정보 보안을 위한 데이터암호와 양자암호

 아무도 풀 수 없는 암호를 만들기 위한 욕망과 풀어내기 위한 욕망의 변증과정에서 암호는 어떻게 변해왔는가. 현실부터 가상 세계, 나아가 미래를 향하는 암호의 원리를 풀어헤쳐본다. 정보를 가진 자가 곧 권력을 얻는 세상에서 암호는 권력을 지키기 위한 혹은 빼앗기 위한 열쇠다. 보이스피싱이 만연하고, 신상을 털어내는 해킹이 더 이상 새로운 충격이 아닌 지금, 당신의 암호는 안녕한가. 본 지면에서는 수식이 만들어낸 가장 치열한 암호의 세계를 집중한다. <편집자 주>

[글 싣는 순서] ① 허락되지 않은 언어, 암호의 등장 ② 전쟁과 근대암호의 등장 ③ 데이터 암호의 한계와 양자암호 ④ 열쇠가 된 몸, 생체암호

정보 보안을 위한 데이터암호와 양자암호

배준우 / 한양대학교 응용수학과 교수

암호는 비밀정보를 안전하게 전달하고 공유하는 것을 목적으로 한다. 이 프로젝트는 수천 년을 지나 여전히 진행 중이다. 역사를 살펴보면, 암호 이론이 기술이 되어 역사를 채워간다는 생각마저 갖게 된다. 중세 때부터 고리대금업으로 유명했던 유대인들의 계좌는 2차 대전 중 비밀정보였고, 이후에도 수십 년 간 비밀로 남아있었다. 그 비밀정보가 이미 공개되었다면 경제력이 국력인 세계질서에 어떤 변화가 있었을까. 암호의 가장 높은 가치는 비밀을 지켜내는 보안성에 있다.
정보라는 개념은 정보처리를 매개하는 물리시스템과 떼어놓을 수 없다. 가령, 컴퓨터가 계산을 수행할 때 CPU와 RAM이 작동하고 열이 발생한다. 이 열은 외부로부터 전기에너지가 유입되어 한 일의 부분이다. 계산을 수행하지 않으면 컴퓨터는 아무 변화가 없다. 일련의 정보처리 과정은 정보이론이라는 응용수학을 통해 기술될 수 있다.
비밀정보는 질적으로 구별되는 정보다. 비밀정보는 노출되지 않는 정보다. 정보처리를 매개하는 물리시스템의 관점에서 바라보면, 비밀정보는 물리량 변화의 측정을 통해서 유출되지 않는 정보이다. 어떤 물리시스템일까?

비밀정보의 물리시스템

18세기 맥스웰의 전자기 이론은 21세기 IT산업에 수많은 응용을 이루었다. 19세기 아인슈타인의 상대론을 시작으로 20세기 양자이론에서 관측자의 역할이 극대화된다. 원자와 같이 눈에 보이지 않는 미시세계를 기술하는 양자이론에서, 흥미롭게도 물리량은 관측자의 측정에 의해서만 존재하며 측정 전에는 결정돼 있지 않다. 전자기 이론의 응용을 뛰어넘어 양자이론이 미래 IT 기술에 응용될 수 있을까.
보안성은 암호에서 가장 높은 가치이다. 1977년, 미국표준과학연구소(NIST)는 데이터암호표준(DES)을 표준보안기술로서 채택했으나, 컴퓨터의 발전으로 도청을 대비해 보안성을 개선하고자 2001년 ‘AES 알고리즘’을 표준으로 선정했다. NIST는 최근 보안성 유지 가능성을 지닌 새로운 표준보안기술의 후보를 전 세계에 공모했다. 바로 보안성 개선이 국제암호표준에서 중요한 흐름인데, 여기서 암호, 보안성, 컴퓨터, 그리고 양자컴퓨터의 키워드를 기억하자.

1976년 디피(W. Diffie, 1944~)와 헬먼(M. Hellman, 1945~)에 의해 시작된 현대암호에서, 소인수분해 문제를 암호시스템에 적용한 ‘RSA 암호’는 현재까지 가장 경쟁력 있는 암호로 남아있다. 암호의 현대적 접근에서, 보안성이란 정의해야 하는 개념이고 보안성을 위한 가정들은 명확히 제시되어야 한다. 자동입출금기계에서 보안성은 비밀번호의 보안이다. 생일과 같은 추가정보는 없고, 기계를 부수고 돈을 꺼내는 등의 추가공격은 없다는 가정 하에, 도청자는 모든 숫자를 탐색하고 공격한다. 해킹의 정보처리과정이 최소 X초 걸린다고 가정해 보자. 출금과정을 X초 안에 완료하면 비밀번호가 노출되지 않으므로 보안성의 정의로 환원될 수 있다.
암호의 보안성을 위해 많은 가정들을 요구한다는 것은 보안성의 수준이 낮다는 것을 의미한다. 예를 들어, 갑과 을의 비밀대화가 도청자 병에게 들리지 않도록 헤드폰을 착용해야 한다고 가정할 수 없다. 도청자가 헤드폰을 쓰지 않더라도 보안성을 지닌 통신을 할 수 있다면 쓸모 있는 암호이다. 암호에서 가정들과 보안성의 수준은 서로 반비례한다. 가정들이 적을수록 (많을수록) 높은 (낮은) 수준의 보안성을 얻는다.
현대 암호에서 RSA 암호의 보안성은 소인수분해 문제의 어려움에 대응한다. 소인수분해 문제의 어려움은 수학에서 소수의 구조와 성질의 난해함에 기인한다. 현재까지의 최선의 해법은 컴퓨터를 통해 하나씩 확인하는 것이다. 알려진 최선의 알고리즘을 활용하면, 소수의 크기에 대해 대략적으로 지수함수에 비례하는 시간만큼 소요된다. 예를 들어, 1000자리 수에 대해 대략 1000억년의 시간이 소요된다. 소인수분해의 어려움을 도청자에게 가정하므로 RSA 암호는 안전하다. 이와 같이 계산능력의 한계에 근거한 보안성을 계산보안성이라 부른다.

양자암호로 그리는 미래의 보안

1994년 MIT 응용수학과 쇼어(P. Shor, 1959~)는 소인수분해를 수행하는 양자알고리즘을 제안했다. 양자알고리즘은 앞서 언급한 소인수분해 문제를 몇 시간만에 해결한다. 이러한 양자컴퓨터는 미래 어느 시점에 만들어질 수 있을까. 1995년 독일 막스플랑크의 시락(J. I. Cirac, 1965~)과 오스트리아 인스부르크의 졸러(P. Zoller, 1952~)는 양자컴퓨터 구현의 원리를 제안했다. 최근 캐나다의 회사 D-Wave는 특정 모델의 양자컴퓨터 성공을 발표하기도 했다. 이제 RSA 암호의 보안성은 시한부이다.
도청자의 능력을 제한하지 않으며 어떤 공격에 대해서도 안전하고 보안성이 증명된 암호가 있을까. 바로 정보이론을 개척한 섀넌(C. Shannon, 1916~2001)에 의해 보안성이 증명된 난수표(One-Time Pad) 암호다. 이를 ‘정보-이론적 보안성’이라 부른다. 정보-이론적 보안성은 계산보안성보다 더 적은 가정을 포함하며 더 높은 수준의 보안성을 지니고 있다. 그러나 난수표 암호에서 비밀 키는 메시지만큼 길어야 하는 비효율적인 면이 있고 키 분배의 어려움을 포함한다.
양자암호는 양자시스템들을 이용하여 키 분배를 수행하며 난수표 암호를 구현하는 암호이다. 양자암호의 보안성은 정보-이론적 보안성이며 동시에 증명된 보안성이다. 도청자가 양자컴퓨터 혹은 그를 능가하는 계산능력을 지녔다 하더라도, 양자암호는 여전히 안전하다.
양자암호의 가정은 양자이론에 의한 정보처리이다. 양자시스템에 코딩된 정보는 측정할 때까지 양자이론의 원리에 의해 누구에게도 노출되지 않으며, 측정하더라도 복제될 수 없다. 이를 복제불가능성 정리라고 부른다. 전송 중 양자시스템에 발생한 변화는 측정될 수 있다. 양자암호는 도청 여부까지 검증한다. 양자정보의 수학적 표현은 전자기 신호의 이진법이 아닌 양자이론의 작용소다.
양자얽힘은 측정 전에 양자시스템에 존재하는 시스템 간의 관계이며, 이는 비밀정보에 대응한다. 그것은 관측 가능한 물리량은 아니다. 정보-이론적 관점에서 접근할 때 난수표 암호의 비밀 키에 대응한다.
빛의 기본입자인 광자에 정보를 코딩, 전송, 측정하여 현재 양자암호를 구현한다. 이 방법이 지난 수천 년 동안 노력했던 그 목표(비밀정보 교환)를 달성할지 모른다. 양자암호는 원리적으로 완벽하고 증명된 보안성을 포함하지만, 구현 장치들의 결함(광자의 생성과 측정에서의 미세한 불완전함)은 도청을 허용할 수 있다. 2016년 오늘, 우리는 양자암호 구현의 문제를 극복하는 이론적 및 실험적 방법을 제시하기 위한 길 위에 서 있다.