¾çÀÚ ³»¼º ¾Ë°í¸®ÁòÀÌ TLS ÇÁ·ÎÅäÄÝ¿¡ ÀûÇÕÇϵµ·Ï ¸¸µå´Â °Íµµ °úÁ¦
[º¸¾È´º½º ¿À´ÙÀÎ ±âÀÚ] ¹Ì±¹ ±¹°¡¾Èº¸±¹(NSA)ÀÇ Á¤º¸ º¸Áõ ¿¬±¸±×·ì(IAD: Information Assurance Directorate)Àº 2015³â¿¡ RSA ¾ÏÈ£¸¦ Ÿ¿ø °î¼± ¾ÏÈ£(ECC)·Î ´ëüÇÏÁö ¸»°í Àá½Ã ´ë±âÇ϶ó°í Áö½ÃÇß´Ù. ÀÌ¹Ì ´ëüÇß´Ù¸é ¾î¿ ¼ö ¾øÁö¸¸ ¾ÆÁ÷ ÁøÇàÇÏÁö ¾Ê¾Ò´Ù¸é ¸ØÃ߶ó´Â Áö½Ã¿´´Ù. ´ç½Ã Áö½Ã ³»¿ëÀº ´ÙÀ½°ú °°´Ù.
NSA ÆÄÆ®³Ê ¹× °ü°è ±â°ü¿¡°Ô ¾Ë¸³´Ï´Ù. ¾ÆÁ÷ ½ºÀ§Æ®B(Suite B) Ÿ¿ø °î¼± ¾Ë°í¸®ÁòÀ¸·Î ÀüȯÇÏÁö ¾ÊÀ¸¼Ì´Ù¸é À̸¦ ÁøÇàÇϱâ À§ÇØ ¸¹Àº ºñ¿ëÀ» ÁöÃâÇÏÁö ¾Ê´Â °ÍÀ» ±Ç°íÇÕ´Ï´Ù. ´ë½Å °ð ´Ù°¡¿Ã ¾çÀÚ ³»¼º(quantum-resistant) ¾Ë°í¸®ÁòÀ¸·Î ÀüȯÇÏ´Â °ÍÀ» ÁغñÇϽʽÿÀ.
»ç¶÷µéÀº ÀÌ Áö½Ã°¡ ³»·ÁÁø ŸÀֿ̹¡ ´ëÇØ Àǹ®À» °¡Á³´Ù. ¾ÏÈ£È Ä¿¹Â´ÏƼÀÇ »ç¶÷µéÀº NSA°¡ ¿ì·Á¸¦ Ç¥ÇöÇÒ Á¤µµ·Î ¾çÀÚ ÄÄÇ»ÆÃ(quantum computing)¿¡ Áß´ëÇÑ ÁøÀüÀÌ ÀÖ¾ú´ø °ÍÀÏ±î ±Ã±ÝÁõÀ» °¡Á³´Ù. ±× ½ÃÁ¡ºÎÅÍ ¾ÏÈ£È Ä¿¹Â´ÏƼ´Â ¡®¾çÀÚ ³»¼º¡¯ ¾Ë°í¸®ÁòÀ¸·Î ÀüȯÇÒ Áغñ¿¡ µé¾î°¬´Ù. Áï, ¾çÀÚ ÄÄÇ»ÅÍÀÇ °ø°ÝÀ» ¸·¾Æ³¾ ¾Ë°í¸®ÁòÀ» °³¹ßÇϱâ À§ÇØ ³ë·ÂÇß´Ù.
[À̹ÌÁö=iclickart]
±×·± ¾Ë°í¸®Áò¿¡´Â ¾î¶² °Ô ÀÖÀ»Áö »ìÆ캸ÀÚ. ¶ÇÇÑ, ÀÌ·± ¾Ë°í¸®ÁòÀÌ ÇöÀç HTTPS¿Í ÇÔ²² »ç¿ëµÇ´Â Àü¼Û °èÃþ º¸¾È(TLS) ÇÁ·ÎÅäÄÝ¿¡ ¾î¶»°Ô ºÎÇÕÇÒ ¼ö ÀÖÀ»Áöµµ »ìÆ캸ÀÚ. ±× Àü¿¡ °£´ÜÇÑ ¼³¸íÀ» µ¡ºÙÀδÙ.
¸¸¾à ½ÇÁ¸ÇÏ´Â, ÀÛµ¿ÇÏ´Â, ´ë±Ô¸ðÀÇ ¾çÀÚ ÄÄÇ»ÅÍ°¡ ¸¸µé¾îÁö´Â ³¯ÀÌ ¿Â´Ù¸é, ±× ¼ø°£ ÀÌÈÄÀÇ ½Ã´ë´Â ¡®¾çÀÚ ÈÄ(post-quantum)¡¯ ½Ã´ë¶ó°í ºÒ¸®°Ô µÉ °ÍÀÌ´Ù. ¾çÀÚ ÈÄ ½Ã´ë¿¡¼ »ç¿ëµÇ´Â ¾ÏÈ£È ¾Ë°í¸®ÁòÀº ¾çÀÚ ÄÄÇ»Åͷδ ½±°Ô Ç® ¼ö ¾ø´Â ¼ö¼ö²²³¢°¡ µÅ¾ß ÇÑ´Ù.
ÇöÀç ¾çÀÚ ÄÄÇ»ÆÃÀÌ ³ëÃâÇÑ °ÍÀº ¹«¾ùÀΰ¡?
¾ÏÈ£ Àü¹®°¡µéÀº ºñ´ëĪ ¾ÏÈ£È ¾Ë°í¸®ÁòÀÌ ¾çÀÚ ÄÄÇ»Æÿ¡ Ãë¾àÇÏ´Ù°í »ý°¢ÇÑ´Ù. ¾ÈŸ±õÁö¸¸, TLS ÇÁ·ÎÅäÄÝ ÇÚµå¼ÎÀÌÅ©¸¦ À§ÇØ »ç¿ëÇÏ´Â ¸ðµç ¾ÏÈ£È ¾Ë°í¸®ÁòÀÌ Ãë¾àÇÏ´Ù´Â ¶æÀÌ´Ù.
¡âRSA : Ãë¾àÇÔ
¡âŸ¿ø °î¼± ÀüÀÚ¼¸í ¾Ë°í¸®Áò(ECDSA) : Ãë¾àÇÔ
¡âŸ¿ø °î¼± µðÇÇ-Çï¸Õ¹ý(ECDH) : Ãë¾àÇÔ
¡âµðÇÇ-Çï¸Õ¹ý(DH) : Ãë¾àÇÔ
2017³â¿¡ ³ª¿Â ¡®Å¸¿ø °î¼± ÀÌ»ê ·Î±× ÄÄÇ»ÆÃÀ» À§ÇÑ ¾çÀÚ ¸®¼Ò½º Ãß»ê(Quantum Resource Estimats for Computing Elliptic Curve Discrete Logarithms)¡¯À̶ó´Â ³í¹®Àº Èï¹Ì·Î¿î »ç½ÇÀ» ÀÔÁõÇß´Ù. ¸¶Æ¾ ·ÎƲ·¯(Martin Roetteler), ¸¶ÀÌŬ ³»¸¯(Michael Naehrig), Å©¸®½ºÅ¸ ½ºº¸¸£(Krysta Svore), Å©¸®½ºÆ¾ ·ÎÅÍ(Kristin Lauter)°¡ ÀÌ ³í¹®À» °øµ¿ ÁýÇÊÇß´Ù. ÀÌ ³í¹®Àº ¾çÀÚ ÄÄÇ»ÆÃÀ¸·Î ÀÎÇØ RSAº¸´Ù ¿À·ù Á¤Á¤ ÄÚµå(ECC)°¡ ´õ »¡¸® ¹«·Âȵȴٴ °¡¼³À» Áõ¸íÇÑ °ÍÀ¸·Î º¸ÀδÙ. ÀÌ´Â NSA°¡ ¾Õ¼ Áö½Ã¸¦ ³»¸®´Â µ¥ ÇϳªÀÇ ¿äÀÎÀÌ µÆÀ»Áöµµ ¸ð¸¥´Ù.
¹úÅ© ¾ÏÈ£È(bulk encryption)¿¡ »ç¿ëµÇ´Â ´ëĪ ¾Ë°í¸®ÁòÀº Å° »çÀÌÁ µÎ ¹è·Î Å°¿ì´Â Á¶Ä¡¸¸À¸·Î ¾çÀÚ ÄÄÇ»Æÿ¡¼ ¾ÈÀüÇÏ°Ô º¸È£ÇÒ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î, AES-128 ´ë½Å¿¡ À̺¸´Ù ¹ßÀüµÈ ¾ÏÈ£È Ç¥ÁØ AES-256À» »ç¿ëÇÏ´Â °ÍÀÌ´Ù.
¾çÀÚ ÈÄ ÄÄÇ»ÆÃÀº TLS¿¡ ¾î¶² ¿µÇâÀ» ¹ÌÄ¡´Â°¡
¾çÀÚ ÄÄÇ»ÆÃÀÌ ÃÊ·¡ÇÏ´Â ¹®Á¦¿¡´Â ¾î¶² °ÍÀÌ ÀÖÀ»±î? À̸¦ »ìÆ캸±â Àü¿¡, ÁÁÀº ¼Ò½ÄºÎÅÍ ¾Ë¸®°í ½Í´Ù. ¾çÀÚ ÄÄÇ»Æà ¼¼°èÀÇ Á¤º¸ ó¸® ¹æ½Äµµ ¶È°°À» °Å¶ó´Â Á¡ÀÌ´Ù. ÀÌ´Â AES °°Àº ´ëĪ ¾ÏÈ£È Å°¿Í SHA °°Àº Çؽà ±â¹Ý ¸Þ½ÃÁö ÀÎÁõ ÄÚµå(HMAC)ÀÇ Çؽà ¾Ë°í¸®ÁòÀÌ ´ë°³ ¾çÀÚ ÄÄÇ»Æÿ¡ ³»¼ºÀÌ ÀÖ´Ù°í °£ÁֵDZ⠶§¹®ÀÌ´Ù. »ç¿ëÇÏ´Â µ¿¾È ³»¼ºÀÌ ÀÖÀ» ¸¸Å Å° »çÀÌÁ µÎ ¹è·Î ¸¸µé±â¸¸ ÇÏ¸é µÈ´Ù. NSAÀÇ IAD¿¡ µû¸£¸é, ¡°AES-256°ú SHA-384 ¾Ë°í¸®ÁòÀº ´ëĪÀ̸ç, °Å´ëÇÑ ¾çÀÚ ÄÄÇ»ÅÍ°¡ °ø°ÝÇÏ´õ¶óµµ ¾ÈÀüÇÒ °ÍÀ¸·Î °£ÁֵȴÙ.¡±
F5 ¿¬±¸¼Ò(F5 Labs)°¡ ¿¬±¸ÇÑ ¹Ù¿¡ µû¸£¸é, ÀÎÅͳݻóÀÇ TLS È£½ºÆ® 75%°¡ ÀÌ¹Ì AES-256À» ¼±È£ÇÏ°í ÀÖ¾ú´Ù. Áï, ¿ì¸®´Â ÀÌ¹Ì ¾î´À Á¤µµ ¼ºÃ븦 ÀÌ·é ¼ÀÀÌ´Ù. Àû¾îµµ Á¤º¸ 󸮿¡ À־ ¸»ÀÌ´Ù.
±×·¸´Ù¸é ÀÌÁ¦ ´ëüÇØ¾ß ÇÒ °Ç ºñ´ëĪ ¾ÏÈ£È ±â´É ¹Û¿¡ ¾ø´Ù. RSA, DSA, DH¿Í ECC º¯Á¾ÀÎ ECDSA¿Í ECDH¸¦ ¸»ÇÑ´Ù. À̰͵éÀº TLS ÇÁ·ÎÅäÄÝÀÇ Ãʱâ ÇÚµå¼ÎÀÌÅ© ´Ü°è¿¡¼¸¸ »ç¿ëµÈ´Ù. ÇÚµå¼ÎÀÌÅ©´Â ¼¼¼Ç Àç»ç¿ë ¶§¹®¿¡ ´ë´Ù¼ö Ŭ¶óÀ̾ðÆ®¿¡¼ »çÀÌÆ®¸¶´Ù ´Ü ÇÑ ¹ø¾¿, ±×¸®°í ¸ÅÀÏ ÇÑ ¹ø¾¿¸¸ ÇàÇØÁø´Ù. »ý°¢Çغ¸¶ó. ²Ï ÁÁÀº ¼Ò½ÄÀÌÁö ¾Ê³ª?
±×·¯¹Ç·Î ¸ðµç TLS¸¦ ´ëüÇÒ ÇÊ¿ä´Â ¾ø´Ù. »õ·Î¿î ºñ´ëĪ ÇÚµå¼ÎÀÌÅ© ¾ÏÈ£ ³»¿¡¼ ±¸µÔÁÖ°Æ Çϳª¸¸ ¹Ù²Ù¸é µÇ´Â ¼ÀÀÌ´Ù. ±×·¯³ª ¾î¶² °É »ç¿ëÇÏ´À³Ä ÇÏ´Â ¹®Á¦°¡ ³²´Â´Ù.
NIST°¡ ¾çÀÚ ÈÄ ¾Ë°í¸®Áò ¼±ÅÃÀ» À§ÇÑ Å¸ÀÓ¶óÀÎÀ» °èȹÇß´Ù
¹Ì±¹ ±¹°¡Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)´Â ÇöÁ¸ÇÏ´Â ºñ´ëĪ ¾Ë°í¸®ÁòÀ» ¾çÀÚ ÈÄ ¾Ë°í¸®ÁòÀ¸·Î ´ëüÇÒ ½Ã±â¿¡ ´ëÇØ Å¸ÀÓ¶óÀÎÀ» ¹ßÇ¥Çß´Ù. NIST´Â ¿À´Â 11¿ù ¸»À» ¾çÀÚ ÈÄ ¾Ë°í¸®Áò Á¦Ãâ ¸¶°¨À¸·Î Àâ°í, 2018³â ÃÊ¿¡ Á¦ÃâÀÚµéÀÌ ¹ßÇ¥Çϵµ·Ï Çß´Ù. ÀÌ ±ÛÀ» ¾²°í ÀÖ´Â ÇöÀç(2017³â ¿©¸§), F5µµ Á¦ÃâÀ» ÁغñÇÏ°í ÀÖ´Ù. NIST°¡ °á°ú¸¦ ¹ßÇ¥ÇÏ°í ³ª¸é 3³â¿¡¼ 5³â°£ ºÐ¼®ÀÌ µû¸¦ °ÍÀÌ´Ù. ÇѵΠ°ÇÀÇ ¿öÅ©¼óµµ °³ÃÖµÉ °ÍÀ¸·Î º¸ÀδÙ. ±×¸®°í 2³âÀÌ ´õ Áö³ª¸é »õ·Î¿î Ç¥ÁØ¿¡ ´ëÇÑ ÃÊ°í°¡ ³ª¿Ã °ÍÀÌ´Ù.
NIST ¿¬±¸¿ø ·¹ÀÌ ÆÞ³Ê(Ray A. Perlner)¿Í µ¥À̺ñµå ÄíÆÛ(David A. Cooper)´Â 2009³â¿¡ ´ç½Ã ¾î¶² ¾çÀÚ ÈÄ ¾Ë°í¸®ÁòÀÌ Ã¤ÅÃµÉ ¼ö ÀÖ´ÂÁö Ž±¸ÇÑ ¹é¼¸¦ ¹ßÇàÇß´Ù. ÆÞ³Ê¿Í ÄíÆÛ´Â ÀÌ ¾Ë°í¸®ÁòÀÌ ¾çÀÚ ÈÄ ¾Ë°í¸®ÁòÀÌ ¾Æ´Ñ °Íµé(RSA, DSA, DH, ECC)°ú ºñ±³ÇØ ÃøÁ¤ ±âÁØ(metrics)ÀÌ ¾î¶»°Ô ´Ù¸¥Áö º¸¿©ÁÖ´Â Â÷Æ®¸¦ ¸¸µé±âµµ Çß´Ù.
ÀÌ ¹é¼°¡ ³ª¿Â ÀÌ·¡, »õ·Î¿î ¾Ë°í¸®ÁòµéÀº ¾ÏÈ£È Ä¿¹Â´ÏƼ¿¡ À¯ÅëµÇ±â ½ÃÀÛÇß´Ù. ±×¸®°í »ç¶÷µéÀº ±× ¾Ë°í¸®Áò Áß¿¡ ¾î¶² °Íµµ ¿Ïº®ÇÏÁö ¾Ê´Ù´Â »ç½ÇÀ» ºü¸£°Ô ¾Ë¾ÆÂ÷·È´Ù.
¾çÀÚ ÈÄ ºñ´ëĪ ¾ÏÈ£È ¾Ë°í¸®ÁòÀ» À§ÇÑ ÇöÀç È帵é
Èĺ¸ ¸î °¡Áö´Â ÀÌ¹Ì ³íÀǵǰí ÀÖ´Ù. ÀÌ È帵éÀº ¸ðµÎ °°Àº Å° »çÀÌÁ °®°í ÀÖ´Ù. ¾çÀÚ ÄÄÇ»Æÿ¡¼ ¾ÈÀüÇÏ·Á¸é ÃÖ¼ÒÇÑ 128 ºñÆ® ¼öÁØÀÇ º¸¾ÈÀÌ º¸ÀåµÅ¾ß Çϱ⠶§¹®ÀÌ´Ù. NTRUEncrypt, Goppa Äڵ带 ÀÌ¿ëÇÑ McEliece ¾ÏÈ£È ¾Ë°í¸®Áò, Ring Learning with Errors µîÀÌ Èĺ¸¿¡ ÀÖ´Ù. Supersingular Isogeny Diffie-Hellman(SIDH)µµ Ã˸Á ¹Þ´Â ¾Ë°í¸®Áò Áß Çϳª´Ù.
SIDH´Â Èĺ¸µé °¡¿îµ¥ °¡Àå ÀÛÀº »çÀÌÁî(3K °ø°³ Å°)¸¦ »ç¿ëÇÏ°í, ´õ ³ªÀº ±â¹Ð¼ºÀ» Á¦°øÇϸç, ƯÇã¿¡¼ ÀÚÀ¯·Ó´Ù. ±×·¯³ª SIDHµµ ¿Ïº®ÇÏÁø ¾Ê´Ù. ¿¬±¸ÀÚµéÀº ÀÌ¹Ì SIDH¸¦ ÀÌ°÷Àú°÷ Âñ·¯º¸¸ç ±¸¸ÛÀ» ¹ß°ßÇÏ°í ÀÖÀ¸¸ç ²Ï Ãæ°ÝÀûÀÎ °ø°ÝµéÀ» »ý°¢Çس»±âµµ Çß´Ù. ÀϺΠ¿ÏÈÇÒ ¼ö´Â À־ ¿ÏÀüÈ÷ »õ·Î¿î Â÷¿øÀÇ º¹À⼺À» ´õÇÏ´Â °ø°ÝµéÀ» ¸»ÀÌ´Ù.
°ü·ÃµÈ IETF ÇÁ·ÎÁ§Æ®
±¹Á¦ÀÎÅͳÝÇ¥ÁØȱⱸ(IETF)ÀÇ TLS ¿öÅ·±×·ìÀº TLS¿¡ ÀûÇÕÇÑ ¾çÀÚ ÈÄ ¾Ë°í¸®ÁòÀ» ¼³°èÇÏ´Â ÀÛ¾÷¿¡ ÀÌ¹Ì Âø¼öÇÑ »óÅ´Ù. 2015³â üÄÚ¿¡¼ ¿¸° IETF 93ȸ ȸÀÇ¿¡¼ Àª¸®¾ö ÈÀÌÆ®(William Whyte)´Â ÇÏÀ̺긮µå ÇÚµå¼ÎÀÌÅ©¸¦ Á¦¾ÈÇß´Ù. ±¸±ÛÀÇ CECPQ1ó·³, ÈÀÌÆ®´Â Å°ÀÇ Àý¹ÝÀ» ÀüÅëÀûÀÎ Å° ±³È¯À¸·Î ¹Ù²Ù°í, ³ª¸ÓÁö Å°ÀÇ Àý¹ÝÀ» ¾çÀÚ ÈÄ Å°¿Í ±³È¯ÇÏ´Â ¹æ½ÄÀ» Á¦¾ÈÇß´Ù. °¢°¢ µÎ °³·Î ³ª´¶ Àý¹ÝÀÇ Å°µéÀº ³ª¸ÓÁö ¼¼¼Ç Å° Á¤º¸°¡ À¯µµµÇ´Â ÃÖÁ¾ÀûÀÎ ¸¶½ºÅÍÅ°¸¦ ¸¸µé¾î³»±â À§ÇØ Å° À¯µµ ÇÔ¼ö·Î Á¶ÇյȴÙ.
¾Õ¼ ¾ð±ÞÇÑ ¾Ë°í¸®Áò Áß ¾î´À °Íµµ ÀÌ»óÀûÀÌÁö ¾Ê´Ù°í »ý°¢Çϴ°¡? ±×·¡µµ ±¦Âú´Ù. ¾ÏÈ£È Ä¿¹Â´ÏƼÀÇ ¸¹Àº »ç¶÷µéÀÌ ´ë±Ô¸ð ¾çÀÚ ÄÄÇ»ÅÍ°¡ °¡´ÉÇÏ´Ù´Â »ç½ÇÁ¶Â÷ ÀǽÉÇÏ°í ÀÖ´Â »óȲÀÌ´Ù. ±×·¯³ª ¸¸¿¡ Çϳª ¾çÀÚ ÄÄÇ»ÅÍ°¡ Çö½ÇÀÌ µÈ´Ù ÇÏ´õ¶óµµ ¿ì¸®´Â À绡¸® ¾çÀÚ ÈÄ ½Ã´ë¿¡ ÁغñÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. Àû¾îµµ ÇÁ·ÎÅäÄÝÀÇ °üÁ¡¿¡¼± ¸»ÀÌ´Ù.
±Û : µ¥À̺ñµå Ȩ½º(David Homes)
[±¹Á¦ºÎ ¿À´ÙÀÎ ±âÀÚ(boan2@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>