스마트폰에 들어온 양자, '철통보안' 해준다고?

"난수로 얻는 보안 효과 미미"...다른 보안 요소 뒷받침돼야

컴퓨팅입력 :2020/07/10 14:30    수정: 2020/07/11 16:49

올초 갤럭시 스마트폰을 사용하는 연예인들이 해커로부터 금전 협박에 시달린 사건, 기억하시나요? 외부에서 유출된 개인정보로 피해자의 삼성 클라우드 계정에 접근한 해커가 개인적 대화 내용 등 개인정보를 입수하고, 이를 협박 수단으로 삼은 사건이었습니다.

이런 보안 위협은 휴대폰의 발전과 함께 심각한 사안으로 대두되고 있습니다. 휴대폰이 통화 외 다양한 기능을 탑재하면서 PC를 대체하고, 카드, 더 나아가 신분증까지 대체하는 미래가 점쳐지는 요즘입니다. 즉 스마트폰 속 정보보호의 중요성도 그만큼 커지고 있는 것이죠. 잃어버린 스마트폰을 누가 해킹하기라도 하면, 그러다, 어쩌면? 작고 귀여운 내 은행예금을 빼앗아가기라도 한다면? 스마트폰을 원활히 사용하는 사람이라면 한 번쯤 이런 걱정이 들 수 있겠습니다.

그런 생각들을 하다가, 최근 SK텔레콤이 '철통보안'을 표방하며 출시한 갤럭시A퀀텀에 관심이 닿았습니다.

갤럭시A퀀텀을 선보인 SK텔레콤이 내건 무기는 '양자난수(QRNG)'입니다. 난수란 '무작위'로 이어지는 수열입니다. 그런데 이 단순한 수열을, 컴퓨터는 만들기 어려워합니다. 컴퓨터는 입력된 내용에 따라 계산하고, 값을 도출할 뿐이기 때문이죠. 진짜 난수 대신, 복잡한 계산식을 활용해 난수처럼 보이게 한 수열을 유사난수(PRNG)라고 합니다.

양자난수는 양자의 특성을 이용해 진정한 무작위성을 갖췄다는 점에서 차이가 있습니다. 진정한 난수는 보안에 어떤 효과를 가져다줄까요.

SK텔레콤 자회사 IDQ(ID Quantique) 연구진들이 SK텔레콤 분당사옥에서 ‘갤럭시 A 퀀텀’ 스마트폰과 양자난수생성(QRNG) 칩셋을 테스트하고 있다(사진=SK텔레콤)

■난수가 무엇이길래, 뭘 하길래

난수는 암호화된 내용을 읽기 위한 암호키로 사용됩니다. 진짜 난수라면 얘기가 다르겠지만, 단순한 원리로 생성된 의사난수는 결과값들을 모아 분석하면 패턴이 쉽게 파악될 위험이 있죠. 결과적으로 암호키로 암호화한 기밀도 외부에 유출, 변조될 가능성이 생길 수 있고요.

그렇기 때문에 보안업계에서는 난수를 보다 '진짜'처럼 만들기 위한 노력이 지속돼왔습니다. 컴퓨터의 성능이 고도화되면서 난수의 패턴을 분석하는 능력도 같이 향상돼왔기 때문이죠. 그러다 등장한 게 양자난수입니다.

즉 진짜 난수인 양자난수는 결과값을 분석한다 해도 다른 결과값을 유추하기가 어렵다는 점에서 보안이 강화된다고 볼 수 있습니다.

참고로 진짜 난수를 만드는 방법은 현재 양자의 특성을 활용하는 것 외에도 여러 가지가 존재합니다. 카메라 촬영을 통한 시·청각적 입력물, 환경 소음, 지진 측정 데이터, 라디오 방송, SNS 게시물 개수, 키보드나 마우스 입력량 등 다양한 소재를 활용하는 모습이 나타나고 있습니다. (관련 기사☞ 암호화 핵심 '난수' 생성 위한 네트워크 연합 등장)

■"양자난수칩셋, 보안 강화 효과 없지는 않지만..."

SK텔레콤은 갤럭시A퀀텀 사용자를 대상으로 'T아이디' 등 자사 앱 서비스 28종에 대해 로그인 할 시 2단계 인증에서 이 양자난수를 활용한다고 밝혔습니다.

'세계 최초'라는 홍보 효과가 먹혀든 것일까요. SK텔레콤은 갤럭시A퀀텀의 예약판매량이 지난해 출시된 갤럭시A80에 비해 세 배 늘었다고 밝혔습니다. 물 들어올 때 노 젓듯이, SK텔레콤은 향후 양자난수생성칩셋을 탑재한 스마트폰을 추가로 선보이고, 인증 적용 앱과 관련 기기 수도 늘릴 계획이라고 합니다. (관련 기사☞ SKT, 양자난수칩 탑재 스마트폰 확대한다)

양자난수생성 칩셋이 제공하는 난수를 기반으로 암호키가 생성된다.

다만 해커들에 대항하는 파수꾼 역할을 수행하는 보안업계에서는 다소 시큰둥한 목소리가 나왔습니다. 실제 보안 수준이 향상되는 효과는 거의 없다고 봐도 된다는 게 이유입니다.

한 보안업체 대표는 "초창기에 고안된 난수 생성 알고리즘 중에서는 쉽게 해독돼 보안 문제를 초래하기도 했지만, 지금은 암호 체계에 있어 주요한 사안으로 여겨지지 않고 있다"며 "현재 사용되는 의사난수로도 충분히 안전하고, 문제가 된 적이 없다"고 말했습니다. 그러면서 "양자난수칩셋을 도입하면서 엄청나게 보안이 강화됐다기 보다, 버그 일부를 패치한 정도의 효과를 보는 수준"이라고 덧붙였습니다. 공격의 효용성 측면에서, 요즘 해커가 난수의 취약점을 노리는 일은 거의 없다는 것입니다.

이상진 고려대 정보보호대학원 교수는 "난수성은 좋아지게 됐지만, 난수를 해킹하는 경우는 거의 없고 시스템 상의 취약점을 이용해 해킹을 시도하는 공격이 대부분"이라며 "난수 생성 알고리즘이 취약하면 분명 보안이 취약해지는 것은 맞지만, 난수가 안전하다고 해서 안심할 수 있는 게 아니라 암호화 알고리즘, 뒷단의 운영체제, 키 관리 등 보안 취약점을 드러낼 수 있는 부분은 많다"고 설명했습니다.

가령 건물에 방탄유리를 장착했다고 해서 외부 침입을 완전히 차단할 수 없는 것처럼, 다른 여러 측면에서의 보안 강화 노력이 동반돼야 한다는 비유도 곁들였습니다.

■진짜 '양자보안' 위해 통신업계는 전진 중

보안업계가 양자난수생성칩셋을 두고 시큰둥하기만 한 것은 아닙니다. 이 보안업체 대표는 "보안은 이런 하나하나의 요인들이 합쳐져서 계속 완벽성을 갖추게 되는 것"이라며 "새로운 기술을 적용한 것이고, 보안이 향상되는 효과는 아주 작을지라도 특정한 문제 하나를 해결한 셈"이라고 평가했습니다.

양자의 특성을 활용해 안전한 통신을 구축하는 기술이 또 있습니다. 복제가 불가능하다는 양자의 특성을 이용해 도청, 해킹이 불가능한 통신 인프라를 구축하는 '양자 키 분배(QKD)' 기술입니다. SK텔레콤, KT 등 국내 통신사들은 이 기술을 고도화하는 데도 노력을 기울이고 있습니다.

지난 3월 SK텔레콤은 ITU-T 회의에서 자사가 제안한 '양자키 분배 적용 네트워크의 필요 보안 사항' 관련 기술 리포트가 국제 표준(TR.sec-qkd)으로 최종 승인됐다고 밝혔습니다.

연구원들이 경기도 분당에 위치한 IDQ 한국 지사에서 양자암호통신을 연구하고 있는 모습.(사진=SK텔레콤)

SK텔레콤 관계자는 "양자난수생성 뿐만 아니라 양자암호통신, 양자센싱 등 양자보안 전 영역의 기술 개발에 힘쓰고 있고 EU, 미국 양자암호통신망 사업도 진행하고 있다"며, "갤럭시A퀀텀처럼 일반 이용자가 양자보안 기술을 경험할 수 있는 기회를 점차 넓혀 나가는 것이 한국 양자보안 산업 생태계에 기여하는 길"이라고 답했습니다.

KT의 경우 자체 개발한 양자암호통신 네트워크를 설계하고, 경기도 일부 지역 사용자가 실제 이용하는 5G 네트워크에 지난 5월 적용했습니다.

관련기사

통신업계 관계자는 "양자암호 기술이 현재 갤럭시A퀀텀에서 빠진 보안 요소를 채우는 역할을 하게 될 것으로 본다"고 평가했습니다.

다소 결이 다르긴 하나, 양자를 이용해 데이터 처리 속도를 급격히 올리는 양자컴퓨팅 기술도 보안 분야의 화두로 종종 언급이 됩니다. 이 기술이 본격적으로 보급되면 현재 수준의 컴퓨터로는 단시간에 뚫지 못하는 암호화 체계를 뚫어낼 수 있다는 우려가 제기되고 있는 것이죠. LG유플러스의 경우 이런 양자컴퓨팅으로 뚫어낼 수 없게 뚫기 어려운 수학 알고리즘을 사용하는 양자내성암호(PQC) 기술 활용을 추진 중입니다.