[한·중·일 석학 인터넷 대담]2004 정보보호기술 전망

　◆ 이 대담은 2003년 12월 29일 한국정보통신대학교(ICU) 김광조 교수 주관하에 김 교수를 포함, 한국·중국·일본의 학계에서 다년간 정보보호를 연구해 온 도쿄대 이마이 히데키(今井 秀樹) 교수, 칭와대 쿽얀람(Kwok Yan Lam 林國恩)교수로부터 2004년도 정보보호 기술 전망 등에 관하여 인터넷우편에 의한 서면 질의를 요약한 내용이다.

◆ 대담자 약력

　△ 한국정보통신대학교(ICU) 김광조교수 - ICU 공학부 정보보호 그룹. 20년이상 암호 및 정보보호 분야 연구.

　세계암호학회 이사(현). 국제학술대회 프로그램위원 및 SCI급 저널인 JCN과 IJIS의 편집자. 영국 국제 인명센터(IBC)와 미국 인명협회(ABI)의 ‘21세기의 명사 2000인’과 ‘21세기를 빛낼 1000명의 위인’에 선정. 미국인명협회가 선발한 ‘2003년도 500명의 과학지도자’에 선정.

　△ 일본 도쿄대 이마이 히데키(今井 秀樹)교수 - 도쿄대학교 생산기술연구소. 25년간 암호 및 정보보호 분야 연구. CRYPTREC의장. 세계전기전자학회(IEEE)정보이론 분과위원장(현). 한국·프랑스 명예박사.

　△ 중국 칭와대 쿽 얀람(Kwok Yan Lam 林國恩) 교수 - 칭화대학교 소프트웨어학부 교수. 15년 이상 보안 분야 연구.

　<>질문=지난 10년간 귀국에서 이룩한 암호 및 정보보호 분야의 두드러진 업적은 무엇이라고 생각하십니까?

　<>김광조 교수(한국)=한국의 경우 산,학,연,관에서 정보보호 분야 학문 연구와 기술 개발에 관한 기반이 구축되었으며, 세계에 모범이 될만한 정보보호 강국으로 자리매김 했다고 판단합니다.

　10여년 전 한국정보보호학회(KIISC)가 설립되어 비공개로 취급돼온 정보보호분야에서 학문적 공개 토론의 장을 열었고, 한국정보보호진흥원(KISA)설립으로 정보화 진전에 따른 민간 정보보호 기술 발전과 표준화 활동에 기여하고 있습니다. 또 한국전자통신연구원(ETRI)과 국가보안기술연구소(NSRI)에서 최신 정보보호 기반기술과 응용기술을 연구하고 있습니다. 한국에서는 전국의 주요 대학 및 대학원에서 정보보호 전공 학과가 운영되고있고, 양질의 정보보호 전공자가 배출되어 현장에서 필요한 인력 수급에 기여를 하고 있습니다. 전자 서명 사용에 필요한 법적 근거가 마련되었으며, 한국형 블록 암호(SEED), 전자 서명 알고리즘(KCDSA)의 국내 표준화가 이루어져 전자 상거래의 안전성 확보에 널리 이용되고 있는 등 정보보호 기술이 IT분야의 필수 기술로 인식되고 있습니다.

　<>이마이 히데키 교수(일본)=지난 10년 동안 일본의 암호학 분야에서 가장 중요한 일은 CRYPTREC(CRYPTography Research and Evaluation Committee)이었습니다. 이 위원회는 지난 2000년 일본의 통상성에 의해 전자정부의 안전성을 보증하는 암호기술들을 평가하기위해 처음 세워진 암호연구 및 평가 위원회입니다. 2001년 암호기술의 적용에 관한 정책수립 연구를 위해 내무성과 통상성에 의해 CRYPTREC 자문위원회가 설립됐고 일본의 전자정부에 사용가능한 암호기술들을 평가하는 프로젝트에 관련된 위원회들을 총칭하는 말로 사용되고 있습니다. 2000년부터 2002년까지 CRYPTREC의 주요목표는 전자정부에 추천할 암호 목록을 선정하는 것이었고 이후 암호기술의 안전성을 관찰해 오고 있습니다. (http://www.ipa.go.jp/security/enc/CRYPTREC/index.html 참조)

　2003년 3월에 추천 암호 목록이 발표되었으며, 정부 부처나 기관에서 암호기술을 사용하는 지침으로 확립되었습니다. 최근에는 CRYPTREC을 통하여 암호 모듈, 암호 프로토콜, 암호기술의 평가시스템을 확립하고 있는 중입니다. CRYPTREC는 일본내에서 안전성평가의 중요성을 널리 인식시키는 성과를 거두었습니다.

　정보보호와 관련한 또다른 중요한 일은 2000년에 IT보안정책이 일본 정부에 의해 채택된 사실로 일본정부의 정보보호 틀을 형성하는데 매우 큰 공헌을 했습니다. 언급할만한 최근 결과로는 2003년 정보공유분석센터 (TELECOM-ISAC JAPAN :Telecom Information Sharing and Analysis Center Japan)의 설립입니다.

　<>쿽얀람 교수(중국)=암호학은 전략적 중요성 때문에 중국에서도 항상 중요한 연구 분야가 되어 왔습니다. 지난 10년 동안의 가장 두드러진 발전은 정보보호를 좀더 넓은 의미로 이끌었던 인터넷의 대중적인 사용에 기인하고 있습니다. 결국 인터넷에 연결된 정보 시스템의 보안에 관련한 영역에서 활발한 작업이 이루어져 왔습니다. 예를 들면 사설가상망(VPN), 방화벽, 침입탐지 그리고 안전한 통신 프로그램을 위한 보안 프로토콜을 포함하고 있습니다.

　<>사회=정보보호기술의 이론 및 실용적인 측면에서 귀국의 수준을 평가해 주시겠습니까?

　<>김=한국의 암호 및 정보보호 기술 수준은 세계 정상 수준과 2∼3년 차이로 거의 대등하다고 말할 수 있습니다. 새로운 공개키 암호 시스템인 땋임 암호시스템의 최초 설계, 독자적인 국내 표준 암호 시스템 보유, 2백만명 이상이 사용하는 전자 인증서 사용 등 이론과 실용기술에서 균형 잡힌 연구를 하고 있습니다.

　특히 세계적인 추세에 발맞추어 증명 가능한 암호이론의 체계를 수립하고 있으나 이를 위한 원천이론은 다소 미흡한 실정입니다. 실용적인 측면에서는 독자 기술에 의한 컴퓨터 바이러스 대응 제품, 침임탐지 시스템 등 다양한 정보보호 제품이 개발, 보급되고 있으며 해외 수출도 이루어지고 있습니다.

　<>이마이=일본은 암호학 분야에서는 선두국가 중 하나입니다. 마쓰모토-이마이(Matsumoto-Imai) 암호, KPS, 마쓰이(Matsui)의 선형공격법, MISTY (KASUMI), 구로사와-데스메데트(Kurosawa-Desmedt)기법, ID 기반 암호, 오카모토-유시야마 암호시스템( Okamoto-Uchiyama cryptosystem)등 많은 중요한 결과들이 일본에서 만들어졌습니다. 암호 기술들의 실제적인 적용 또한 일본에서 매우 활발하게 이루어지고 있습니다. 하지만 정보보안에 관련된 시스템 기술은 그렇게 강한 편은 아닙니다.

　<>람= 중국도 상당한 수준에 도달해 있다고 생각합니다만, 기업 정보 시스템의 보안을 위한 연구에서는 항상 해야 할 일이 있습니다. 이는 산업의 급속한 발전으로 충분한 시간이 없었고, 중국에서 조직과 운영 축면에서 사업의 유일성에 기인합니다.

　<>질문=귀국에서 보통 시민들은 정보보호 및 개인 사생활의 중요성을 얼마나 잘 인식하고 있는지 평가해 주시겠습니까?

　<>김=한국 사람들의 보안에 대한 인식은 급속하게 확대되고 있습니다. 지난 한 해 동안 크고 작은 보안사고들이 발생하면서 사람들의 인식 속에 보안이라는 용어가 자리잡아가고 있습니다. 그러나 대부분의 사람들은 그 중요성은 이야기 하면서도 자신들의 일이 아니라고 생각하는 것처럼 보입니다. 사생활 문제에서 인터넷 사용자들은 쉽게 자신의 주민번호와 신상정보 등을 입력하고, 이런 정보가 시중에 유통되어 많은 사회문제가 되기도 합니다. 따라서 국민들이 보안에 대하여 올바른 인식을 갖도록 지속적으로 노력하고 홍보해야 한다고 생각합니다.

　<>이마이=일본사람들은 사생활 문제들에 좀 민감한 편입니다. 또한 정보보호의 중요성도 잘 인식하고 있습니다. 사실 많은 사람들은 정보보호가 IT 사회에서 매우 중요하다고 주장합니다. 그러나 저는 사람들이 정보보호가 무엇인지에 관해 더 정확하게 이해할 수 있도록 우리가 노력해야 한다고 생각합니다. 사람들은 비싸다는 이유로 정보보호 수단을 채용하는데 종종 주저합니다. 그러나 그 비용은 밝은 미래를 위한 투자로 여겨져야 합니다.

　<>람=컴퓨터에 접근하고 경험한 일반적인 사람들은 확실히 정보보호의 중요성에 대해 인지하고 있습니다.

　<>질문=귀국에서 가장 널리 사용되는 세가지 이상의 IT 보안기술은 무엇입니까?

　<>김=우리나라에서 가장 활발하게 사용되는 IT 보안기술은 인증서 서비스라고 생각합니다. 많은 사람들이 인터넷 뱅킹을 사용하고 있으며 인증서를 사용하고 있습니다. 또 하나 두드러진 특징은 국내 안티 바이러스 기술이 세계 정상급이라는 사실입니다. 물론 정부나 기업과 같은 단체들은 침입방지시스템, 방화벽 시스템을 많이 사용하고 있습니다.

　<>이마이 교수=일본내에서 IT 보안기술의 정확한 사용 현황은 알지 못합니다. 물론 방화벽과 침입방지시스템은 널리 사용되고 있습니다. 암호기술의 사용에 있어서 SUICA와 같은 휴대용 스마트카드들은 대중화 되고 있으며, 전자 통행료 시스템(ETC:electronic toll collection) 사용자는 2백만 명을 넘어서고 있습니다. 이 시스템은 정교한 암호기술들을 채택하고 있습니다. 또 다른 응용분야는 2003 회계연도 말에 완성될 분야로 GPKI(Government Public-Key Infrastructure)를 구축하고 있습니다.

　<>람=휴대전화가 광범위하게 보급되어 상당수의 사용자를 가지고 있으며, 인터넷 뱅킹은 보안 기술에 의해 보호되어야 할 대단한 가치를 가진 것임에 틀림이 없습니다. 전자 정부는 많은 사람들의 정보보호 마인드 제고에 직간접적으로 가장 부합되는 것입니다. 또한 대중 교통 시스템을 위한 스마트카드가 점차 확산되고 있으며, 방화벽과 침입탐지 시스템도 널리 사용되고 있습니다.

　<>질문=귀국에서 정보보호가 중요한 역할을 할 수 있게 하는 가장 중요한 요소 3가지를 말씀해 주십시오.

　<>김=첫째, 정부주도의 체계화되고 지속적인 지원이 필요하다고 생각합니다. 특히 IT 보안기술의 안전성을 공정하게 평가할 수 있는 기구를 설립하는 것은 정부가 해야 할 중요한 일 중의 하나라고 생각합니다.

　둘째, 정보보호 인력의 지속적인 양성입니다. 특히 첨단의 정보보호 이론과 기술을 신규로 창출할 수 있는 고급인력의 양성은 대단히 중요한 일입니다.

　셋째, 정보보호 산업의 적극적인 육성입니다. 정부 주도의 기술 개발이나 단순한 인력양성만으로는 정보보호기술을 이끌어 갈 수 없습니다. 민간 주도의 정보보호 산업 활성화는 정보보호 기술발전의 한 축이 될 것입니다.

　<>이마이=첫번째 요소는 정보보호에 관련된 정부조직을 설립하는 것입니다. CRYPTREC는 일본 전자정부의 정보 안전성을 유지하고, 또한 민간부분에서의 암호기술 사용을 촉진하는 핵심역할을 계속해야 합니다. 비록 암호가 정보보호기술의 일부이지만 그 범위가 확장되고 있습니다. 저는 점점 더 많은 정보보호와 관련된 문제들이 암호적인 접근법, 다시 말하면 엄격하게 정의되는 공격모델 및 안전성을 바탕으로 다루어 질 수 있을 것이라고 믿습니다. 그래서 CRYPTREC의 역할이 확대될 것입니다. CRYPTREC에 추가하여 일본은 정보보호 정책의 일관성과 무결성 그리고 국제적인 조화를 유지하기 위해 정보보호 기술을 연구하고 평가하는 영구적이고 중립적인 조직을 설립하는 것이 필요할 것이라고 믿고 있습니다. 이러한 조직의 주된 일은 정부가 정보보호 정책들을 계획하도록 조언하는 것입니다.

　두번째 요소는 정보보호분야의 인적자원을 개발하는 것입니다. 정보보호분야에서 전문가의 부족은 일본에서 가장 심각한 문제가 될 것입니다. 중앙부처와 기관들을 뒤따라서 일본의 3300개 지방정부들은 현재 각자의 전자정부 시스템을 설립하고 있습니다. 단지 이러한 전자정부의 설립과 유지만으로도 수천명의 정보보호 전문가들이 필요할 것입니다. 민간부분은 훨씬 더 많이 필요로 할 것입니다.

　세번째 요소는 정보보호에 대한 개발과 교육입니다. 정보시스템과 네트워크의 안전성에 대해 OECD 가이드라인에서 소개된 것처럼 보안 문화를 개발하는 것은 매우 중요합니다. 물론 정보보호기술을 개발하는 것 또한 중대한 요소입니다. 특히 휴먼크립트는 사람들이 정보보호기술을 받아들이는데 핵심이 될 것입니다. 휴먼크립트는 인간과 컴퓨터사이의 관계 즉 인증된 사용자가 안전하고 쉽게 컴퓨터에 접근할 수 있게 하는 암호기술, 암호시스템을 사용하기 쉽게 하는 휴먼인터페이스 기술, 암호시스템이 사용자가 의도한데로 작동한다는 것을 보증하는 기술, 암호시스템을 사용하는 사용자를 확신시키는 기술 등을 다루는 암호기술을 의미합니다.

　<>람=선진 보안 연구 분야에서 지속적인 발전을 장려하고, 보안요소들의 통합과 상호운용을 촉진하기 위하여 보안기술 표준화를 위한 정부의 노력을 꼽을 수 있습니다.

　사업의 보안 실용성을 보증하기 위한 노력 또한 중요한 반면, 이 분야에서 높은 수준의 고급 인력을 양성하는 정부의 노력이 중요해 질 것입니다. 본질적으로, 이는 필요로 하는 보안이 어떠한 것이고 이를 어떻게 성취할 것인지에 대해 사람들을 교육하는 노력을 의미합니다. 보안 시스템은 적절하게 계획되어야 하고 보안 시스템의 발전을 촉진해야 한다는 것을 명심해야 합니다.

　<>질문=아시아 국가들이 정보보호기술을 상호발전시킬 수 있는 방법이 있으면 제안해 주십시오.

　<>김=첫번째는 아시아권을 관할하는 공동 정보침해대응센터를 만들어서 서로 정보를 교환하는 일이 시급하다고 생각합니다. 인터넷 환경은 국경이 없으므로 원활한 정보교류가 필수요소입니다. 두번째는 공동학회를 개최하거나 인력교류를 활성화 시키는 것이라고 생각합니다. 이는 아시아권의 정보보호 기술 수준을 높이는 시너지 효과를 가져 올 것입니다.

　<>이마이=국제회의를 구성하고, 연구원을 교환하는 것은 전통적인 방법이지만 협력을 촉진하는 효과적인 길입니다. ISAC 같은 국제 학회를 조직하는 것은 또 다른 해결책 일지도 모릅니다.

　<>람=보안 분야에서 국제적인 연구와 애플리케이션 행사를 조직하고, 보안 연구원과 전문가가 서로 방문하도록 독려하는 것입니다. 예를 들어 아시아에서 사업 애플리케이션 시나리오의 유일성을 공동 연구하는 것은 아시아의 실질적인 수요를 겨냥해야 합니다. 그리고 아시아 기구를 위한 가장 적합한 보안 정책과 메커니즘을 확인하고, 서로 협력하여 메커니즘과 보안 시스템을 설계하고 개발해야 합니다.

　<>질문=2004년의 정보보호기술 전망을 예측해 주시겠습니까?

　<>김=우리나라에서는 전자정부의 안전성 문제가 2004년의 핫이슈로 떠오를 것으로 생각합니다. 현재 우리나라는 전자정부의 확립에 대한 강력한 의지를 갖고 추진하고 있습니다. 말 그대로 전자정부의 기반은 IT입니다. 전자정부의 안전성이 증명되지 않는다면 전자정부 존립의 근간이 크게 흔들릴 것입니다. 또한 전자정부의 꽃이라고 불리는 전자투표의 도입문제가 활발하게 논의 될 것으로 생각합니다.

　해킹 바이러스 대응문제 또한 핫이슈로 떠오를 것으로 생각합니다. 인터넷의 급속한 보급으로 국내 해킹 바이러스 피해 사례가 급증하고, 심지어 국가 기간망까지 마비시킨 일을 돌이켜 보면 해킹 바이러스 대응은 시급한 문제라고 생각합니다.

　암호이론 분야에서는 작년과 같이 증명 가능한 암호시스템의 도입 추세가 계속될 것으로 생각합니다. 또한 양자암호와 같은 미래형 암호이론의 실용화에 많은 연구가 이루어 질것으로 생각합니다.

　<>이마이=일본에서는 개인정보의 보호와 관련된 법률들이 제정될때 프라이버시 문제들이 가장 강조가 될 것입니다. 유비쿼터스 네트워크는 그 중요성이 더해갈 것입니다. 따라서 프라이버시를 보호하는 기술들은 더욱 중요해 질 것입니다. 무선 보안 및 무선 개인 식별 장치(RFID)보안은 2004년도의 키워드들입니다.

　2003년 12월에 시작된 지상 디지털방송으로 인해 2004년에는 디지털 저작권 관리(DRM:digital rights management) 문제들이 더 첨예하게 들어날 것으로 보입니다. 디지털 콘텐츠나 메타 데이터들이 인터넷을 통해 전파가 될 때, 우리는 더욱 진보된 DRM 시스템들을 개발해야 할 것입니다. DRM 시스템들의 표준화 역시 중요한 이슈가 됩니다.

　일본에서는 노인 인구 비율이 해마다 증가 하고 있습니다. 대부분의 고령의 시민들이 현대의 IT기술을 안전하게 이용하기란 쉽지가 않습니다. 휴먼크립트는 고령의 시민들 생활을 안전하고 편안하게 만들어 주는 중요한 기술입니다. 생체학 또한 해결책의 하나로 여겨집니다. 그러나 요코하마 국립대학의 마쓰모토 쓰토모 교수가 지문과 홍채들을 이용한 인증 시스템에 대한 신분위장 실험에서 보인 것처럼 생체학은 결코 안전하지가 않습니다. 우리는 고령의 시민들을 위한 안전하면서도 사용하기 쉬운 인증 시스템들을 개발해야만합니다.

　마지막으로 결코 가볍게 여길 수 없는 양자암호를 언급하고 싶습니다. 2004년이나 2005년에는 양자 암호를 실용적으로 사용할 수 있을 것으로 보입니다. 비록 틈새시장의 한 부분일지라도, 무조건적인 안전성을 보장한다는 점이 널리 인식될 것입니다. 장기적인 안목으로 보면, 양자암호나 정보이론의 안전성에 근거한 암호시스템과 같은 무조건적인 안전성을 보장하는 정보시스템이 필요로 합니다.

　<>람=IT 애플리케이션의 보안요구에 실질적으로 대응하기 위해 방화벽, 침입탐지 그리고 VPN과 같은 개별적인 보안 요소를 찾는 것 보다 시스템보안이 더 강조될 것입니다.

　정보보호기술에 대한 경향은 시스템 수준에서 보안을 찾는 것이라 생각합니다. 그리고 보안은 보안 요소들의 최적화된 결합을 통해서 성취될 수 있다는 것을 명심해야 합니다. 목표는 목적에 부합하는 그리고 가격면에서도 효율적인 보안이 되어야 하는 것입니다.

　<>질문=끝으로 귀하의 의견을 요약해 주시고 기타 제안 사항이 있으시면 언급하여 주시기 바랍니다.

<>김=정보보안의 중요성은 시간이 지날수록 커지고 있습니다. IT기술의 특성상 빠르게 대처하지 않으면 뒤쳐지는 결과를 낳을 것입니다. 우리나라는 정보보호 정책을 수립하고, IT 보안 기술의 안전성을 평가해 줄 수 있는 기구의 도입이 시급해 보입니다. 상용화되고 있는 많은 IT 보안 기술들을 안전성을 평가받지 않고 사용되게 되면 추후 많은 혼란을 야기 할 수 도 있습니다. 이러한 일은 국가주도로 이루어져야 할 중요한 일 중의 하나입니다.

　<>이마이=정보보안의 중요성은 아무리 강조해도 지나침이 없을 것입니다. 만약 여러분이 IT 시스템을 디자인 하는 일을 하고 있다면, 여러분은 반드시 그 시스템의 안전성을 고려하고 측정해야만 합니다. 또한 전문가들의 조언도 구해야 할 것입니다. 어떤 시스템의 안전성을 측정하는 데 있어 전문성은 매우 중요합니다. 어떤 경우에는 안전성을 측정 할 필요가 없을 수도 있습니다. 하지만 그러한 경우에도 모든 가능한 공격들을 검토한 후에 결정을 내려야 할 것입니다.

　<>람=암호와 정보보호는 많은 노력을 들여온 중요한 영역입니다. 중대한 결과가 성취되어 왔고 보안 기술은 중요한 분야에서 사용되어 왔습니다.

　기존의 애플리케이션 영역을 제외하고, 비즈니스의 정보 시스템에 지속적인 노력이 집중될 것입니다. 보안과 비용 효율성 사이의 균형을 강조하기 때문에 비즈니스 정보 시스템에서의 보안 요구는 변화하고 있습니다.

　<>결론=이로써 한중일 간의 정보보호 전문가들의 의견을 통해 각국에서 정보보호를 보는 시각은 차이가 있으나, 국제적인 공조문제는 적극적으로 협조가 가능한 사안으로 평가됩니다. 3개국이 힘을 합쳐 아시아에서 정보보호 분야의 학문 발전과 기술 혁신을 위하여 자세를 가다듬는 좋은 계기가 되었으면 하며 지속적인 정부 및 민간의 투자아래 유비쿼터스 보안, 양자 암호 등의 차세대 정보보호 기술 발전에 매진하여야 할 것으로 생각됩니다. 감사합니다.

　<정리=박희범기자 hbpark@etnews.co.kr>