기회를 찾는 공격자들이며, 대부분의 중국 스파이 행위도 여기에 해당된다. 대다수가 상업적 스파이 행위다. 또한 그 대부분은 사실 다른 중국 기업도 노린다. 이들이 우리의 불만을 잘 이해하지 못하는 이유는 그것이 그들의 비즈니스 방식이기 때문이다”라고 설명했다.

할람-베이커는 금전적 우위를 점하기 위해 '모두가 다른 모두를 대상으로 스파이 행위를 한다'는 사실은 또 다른 중요한 현실, 즉 정보가 스파이 행위의 목표가 되는 현실로 이어진다고 말했다. 공격자들은 데이터를 어디서 얻는지에 대해서는 관심이 없다. 정보의 출처는 엔드투엔드 암호화를 갖추지 않는 이유로 최근 비판을 받은 서비스인 줌(Zoom)일 수도 있고, 엑셀 스프레드시트일 수도 있다. 할람-베이커는 “줌을 두고 시끄럽지만 줌은 울타리에 최근에 생긴 구멍일 뿐”이라고 말했다.

할람-베이커는 전체 디지털 시스템이 불안으로 가득 차 있다면서 “매일 몇 통의 이메일을 주고받는가? 이 가운데에서 기밀 정보가 포함된 이메일은 얼마나 되는가? 민감한 문서를 암호화하는가? 간혹 암호화를 한다 해도 비밀번호를 사용해 파일을 암호화한 다음 이 비밀번호를 암호화된 파일과 함께 전송하는 경우가 대부분이다. 각각의 조각을 단편적으로 추구하다 보면 10년이 지나도 ‘어느 것도 안전하지 않은’ 지금과 같은 상황에는 변함이 없을 것”이라고 경고했다.


매스매티컬 메시의 활용

할람-베이커에 따르면, 한 가지 방법은 신뢰 당사자의 수를 줄이는 것이다. 즉, 커뮤니케이션이 통과해야 하는 모든 네트워크를 신뢰하는 것이 아니라 커뮤니케이션 엔드포인트만 신뢰하는 방법이다. 할람-베이커는 “5명의 사람들을 신뢰해야 한다면 500명을 신뢰해야 하는 것보다 훨씬 더 낫다”고 말했다. 그러나 단순히 신뢰 당사자의 수를 줄이는 것만으로 충분하지는 않다.

할람-베이커는 “중요한 것은 역할의 분리, 임무의 분리다. 한 직원이 루트 키를 입수해서 온갖 말썽을 일으키는 경우가 없어야 한다. 임무의 분리를 암호화 수준에 적용하려면 더 많은 키가 필요하다”라고 말했다.

현재의 공개 키 암호화는 공개 키와 개인 키, 두 개의 키만 제공한다. 할람-베이커는 “통제력을 높이려면 키를 분할하는 것부터 시작해야 한다. 임계 암호화를 효과적으로 사용하려면 임계 키 인프라가 필요하다”라고 말했다. 이 임계 키 인프라에서 할람-베이커의 매스매티컬 메시 시스템을 사용할 수 있다. 

이 시스템은 현재 깃허브(Github)에서 “프리-알파” 버전으로 제공된다. 할람-베이커는 기능 릴리스(feature release)에 거의 이르렀지만 걱정이 된다면서 “이쪽 사람들이 워낙 해킹에 능하다”라고 우려했다.

할람-베이커는 특정 용도로 한정된다 해도 조기 도입 사용자에게 실질적 가치를 제공하는 메시 시스템 애플리케이션이 있다고 말했다. 한 가지 예는 엔드투엔드 보안 비밀번호 금고다. 이 애플리케이션은 임계 암호화를 사용해 클라우드의 데이터를 보호하면서 클라우드에서 이를 해독하지 못하도록 한다. 할람-베이커는 이 애플리케이션이 엔터프라이즈 시장의 간극을 메울 것으로 기대한다.

기업이 나서서 자사의 새로운 시스템을 테스트해보기를 원하는 할람-베이커는 “기업의 참여가 필요하다. 정말 특별한 무언가를 할 수 있다고 생각한다. 함께 해보자”라고 참여를 독려했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.