2010년 6월호

암호와 해독, 보안과 해킹의 세계

금융생활 필수품(공인인증서) 뚫린 대한민국 허술함 고발한다

  • 송홍근│ 동아일보 신동아 기자 carrot@donga.com│

    입력2010-06-01 17:55:00

  • 글자크기 설정 닫기
    • 사적인 대화를 누군가 엿듣는다는 건 소름 돋는 일이다. 뚫으려는 자와 막으려는 자의 흥미진진한 기술 전쟁.
    암호와 해독, 보안과 해킹의 세계
    5월7일 오후 3시께 발신인을 서울지방경찰청이라고 적은 편지를 받았다. 편지봉투를 뜯으니 출석요구서가 나왔다.

    “불상자에 대한 공무상 비밀누설 피의사건에 대해 문의할 일이 있으니 2010년 5월7일 10시 서울지방경찰청 수사과 수사2계 지능3팀으로 출석하여 주시기 바랍니다.”

    출석을 요구한 시점보다 출석요구서가 5시간 늦게 도착해 서울지방경찰청에 출석하지 못했다.

    ‘경찰청 e메일, 외교부 출장정보도 뚫려 있다’는 제목의 기사를 쓴 적이 있다.(신동아 2010년 3월호) 확보한 정부 대외비 문건을 바탕으로 공공기관 웹 취약점 실태를 공개한 것. “지금 바로 해킹할 수 있다”는 전문가 의견도 담았다.

    기사가 나간 후 경찰관 1명이 찾아와 “행정안전부가 수사를 의뢰했다”면서 “대외비 문건 유출자를 알려달라. 공익에 해로운 보도라고 본다”고 말했다. “우리는 어떠한 경우에도 취재원을 보호한다”는 한국기자협회윤리강령 7조를 경찰관에게 읽어줬다.



    조사받는 처지라서 불편했다. 휴대전화, e메일을 쓸 때 거슬렸다. 전화 통화 내역, e메일을 엿볼지 모른다는 생각이 들어서다. 사신(私信)을 주고받을 때 쓰던 e메일 계정을 타인 명의로 바꿨다. 개인사를 누가 훔쳐보는 건 기분 나쁜 일이다.

    이 같은 경험 덕분에 암호와 해독, 보안과 해킹이란 이슈에 호기심이 동했다. 인터넷서점에 들러 단행본을 찾았다. 문외한이 읽을 만한 책이 없었다. 권위자를 수소문했다. 사람들은 원동호 성균관대 교수(암호학)가 최고라고 말했다. 원동호라는 이름이 암호와 잘 어울린다는 생각이 들었다. 초등학생 같은 표정으로 연구실에 앉아서 강의를 들었다. 보안과 해킹, 암호와 해독의 세계는 흥미로웠다.

    시저의 암호

    암호와 해독, 보안과 해킹의 세계

    스키테일(scytale) 암호

    인류가 만든 최초의 암호는 상형문자다. 글자를 익힌 이들이 정보를 해독했다. 한글도 외국인 눈엔 암호다. 군사 암호는 기원전 487년 스파르타가 창안했다. 이 암호를 스키테일(scytale)이라고 부른다.

    ①원통형 막대를 나눠 갖는다

    ②원통형 막대에 양피지를 번데기 모양으로 말고 비밀을 적는다.

    ③양피지를 풀어내면 글자 순서가 뒤죽박죽이다.

    ④같은 굵기 막대를 가진 이는 양피지를 막대에 말아 암호를 해독할 수 있다.

    원동호 교수는 “오늘날 장군 지휘봉이 이 암호에서 유래했다는 설이 있다”면서 웃었다.

    “스파르타와 페르시아가 동맹을 맺어 아테네를 공격하기로 했어요. 그런데 페르시아가 배반했습니다. 스파르타가 페르시아, 아테네를 차례로 공격해 점령했죠. 그때 사용한 암호가 스키테일입니다. 글자를 바꾸는 방식의 시저 암호도 유명하죠.”

    평문을 암호로 바꾸는 건 어렵지 않다. “지금 부장이 화났음”이란 문장을 “음났화 이장부 금지”라고 적으면 암호다. 거꾸로라는 키(key)를 가진 이는 해독이 가능하다. 율리우스 카이사르(100~44년 B.C)는 글자를 시프트하는 방식으로 군사기밀을 전했다. A의 3번째 시프트는 C다. B의 3번째 시프트는 D. I love you를 3씩 시프트하면 K nqxg aqw가 된다. ‘3’이라는 열쇠를 가진 사람만 K nqxg aqw를 I love you로 읽는다. 스테가노그래피라고 불리는 암호도 있다. 과일즙 우유 오줌으로 잉크를 만들어 비밀을 적는 것. 물에 담그거나 불을 쪼이면 글씨가 나타난다. 마타 하리(1876~1917)는 평문을 악보로 바꿨다.

    인류는 전쟁을 치르면서 암호를 발전시켰다. 암호와 해독, 해킹과 보안은 국가 운명을 가른다. 제2차 세계대전 때 일본 해군력은 미국보다 강했다. 일본은 항공모함 8척을 보유했고 미국은 3척에 그쳤다. 순양함도 20척 대(對) 8척으로 미군이 밀렸다. 미드웨이해전이 변곡점. 체스터 니미츠(1885~1966) 제독이 일본 해군을 궤멸한 것은 일본군 교신을 해독한 덕분이었다. 북아프리카에서 사막의 여우로 불린 독일의 에르빈 로멜(1891~1944)이 미국의 버나드 몽고메리(1887~1976)에게 패한 것도 암호를 들켜서다. 몽고메리는 독일군 암호를 이용해 역정보를 흘려 로멜을 우왕좌왕하게 했다.

    일회용 난수표

    암호와 해독, 보안과 해킹의 세계
    국군도 북한군의 통신암호를 해독한다. 김학송 국회 국방위원장이 언론의 질타를 받은 일이 있다. “군 당국이 소형 잠수함 통신 내용을 분석한 결과, 북한 잠수함 기지 비파곶에서 상어급 소형 잠수함 2척이 사라졌다 나타났고 한 척은 비파곶 인근에 머물렀지만 다른 한 척 행방을 확인하지 못했다”고 밝히면서다. 북한이 암호 체계를 바꾸면 해독법을 새로 구축해야 한다는 이유로 질타가 나왔다. 국가정보원이 북한이 재외공관에 보낸 문서를 근거로 김정은 후계설을 공개했을 때도 같은 이유로 뒷말이 나왔다. 재외공관에 문서를 보낼 때는 평문이 아닌 암호문을 쓴다.

    널리 쓰이던 암호로 난수표라는 게 있다. 북한이 한국으로 송출하는 단파라디오에서 53 34 6, 654 12 96이라는 식의 무의미해 보이는 숫자를 나열한 것도 낮은 수준의 난수표다. 53은 페이지를 가리킨다. 34는 페이지에서 몇 번째 줄이라는 걸 말한다. 6은 그 줄에 6번째 글자라는 거다. 이런 식으로 글자 1개가 완성된다. 숫자를 읽은 이와 똑같은 텍스트북을 가졌으면 해독이 가능하다. ‘신동아’나 ‘타임(TIME)’ 같은 잡지를 텍스트북으로 삼을 수도 있다.

    ▼ 난수표는 해독이 어려울 것 같습니다.

    원동호 교수가 웃었다.

    “북한이 사용한 방식은 텍스트북을 가졌거나 어떤 책인지 아는 사람 1명만 체포하면 비밀이 통째로 드러납니다. 복잡한 것 같지만 해독하기 쉬운 거죠. 복잡한 난수표는 굉장히 강력한 암호예요. 1명이 자수하면 일망타진된다는 것만 빼면요.”

    난수표를 만드는 방법은 이렇다. 보내려는 메시지를 수열로 바꾼 후 난수로 된 수열을 더하면 규칙 없는 수열이 나온다. 이렇게 작성한 암호문은 똑같은 규칙을 아는 사람만 해독이 가능하다. 일회용 난수표는 배신자가 생기지 않으면 절대 보안이 가능하다. 하지만 같은 난수표로 여러 번 교신하면 해독이 가능하다.

    ▼ 시저 암호는 어떻게 풉니까.

    “암호화하기 이전의 평문과 암호문을 대조하면 시프트 숫자를 알 수 있죠. 평문을 구하지 못할 때도 방법이 있어요. 문자 출현 빈도를 이용하는 겁니다. 알파벳에서 가장 많이 쓰는 글자가 e예요. 보통의 영어문장에서 빈도수를 조사하면 e가 12.7% 나옵니다. z같은 글자는 잘 안 쓰죠. 0.1%예요. 암호문에서 가장 많이 발견되는 글자를 e로 바꿔보는 방식으로 풀면 열쇠를 찾을 수 있어요.”

    우리는 암호와 함께 산다

    암호와 해독, 보안과 해킹은 삶 깊숙이 들어와 있다. 신용카드, 전자여권, 공인인증서, 휴대전화도 암호기술을 담고 있다. 내가 가진 공인인증서 암호를 누군가 해독하면 그 사람이 나로 둔갑해 금융거래를 할 수 있다. 그걸 막는 게 보안이다. 보안을 뚫는 걸 해킹이라고 한다. 감청은 암호문으로 바뀐 평문을 국가기관이 합법으로 해독하는 걸 가리키는 말. 불법으로 해독하는 게 도청이다. 노무현 정부 때 휴대전화 감청 가능 여부를 두고 논란이 일었다. 암호를 풀 수 있다, 없다 논쟁이 벌어진 것이다. CDMA 암호는 결국 뚫리는 것으로 확인됐다.

    교통카드 암호를 풀면 공짜로 버스, 지하철을 탈 수 있다. 올 3월까지 이런 일이 실제로 벌어졌다. 해독법, 해킹툴이 인터넷에 나돌았다. 50만원에 유통되는 조작 장비로 카드와 단말기가 주고받는 암호를 해독한 후 충전금액을 조작한 것. 보안이 허술한 암호 체계를 사용해서 벌어진 일이다. 교통카드엔 RFID라고 부르는 작은 컴퓨터가 탑재돼 있다. RFID가 전파를 이용해 단말기로 정보를 보낸다. 현금카드, 신용카드 작동 원리도 비슷하다. 현금카드, 신용카드 암호를 풀어 복제카드를 만들면 남의 돈을 내 돈처럼 쓸 수 있다.

    설명을 듣다보니 “우리는 암호와 함께 살고 있다”는 말이 절로 실감났다.

    ▼ 야구 사인도 암호겠네요.

    “그렇죠. 일종의 은어(隱語).”

    암호와 해독, 보안과 해킹의 세계

    원동호 성균관대 교수

    ▼ 현금카드에 붙은 마그네틱은 카세트테이프 같은 건가요. 아니면 암호문이 담긴 건가요.

    “과거엔 카세트테이프와 비슷한 방식으로 정보가 들어 있었어요. 입력한 비밀번호와 마그네틱에 담긴 정보를 비교했죠. 그런데 리더를 제작해서 불법으로 마그네틱을 읽은 사건이 벌어졌습니다. 요즘엔 정보가 카드에 들어 있지 않아요. 본체와 연결을 가능하게 하는 정보만 IC에 담겨 있죠.”

    우리가 인터넷 쇼핑몰에서 신용카드 번호를 입력하면 그 번호는 암호로 바뀌어 전달된다. 정보화 시대의 암호는 군사·외교용 암호와 달리 불특정 다수가 사용한다. 전자 우편, 전자 결제, 전자 화폐가 등장하면서 암호의 중요성이 더욱 커졌다.

    1976년 개발된 공개키(public key) 암호가 인터넷 세상에서 가장 널리 쓰인다. 이 암호는 맹꽁이자물쇠(반타원형 고리와 몸통으로 이뤄진 자물쇠)를 떠올리면 이해가 쉽다. 맹꽁이자물쇠는 누구나 채울 수 있지만 열 때는 열쇠가 필요하다. 키를 가진 사람만 열 수 있는 것이다. 인터넷 쇼핑몰에서 신용카드 번호를 입력하면 메시지가 암호로 바뀌고 자물쇠가 잠긴다. 열쇠를 가진 사람만 자물쇠를 열어 암호를 복호한 뒤 메시지를 읽을 수 있다.

    RSA라는 공개키 암호는 소인수분해를 활용한 것이다. 1과 그 자신 이외엔 약수가 없는 소수 2개를 곱하기는 쉽지만 곱을 원래의 소수로 분해하기는 어렵다. 251 곱하기 479의 답을 내기는 쉽다. 그렇지만 12만229가 어떤 두 수를 곱한 값인지는 알기 어렵다. 양자컴퓨터가 개발되면 소인수분해를 활용한 암호도 순식간에 풀 수 있다. 미국에선 NSA(국가안보국) CIA(중앙정보국)가 연구비를 지원해 연구가 이뤄지고 있다. 로스알라모스연구소를 비롯한 국립연구소가 연구를 주도한다고 한다.

    국정원, 기무사

    “1990년대 한국에서 뉴질랜드로 보낸 공문서 암호문이 노출돼 문제가 된 적이 있어요. 평문과 비교하면 암호 체계를 알 수 있죠. 상형문자 해독하는 방식으로 평문을 하나둘씩 넣다보면 1000년이 걸리든, 1만년이 걸리든 언젠가는 암호를 풀 수 있어요. 상용으로 쓰는 DES라는 암호를 푸는데, 컴퓨터로 2284년이 걸립니다.”

    ▼ 풀 수가 없다는 거네요.

    “수퍼컴퓨터를 사용하면 몇 시간이면 풀 수 있어요.”

    ▼ 기업이 수퍼컴퓨터를 보유하면 막강하겠네요.

    “기업은 못하죠. 암호문을 복호화해서 평문을 찾았는데 해독에 든 비용이 암호문을 얻었을 때 얻는 이득보다 작으면 못하는 거죠. 막대한 장비를 갖추는 건 기업이 할 수 있는 일은 아니에요.”

    ▼ 국가의 영역이군요.

    “이게 완전히 국익을 다투는 전쟁입니다. 국정원에 팀이 있어요. 우리 제자들이 가 있거든. 몇 군데 더 갖고 있을 거예요. 기무사 같은 곳.”

    ▼ 국가가 관여하면 해독과 감시가 어려운 일은 아니군요.

    “에셜론이 그렇죠.”

    에셜론은 미국 국가안보국(NSA)이 주도하는 세계 통신 감청 조직이다. 영국 ‘가디언’의 폭로로 세상에 알려졌다. 미국은 에셜론을 통해 파악한 산업기밀 정보를 자국 기업에 제공하기도 했다. 1995년 미·일 자동차 협상 때 미국 중앙정보국(CIA)은 에셜론을 통해 도요타, 닛산이 일본 관료에게 로비하고 있다는 걸 파악한 뒤 미국 협상단에 이 사실을 알려줘 협상을 유리하게 전개하게끔 도왔다.(‘뉴욕타임스’ 1995년 10월15일자)

    ▼ 노무현 정부 때 진대제 정보통신부 장관이 CDMA 휴대전화 감청은 이론적으로 가능하지만, 현실적으로는 어렵다고 말했습니다. 감청이 불가능하다면 미국이 CDMA를 허가하지 않았으리란 얘기가 당시 나돌았습니다.

    “ETRI(한국전자통신연구원)도 안 된다 했고, 장관도 그렇게 말했고요. 나중에 자수하지 않았습니까. 암호 전공하는 사람들은 진대제 장관 말 듣고 웃었죠. 그렇다고 나서서 감청이 가능하다고 말할 수도 없잖아요. 매장당하거든요. 전화기를 이것저것 바꿔 쓰는 수밖에 없어요.”

    도청, 감청은 다르다. 불법 감청, 불법 도·감청이란 말은 틀린 표현이다. 감청은 합법적 엿듣기, 도청은 불법적 엿듣기다. 국정원은 휴대전화 감청 합법화를 바란다. 국회에 관련 법안이 계류돼 있다. 국가안보를 위해 감청이 필요하다는 거다. 범죄자들은 휴대전화로 모의하는데 감청이 불법인 것은 역설이지만 자유와 인권이라는 가치를 고려하면 답을 내기가 쉽지 않다.

    ▼ 공공기관 웹사이트 보안 실태를 보도한 적이 있는데 관리자 권한을 손쉽게 얻을 수 있는 곳이 상당수였습니다. 아이디, 패스워드를 암호화하지 않고 전송하는 웹페이지도 많았고요.

    “관리자 권한을 얻는 건 결정적인 겁니다. 다 끝났다는 얘깁니다. 완전히 오픈됐다는 거죠. 아이디, 패스워드는 키보드 해킹으로 낚아채기도 합니다. 개인 컴퓨터도 인터넷에서 키보드 해킹 방지 툴을 다운로드해 설치해놓는 게 안전해요. 해킹 방지 툴을 뚫는 툴이 개발되니 일정 시간이 흐르면 새로운 툴로 계속 바꿔야 해요.”

    ▼ 공인인증서는 안전한가요.

    “그렇게 물으면 답하기가 어려워요. 예스(yes), 노(no)의 영역이 아닙니다.”

    그는 오프 더 레코드를 전제로 공인인증서 비밀번호 해킹에 성공한 적이 있다고 말했다. 수년 전 일인데다, 문제점을 보완했기에 글로 옮긴다.

    “공인인증서도 우리가 깨봤죠. 그런 심각한 일을 언론에 공개할 수는 없지 않습니까. 한국정보보호진흥원에 공문을 보내 문제를 해결하게 했습니다. 공인인증서를 클릭하면 인증서 암호를 넣게 돼 있죠. 당시엔 암호를 잘못 입력하면 다섯 번까지 다시 입력할 수 있었어요. 공인인증서는 1년이 지나면 만료돼 다시 받아야 합니다. 그런데 만료된 공인인증서는 번호를 수만 번 바꿔 넣어도 아무런 문제가 없었어요. 숫자와 글자를 조합해 넣다보면 암호가 나오죠. 문제는 상당수 사람이 공인인증서를 새로 발급받은 뒤 인증서 암호를 바꾸지 않는다는 겁니다. 공인인증서를 삭제해도 암호를 바꾸지 않으면 소용없어요. 하드디스크를 6차례 포맷해야 완전히 삭제됩니다. 지금은 해결됐어요.”

    증권회사도 속수무책으로 뚫렸다.

    “D증권을 뚫었을 땐데 보안담당자가 사장한테 잘못 보고했어요. 내가 불법을 저질렀다고. 불법은 안 하죠. 학생한테 D증권 계정을 만들라고 한 뒤 패스워드 ID를 찾아 보여줬어요. 실제로 로그인은 안 했고요. 로그인하면 불법이죠. 사장이 법적 대응하라고 했는데, 결국 보안담당자만 잘렸습니다.”

    원동호 교수는 인터넷에서 구할 수 있는 해킹프로그램을 통해 메신저서비스 5곳의 아이디, 패스워드를 알아낸 일도 공개했다. 업체들은 이 같은 문제점을 보완했다. 사적인 대화를 누가 엿듣는다는 건 소름 돋는 일이다. 장삼이사(張三李四)의 대화가 이럴진대 정부 웹페이지의 상당수가 아이디, 패스워드를 암호화하지 않고 전송한 걸 어떻게 봐야 할까.

    양자 암호

    2008년 인터넷상거래 업체 옥션에서 해킹으로 인해 1000만명 넘는 회원의 개인 정보가 유출됐다. 보안 장치와 암호 기술을 적용했는데도 정보 유출이 일어난 것이다. 뚫으려는 자와 막으려는 자의 싸움은 엎치락뒤치락 계속된다.

    세계의 내로라하는 과학자들이 해킹과 도청으로부터 100% 안전한 양자 암호를 연구 중이다. 해독에 필요한 열쇠를 양자 물리학 원리로 나눠 갖는 시스템이다.

    “연구하는 사람들은 개발이 임박한 것처럼 말하는데 쉽지 않을 것 같아요. 빛의 속도로 연산하는 고속의 암호를 만드는 겁니다. 공개키를 암호화하는 데 10만분의1초, 100만분의 1초가 걸립니다. IT에선 굉장히 긴 시간이죠. 그래서 1000만분의 1초, 1조분의 1초에 암호화하겠다는 거예요. 아직은 연구가 미흡합니다.”

    5월12일 경찰로부터 2차 출석요구서가 날아왔다. 한동안 e메일로 비밀 얘기는 주고받지 말아야겠다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사