컴퓨터 보안은 보통 소프트웨어 방식에 의존한다. 하지만 암호 키를 외부에서 생성해 주입해야 하기 때문에 공격에 노출될 여지가 항상 있다.
때문에 기기나 칩 안에 암호를 심는 하드웨어 보안이 보다 안전한 방법으로 여겨진다. 그래도 디지털 기기의 완전한 보안은 거의 불가능하다. 반도체 칩이 동작할 때 나오는 전류나 전압에서 전하를 포집해 데이터 내용을 파악할 수도 있다. 컴퓨터 팬이 돌아가는 소리를 분석해 칩이 처리하는 내용을 짐작할 수도 있다.
한양대 융합전자공학부 김동규 교수와 최병덕 교수는 '불가능한 미션'에 도전했다. 암호 키 값을 완전히 안전하게 하는 방법을 찾아보자고 의기투합한 것이다. 같은 학부 교수이긴 했지만 김 교수는 보안, 최 교수는 아날로그 반도체 설계로 전공은 거리는 있었다. 하지만 학과에서 자연스럽게 어울리던 과정에서 융합의 아이디어가 떠올랐다.
김동규 교수는 "암호 키를 메모리에 저장하지 않을 방법을 찾다, 마치 지문처럼 반도체에도 칩마다 고유한 무언가 있지 않을까 하는 생각을 했다"라고 말했다. 반도체 칩 제조 과정에서 무작위로 생기는 내부 구조의 미세한 차이를 암호 키 값으로 활용해 보기로 했다. 외부에서 주입할 필요 없이 생산 과정에서 칩 내부에서 발생하는 차이를 활용하는데다, 이러한 차이가 파악하기 힘든 변수에 따라 무작위로 생기기 때문에 공격자가 키 값을 추정하기도 불가능하다.
이른바 '물리적 복제 방지(PUF, Physical Unclonable Functions)' 기술이다. 처음엔 그런 것이 있는지 몰랐다. 연구를 시작하며 문헌조사를 해 보니 이미 MIT 등에서 다른 방식으로 비슷한 시도를 했음을 알았다.
하지만 기존 PUF 기술들은 전류나 온도 등 주변 환경에 따라 특성이 변한다는 문제가 있었다. 수억 개에 이르는 트랜지스터들이 조금씩 다른 성질을 갖고 있고, 이들이 전류 흐름 등에 따라 미세하게 영향을 받을 수 있기 때문이다. PUF를 안정적으로 보안 기술로 사용하려면 무작위하게 발생한 내부 구조의 차이가 변하지 않고 유지되어야 한다. 출입문에 지문을 등록해 두었는데, 후에 지문이 바뀌면 안 되는 것과 마찬가지다.
두 교수는 외부 환경에 의해 생기는 성질 차이에 의존하지 않는 방법을 찾았다. 반도체 칩의 비아(via)를 활용하는 것이다. 비아는 반도체를 이루는 여러 층들 사이에 신호를 전달하기 위해 뚫는 통로이다. 수동 소자의 성질을 갖고 있어 전류 등 주변 환경에 덜 민감하다. 최병덕 교수는 "보통 공정에선 오류를 최소화하려 하는데, 우리는 반대로 오류를 의도적으로 일으키는 역발상을 시도했다"라고 말했다.
연구팀은 비아 크기를 본래 정해진 것보다 일정 범위 안에서 조금 작게 그릴 경우, 비아가 50%의 확률로 형성되거나 형성되지 않음을 발견했다. 이 확률은 예측할 수 없기 때문에 무작위적인 암호 키 값의 기반으로 활용할 수 있다. 이후 저항이 특정 값 이상이거나 이하라 제대로 활용할 수 있는 비아들을 남겨두고, 연결을 뒤바꿀 가능성이 있는 비아는 솎아낸다. 이런 식으로 무작위적이면서 안정적으로 활용 가능한 PUF를 구현했다. 최 교수는 "충분히 무작위적이면서 키 값이 흔들리지 않는 '항상성'을 구현했다"라고 말했다.
김 교수는 "일반적이지 않은 방식이라 납득시키기도 어려워 논문 나오는데만도 10년이 걸렸다"라고 말했다. 10개 이상의 반도체 칩을 실제 제조한 끝에 2020년 IEEE 학회지에 논문이 나왔다.
하지만 실제 상용화는 2016년부터 이뤄졌다. 이 기술을 알아본 ICTK가 연구를 지원하고 사업화에 나섰기 때문이다. 신용카드 스마트칩 관련 사업으로 시작된 ICTK는 두 교수가 개발한 비아 PUF 기술의 가치를 높이 평가해, 기존 사업은 별도 법인(BV ICTK)으로 독립시킨 뒤 현재는 PUF에 주력하고 있다. ICTK는 한양대에 기술센터를 설립하는 등 관련 기술 연구를 지원하고 있다.
관련기사
- ICTK, 美 방산시장서 'K-보안' 뽐내…PQC·PUF 기반 VPN 공개2023.02.27
- LGU+, 지능형CCTV 보안 강화하는 'PUF VPN' 기술 개발2022.06.23
- 새해 엔비디아 선점할 승자는...삼성·SK 'HBM4' 양산 준비 박차2024.12.22
- 해커 손에 들어간 시스코 데이터, 다크웹 마켓서 거래2024.12.22
ICTK의 기술은 LG유플러스의 eSIM이나 CCTV 등에 적용되어 보안을 강화하는데 쓰이고 있다. 또 디지털 도어락에도 적용되는 등 IoT 보안을 중심으로 영역을 넓히고 있다. 미국의 세계적 반도체 IP 기업인 램버스도 ICTK와 협력, PUF 기술을 활용할 방침이다.
김 교수는 "반도체 대기업에서도 협력 제안이 왔지만, 자유롭게 연구하기에는 스타트업과 협업하는 것이 더 좋다고 판단했다"라며 "스타트업과 대학의 협력으로 원천 기술 연구와 상용화를 위한 시너지를 내고 있다"라고 말했다. 최 교수는 "최근 다른 방식의 PUF를 위주로 하던 관련 업계에서도 비아 PUF 방식에 대한 관심이 커지고 있다"라며 "IoT 보안이나 양자내성암호 등의 분야에서 비아 PUF의 활용 가능성이 크다"라고 말했다.