"동형암호, 기존 암호시장 다 합친것 보다 커"

서울대 천정희 교수 인터뷰...상용화 시작 단계

컴퓨팅입력 :2018/11/22 07:53

"동형암호 기술 실용화는 지금부터 시작이다. 이제 막 '에니악( ENIAC, 현대식 초기 전자컴퓨터)' 이 만들어진 거다. 튜링머신의 모든 연산이 '동형암호'로도 가능하다는 걸 증명했지만 연산을 실제로 하는 건 별개다. 앞으로 많은 분야에 동형암호를 응용하는 방법 연구와 실용화 기술 개발 움직임이 이어질 거다. 글로벌 기술 표준화 논의에 참여하면서, 실용적으로 연산이 가능한 범위를 늘려나가는 연구를 지속하고 싶다."

서울대학교 수리과학부 천정희 교수가 동형암호의 산업적 실용화에 주력할 뜻을 밝혔다. 그는 마이크로소프트(MS), IBM 등 글로벌 IT기업이 모인 표준화그룹 운영위원회의 응용부문 공동분과장을 맡고 있는 원천기술 분야 권위자다. 그의 연구팀은 지난해 독자적인 동형암호 소프트웨어 라이브러리 '혜안(HEAAN)'을 만들었다. 올해 3월 미국 보스턴 '동형암호 표준화 국제회의'에서 혜안을 세계 최초로 시연했다.

동형암호는 데이터를 암호화한 채 연산하면서도 복호화해 연산한 것과 같은 결과를 얻게 해주는 기술이다. 예를 들어 신용평가의 개인정보 기반 분석이나 생체인증의 생체정보처리시, 암호화된 데이터를 그대로 연산하면서 원래 데이터를 연산한 것과 같은 결과를 내놓는다. 민감한 데이터 분석시 유출 및 도용 문제를 해소해 준다. 이 때문에 클라우드, 데이터분석, 인공지능(AI)에 접목시 활용도가 클 것으로 기대된다.

아직 산업 현장에 동형암호를 상용화한 사례는 없다. 다만 세계 연구기관과 기업들이 이 분야의 실용화에 주목하고 있다. 민간기업과 학계 연구그룹에서 암호 알고리즘과 스킴(scheme)을 만들고 각각의 활용 방안을 검증하고 있다. 검증 흐름도 국제게놈보안경진대회(iDASH Competition)같은 세계대회 참가자들에게 주어지는 과제를 수행하는 형태에서 실제 비즈니스에 접목하려는 시도로 넘어올 분위기다.

천 교수팀은 실제 산업현장에 그 기반기술을 활용하려는 한국스마트인증, 코리아크레딧뷰로(KCB), 삼성SDS 등 국내 기업들과도 협력 중이다. 동형암호 기반 연구는 어디쯤 와 있을까. 실용화 가능성은 얼마일까. 당장 적용 가능한 분야는 뭘까. 어떤 이들이 관심을 갖고 있을까. 지디넷코리아는 동형암호 기술의 활용 가능성과 후속 연구 추진 방향을 가늠하기 위해 천정희 교수와 인터뷰를 진행했다.

서울대학교 수리과학부 천정희 교수.

■ 수학자에 '호구지책'이었던 암호, 인생 연구주제로

- 수학 전공으로 어쩌다 최신 암호기술 연구를 하게 됐나

"20년쯤 전 카이스트 박사과정 당시 대수적 정수론(algebraic number theory)을 전공했다. 순수 이론으로 수학을 공부했는데, 졸업하고 응용연구 기회를 얻었다. 전자통신연구소에 들어가면서 타원곡선(elliptic curve) 암호가 필요하다고 해서 그걸 시작했다. 그 뒤에 내가 뭘 좋아하는지 깨달았다. 정수론은 응용이 잘 안되는 분야로 알려져 있었지만, 내 연구분야가 세상과 접목된다고 할 때 동기부여가 컸다.

20년정도 암호를 연구했다. 1997년부터니까 올해 21년 됐다. 그새 암호와 함께 정수론 자체가 세상에 필요한 분야가 됐다. 미국은 1970년대말부터 암호에 정수론이 쓰였지만, 한국에선 (내가 시작할 때가 암호 응용) 초창기였다. 생계 목적으로 포닥(박사후과정)을 밟으면서 응용연구를 하다가, 순수 수학으로 와보니 왠지 싱거웠다. 1년만에 암호 분야로 돌아갔다. 2003년부터 서울대에서 암호론 가르치는 중이다.

초반에 보안이라든지 응용암호라든지, 이런 암호의 여러가지 연관분야에 손을 댔다. 그런데 2009년 동형암호라는 게 나왔다. 그동안 했던 암호 분야를 좀 제쳐놓고 동형암호 연구를 해 보기로 결정했다. 일단 데이터를 복호화하지 않고 암호화한 채 계산할 수 있는 암호라는 게 흥미로웠다. 모순처럼 들리는 소위 '개인정보보호'와 '데이터분석'이란 두 마리 토끼를 같이 잡을 수가 있는 거였으니까.

또 세대를 구별하자면 동형암호가 새로운 쪽이기때문에 그만큼 연구해야 할 게 많았다. 더불어 기존 암호에 비해 광범위한 분야에 적용할 수 있어서 잠재력이 크다고 봤다. 2000년대 중반부터 2010년대 초반까지 '암호계의 암흑기'라 불리는 기간이 있었다. 암호로 뭘 할 수 없는 게 아니라, 오히려 너무 잘 된 게 그 이유였다. 표준화가 잘 되고 라이브러리도 많았다. 덕분에 보안산업 자체는 활황이었지만.

내가 접한 동형암호는 아주 새로운 분야였다. (응용하고자 하는) 각 분야마다 블랙박스로 쓸 수 있는 게 아니라, 어떻게 잘 쓸지 더 연구해야 했다. 다른 연구자들과 협력도 필요했다. 예를 들어 암호화한 데이터를 어떻게 분석해야할지, 머신러닝에 적용하려면 기계학습 연구자와 동형암호 연구자가 협력하는 식으로. 여타 암호기술 처럼 블랙박스인 채로 쓰려면 더 연구가 많이 진행돼야 했다."

- 산업계는 '기존 암호를 더 잘 쓰면 그만'이라 생각지 않을까

"물론 지금 암호가 쓰이는 분야가 많다. 단순히 전세계 네트워크 트래픽의 암호화된 비중만 봐도, 의외로 크다. 하지만 이건 암호의 기능 범주가 커진 것이지 '시장'이 커진 건 아니다. 암호 기능 범주가 커졌다고 세상이 꼭 안전해졌나, 해킹이 줄었나 보면 그렇지도 않다. 반대다. 암호는 안전해졌지만 해킹은 계속 늘고 있다. 이유는 암호의 최대 약점인 '키(key)' 때문이다.

현재 암호기술은 보호할 데이터를 사용할 때 매번 키를 써서 암호화한 데이터를 복호화해야 한다. 누군가 키를 가져가버리면 더 이상 데이터를 보호할 수단이 없어진다. 그래서 역으로 해커가 가장 많이 접근하려는 데이터가 (공개키암호 시스템에서 복호화에 필요한) 비밀키다. 미국 국가안보국(NSA)도 암호를 일일이 해독하기보다 키를 훔치는 쪽으로 (첩보) 전략을 바꿨다고 에드워드 스노든의 리포트에 나온다."

■ 산업계, 응용에 관심 많아…원천기술 연구그룹은 세계 5곳뿐

서울대학교 수리과학부 천정희 교수.

- 그럼 동형암호는 기존 암호보다 어떻게 더 안전해질 수 있나

"동형암호는 데이터를 사용하는 환경에 아예 키가 저장되지 않게 해준다. 어떤 컴퓨터에 키를 함께 주지 않고 암호화한 상태의 데이터만 맡긴다. 그 컴퓨터는 데이터가 보안을 갖춘 상태 그대로 계산을 할 수 있다. 해커가 그 데이터를 가져가도, 쓸 수가 없다. 걱정할 필요가 없다.

요컨대 키를 보호하는 것과 데이터 활용을 분리할 수 있다. 과거엔 데이터를 활용할 때 키가 노출될 위험을 감수해야 했다면, 이제는 동형암호로 '이 컴퓨터에 키를 보관하고 저 컴퓨터로 데이터를 활용하는' 게 가능하다. 더 안전해진다.

이제까진 '저장된' (또는 '전송 중인') 데이터만 보호할 수 있었다면, 앞으로 '활용하는' 데이터까지 보호할 수 있다. 데이터분석 시대다. 앞으로 분석할 데이터를 보호해야 하다면 꼭 동형암호가 들어가지 않을까. 기존 암호시장 다 합친 것보다 더 큰 시장이 열릴 거라 본다."

- 동형암호 원천기술 연구자가 얼마나 되는지

"이제 동형암호기술이 조금씩 보편화되는거같다. (실용 가능성 증명한 논문이) 2009년에 나왔으니 올해로 10년정도 됐다. 동형암호를 컴퓨터로 비유하면, 동형암호라는 하드웨어를 한 5명이 만들고 있고, 이제 기술을 배워서 '소프트웨어'를 만드는 다른 사람들이 늘었다고 할까.

예를 들어 미국 크립토(Crypto)와 세계 양대 암호학회 중 하나인 유로크립트(Eurocrypt)에서 동형암호 관련 논문이 40편 나왔다. 작년대비 5배다. 최고 보안학회인 미국컴퓨터학회(ACM)의 '컴퓨터 및 커뮤니케이션 보안(CCS)' 국제학회에도 여러 논문이 나왔고. 내게 리뷰 요청이 들어오는 동형암호 논문만 수십편일만큼 많다. 다만 주요 그룹 외의 연구조직이 핵심기술을 다룬 논문을 내긴 쉽지 않을 것 같다."

- 주요 연구그룹에 IBM·MS같은 대형 IT업체만 포함되나

"겉으로 보이는 것보다 동형암호를 연구하고, 동향을 주시하는 곳이 많다. 다만 원천기술 연구그룹이 극소수다. 진입장벽이 높아서다. 전공으로 꼽자면 수학 중에는 '대수적 정수론'과, 이것만으로는 안 되고, 수론적 기하학(Geometry of Numbers)과, 컴퓨터과학 중에서는 계산 복잡도 이론(Computational complexity theory), 그리고 보안, 소프트웨어 구현, 이걸 다 아울러야 한다.

이가운데 수학과 컴퓨터과학 분야를 대학원 전공 수준으로 '같이' 잘 해야 한다는 게 제일 어려운 부분이다. 세계적으로는 이렇게 연구해서 동형암호를 설계하는 메인 그룹이 IBM, MS리서치, 미국 매사추세츠공과대학(MIT), 프랑스에 있는 그룹, 그리고 우리(서울대학교 수리과학부 천정희 교수팀), 5곳 정도다. 원천기술 연구 논문을 내기 어려운 이유다."

■ 2017년 MS 주도로 동형암호 국제표준화 그룹 조직돼

서울대학교 수리과학부 천정희 교수.

- 직접 참여 중인 국제 표준화 그룹의 형성 배경과 현황을 알고 싶다

"현재 '호모모픽인크립션닷오알지(homomorphicencryption.org)'라는 사이트와 표준화 그룹이 운영되고 있다. 동형암호를 산업적으로 활용하려면 어떤 스킴을 어떻게 써야 괜찮다, 안전하다 이런 논의를 진행 중이다. 나를 포함한 연구자 6명이 운영위원회로 구성됐고, 지난해부터 최근까지 개최된 3차례 워크숍을 통해 주요 사항을 결정했다.

MS가 작년 7월에 (미국에서) 비공개 그룹에 수십명 연구자를 초청해 시작했다. MS가 암호학자 아닌 사람을 현장에서 진행 전담자로 배정해 워크숍을 운영해 줬다. 반응이 뜨거웠다. 미국 방위고등연구계획국(DARPA)에서 2천만달러 정도를 지원받고 2009년 최초 동형암호 실용가능성을 증명한 연구자 그룹 중 메인은 IBM이었다. (편집자주: 그런데 표준화 논의로 치고 나온 MS의 움직임에 반향이 컸다는 뜻.)

첫 비공개 모임(워크숍)에 40명이 왔다. 내가 MS리서치 초빙교수로 몇 개월 가 있고, 한국 졸업생도 초청받아 참석했다. 그중 나, MS, IBM, 듀얼리티테크놀로지스(MIT 연구팀의 스타트업) 등 소속 6명이 운영위원회를 구성하고 3개 분과별 표준화 담당자가 지정됐다. MS는 '보안' 문서 표준화를 맡고 나머지 2개(API, 애플리케이션) 분과 담당자도 결정됐다. 나는 '애플리케이션' 문서 표준화 공동분과장을 맡았다.

올해 3월 공개 워크숍엔 미국 국방부, 국립보건원(NIH), 여러 IT업체 소속 관계자도 왔다. 산재된 환자정보의 분석이 시급한데, 데이터병합에 엄격한 미국 연방 건강보험 양도 및 책임에 관한 법률(HIPAA)을 극복할 방안으로 동형암호가 꼽혔다. 세번째 워크숍은 지난달 캐나다 토론토대학교 ACM CCS에서 열렸다. 삼성SDS, 인텔, SAP 등 산업계 패널 각 기업마다 동형암호 담당팀을 꾸렸다고 해서 흥미로웠다."

- 국내에도 응용 연구나 사업화하려는 곳이 있는지

"있다. 고려대학교 정보보호대학원, 인하대학교, 카이스트, 한국전자통신연구원(ETRI) 등 연구계와 학계에서 관련 과제를 수행하는 분들이 꽤 있다. 기업 쪽에서는 우리 졸업생이 여러명 가 있는 삼성전자 삼성리서치. 우리와 함께 기술 상용화 추진 중인 한국스마트인증이나, 다른 작은 회사도 있고. 코리아크레딧뷰로(KCB)도. LG전자와도 연구를 시작했다. 정확히 동형암호만은 아니고 양자내성암호를 포함한 분야지만.

대기업이 많이 방문하긴 했다. 유럽 일반개인정보보호법(GDPR) 시행 이후에 많이 왔다. 암호관련 담당부서가 아니라 데이터분석 업무 부서에 계신 분들이. 금융업계, 블록체인(스타트업) 쪽에서도. 잘 보면, 전통적인 보안업체에서 온 분들은 없다. 동형암호 기술 자체가 데이터 보호를 넘어 활용을 안전하게 해주는 역할을 하니까, '시장'이 다른 것이다.

그리고 응용 분야 연구 제안 절반이 블록체인이다. 블록체인에 프라이버시 문제가 크다는 걸 사람들이 알았기 때문이다. 대다수 블록체인 응용 아이디어는 개인정보가 투명하게 드러날 수 있다는, 프라이버시가 적극적으로 침해될 수 있다는 걸 사람들이 알게 되면서 어려움에 빠진다. 사람들은 꼭 민감한 정보가 아니라 사소한 정보라 해도 그게 투명하게 노출되는 것은 불편해 한다."

■ "상용화 실현 눈앞…원천기술 후속연구도 필요"

- 산업계 중 빠른 상용화를 예상하는 분야는

"한국스마트인증처럼 보안인증시스템에 쓰는 생체정보를 보호하려고 하는 시도가 가장 빨리 실현될 시장이라 본다. 이미 생체인증이라는 개념이 널리 퍼져 있다. 현존 생체인증기술 관련 보안 우려도 제기되고 있다. 동형암호 접목한 생체인증 기술이 바로 진입할 수 있지 않을까. 기술력을 바탕으로 그런 기회를 선점하고 본격적으로 산업계에 확산되게 한다면, 한국만아니라 세계적으로도 최초 상용화가 될 거다.

신용정보분석모델에 활용하려는 KCB의 경우도 기술적으로는 충분한 수준에 도달했다. 다만 이 쪽의 상용화는 개인정보보호법과 같은 제도가 결부된다. 미국에선 의료분야의 HIPAA라는 예외를 빼면 어떤 조직에서든 동형암호 표준화만 결정되면 쓰는 데 별 제약이 없지만, 국내는 비식별화 데이터 결합 허용과 같은 법개정이 전제돼야 한다.

클라우드에 저장된 데이터 보호 기술로도 동형암호를 응용할 수 있다. 데이터 보호를 클라우드 관리자에게 의지하지 않더라도, 동형암호로 암호화하면 거기에 데이터를 둘 수 있다. 물론 현재 동형암호 처리는 비싼 비용을 수반한다. 모든 데이터를 암호화한다기보다, 보호해야하는 중요 데이터를 클라우드에 활용하고자할 때, 동형암호 접목하는 방향으로 갈 것 같다. MS가 동형암호에 열심인 이유 아닐까도 싶다."

- 내년 이후 후속연구 계획은

"당장 최대값, 최소값을 찾는다든지, 비교연산을 한다든지, 최적화(optimization) 연산 등이 수행이 어려운 것으로 꼽힌다. 이 부분 때문에 실용화에 의구심을 갖는 이들이 있다. 내가 연구하는 게 이 분야다. 앞으로 논리연산 쪽을 좀 더 연구해보려 한다. 최근에도 유로크립트 서밋에서 효율적인 비교연산 방안을 주제로 쓴 논문을 제출했다. 채택된다면 동형암호로 가능한 실용적인 일이 하나 늘어나는 셈이다.

관련기사

여전히 시작이다. 동형암호 기술로도 튜링머신의 구현에 필요한 모든 연산을 '할 수 있다'는 증명이 갓 나왔고, 그걸 실제 구현하는 건 아직이다. 컴퓨터로 치면 '에니악'이 이제 만들어진 거다. 앞으로 평생 동형암호 기술이 실용적으로 쓰일 수 있는 범위를 늘려나가는 연구를 할 것 같다. 현대 컴퓨터도 1960-1970년대 튜링머신 기반의 효율적인 알고리즘 덕분에 1980년대 이후 하드웨어 발전으로 탄력을 얻은 결과다.

한 5년, 10년 뒤에는, 양자컴퓨터처럼, 현존 컴퓨터와 좀 다르게 동형암호 처리하는 칩, 컴퓨터가 따로 나올 수 있겠다 싶다. 동형암호 칩과 컴퓨터가 새로 만들어져야 한다. 사실 그런 (동형암호 원천기술 후속연구 제안) 연락이 주로 국내보단 외국에서 오고 있어 안타깝다. 소프트웨어 연구, 하드웨어 연구하는 분들이 동형암호 연구에 더 많이 참여했으면 한다."