College Of Engineering
서울공대 이야기

정보 보안과 암호학(이만영 교수)

2004.07.20 01:35

lee496 조회 수:3855

 

정보 보안과 암호학

이만영

․서울대학교 전기공학과 학사(‘52)

․美 University of Colorado 공학박사(‘58)

․美 Virginia 주립대학교 공대 교수(‘64)

․삼성반도체통신 대표이사 사장(‘77)

․한양대학교 교수, 부총장, 명예교수(‘82~현재)

․서울대학교 전기공학부 초빙교수(‘98~현재)

․대한민국 학술원 회원(현재)

․한국과학기술한림원 원로회원(현재)

․한국공학 한림원 명예회원(현재)


1. 정보 보안의 필요성 및 중요성


  오늘날의 정보혁명을 통해 우리는 정보사회에 살고 있다. 정보사회란 정보의 생성, 저장, 처리, 가공, 운반, 검색 기능들이 네트워크 및 컴퓨터 환경 속에서 다양한 형태의 정보서비스가 이루어지는 사회이다. 이처럼 컴퓨터 및 정보통신 기술의 급속한 발전을 통해 이러한 정보 및 정보화 서비스를 산업 및 사회 전반에 걸쳐 다양한 형태로 제공하여 주고 있다. 이러한 환경은 자신이 있는 곳이 바로 세계의 중심이며, 정보의 집결지라고 하는 ‘정보의 바다’를 구성하고 있는 것이다.

  새로운 정보혁명의 이기는 사회 전반에 큰 혜택을 제공하는 한편 자연적으로 파생되는 역기능으로 인한 폐해를 제공하기도 한다. 즉, 인가받지 않은 불법 사용자로 인한 정보시스템의 파괴, 개인 신상비밀의 누설 및 유출, 불건전 정보의 유통과 같은 정보화의 역기능으로 인해 상당한 혼란이 야기될 수 있다. 동시에 자신이 소유하고 있는 정보가 자신도 모르는 사이에 침해받고 있으며, 적절하게 보호되지 못하는 정보들로 인해 하루아침에 막대한 피해를 볼 수도 있는 것이다. 지금 이 순간에도 우리의 소중한 정보들이 파괴되고 있으며, 원치 않는 방법으로 중요기밀 또는 개인 신상자료가 전 세계 네트워크를 타고 유출되고 있을지도 모르는 일이다. 이와 같이 갈수록 첨예해지는 국가 간의 경쟁, 기업 간의 경쟁에서 정보자산의 보안(정보보호)은 중요한 현안으로 떠오르고 있다.

  정보란 자신이 저장하고 있는 데이터뿐만 아니라 이 데이터들로부터 유추해 낸 자료를 포함하는 것으로 정의되고 있다. 보안이란 이러한 유형, 무형의 정보들을 내부 또는 외부의 위협으로부터 보호하고자 하는 것이다. 정보통신 시스템과 네트워크가 더 개방되고, 용량과 성능 그리고 연결성이 강화될수록, 그 취약성도 비례하여 증대될 것이다. 각종 전산 침해사고를 방지하기 위해서는 외부 침입에 대비한 효율적인 보안 시스템을 개발해야 함은 물론이지만, 그보다는 보안에 대한 정책 수립과 보안에 대한 의식의 변화가 우선해야 할 것이다. 보안이 제대로 구성되지 않을 경우 국가 및 개인이 입게 될 손해도 심각하겠지만 국가 또는 기업 간의 치열한 정보사회 경쟁에서도 뒤쳐지게 될 것이다.


2. 정보 보안의 기본 목표


  정보 보안은 정보의 속성에 따라서 여러 가지 요구사항을 가질 수 있으나, 크게 기밀성(confidentiality), 무결성(integrity), 가용성(availability)의 3가지로 나누어 생각할 수 있다.  이는 외부의 침입자에 의해 저질러지는 각종 정보의 파기, 변조 및 유출 등과 같은 정보 범죄로부터 중요 정보를 보호하자는 것이 그 기본 목표가 된다.


1) 기밀성

  기밀성이란, 송신자가 전송하는 정보가 안전하게 비밀을 유지하여 수신자에게 전달되어야 한다는 원칙이다. 이는 인가된 사람만이 정보의 내용을 알아야 하며 인가되지 않은 정보의 공개는 불가능함을 의미한다. 한 예로 회사 기밀자료의 경우 그 기밀성이 노출되지 않도록 반드시 인가된 자에 의해서만 접근이 가능해야 한다. 이러한 기밀성을 보장하기 위한 메커니즘으로 접근제어와 암호화를 들 수 있다.


2) 무결성

  무결성이란, 송․수신된 정보가 전송 도중 제 3자에 의해 변경되지 않았음을 의미한다.  즉, 정보는 항상 일정하게 유지되어야 하며, 단지 인가받은 방법에 의해서만 변경될 수 있음을 나타낸다. 무결성 제어를 위한 메커니즘으로는 물리적인 통제(physical control)와 접근 제어(access control)를 들 수 있다. 또 이미 변경됐거나 변경 위험이 있을 때는 이를 탐지해 복구할 수 있는 메커니즘도 필요하다.


3) 가용성

  가용성은 정보 시스템이 정당한 방법으로 동작하고, 권한이 있는 자에 대해서는 서비스 거부가 불가해야 함을 의미한다. 일 예로 비행기 제어나 병원의 응급 시스템과 같이 생명이 관계된 상황에서는 적시에 주어지는 자원의 가용성은 무엇보다도 중요한 요소이다. 가용성을 확보하기 위한 통제 수단으로는 자료의 백업, 중복성 유지, 물리적 위협 요소로부터의 보호 등이 있다. 그러나 이 같은 통제 수단의 적용은 완벽한 보안성과 상호 이율배반적인 면이 있으므로 컴퓨터 보안에 적절한 수준으로 균형을 이루도록 절충하는 것이 바람직하다.



3. 정보 보안 대책과 암호학


  정보사회의 역기능적 부작용을 해결해야 한다는 사실은 각종 컴퓨터범죄 관련 보도와 연구를 통하여, 선결되어야 하는 당면과제로 인식되고 있다. 정보 사용자들이 네트워크 상에서의 자원 사용을 더욱 효율적으로 하기 위해서는 비밀성과 무결성을 보장하면서 가용성을 최대화 할 수 있는 보안통제 대책이 수립되어야 한다. 이를 위해 현재 국내에서는 법․제도적, 인적․관리적 그리고 기술적 보안대책 등을 강구하고 있다.

  앞의 법․제도 및 인적․관리 보안 대책들은 보안 절차상의 규정과 법 그리고 인적 자원의 관리를 위한 것으로써 제도적으로 그리고 교육적으로 선결되어야 할 사항이다. 즉 아무리 보안관련 법 규정이 만들어지고 운영된다 할지라도 이를 관리하는 운영자의 자질 부족이나 시설 미비로 인해 보안에 허점이 노출될 수 있기 때문이다. 그리고 기술적 보안대책은 S/W, H/W, 데이터 및 네트워크와 관련된 사항으로 방화벽을 이용한 접근통제, 정보백업 및 기타 기술들이 총망라되어 있다. 특히 수없이 많은 정보의 교류가 진행되고 있는 정보통신 분야에서 정보의 안전성과 신뢰성을 보장하기 위한 수단으로서 암호가 적용되고 있다. 

  암호(cryptography)란 평문(plaintext)을 해독 불가능한 암호문(ciphertext)으로 변형하거나 암호화된 통신문을 복원 가능한 형태로 변환하기 위한 원리, 수단, 방법 등을 취급하는 기술 또는 과학이다. 그리고 암호학은 암호와 암호해독을 연구하는 학문으로 정수론의 합동이론, 확률통계, 전자, 통신 및 전산학 등 많은 분야의 학문과 연결되어 있다.

  오늘날까지 자신의 정보를 안전하게 지키거나 전달하기 위해 많은 노력들이 진행되고 있으며, 이러한 일들은 암호를 사용함으로써 소기의 목적을 이룰 수 있다. 즉 암호를 이용하여 정보보호, 개인의 프라이버시 및 안전한 정보의 전달이 가능하다. 뿐만 아니라, 비밀과 안전이 보호되어야 하는 모든 곳에 암호는 사용될 수 있다. 정보보호의 필요성은 정보를 보호하는 가장 좋은 방법인 암호학 연구의 시발점이 되었다.

  현재 암호화, 복호화 과정에서 이용되는 알고리즘을 암호 알고리즘이라 하고 암호 알고리즘에서 평문을 변환하는 주체가 되는 것을 키(key)라고 한다. 암호화, 복호화 과정에서는 송신자와 수신자가 알고 있는 키가 사용되는데, 제 3자가 송신자와 수신자의 키를 알지 못하므로 평문의 내용을 쉽게 알지 못할 것이다. 따라서 송․수신자는 서로간의 비밀키의 관리를 중요시해야 한다.

  그러나 이러한 개념은 단순히 도청자나 그 밖의 요소로부터 통신 내용의 보호를 의미하는 것으로써 기존의 비밀키 암호, 스트림 암호, 블록 암호, 공개키 암호 등이 여기에 속한다.  그러나 정보 인프라의 구축은 단순한 전자 메시지 송․수신의 범위를 넘어서 다양한 부분에서 응용이 가능하다. 따라서 현대 암호의 범주에서는 기존의 암호 개념을 포괄하여 다음과 같은 분야들을 총칭하는 폭넓은 기술 및 이론을 암호 분야로 포함하고 있다. 


        ․키 분배            ․비밀 분산              ․인증(디지털 서명)      

        ․암호 프로토콜      ․의사 난수              ․영지식 증명

        ․전자 투표          ․전자 계약              ․전자 현금

        ․양자 암호          ․고속 계산              ․해독법/안전성 증명


  개방형 네트워크를 통해 전송되는 메시지는 정당한 수신자, 즉 암호문에 대응되는 키를 가진 사람만이 수신된 메시지를 복호화 할 수 있어야 한다. 그러나 개방형 네트워크의 경우 도청 또는 불법적인 제 3자가 공격을 통해 평문 또는 암호화 키를 발견하려는 시도가 있을 수 있다. 이와 같은 과정을 암호해독(cryptoanalysis)이라 한다. 

  현재 일반적으로 암호 알고리즘은 기지 평문(known plaintext) 공격을 막을 수 있게 설계되고 있으며, 일회용(one-time pad) 암호로 알려진 기법 외에는 절대적으로 안전한 알고리즘은 존재하지 않는 것으로 알려져 있다. 따라서, 암호 알고리즘 설계자들은 암호해독 비용이 암호화된 정보가치보다 크게 하거나, 암호해독 시간이 정보 유효기간보다 길게 함으로써 안전성을 획득해야 할 것이다. 

  정보 보안을 위한 암호학의 응용 분야는 정보보안 관리, 산업, 기술 및 기반 등의 4가지 체계 속에서 살펴볼 수 있다. 우선 관리 측면에서 살펴보면 정보보안 목표 및 전략을 통해 위험 분석, 구현, 교육 및 감사를 시행하게 된다. 이때 필요한 암호 관련 요소들이 무엇인지 그리고 구현을 했을 경우 관리 지침에 따라 운영 및 교육이 제대로 수행되었는지 평가할 수 있게 되는 것이다. 정보보안 산업 측면에서는 암호학과 관련하여 크게 보안 제품과 서비스로 대별된다. 이는 일반적인 정보통신 보안 솔루션과 함께 위험분석 서비스, 감사 및 재난 복구 서비스 등이 대표적이다. 현재 선진국에서는 상당히 많은 서비스들이 진행 중이나 아직 국내에서는 미비함을 보이고 있다. 기술 측면에서는 정보보안 제품 및 서비스를 위한 기술, 시스템 기술 및 기반기술 등이 존재한다. 특히 기반기술은 암호학과 직접적인 연관이 있는 분야로서 없어서는 안될 중요한 요소이다. 정보 보안 기반은 국가적으로 법률을 제정하고, 각 보안 관련 제품 및 활동 등의 조정 및 평가를 담당하는 부분이다. 이는 국가적 신뢰도를 위해 필수적인 분야로 암호 및 암호분석 분야와 깊은 관련이 있다.

 이렇듯 정보 보안 분야에 있어 암호학의 비중은 정보사회의 발전을 통해 더욱 증가하게 될 것이다. 따라서 향후 안전하고 신뢰할 수 있는 정보사회의 영위를 위해서 정보 보안 분야와 관련된 암호학 연구의 체계적이고 적극적인 지원이 필요하다. 



4. 결  론

  

  정보사회의 급속한 변혁을 통해 새로운 인프라가 펼쳐지고 있다. 이러한 시대적 흐름은 사회 및 산업 전반의 모습을 변화시키고 있으며, 의식의 변화를 수반하고 있다. 즉, 컴퓨터와 네트워크를 통한 실시간 정보의 교류와 함께 정보통신상의 역기능 현상이 도래되면서 개인 및 국가의 안전성과 신뢰성 확보를 위한 정보 보안 노력이 경주되고 있다. 이러한 상황에서 특히 암호학의 필요성 및 중요성이 대두되고 있는 상황이다. 

  본 고에서는 정보 보안과 관련하여 그 필요성과 중요성을 언급하였으며, 안전성과 신뢰성을 높이기 위한 주요 요소들을 지적하였다. 또한 정보의 기밀성, 무결성 및 가용성을 위해 현재 법제도, 인적 관리 및 기술적 측면에서 어떠한 대책들이 필요한지 언급하였다. 특히 암호학은 정보 보안에 있어서 가장 포괄적이면서 직접적으로 도입․응용할 수 있는 분야로, 향후 새로운 패러다임에 적응할 수 있도록 많은 관심과 지원이 부과되어야 할 것이다.

번호 제목 글쓴이 날짜 조회 수
87 이공계 위기,그 진정한 뿌리 lee496 2004.07.22 2744
86 자연계 석사 이상 대상 R&D업체 근무땐 병역면제 lee496 2004.07.22 2828
85 나도 과학기술자가 되겠다 lee496 2004.07.21 2757
84 세계 광공학 선도하는 젊은 과학자/전기·컴퓨터공학부 이병호 교수 silver 2004.07.21 2827
83 악령이 출몰하는 세상 / 칼 세이건 lee496 2004.07.21 4000
82 국가경쟁력 강화를 위한 공학기술 정책 방향 lee496 2004.07.21 2596
81 영화 속의 바이오테크놀로지 lee496 2004.07.21 7183
80 이공계 지원 CEO 공학교육지원사업 lee496 2004.07.20 2565
79 데이터베이스 제국 lee496 2004.07.20 3157
78 무선통신기술 블루투스(Bluetooth) lee496 2004.07.20 3907
77 B2B EC 현황과 요소기술 lee496 2004.07.20 4018
» 정보 보안과 암호학(이만영 교수) lee496 2004.07.20 3855
75 이공계 기피현상의 문제점 분석(5) lee496 2004.07.19 2735
74 이공계 기피현상의 문제점 분석(4) lee496 2004.07.19 3156
73 이공계 기피현상의 문제점 분석(3) lee496 2004.07.19 3507
72 이공계 기피현상의 문제점 분석(2) lee496 2004.07.19 2820
71 이공계 기피현상의 문제점 분석(1) lee496 2004.07.19 3066
70 박재형 서울대 광공학 및 양자전자 연구실 박사과정 silver 2004.07.19 3233
69 연구인건비 지출 높아졌다. silver 2004.07.19 2820
68 국가경쟁력과 과학기술인력확보 lee496 2004.07.17 2624
Login
College of Engineering Seoul National University
XE Login