21세기 정보보호의 가장 큰 사건 중 하나가 프리즘(PRISM) 프로젝트다. 프리즘 프로젝트는 지난 2013년 에드워드 스노든에 의해 폭로된 미국 국가안보국(NSA)의 광범위한 정보수집감시활동이다. 이 사건을 계기로 기업이나 기관 단위 정보보호가 아닌 국가 단위 정보보호기술 필요성이 대두됐다. 그 결과 충남대학교를 중심으로 ‘운영체제 안전성 연구단’이 발족했다.
정보보호기술이 빠르게 발전하지만 해결하지 못하는 난제가 많다. 특히 정보보호기술 기반이 되는 암호화와 운영체제 보호 기술은 분야도 다양하지만 기술 복잡성도 높아 전체 구조를 파악하는 것도 힘들다. 해결해야 할 보안 문제점도 많다.
운영체제 안전성 연구단은 역공학 등 안전성 분석 기술을 기반으로 정보보호 주요 기술의 전체 구조를 파악하고 보안 문제점을 찾아 해결 방안을 제시한다.
연구단의 주요 연구 분야는 △사물인터넷(IoT) 환경의 구성 요소 중 하나인 임베디드 기기 난수발생기(암호 알고리즘 구성요소) △운영체제 안전성과 다양한 사용자층을 가진 모바일 및 PC 운영체제 안전성 △데이터 보호를 위한 비대칭(RSA) 암호화 및 소프트웨어 난독화를 연구한다. 충남대 류재철 교수를 필두로 고려대 이동훈·홍석희 교수, 국민대 염용진 교수, 성균관대 최형기 교수, KAIST 김용대 교수가 참여했다.
충남대 류재철 교수팀은 모바일 운영체제인 안드로이드와 iOS의 안전성 연구를 수행한다. 고려대 이동훈 교수팀은 소프트웨어 난독화 기술을 연구해 국내 소프트웨어의 지식재산권을 보호하고 악성코드 분석 어려움을 해결한다. 고려대 홍석희 교수팀은 RSA 인수 분해로 RSA 암호화 기술 문제점을 지적하고 보다 더 높은 단계의 RSA 암호화 사용의 필요성을 제시한다. 국민대 염용진 교수팀은 임베디드 장비에서 사용하는 난수 발생기 문제점을 찾아 암호화 기반이 되는 난수 발생 단계부터의 안전성을 연구한다. 성균관대 최형기 교수팀은 윈도 운영체제를 대상으로 안전성을, KAIST 김용대 교수팀은 임베디드 장비에서 사용하는 다양한 운영체제의 안전성 연구를 진행한다.
류재철 단장은 “연구단이 지난해 하반기에 발족해 기초 연구를 하느라 아직 결과를 말하기에 이른감이 있다”며 “암호화 및 운영체제 안전성 분야에서 많은 연구를 수행한 경험있는 연구진이 참여한 만큼 향후 국내의 정보보호 기술 발전에 큰 공헌을 할 것으로 기대한다”고 전했다.
류재철 운영체제 안정성 연구단장(충남대학교 컴퓨터공학과 교수)
-향후 중요한 정보보호 이슈는.
▲해킹이라는 단어가 사용될 때부터 지금까지 지속적으로 문제가 되는 정보유출이다. 대상이 개인이나 회사가 아닌 정부기관까지 확대될 것으로 판단된다. 2014년에 발생한 한국수력원자력의 정보유출을 예로 들 수 있다. 그 과정에 전문 해커 양성이 필요하고 특히 국가 차원의 해커 양성이 이뤄질 것으로 예상한다.
-인력 양성은 어떻게 하는가.
▲기존의 인력 양성을 위한 단기적 지원 사업은 정보보호기술을 심도있게 교육하기 힘들다. 연구단은 장기적 연구를 통해 기반 기술 이해와 분석 능력을 향상시키고 이를 기반으로 난제를 해결하는 능력을 갖춘 보안 인력을 양성하고자 한다.
-어려운 연구 분야가 아닌가.
▲새로운 기술을 연구하는 것도 어렵지만 기존 기술을 분석하고 문제점을 해결하는 것도 힘든 분야이다. 연구 대상인 기술이 해외에서 개발된 기술이 많기에 우선 해외 교육을 통한 기술 습득을 기반으로 연구를 진행한다. 또 참여 연구진이 관련 연구 경험이 많은 것은 물론이고 관련 논문과 특허를 다수 보유했기 때문에 좋은 결과를 만들어 낼 것이다.
김명희기자 noprint@etnews.com
