안전한 ICT 융합 서비스를
제공하기 위한
보안 시스템 개발

전 국민이 사용하는 OTP 개발에 참여

인터넷 뱅킹 간편화 바람으로 이제 소액 거래는 공인인증서나 보안카드 없이도 인터넷 뱅킹을 이용할 수 있지만 비대면 거래 시 보안은 여전히 중요한 이슈다. 보안 시스템은 시대에 따라 진화해 왔다. 2007년에는 인터넷 뱅킹의 보안을 강화하기 위해 OTP(One-Time Password)를 국내 금융권에서 사용하기 시작했다. OTP는 보안에 취약한 고정 패스워드 대신 그때그때 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 것으로 금융보안연구원에서 구축한 OTP 통합인증센터는 하나의 OTP 기기로 여러 은행의 인터넷 뱅킹을 할 수 있게 함으로써 사용자들의 편의성을 증대시켰다. 당시 금융보안연구원의 주임 연구원이었던 서승현 교수는 인터넷 뱅킹에 사용되는 OTP 통합인증시스템 설계 및 국내외 표준화 작업에 참여한 주역이다.

2011년 3월에는 정부 기관과 민간 기업들이 ‘3.4 DDoS 공격’으로 큰 피해를 입어 사회 전반적으로 사이버 테러에 대한 경각심을 불러일으켰다. 이때 서승현 교수는 한국인터넷진흥원 인터넷 침해 대응본부 코드 분석팀에서 공격에 사용된 악성코드를 분석하고, 그 결과를 안철수연구소, 국가정보원, 방송통신위원회 등의 민 · 관 합동반에 제공해 전용 백신을 개발하는 데 기여했다. 이렇게 국내 보안 시스템 발전에 힘을 보태온 서승현 교수는 2017년 ERICA에 임용된 후 다수의 ICT 융합 서비스 보안 관련 연구 프로젝트를 수행하며 정보보호 분야의 발전에 이바지했다. 이러한 공로를 인정받아 지난 4월 ‘제30회 정보통신망 정보보호 컨퍼런스’에서 우수 연구자로 선정돼 과학기술정보통신부 장관 표창을 받게 된 것이다.

“무엇보다 제가 연구하는 정보보호 분야의 선배와 동료 연구자들의 추천으로 상을 받게 돼 매우 영광스럽고 기쁩니다. 앞으로 더욱 책임감 있고 성실한 연구자로 성장하기 위해 노력하겠습니다.”

드론, IoT 등의 안전한 보안 메커니즘 설계

서승현 교수의 주요 연구 분야는 앞서 소개한 이력에서 유추할 수 있듯이 암호 기술을 기반으로 한 보안 메커니즘 설계 및 보안 시스템 개발이다. 특히 IoT 드론, 로봇 등 최근 주목받고 있는 ICT 융합 서비스를 보다 안전하게 이용할 수 있도록 발생 가능한 보안 위협에 대응, 해당 서비스에 최적화된 보안 메커니즘을 설계하고 안전성을 분석하는 연구를 진행하고 있다.

“무인 환경에서 동작하는 드론, 로봇 등 IoT 디바이스 간에 안전한 통신을 위해서는 개체 간 인증 및 암호키 교환이 필요합니다. 하지만 드론과 같은 무인 이동체는 물리적인 공격이나 탈취의 우려가 있습니다. 디바이스를 탈취당하면 암호키가 유출될 수 있죠.”

이러한 사태에 대비해 이전 연구들은 인간의 DNA와 같이 디바이스 자체의 고유한 값을 생성하는 PUF(Physically Unclonable Function) 기술을 활용했다. 하지만 IoT 디바이스에 부착된 PUF 등이 탈취되면 암호키의 안전한 생성을 보장할 수 없다. 이러한 문제를 해결하기 위해 서승현 교수는 PUF를 활용한 디바이스의 고유 특성 정보뿐 아니라 디바이스가 사용되는 주변 환경정보도 같이 활용해 해당 디바이스를 인증하고 암호키를 생성하는 시스템을 설계했다.

한편, 최근에는 지능형 차량 기술이 발전함에 따라 차량과 차량, 차량과 인프라 간에 데이터를 교환하는 차세대 지능형 교통 시스템(C-ITS)에 관한 연구가 활발히 진행되고 있다. 그런데 악의적인 차량이 잘못된 정보를 제공할 경우, 교통 시스템과 차량의 올바른 의사결정을 방해해 교통사고를 유발할 수 있다. 이에 서승현 교수는 블록체인을 활용한 안전한 데이터 공유 모델을 제시했다.

“해시함수, 전자서명 등 암호 기술을 활용해 블록체인에 저장된 정보는 위·변조가 불가능합니다. 그런데 모든 참여자에게 블록체인에 저장된 내용들이 공개되기 때문에 프라이버시가 보호되지 않는 점과 블록체인을 운영하는 비용 부담 문제가 있습니다. 이를 해결하기 위해 차량과 인프라로 구성된 이계층 구조의 차량 평판 블록체인 모델을 설계함으로써 차량의 프라이버시를 지키면서 공유 정보와 블록체인 노드의 특성에 따라 나눠 효율적으로 교통정보 및 평판 정보를 블록체인에 저장할 수 있도록 했습니다.”

서승현 교수는 ICT 융합 서비스의 안전한 이용을 위한 보안 메커니즘 설계 및 안정성 분석 연구를 수행하고 있다.

양자 컴퓨터 시대 도래, PQC 전환에 대비해야

서승현 교수는 양자 컴퓨터의 기존 암호해독 공격에 대비해 차세대 보안 기술로 주목받고 있는 양자내성암호(PQC)의 안전성 분석에 관한 연구도 수행하고 있다. 현재 우리가 사용하는 ECC나 RSA와 같은 공개 키 암호 알고리즘은 이산로그 및 소인수분해 문제의 어려움에 기반해 설계된 것이다. 하지만 쇼어 양자 알고리즘을 사용하면 이러한 문제들은 다항 시간 내 무력화될 수 있다.

“2019년 구글은 53큐비트 양자 프로세서를 발표하면서 슈퍼컴퓨터로 1만 년이 걸리는 난수성 문제를 양자 컴퓨터로 3분 20초 만에 해결할 수 있다는 것을 보이며 양자 우월성을 주장했습니다. 이렇게 양자 컴퓨터 개발이 가속화됨에 따라 기존 암호에 대한 해독 공격 위협이 현실화되고 있습니다.”

이에 미국은 2016년부터 국립표준기술연구소(NIST)에서 양자 컴퓨팅 환경에서도 안전한 PQC표준화 공모전을 진행, 2022년 일차적으로 4개의 PQC 표준을 선정했다. 중국도 2020년 3개의 암호 알고리즘을 선정하고 2025년까지 표준화 작업을 마무리할 계획이다. 우리나라도 국가보안기술연구소와 국가정보원을 중심으로 2022년부터 독자적인 PQC 개발을 위해 K-PQC 공모전을 진행 중이다. 현재 2라운드 후보로 8종의 알고리즘이 발표됐다.

후보로 뽑힌 알고리즘은 안전성이 검증돼야 표준으로 선정될 수 있다. 서승현 교수는 PQC의 양자 안전성을 분석해 안전한 PQC 알고리즘 개발에 기여하고 있다. 지난 2020년에는 국내 TTA(한국정보통신기술협회) 표준으로 제정된 PQC 전자서명 알고리즘인 HiMQ에 대해 NIST의 보안 기준을 만족하지 못함을 밝혀 표준 알고리즘을 개정하는 데 기여했다.

“향후 최소 10년간은 ICT 전반에서 사용되고 있는 기존 공개 키 암호 알고리즘을 새로운 표준 암호인 PQC로 전환하는 것이 주요 화두가 될 것입니다. 현재 사용하는 보안 시스템, 통신 프로토콜, 암호 라이브러리 등에서 사용 중인 기존 암호를 전부 PQC로 교체해야 합니다.”

그중에서도 국가 안보와 직결되는 국방 분야는 가장 먼저 PQC로 전환해야 할 분야다. 사실 암호 기술의 기원 자체가 전쟁 시 첩보를 위해 시작됐다. 서승현 교수는 국내 대표적인 방산업체인 LIG계약학과로 운영되는 ‘지능정보융합공학과’에 참여하고 있을 뿐 아니라, 2025년에 신설되는 첨단융합대학 국방지능정보융합공학부 지능정보양자공학전공에도 참여해 암호 및 정보 보안 강의를 담당할 예정이다. 사이버보안 분야는 기술의 발전 속도가 급격하기에 연구를 게을리할 수 없다는 서승현 교수의 활약이 더욱 기대되는 대목이다.